Nr. 209
Die Staatsanwaltschaft Berlin hat Anklage zum Amtsgericht Tiergarten gegen einen 30-jährigen Deutschen erhoben, der verdächtigt wird, im März 2022 einen Cyberangriff auf die Rosneft Deutschland GmbH durchgeführt zu haben. Das geschädigte Unternehmen wird der Kritischen Infrastruktur (KRITIS) im Energiesektor zugeordnet. Konkret vorgeworfen werden dem Mann zwei Fälle des Ausspähens von Daten, in einem Fall in Tateinheit mit Computersabotage in besonders schwerem Fall.
Dem Angeschuldigten wird nach den Ermittlungen des Bundeskriminalamtes und der Staatsanwaltschaft Berlin vorgeworfen, bei Cyberangriffen auf die Rosneft Deutschland GmbH im März 2022 – unmittelbar nach Beginn des russischen Angriffskriegs auf die Ukraine – insgesamt rund 20 Terabyte Daten entwendet und KRITIS-relevante Systeme gelöscht zu haben. Die Daten wurden anschließend auf einer Website veröffentlicht, die von dem Angeschuldigten und zwei weiteren Anonymous-Mitgliedern betrieben wurde. Sie ist seit Mitte 2023 inaktiv.
Der Hack auf das Tochterunternehmen des russischen Energieunternehmens Rosneft verursachte einen Schaden in Millionenhöhe. Denn nach Bemerken des Cyberangriffs war das Unternehmen gezwungen, ihre gesamten Systeme offline zu nehmen und forensische Untersuchungen einzuleiten, was Folgekosten in Höhe von rund 9,756 Millionen Euro verursachte.
Infolge der Tat waren außerdem die unternehmensinterne Kommunikation und das operative Geschäft für einige Tage fast vollständig unterbunden – und damit auch beispielsweise die Möglichkeiten, durch kurzfristige Verträge auf aktuelle Marktgegebenheit reagieren zu können. Außerdem war die Transportlogistik wesentlich beeinträchtigt, was zwar zu teilweisen Lieferausfällen, aber immerhin nicht zu einer Beeinträchtigung der Ölversorgung der Region Berlin-Brandenburg in erheblichem Umfang führte. Die dadurch entstandenen wirtschaftlichen Einbußen belaufen sich auf weitere 2.592.592,76 Euro.
—————————————————————————————————————
§ 202a Strafgesetzbuch: Ausspähen von Daten
(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.
§ 303a Strafgesetzbuch: Datenveränderung
(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.
(2) – (3)…
§ 303b Strafgesetzbuch: Computersabotage
(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er
1. eine Tat nach § 303a Abs. 1 begeht,
2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder
3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,
wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.
(3) Der Versuch ist strafbar.
(4) 1 In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. 2Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter
1. einen Vermögensverlust großen Ausmaßes herbeiführt,
2. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat,
3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt.
(5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.