Tenor

Der Angeklagte wird wegen versuchter Computersabotage zu einer Freiheitsstrafe von

1 Jahr und 8 Monaten

verurteilt, deren Vollstreckung zur Bewährung ausgesetzt wird.

Die in Großbritannien vom 22.02.2017 bis zum 02.03.2017 erlittene Freiheitsentziehung wird im Maßstab 1:1 angerechnet.

Der Angeklagte trägt die Kosten des Verfahrens.

Die Einziehung der unter Nummer 2.9 beim Bundeskriminalamt asservierten Banknoten im Wert von 10.000 US-Dollar sowie eines Geldbetrags in Höhe von 8.542,68 € wird angeordnet.

Angewandte Vorschriften:

§§ 303b Abs. 1 Nr. 1 und 2, Abs. 2, Abs. 3, 22, 23 Abs. 1, 56 Abs. 1 und 2, 73 Abs. 1, 73c Satz 1 StGB

1

Gründe

2

I.

3

Der heute 29 Jahre alte Angeklagte wurde am 13.02.1988 in London geboren und ist britischer Staatsangehöriger. Ob er außerdem noch die israelische Staatsangehörigkeit innehat, konnte in der Hauptverhandlung nicht festgestellt werden.

4

Der Angeklagte wuchs zunächst mit seinen Eltern und Geschwistern in London auf. Nach der Scheidung der Eltern zog die Mutter mit dem damals sechs Jahre alten Angeklagten und dessen Geschwistern nach Israel. Dort besuchte der Angeklagte die Schule und erlangte einen Schulabschluss mit Hochschulreife. Ein Studium oder eine Berufsausbildung hat er jedoch nie begonnen. Stattdessen versuchte er, seinen Lebensunterhalt mit IT-Kenntnissen zu finanzieren, die er sich – mit Ausnahme einiger absolvierter Programmierkurse – autodidaktisch seit seiner frühen Jugend angeeignet hatte. Sein Interessen- und Tätigkeitsschwerpunkt lag dabei schon früh auf der Optimierung von Suchmaschinen, der Analyse von Schadsoftware und der Durchführung sogenannter Pentests, d.h. der Sicherheitsprüfung von Netzwerken oder Softwaresystemen. Der Angeklagte war insoweit zumeist als Freelancer, d.h. als freier Mitarbeiter, für verschiedene Unternehmen tätig, wünscht sich aber für die Zukunft eine feste Anstellung. Ein eigenes Unternehmen zu gründen, gelang ihm in der Vergangenheit nicht.

5

Im Jahr 2012 zog der Angeklagte mit seiner Verlobten wegen finanzieller Schwierigkeiten zurück nach London in der Hoffnung, dort besser zurecht zu kommen. Da allerdings auch dort hohe Lebenshaltungskosten anfielen, verlegten sie ihren Wohnsitz im Mai 2016 nach Zypern, wo sie bis zur Inhaftierung des Angeklagten in hiesiger Sache zusammen lebten.

6

Frustriert durch gescheiterte Versuche, mit den selbsterworbenen Kenntnissen und Fähigkeiten im IT-Bereich eine tragfähige Lebensgrundlage für sich und seine Verlobte zu schaffen, sprach der Angeklagte phasenweise vermehrt dem Alkohol zu, ohne dass sich daraus jedoch eine Abhängigkeit entwickelt hätte.

7

Der Angeklagte ist seit etwa seinem 14. Lebensjahr an Diabetes erkrankt, muss sich regelmäßig Insulin spritzen und seinen Blutzuckerspiegel engmaschig kontrollieren. Durch die Erkrankung ist er in seiner Lebensführung eingeschränkt, insbesondere im Hinblick auf seine Ernährungsweise. Abgesehen davon ist er körperlich und geistig gesund.

8

Weder in Deutschland noch in Großbritannien oder Zypern ist der Angeklagte vorbestraft. Auch sonst liegen keine Erkenntnisse zu strafrechtlich relevantem Verhalten des Angeklagten vor.

9

II.

10

In der Sache hat die Kammer folgende Feststellungen getroffen:

11

1.

12

Zu einem nicht näher feststellbaren Zeitpunkt im Jahr 2016 wurde der Angeklagte von einer Person namens B (kurz: „B“) kontaktiert, die er bereits aus einer vorherigen legalen Zusammenarbeit kannte. B war zu dieser Zeit für das liberianische Telekommunikationsunternehmen D Telecommunications tätig und erkundigte sich in dessen Auftrag bei dem Angeklagten, ob dieser sogenannte Distributed Denial-of-Service-Attacken (im Folgenden: DDoS-Angriffe) auf die Internetpräsenz des liberianischen Konkurrenzunternehmens M veranlassen könne, um dieses zu diskreditieren. Hierfür sollte er monatlich eine Barzahlung in Höhe von 10.000 USD erhalten.

13

Bei DDoS-Angriffen wird eine Unzahl von validen Anfragen an einen Server versandt, wodurch eine derart starke Auslastung dieses Servers erreicht wird, dass er letztlich den Betrieb einstellt. Ist Ziel eines solchen Angriffs beispielsweise die Internetpräsenz eines Unternehmens, hat dies deren zumindest vorübergehende Unerreichbarkeit zur Folge. Die für einen derartigen Angriff benötigte hohe Rechenleistung kann über ein sogenanntes Botnetz bereitgestellt werden. Hierbei handelt es sich um eine Mehrheit von Computern oder anderen mit dem Internet verbundenen Endgeräten, die mit einer Schadsoftware infiziert werden und über einen sog. Command&Control-Server gesteuert werden können.

14

Der Angeklagte, der im Hinblick auf die geplante Hochzeit mit seiner Verlobten hohe Kosten auf sich zukommen sah und für ihre Ehe auch eine gewisse finanzielle Grundlage schaffen wollte, willigte ob dieses finanziellen Anreizes in das Angebot ein.

15

Er beabsichtigte, mit wiederholten DDoS-Angriffen im Auftrag von D Telecommunications, die einige Monate – voraussichtlich bis Januar 2017 – dauern sollten, monatlich 10.000 USD zu verdienen. Außerdem erhoffte er sich, im Falle erfolgreicher Zusammenarbeit anschließend dort eine legale Anstellung zu erhalten.

16

Für sein Vorhaben benötigte der Angeklagte ein leistungsstarkes Botnetz und bediente sich daher zur Errichtung eines solchen des im September 2016 von dem Programmierer des weltweit verbreiteten Mirai-Botnetzes veröffentlichten Quellcodes. Die Mirai-Schadsoftware dient typischerweise der Kontrollübernahme über internetfähige Geräte aus dem sogenannten Internet of Things (IoT), mit denen im Anschluss breitbandige DDoS-Angriffe initiiert werden können.

17

Der Angeklagte hatte außerdem über das Internet von einer Sicherheitslücke im TR-069-Fernwartungsprotokoll von Routern erfahren und wollte sich diese zunutze machen, indem er – nach Modifizierung der Mirai-Schadsoftware – über die sog. Fernwartungsfunktion Zugriff auf diese Geräte nahm. Die Fernwartungsfunktion ermöglicht die Installation von Firmware-Updates, die Einrichtung der Geräte oder Fehlerdiagnosen. Die Router sind dementsprechend so konfiguriert, dass sie auf dem Port 7547 „lauschen“ können; hierfür muss der Port in den gerätebezogenen Firewall-Einstellungen „offen“ sein.

18

Der Angeklagte beabsichtigte, konkret wie folgt vorzugehen:

19

Zunächst sollten die Router unter dem Deckmantel der Änderung des Network Time Protocol Servers (NTP-Servers) dazu veranlasst werden, eine maliziöse Datei herunterzuladen und auszuführen. Ist das Gerät auf diese Weise infiziert worden, nimmt es unmittelbar Kontakt zur dem vom Angeklagten beherrschten Command&Control-Server auf, von dem es den Befehl zu DDoS-Angriffen erhält und diese sodann ausführt. Außerdem sollte der Router die Malware mit der Bezeichnung „Mirai#14“ selbstständig weiter im Netz verbreiten, indem er nach dem Zufallsprinzip gewählte IP-Adressen weltweit auf offene Verbindungen am Port 7547 abscannte und diese unter Ausnutzung des dargestellten Angriffsvektors infizierte. Damit es nicht zu wiederkehrenden Anfragen an ein bereits infiziertes Gerät kam sowie zur Vermeidung, dass das Gerät über die Fernwartungsfunktion bereinigt wurde, sollte der Port 7547 nach erfolgreicher Infektion außerdem „geschlossen“ werden.

20

Die eigentliche Infektion sollte dabei für die Nutzer der Geräte unbemerkt bleiben, da der Angeklagte lediglich etwa 1/8 der Datenbandbreite für seine Zwecke nutzen wollte. Als Folge der DDoS-Angriffsbefehle wäre allerdings womöglich ein Anstieg der Netzlast zu verzeichnen gewesen, wobei die Kammer nicht festzustellen vermochte, ob es darüber hinaus zu erheblichen Beeinträchtigungen in einem Teilnetz des Internets bis hin zu einem Netzabsturz hätte kommen können.

21

Zur Vorbereitung der Tat unternahm der Angeklagte einen DDoS-Testangriff auf einen gegen derartige Angriffe abgesicherten Server des Unternehmens Voxility, um die Bandbreite des Angriffs in Erfahrung zu bringen. Nicht festgestellt werden konnte in der Hauptverhandlung, ob er hierfür bereits das Mirai#14-Botnetz einsetzte.

22

Der Angeklagte traf außerdem zur Verschleierung seiner Täterschaft Vorkehrungen dahingehend, dass sämtliche seiner im Zusammenhang mit den DDoS-Angriffen stehenden Tätigkeiten im Falle der Aufdeckung einem Nutzer mit dem Pseudonym „bestbuy“ zugeschrieben werden würden. Aus diesem Grund hatte er „bestbuy“ ebenfalls Administratorrechte an den von ihm genutzten C&C-Servern eingeräumt. Ob sich hinter diesem Pseudonym aber tatsächlich eine andere natürliche Person oder letztlich doch der Angeklagte selbst verbarg, konnte bislang nicht aufgeklärt werden.

23

2.

24

In Umsetzung seines Plans setzte der Angeklagte im November 2016 die Infektion der Router in Gang, indem er massenhaft maliziöse TR-069-Nachrichten versandte, was zu einem hohen Nachrichtenaufkommen am Port 7547 aller von den Anfragen betroffenen Endgeräte führte. Der Angeklagte bediente sich bei der Tatausführung wechselnder C&C-Server, darunter u.a. der Server „securityupdates.us“ und „tr069.online“. Für die Registrierung der Steuerungsdomain „securityupdates.us“ nutzte der Angeklagten die fiktiven Registrierungsnamen “peter parker” bzw. „spiderman“.

25

Es gelang ihm zwar, auf die vorbeschriebene Art und Weise weltweit eine Vielzahl von Routern in sein Botnetz zu integrieren und mit diesen DDoS-Angriffe gegen das liberianische Telekommunikationsunternehmen zu unternehmen. Die in Deutschland verwendeten Router der Deutschen Telekom AG (im Folgenden: DTAG) aus der Modellreihe „Speedport“ waren aufgrund ihrer speziellen, nachfolgend dargestellten Funktionsweise jedoch nicht empfänglich für die Angriffe, so dass der Tatplan des Angeklagten bei diesen Routern bereits in der sog. „Exploitation Phase“ scheiterte:

26

Die DTAG nutzt zur Wartung der Router-Modelle des Herstellers Arcadyan das DTAG-interne Fernwartungsmodell „Easy Support“ auf Basis des globalen Standards TR-069.

27

Um die Fernwartungsfunktion nutzen zu können, muss das jeweilige Endgerät eine verschlüsselte Verbindung zu dem Auto Configuration Server (ACS) der DTAG aufbauen. Hierfür wird das Endgerät durch den ACS zu einer Kontaktaufnahme aufgefordert, indem der ACS bei diesem „anklopft“ (sog. „Connection Request“). Dies geschieht standardmäßig auf Port 7547. Anders als bei anderen Modellen lässt das TR-069-Protokoll bei Routern der DTAG nicht unterschiedliche Arten von zu übermittelnden Nachrichten zu, sondern lediglich die Übersendung des oben genannten „Connection Request“. Die Router sind außerdem derart konfiguriert, dass diese ausschließlich eine Verbindung zu dem ACS aufbauen können. Ändernde Zugriffe erfolgen erst nach Aufbau der gesicherten Verbindung zum ACS; ein direktes Aufspielen von Software ist bei diesen Routermodellen auf Basis einer TR-069-Nachricht nicht möglich.

28

Die von dem Angeklagten versandten Kompromittierungsanfragen wurden von den Routern der DTAG daher nicht wie gewünscht verarbeitet, sondern abgewehrt. Es kam gerade nicht zu einer erfolgreichen Infektion der Endgeräte. Da in der maliziösen Anfrage allerdings versehentlich eine fehlerhafte Nachrichtenläge enthalten war, wurden die massenhaft eingehenden Anfragen nicht unmittelbar verworfen, sondern die technische Session in der Erwartung, es werde noch ein Befehl eingehen, jeweils offen gehalten.

29

Die vielzähligen, an den Router gestellten laufenden Auflösungsanfragen konnten in der Folge nicht mehr bearbeitet werden. Deshalb verfielen die Geräte alsbald in einen – laut DTAG – „undefinierbaren Zustand“; sie brachen unter der Überlast der laufenden Anfragen zusammen. Dies führte zu einem großflächigen Ausfall IP-basierter Dienste bei den Endkunden, also der Internetkonnektivität, der Voice-Over-IP basierten Telefonie und der IP-TV basierten Entertain-Dienste. Geschätzt über 1.000.000 Router waren deutschlandweit betroffen. Der Ausfall ließ sich selbst durch einen Neustart der Router nur vorübergehend beheben, da aufgrund der selbstständigen Verbreitung der Malware und der daher unvermindert eingehenden Anfragelast bereits nach kurzer Zeit der zuvor beschriebene „undefinierbare Zustand“ wieder erreicht war.

30

3.

31

Die DTAG erfuhr von diesem großflächigen Routerausfall in ihrem Netzwerksegment am Nachmittag des 27.11.2016 (einem Sonntag) durch einen deutlichen Rückgang der Voice-Over-IP-Registrierungen. Sie konnte durch Techniker alsbald auch die Ursache hierfür ermitteln. Es gelang der DTAG, über Nacht ein Firmwareupdate zu erstellen, dieses am Montag ihren Kunden durch Aufspielen auf die Router zur Verfügung zu stellen und auf diese Weise zu verhindern, dass die Geräte erneut in den undefinierbaren Zustand zurückfielen. Als Sofort-Abwehrmaßnahme wurden an den Netzgrenzen der DTAG der Port 7547 blockiert und auch innerhalb des Netzes der DTAG der Traffic auf diesem Port zeitweise unterbunden. Hierdurch wurde die weitere selbstständige Verbreitung der maliziösen Anfragen verhindert.

32

Bis dahin hatten sich jedoch bereits unzählige Kunden an die Servicehotline gewandt und dort den Internetausfall gemeldet bzw. beanstandet. Unter den betroffenen Kunden befanden sich auch die Stadtentwässerungsbetriebe Köln. Dort wurde am Morgen des 28.11.2016 der Ausfall der Router bemerkt. Die Pumpwerke konnten nicht mehr technisch beobachtet und Betriebszustände (wie Störungen und Rückmeldungen der Aggregate) nicht festgestellt werden. Die Funktionalität der Entwässerungsanlage war indes nicht beeinträchtigt; sie lief autark weiter und wurde bis zur Behebung der Störung am Mittag des 29.11.2016 von einem Mitarbeiter vor Ort kontrolliert.

33

4.

34

Der DTAG entstand infolge der Störung neben einem nicht bezifferbaren Imageschaden auch ein wirtschaftlicher Schaden, der allerdings nicht vom Vorsatz des Angeklagten umfasst war. Seinem eigentlichen Tatplan zufolge wäre die Infektion der Router nämlich unbemerkt und störungsfrei erfolgt. Ihren Schaden beziffert die DTAG selbst überschlägig mit rund 2.000.000 €; in der Hauptverhandlung konnte jedoch im Wege der Schätzung nur ein Schaden in einer Größenordnung von rund 1.000.000 € festgestellt werden.

35

a)

36

Zum einen mussten Mitarbeiter der DTAG störungsbedingt rund eine Woche lang zahlreiche Überstunden leisten (geschätzter Zeitaufwand: etwa 1.500 Stunden). Für interne Berechnungen bei der DTAG wurden insoweit im Wege der Schätzung durchschnittlich 75 € pro Stunde veranschlagt. Dies ergibt einen Gesamtbetrag von ca. 112.500 €. Nicht feststellbar war jedoch, ob dieser zusätzliche Zeitaufwand tatsächlich gesondert vergütet wurde oder ob nicht vielmehr ein Freizeitausgleich stattgefunden hat, weshalb die Kammer diesen Betrag nicht als wirtschaftlichen Schaden zu berücksichtigen vermochte.

37

b)

38

Kunden, die sich über die Hotline über den Internetausfall beklagt hatten, gab die DTAG sog. Daypässe – also Zugangsberechtigungen zum Surfen im mobilen Netz – kostenlos aus (insgesamt 130.133 Stück). Diese Daypässe werden zwar im Handel für 4,95 € inkl. MwSt. zum Verkauf angeboten. Der DTAG ist durch die Ausgabe dieser Art von Gutscheinen aber kein Gewinn in entsprechender Größenordnung entgangen.

39

c)

40

Aufgrund der Störung kam es zu einem hohen Mehraufwand bei der Kundenbetreuung, die über einen externen Anbieter abgewickelt wird. Am Sonntag, den 27.11.2016, gingen rund 168.000 Anrufe mehr ein als für einen gewöhnlichen Sonntag prognostiziert (rund 43.000). Da es sich bei der Zahl der prognostizierten Anrufe allerdings um einen – auch im üblichen Betrieb bereits Schwankungen von 5-10% unterliegenden – Näherungswert handelt, hat die Kammer insoweit einen großzügigen Sicherheitsaufschlag in einer Größenordnung von 15 % vorgenommen, woraus sich ein Delta von etwa 161.000 Anrufen ergibt. Dies entspricht einem Mehraufwand von rund 1.507.000 Nettoarbeitsminuten (NAM; Faktor 9,36) und Mehrkosten in Höhe von rund 753.480 € (bei Kosten in Höhe von 0,50 € pro NAM).

41

Für den Folgetag (Montag, den 28.11.2016) ergibt sich bei gleicher Berechnungsmethode ein Mehraufwand von rund 538.950 NAM und Mehrkosten in Höhe von rund 269.475 €.

42

Parallel hierzu erhöhte sich auch der sog. Arbeitsvorrat, d.h. die Zeit, die für Folgetätigkeiten im Nachgang zu den Anrufen entstehen. Diese rechnet das Unternehmen selbst auf 192.220 NAM bzw. rund 96.000 € hoch.

43

Zur Bewältigung der außerordentlichen hohen Arbeitslast mussten kurzfristig 211 Arbeitskräfte eines externen Dienstleisters für die Kundenhotline herangezogen werden. Für diese fielen zusätzliche Kosten in Höhe von 48.000 € nebst einem Zuschlag für Sonntagsarbeit (1.603 Stunden à 10,60 € = 16.991,80 €) an.

44

5.

45

Mitte Februar 2017 – die DDoS-Angriffe auf das liberianische Unternehmen waren bereits erfolgreich durchgeführt – reiste der Angeklagte von Zypern nach Großbritannien zwecks Übergabe des vereinbarten monatlichen Entgelts in Höhe von 10.000 USD für Januar 2017. Beim Versuch, zurück nach Zypern zu reisen, wurde der Angeklagte am 22.02.2017 durch Einsatzkräfte der britischen National Crime Agency (NCA) auf Grundlage eines inzwischen gegen ihn erlassenen internationalen Haftbefehls vorläufig festgenommen. Dem Bundeskriminalamt war es derweil gelungen, den Angeklagten über den Registrierungsnamen „Spiderman“ als Täter zu identifizieren: Dieser tauchte in der E-Mail-Adresse spdr01@gmail.com in einschlägigen Hacking-Foren auf und führte die Ermittler schließlich zum Skype-Account und Facebook-Profil des Angeklagten. Bei seiner Festnahme führte der Angeklagte in seinem Gepäck neben Hardware, die er zur Begehung der Tat eingesetzt hatte, das zuvor erhaltene Bargeld im Wert von 10.000 USD mit sich.

46

Der Angeklagte befand sich einige Tage in Großbritannien in Auslieferungshaft. Während des Auslieferungsverfahrens verschlechterte sich sein gesundheitlicher Zustand, so dass er zur Regulierung seines Blutzuckerspiegels kurze Zeit stationär behandelt werden musste. Nach Erteilung seiner Zustimmung zum vereinfachten Auslieferungsverfahren wurde er am 02.03.2017 nach Deutschland überführt.

47

Mit Beschluss vom 21.07.2017 ordnete das Oberlandesgericht Köln (6 AuslA 105/17 – 69 –) aufgrund eines Strafverfolgungsersuchens der britischen Behörden die Auslieferungshaft gegen den Angeklagten an. Gegen ihn war ein Europäischer Haftbefehl erlassen worden, dem zwölf Taten aus dem Bereich der Cyberkriminalität zugrunde liegen, darunter die Erschaffung des Botnetzes „Mirai#14“ und DDoS-Angriffe gegen das liberianische Telekommunikationsunternehmen M, aber auch Erpressungsversuche zum Nachteil von Banken.

48

6.

49

Für seine Tätigkeit hat der Angeklagte neben den bei ihm sichergestellten 10.000 USD weitere 10.000 USD für den Monat Dezember 2016 erlangt. Ob und in welchem Umfang eine weitere Barzahlung in Höhe von 10.000 USD ebenfalls Entgelt für die verfahrensgegenständliche Tätigkeit des Angeklagten enthielt, konnte nicht aufgeklärt werden. Einnahmen aus der Vermietung des Botnetzes an Dritte hat der Angeklagte eigenen Angaben zufolge nicht erzielt.

50

7.

51

Bei Begehung der Tat war der Angeklagte uneingeschränkt in der Lage, das Unrecht der Tat einzusehen und nach dieser Einsicht zu handeln. Größere Mengen Alkohol nahm er zur Tatzeit nicht zu sich.

52

III.

53

1.

54

Die Feststellungen zur Person des Angeklagten beruhen auf dessen Angaben in der Hauptverhandlung, dem verlesenen deutschen Bundeszentralregisterauszug vom 22.07.2017, dem zyprischen Strafregisterauszug vom 29.06.2017 sowie den ergänzenden Angaben des Ermittlungsleiters KHK J zu fehlenden kriminalpolizeilichen Erkenntnissen über den Angeklagten.

55

2.

56

a)

57

Der Angeklagte hat in der Hauptverhandlung – wie schon im Ermittlungsverfahren – ein umfassendes Geständnis abgelegt. Die Feststellungen zur Sache beruhen daher maßgeblich auf seiner geständigen, glaubhaften Einlassung, in der er den Anklagevorwurf wie festgestellt eingeräumt hat. Er hat zunächst in einer Verteidigererklärung, die er als zutreffend bestätigt hat, eingeräumt, für den vorübergehenden Ausfall der Router der DTAG verantwortlich zu sein. Er habe ein Botnetz aufbauen wollen, um letztlich das liberianische Unternehmen M zu schädigen. Er habe nie beabsichtigt, die DTAG zu schädigen.

58

Im Anschluss an die vorbereitete Erklärung hat er sämtliche Fragen der Verfahrensbeteiligten rückhaltlos, offen und glaubhaft beantwortet, wodurch seine Einlassung an Detailreichtum gewann. Er hat in diesem Rahmen differenzierte, klarstellende und ergänzende Angaben gemacht, beispielsweise auf welche Art und Weise er die Mirai-Software modifiziert hat, wie er den Angriff vorbereitet und dessen Verlauf kontrolliert hat, wobei er u.a. die aus der Akte in Augenschein genommenen Screenshots seines Handys erläutert hat. Lebhaft stellte er auch innere Vorgänge dar, etwa den Moment, als er bemerkt habe, welche Auswirkungen sein Angriff im Netz der DTAG hatte („Oh shit!“). Schließlich hat er auch für ihn nachteilige Umstände, die so vorher nicht bekannt waren und ohne seine Einlassung auch nicht hätten bewiesen werden können, freimütig offenbart, beispielsweise den Wert des für die Tat insgesamt Erlangten. Im Rahmen des ihm Möglichen hat er auch Angaben zu seinem Kontaktmann „B“ gemacht. Seine Angaben waren nach allem insgesamt schlüssig, widerspruchsfrei, überzeugend und glaubhaft.

59

b)

60

Die Einlassung des Angeklagten wird bestätigt, ergänzt und abgerundet durch die glaubhaften Angaben des Kriminalhauptkommissars J, der die Ermittlungsansätze und -ergebnisse vom Ursprung des Verfahrens bis zur Festnahme des Angeklagten einschließlich der Durchsuchungs- und Sicherstellungsmaßnahmen ausführlich referiert hat. In einem ersten Schritt sei die Malware analysiert worden, wobei KHK J detaillierte Angaben zur generellen Funktionsweise der Malware entsprechend den Feststellungen machen konnte. Schließlich sei man über verschiedene E-Mail-Adressen und Login-Daten Ende des Jahres 2016 auf die Spur des Angeklagten gekommen und habe diesen in Zusammenarbeit mit den britischen Behörden am 20.02.2017 in London festnehmen können. Der Zeuge J hat darüber hinaus Angaben zu den Beschuldigtenvernehmungen des Angeklagten im Ermittlungsverfahren gemacht.

61

Aufgrund der die Einlassung des Angeklagten stützenden Angaben des Zeugen J und der nach näherer Maßgabe des Sitzungsprotokolls erhobenen weiteren Beweise ergibt sich für die Kammer insgesamt ein rundes, stimmiges Bild im Sinne der getroffenen Feststellungen.

62

c)

63

Zu den Auswirkungen der Angriffe bei der DTAG und den seitens des Unternehmens ergriffenen Gegenmaßnahmen – zu denen der Angeklagte mangels eigener Erkenntnisse keine Angaben machen konnte – haben die beiden bei der DTAG beschäftigten Zeugen H (Mitarbeiter im F) und T (Mitarbeiter im Bereich Network and Service Operation) glaubhaft und widerspruchsfrei bekundet. Soweit es die Einzelheiten des Angriffs betrifft, decken sich deren Erkenntnisse mit den Angaben des Angeklagten zur Sache und den durch den Zeugen J in die Hauptverhandlung eingeführten Ermittlungsergebnissen des Bundeskriminalamtes.

64

Die Feststellungen zum wirtschaftlichen Schaden der DTAG beruhen auf den Angaben des Zeugen S, der der Kammer insbesondere betriebsintern zusammengestelltes Datenmaterial zur Schadenshöhe erläutert hat. Da es sich hierbei jedoch teils nur um Hochrechnungen handelte, hat die Kammer das Zahlenwerk lediglich zu einer groben Einschätzung des entstandenen Schadens herangezogen und insbesondere die Verkaufspreise für die Daypässe hierbei unberücksichtigt gelassen, da der DTAG insoweit nicht feststellbar tatsächlich Kosten entstanden oder Gewinne entgangen sind. Dagegen hat die Kammer den gegenüber dem externen Dienstleister zu vergütenden erhöhten Personalaufwand voll eingestellt.

65

Die Feststellungen zu den Auswirkungen der Störung bei den Stadtentwässerungsbetrieben Köln beruhen auf den Angaben des Zeugen V im Ermittlungsverfahren. Die Kammer hat die Niederschrift über dessen polizeiliche Zeugenvernehmung mit Zustimmung aller Beteiligten gemäß § 251 Abs. 1 Nr. 1 StPO verlesen. Die darin enthaltenen Angaben zum Ausmaß des Störfalls sind glaubhaft; Aggravationstendenzen waren nicht zu erkennen.

66

d)

67

Dass der Angeklagte bei der Tatbegehung voll schuldfähig war, folgt aus dem Gesamteindruck, den die Kammer in der Hauptverhandlung von dem Angeklagten gewonnen hat und seinen glaubhaften Angaben zu seinem Alkoholkonsum. Anhaltspunkte für das Vorliegen der Voraussetzungen der §§ 20, 21 StGB haben sich nicht ergeben.

68

IV.

69

Nach den getroffenen Feststellungen hat sich der Angeklagte der versuchten Computersabotage gemäß § 303b Abs. 1, Abs. 3, 22, 23 Abs. 1 StGB strafbar gemacht, wobei er versucht hat, zwei Tatvarianten des Grundtatbestandes zu verwirklichen, nämlich Abs. 1 Nr. 1 (Begehung einer Tat nach § 303a Abs. 1 StGB) und Nr. 2 (Übermittlung von Daten in der Absicht, einem anderen Nachteil zuzufügen). Ferner sind die Voraussetzungen der Qualifikation des § 303b Abs. 2 StGB erfüllt, da eine Datenverarbeitung gestört werden sollte, die für ein fremdes Unternehmen von wesentlicher Bedeutung ist.

70

Die Annahme eines strafbefreienden Rücktritts gemäß § 24 Abs. 1 StGB vom Versuch der Computersabotage kam nicht in Betracht, denn es ist dem Angeklagten aus den unter II. geschilderten Gründen technisch nicht gelungen, die Router der DTAG mit der Malware zu infizieren. Der Versuch war damit fehlgeschlagen.

71

V.

72

Bei der Strafzumessung hat sich die Kammer von folgenden Erwägungen leiten lassen:

73

1.

74

Der Kammer stand zunächst der Strafrahmen des § 303b Abs. 2 StGB zur Verfügung, der von Geldstrafe bis zu Freiheitsstrafe von 5 Jahren reicht.

75

Für besonders schwere Fälle sieht das Gesetz Freiheitsstrafe von 6 Monaten bis zu 10 Jahren vor (§ 303b Abs. 4 Satz 1 StGB). Das in § 303b Abs. 4 Satz 2 Nr. 1 StGB genannte Regelbeispiel der Herbeiführung eines Vermögensverlustes großen Ausmaßes ist objektiv verwirklicht. Es fehlt insoweit jedoch am (zumindest bedingten) Vorsatz des Angeklagten. Der Angeklagte handelte aber gewerbsmäßig im Sinne von § 303b Abs. 4 Satz 2 Nr. 2 StGB. Er beabsichtigte, sich durch wiederholte Begehung von Computersabotage in Form von DDoS-Angriffen auf die liberianische Firma M eine nicht nur vorübergehende, nicht ganz unerhebliche Einnahmequelle zu verschaffen.

76

Die Kammer hat jedoch einen besonders schweren Fall verneint, weil die indizielle Wirkung des einzigen verwirklichten Regelbeispiels der Gewerbsmäßigkeit durch andere Strafzumessungsfaktoren, nämlich den vertypten Strafmilderungsgrund der Versuchsstrafbarkeit und weitere allgemeine Milderungsgründe kompensiert wird.

77

Erheblich zu Gunsten des Angeklagten fiel im Rahmen der insoweit gebotenen Gesamtwürdigung zunächst ins Gewicht, dass der Angeklagte frühzeitig, nämlich schon vor der Hauptverhandlung, ein umfassendes und rückhaltloses Geständnis abgelegt hat, welches er in der Hauptverhandlung wiederholt hat. Es hat die Beweisaufnahme erheblich abgekürzt und die Tat weiter aufgeklärt, indem bisher nicht bekannte Details offenbart wurden, die anders auch nicht hätten nachgewiesen werden können (z.B. die monatliche Vergütung i.H.v. 10.000 USD). Günstig hat weiter gewirkt, dass der Angeklagte glaubhaft Reue und Einsicht bekundet hat.

78

Wenngleich die Voraussetzungen des vertypten Strafmilderungsgrundes der Aufklärungshilfe gemäß § 46b StGB nicht erfüllt sind, schon allein weil sich die Angaben des Angeklagten nicht auf Katalogtaten im Sinne des § 100a StPO bezogen, war ihm sein Bemühen um Aufklärung und beispielsweise Identifizierung des Users „Peace of Mind“, der wegen Straftaten im Darknet gesucht wird, erheblich strafmildernd anzurechnen.

79

Besonderes Gewicht kam auch dem Umstand zu, dass der Angeklagte bislang nicht vorbestraft ist und er in diesem Verfahren bereits rund fünf Monate lang Untersuchungshaft erlitten hat, wobei er als Erstverbüßer sowie aufgrund der Trennung von seiner im Ausland lebenden Verlobten und Mutter, wegen des Fehlens jeglicher sozialer Kontakte im Inland, fehlender Sprachkenntnisse und seiner Diabeteserkrankung besonders haftempfindlich ist.

80

Zu Gunsten des Angeklagten sprach weiter, dass die Initiative zur Tatbegehung nicht von ihm, sondern von „B“ ausging. Der Angeklagte verfügte zudem zur Tatzeit über nur mäßige Einkünfte aus legaler Tätigkeit, von denen er meinte, sie würden nicht für eine Hochzeit und eine solide Lebensgrundlage für die Ehe genügen. Das Angebot des „B“ stellte daher für ihn einen nicht unerheblichen finanziellen Anreiz dar, was die Versuchung zur Begehung der Tat gesteigert haben mag. Auch der Umstand, dass der Quellcode für das Mirai-Botnetz im Internet frei verfügbar und die Sicherheitslücke bei bestimmten Routermodellen bekannt war, erleichterte die Tatbegehung.

81

Die Kammer hat auch strafmildernd berücksichtigt, dass sowohl der Tat als auch dem gesamten Verfahren deutschlandweit erhöhtes mediales Interesse entgegengebracht wurde, was den nicht vorbestraften und zum ersten Mal in seinem Leben überhaupt vor Gericht stehenden Angeklagten zusätzlich beeinträchtigt hat.

82

Strafmildernd, wenn auch in geringem Umfang, wirkte sich der in der Hauptverhandlung erklärte Verzicht auf sämtliche Rechte an den in Großbritannien sichergestellten Tatmitteln (darunter ein Laptop) aus. Schließlich hat die Kammer noch zu Gunsten des Angeklagten eingestellt, dass ihm in Anschluss an das hiesige Verfahren in Großbritannien eine weitere Strafverfolgung und ggf. auch Verurteilung droht.

83

Die Kammer hat nicht übersehen, dass auch grBerende strafschärfende Umstände vorliegen:

84

In der Art und Weise der Tatbegehung zeigt sich ein gesteigertes Maß an krimineller Energie. Der Angeklagte hat die Angriffswelle längere Zeit im Voraus geplant, die Mirai-Schadsoftware für seine Zwecke modifiziert und vor Beginn der Computersabotage einen „Testlauf“ unternommen, um die Wirkung des Angriffs beurteilen zu können. Ferner hat er Vorkehrungen für den Fall getroffen, dass eine Verbindung zwischen dem DDoS-Angriff auf das liberianische Unternehmen und seinem Botnetz aufgedeckt werden würde: In diesem Fall sollte „bestbuy“ als Administrator des C&C-Servers und nicht der Angeklagte in Tatverdacht geraten. Das Tatgeschehen weist einen hohen internationalen Bezug auf, denn die Malware sollte weltweit „ausgerollt“ werden, d.h. Router infizieren und diese in das Botnetz integrieren.

85

Strafschärfend fiel auch der massive Eingriff in den Betrieb der DTAG ins Gewicht: Der Angriff hat bei dieser für einen hohen wirtschaftlichen Schaden und wohl auch einen gewissen Imageverlust gesorgt. Die Zahl der betroffenen Endkunden war sehr groß: über 1.000.000 Router waren in Deutschland vorübergehend außer Betrieb. Dabei hat die Kammer bedacht, dass der Angeklagte einen derartigen Fehlschlag und die damit verbundenen Folgen für die DTAG weder gewollt noch vorhergesehen hat. Derartige Tatfolgen liegen bei einem breit angelegten Versuch, internetfähige Geräte mit Schadsoftware zu infizieren, indes stets im Bereich des Möglichen und sind daher vorhersehbar. Strafschärfend wurde auch berücksichtigt, dass der Angeklagte das von ihm geschaffene Botnetz letztlich in Nachteilszufügungsabsicht für massive DDoS-Angriffe gegen das liberianische Unternehmen einsetzen wollte und dies auch getan hat, wenngleich ohne Einbindung der Router der DTAG.

86

Schließlich hat die Kammer gesehen, dass bei Erfolg der Tat gleich zwei Tatbestandsvarianten des § 303b Abs. 1 StGB (nämlich Nr. 1 und Nr. 2) verwirklicht worden wären.

87

Angesichts der deutlich überwiegenden, gewichtigen Milderungsgründe sowohl bezogen auf das Tatbild als auch auf die Täterpersönlichkeit würde sich die Bewertung der Tat als besonders schwerer Fall der versuchten Computersabotage aber als unangemessen erweisen.

88

Die Kammer hat geprüft, ob auch unter Berücksichtigung allein der genannten allgemeinen Strafzumessungserwägungen ohne Berücksichtigung des vertypten Strafmilderungsgrundes des § 23 Abs. 2 StGB oder allein aufgrund der Anwendung dieses vertypten Strafmilderungsgrundes die Anwendung des Regelstrafrahmens in Betracht kam. Dies war insbesondere unter Berücksichtigung der hohen kriminellen Energie, die in der Tat zum Ausdruck kommt, und der erheblichen Tatfolgen indessen nicht der Fall.

89

Der Kammer stand nach alledem der Regelstrafrahmen des § 303b Abs. 2 StGB zur Verfügung.

90

Die Kammer hat schließlich bedacht, ob für den Angeklagten die Anwendung des nach § 49 Abs. 1 StGB gemilderten Strafrahmens des § 303b Abs. 4 Satz 1 StGB günstiger wäre, was angesichts eines dann anzuwendenden Strafrahmens von Freiheitsstrafe bis zu 7 Jahren und 6 Monaten nicht der Fall war. Eine Anwendung des Regelstrafrahmens ohne Berücksichtigung des vertypten Strafmilderungsgrundes des § 23 Abs. 2 StPO kam nicht in Betracht.

91

2.

92

Bei der Bemessung der tat- und schuldangemessenen Strafe im Rahmen der konkreten Strafzumessung hat sich die Kammer an § 46 StGB orientiert und die bereits oben dargestellten, für und gegen den Angeklagten sprechenden Strafzumessungsgesichtspunkte herangezogen und gegeneinander abgewogen sowie die Person des Angeklagten und seine Straftat nochmals zusammenfassend gewürdigt. Unter Berücksichtigung dieser Erwägungen, im Rahmen derer einerseits dem Geständnis des Angeklagten von seiner von der Kammer als aufrichtig erachteten Reue, seiner besonderen Haftempfindlichkeit sowie den fehlenden Vorstrafen und andererseits dem in der Art und Weise der Tatbegehung zum Ausdruck kommenden gesteigerten Maß an krimineller Energie sowie den Tatfolgen besonderes Gewicht zukam, hat die Kammer eine Freiheitsstrafe von

93

1 Jahr und 8 Monaten

94

für tat- und schuldangemessen und zur Erreichung sämtlicher Strafzwecke erforderlich, aber auch ausreichend erachtet.

95

VI.

96

Die gegen den Angeklagten verhängte Freiheitsstrafe konnte gemäß § 56 Abs. 1 und Abs. 2 StGB zur Bewährung ausgesetzt werden.

97

1.

98

Es besteht die begründete Erwartung, dass der Angeklagte sich schon die Verurteilung zur Warnung dienen lassen und künftig – nicht nur während der dreijährigen Bewährungszeit – auch ohne die Einwirkung des Strafvollzugs keine Straftaten mehr begehen wird (§ 56 Abs. 1 StGB).

99

Die Sozialprognose des Angeklagten ist günstig: Er lebt in geordneten Verhältnissen und erfährt Rückhalt und Unterstützung durch seine Verlobte und seine Mutter, die zum Prozess aus dem Ausland angereist sind. Er hat einen Schulabschluss und eine berufliche Perspektive. Seit seiner Schulzeit war er ausschließlich im IT-Bereich tätig und hat seine Kenntnisse und Fähigkeit stetig erweitert. Dies dürfte bei seinem Wunsch, seine fachspezifischen Kenntnisse in Zukunft im Rahmen eines Angestelltenverhältnisses in ein Unternehmen einzubringen, hilfreich sein. Eine Aussetzung der Strafvollstreckung zur Bewährung begünstigt den Erhalt dieser guten Sozialstrukturen und die berufliche Weiterentwicklung des Angeklagten. Es besteht zudem keine Alkohol- oder Drogenproblematik, was ebenfalls prognostisch günstig ist.

100

Angesichts fehlender Vorstrafen stellt sich die hiesige Tat als einmaliges Fehlverhalten dar. Der Angeklagte hat seine Täterschaft frühzeitig rückhaltlos eingeräumt und glaubhaft Reue und Schuldeinsicht bekundet. Er hat sich sowohl über seinen Verteidiger als auch persönlich für die Tat entschuldigt und durch sein Geständnis rückhaltlos die Verantwortung hierfür übernommen. Eine Schädigung DTAG oder deren Kunden war nie beabsichtigt; vielmehr sollte die Tat – bei erfolgreicher Ausführung – von diesen unbemerkt bleiben.

101

Der Angeklagte sah sich zudem zum ersten Mal in seinem Leben einem Gerichtsverfahren vor einer großen Strafkammer ausgesetzt, dem außergewöhnlich großes Medieninteresse zuteilwurde. Er hat im Rahmen der rund fünfmonatigen Untersuchungshaft erstmals Hafterfahrung gesammelt, was nicht zuletzt aufgrund der bereits aufgezeigten besonderen Haftempfindlichkeit in erheblichem Maße auf ihn gewirkt hat.

102

2.

103

Nach der Gesamtwürdigung von Tat und Persönlichkeit des Verurteilten liegen hier auch besondere Umstände vor, die die Strafaussetzung zur Bewährung rechtfertigen (§ 56 Abs. 2 StGB). Dies sind Milderungsgründe von besonderem Gewicht, die eine Strafaussetzung trotz des Unrechts- und Schuldgehalts, der sich in der Strafhöhe widerspiegelt, als nicht unangebracht erscheinen lassen. Es kann aber auch genügen, dass mehrere durchschnittliche Milderungsgründe zusammentreffen (Fischer, StGB, 64. Auflage 2017, § 56, Rz. 22). Zu den Umständen im Sinne von § 56 Abs. 2 StGB können auch solche gehören, die schon für die Prognose nach § 56 Abs. 1 StGB oder die konkrete Strafzumessung zu berücksichtigen waren (Fischer, a.a.O., Rz. 20). Sie müssen umso gewichtiger sein, je näher die Freiheitsstrafe an die 2-Jahresgrenze heranreicht.

104

Das Vorgenannte im Blick hat die Kammer zunächst berücksichtigt, dass die Sozialprognose des Angeklagten im Sinne des § 56 Abs. 1 StGB günstig ist. Er ist strafrechtlich noch nie in Erscheinung getreten, hat sich geständig im Sinne der Feststellungen eingelassen, Reue bekundet, sich entschuldigt und die Verantwortung für sein Handeln übernommen. Ferner hat er über sein eigenes Handeln hinaus Angaben gemacht, die für weitere Ermittlungen (z.B. in Kanada bezüglich des Users „Peace of Mind“) von Bedeutung sein können. Das Ausmaß der Tatfolgen für die DTAG ist dem Angeklagten in der Hauptverhandlung ebenso deutlich vor Augen geführt worden wie die Auswirkungen der Strafverfolgung auf sein eigenes Leben. Dabei scheint ihn nach dem Eindruck der Kammer die räumliche Trennung von seiner Verlobten besonders schwer getroffen zu haben.

105

Eine Gefahr, dass die Verurteilung nicht genügend ernst genommen wird, sieht die Kammer nicht. Sie geht vielmehr davon aus, dass der Angeklagte in Zukunft alles unterlassen wird, was die Strafaussetzungsentscheidung der Kammer gefährden könnte.

106

3.

107

Die Verteidigung der Rechtsordnung gebietet die Vollstreckung der Strafe nicht, § 56 Abs. 3 StGB. Zwar kann vorliegend eine große Allgemeinbetroffenheit konstatiert werden. Allerdings beschränkte sich der Ausfall der Internetkonnektivität bei den Endkunden auf einen überschaubaren Zeitraum. Die Störung war nach Bereitstellung des Updates durch die DTAG letztlich schnell und ohne großen Aufwand für ihre Kunden behoben. Ein substantieller Schaden ist bei den Kunden der DTAG nicht eingetreten.

108

VII.

109

Die Entscheidung über den Anrechnungsmaßstab für die im Ausland erlittene Freiheitsentziehung beruht auf § 51 Abs. 4 Satz 2 StGB. Wesentliche Unterschiede zu den Haftbedingungen in deutschen Justizvollzugsanstalten sind nicht bekannt geworden, so dass eine über den Maßstab 1:1 hinausgehende Anrechnung nicht angezeigt war.

110

VIII.

111

1.

112

Die Einziehungsentscheidung beruht auf § 73 StGB (in der seit dem 01.07.2017 geltenden Fassung, vgl. Art. 316h EGStGB), soweit es die bei der Festnahme des Angeklagten am 22.02.2017 in London sichergestellten 10.000 USD betrifft. Hierbei handelt es sich nach den glaubhaften Angaben des Angeklagten um das Entgelt für seine Dienste im Monat Januar 2017, das er kurz zuvor in London bar erhalten hatte. Diese Banknoten hat er mithin unmittelbar „für die Tat erlangt“.

113

2.

114

Bzgl. der weiteren 10.000 USD, die er eigenen Angaben zufolge für den Monat Dezember 2017 ebenfalls in bar erhalten hat, beruht die Einziehungsentscheidung auf § 73c Satz 1 StGB. Diese Geldscheine sind im Vermögen des Angeklagten nicht mehr gegenständlich vorhanden, weshalb ein Geldbetrag, der dem Wert des Erlangten entspricht, einzuziehen war. Für die Wertberechnung kommt es auf den Verkehrswert zur Zeit der tatrichterlichen Entscheidung an. Am Tag der Urteilsverkündung hatten 10.000 USD einen Gegenwert von 8.542,68 €.

115

Im Übrigen hat die Kammer nicht verlässlich feststellen können, in welchem Umfang dem Angeklagten möglicherweise noch weitere Erträge aus der Tat zugeflossen sind.

116

3.

117

Einer Einziehung der in Großbritannien sichergestellten Tatmittel bedurfte es nicht, da der Angeklagte in der Hauptverhandlung insoweit einen Verzicht erklärt hat. Die darüber hinaus in Zypern sichergestellte Hardware unterlag mangels Feststellung eines Tatbezugs ebenfalls nicht der Einziehung gemäß § 74 Abs. 1 Alt. 2 StGB.

118

IX.

119

Die Kostenentscheidung beruht auf § 465 Abs. 1 StPO.