NFTs und Strafrecht – Gibt es den Diebstahl im Metaverse?

NFT Strafrecht

Who is Danny – stock.adobe.com

Sie werden gehypt, machen in den Medien täglich Schlagzeilen und geben digitalen Kunstwerken und anderen digitalen Besitztümern eine ganz neue Bedeutung: Die Rede ist von NFTs (non-fungible Tokens) – zu Deutsch: Nicht-tauschbare Wertmarken. Gemeint sind digitale Zertifikate, die ein digitales Objekt, zum Beispiel eine Bilddatei einer Person zuordnen und als originales Einzelstück kennzeichnen. 

Was NFTs sind und wie sie rechtlich eingeordnet werden können, damit haben wir uns hier bereits beschäftigt:

Immer wieder liest man von NFTs im Zusammenhang mit “Diebstählen” und Betrugsmaschen. Erst kürzlich machte die Meldung im Internet die Runde, dass ein Verkäufer aufgrund eines Fehlers ein NFT anstatt für den gewünschten Preis aus Versehen für unter einem Cent verkauft hatte. Wenige Tage zuvor wurde zudem über einen „NFT-Diebstahl“ auf der Plattform OpenSea berichtet, bei dem mehrere Nutzer um Besitztümer im Wert von über 1,7 Millionen Dollar erleichtert worden waren. Zu der genauen Vorgehensweise der Täter in solchen und ähnlich gelagerten Fällen später mehr.

Nachdem wir uns vor einiger Zeit bereits mit der Schwierigkeit der zivilrechtlichen Einordnung von NFTs befasst hatten, machen die neuesten Schlagzeilen in den Medien deutlich, dass strafrechtlich ähnliche Probleme bestehen. Denn auch dort herrscht derzeit keine Einigkeit, welche Tatbestände tatsächlich einschlägig sind und wie Angriffe auf die Wallets der Benutzer strafrechtlich zu verfolgen sind. 

Gibt es einen Diebstahl von NFTs überhaupt?

Es wird davon ausgegangen, dass NFTs aufgrund ihrer Verknüpfungen manipulationssicher sind. Durch die Aneinanderkettung der jeweiligen Datenblöcke ist sichergestellt, dass alle früheren Blöcke der Kette unveränderlich sind und eine hohe Datenintegrität sichergestellt werden kann. Doch die Täter nutzen auch die neuen Entwicklungen aus, um alte „Betrugsmaschen“ weiter anzuwenden. 

Der vorliegende Fall zeigt, wie die Täter sich Zugriff auf die Wallets der Opfer verschaffen. Hier handelt es sich wohl um einen echten Phishing-Angriff. Im Detail: Kürzlich kam es durch einen Angriff auf den Discord-Server des „Bored Ape Yacht Club“ (BAYC) zu einem „Diebstahl“ von zu hohen Preisen gehandelten NFTs unterschiedlicher NFT-Kollektionen. Der Wert der gestohlenen NFTs soll derzeit bei rund 3 Millionen US-Dollar liegen. Den Tätern gelang es, sich zu dem Instagram-Account des BAYC-Projekts Zugriff zu verschaffen. Darüber verteilten sie mit falschen Versprechungen Links auf eine Fake-Seite, die die Originalseite des Projekts nachahmte. Sobald die Opfer ihre Wallet mit der Seite verbunden hatten und der Transaktion zustimmten, wurden ihre NFTs auf eine andere Adresse unter Kontrolle der Cyberkriminellen befördert. 

Für einen solchen Fall ist fraglich, welche Tatbestände einschlägig sind. Denn auch wenn in den Medien immer wieder von einem NFT-„Diebstahl“ gesprochen wird, setzt der Diebstahl im Sinne des § 242 StGB im objektiven Tatbestand die Wegnahme einer fremden, beweglichen Sache – also eines körperlichen Gegenstandes – voraus. 

Eine Strafbarkeit wegen Diebstahls kommt jedoch bereits aus zwei Gründen nicht in Betracht. Zum einen handelt es sich bereits nicht um eine bewegliche „Sache“ im Sinne des Gesetzes. Denn Sachen sind nur körperliche Gegenstände. Ein NFT, bei dem es sich unumstritten um eine Datenspur handelt, stellt jedenfalls keinen solchen körperlichen Gegenstand dar. Man könnte jedoch in Erwägung ziehen, NFTs einer Sache gleichzusetzen, weil diese eine gewisse Ähnlichkeit zueinander aufweisen. Doch was im Zivilrecht in vielen Fällen möglich ist, gilt im Strafrecht noch lange nicht. Während im Zivilrecht eine gesetzliche Regelungslücke grundsätzlich mit einer analogen Anwendung der in Betracht kommenden Norm geschlossen werden kann, scheitert im Strafrecht eine analoge Anwendung der Tatbestände an dem strafrechtlichen Analogieverbot nach Art. 103 Abs. 2 GG. Danach ist es verboten, zu Lasten einer Person Sachverhalte, die dem Sachverhalt einer Strafnorm nicht entsprechen, aber ähnlich sind, gleichzusetzen. 

Neben der Sacheigenschaft muss man zudem das Tatbestandsmerkmal der „Wegnahme“ näher betrachten. Denn in den oben aufgeführten – und weiteren, gleichgelagerten – Fällen stellt sich die Frage, ob es sich überhaupt um eine „Wegnahme“ handeln kann. Dazu bedarf es eines genaueren Blicks in das Allgemeine Strafrecht. Eine Wegnahme im Sinne des § 242 StGB wird definiert als Bruch fremden Gewahrsams und der Begründung neuen, nicht notwendigerweise tätereigenen Gewahrsams. Vorausgesetzt wird, dass die tatsächliche Sachherrschaft des bisherigen Gewahrsamsinhabers gegen oder ohne seinen Willen aufgehoben wird und sodann neuer Gewahrsam – erlangen der tatsächlichen Herrschaft über die Sache – bei einer opfer-fremden Person begründet wird, sodass der Täter sie ohne Behinderung durch den bisherigen Gewahrsamsinhaber ausüben und dieser seinerseits nicht mehr über die Sache verfügen kann, ohne die Verfügungsgewalt des Täters zu beseitigen. Die Schädigung des Opfers beruht also auf einem eigenmächtigen Zugriffsakt des Täters.

Genau an diesem Punkt muss man sich den Vorgang der Transaktion an sich ansehen und überdenken, ob Schlagzeilen wie „Hacker stehlen NFTs im Wert von mehreren Millionen US-Dollar“ wirklich richtig sind. Denn letztlich führten die User in dem Fall des „Bored Ape Yacht Club“ die Transaktion selbst durch. Sobald der Nutzer also auf den Link ging, seine Wallet durch Eingabe seiner Zugangsdaten öffnete und die Transaktion unterzeichnete, hatten die Angreifer Zugriff auf die Wallet. Die ausschlaggebende Handlung, die die Übertragung ermöglichte, nahmen die Opfer also selber vor, indem sie der Transaktion zustimmten. Somit liegt eine „freiwillige“ Herausgabe vor, sodass eine Wegnahme ausscheidet. 

Phishing Angriffe im Metaverse

Aus vorgenannten Gründen dürfte in solchen Fällen vielmehr sogenanntes „Phishing“ in Betracht kommen.

Unter einem Phishing-Angriff versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben. Es handelt sich also um „Tricks“, ahnungslosen Nutzern geheime Daten zu entlocken. Durch die täuschend echt aussehenden Links oder E-Mails versuchen die Betrüger, die Nutzer zur Eingabe ihrer Zugangsdaten zu veranlassen, damit sie danach Zugriff auf die Daten haben – so auch auf die Wallet und die NFTs. Letztlich umschreibt der Begriff Phishing also einen Betrug, bei dem versucht wird vertrauliche Daten von Internetnutzern zu entwenden. Während sich der Diebstahl als Fremdschädigungsdelikt darstellt, handelt es sich bei einem Betrug also um ein sogenanntes Selbstschädigungsdelikt.

Die Täter könnten sich schließlich wegen verschiedener „Phishing“-Tatbestände strafbar gemacht haben, indem sie den Nutzer zu der Eingabe persönlicher Daten und Passwörter bringen. Dann ist es allerdings notwendig, zwischen der Datenbeschaffung und der anschließenden Verwendung der erlangten Daten zu unterscheiden. Denkbar wäre sowohl eine Strafbarkeit wegen Betrugs nach § 263 Abs. 1 StGB, Computerbetrugs nach § 263a StGB, des Ausspähens von Daten gemäß § 202a ff. StGB sowie wegen Datenveränderung gemäß § 303a StGB. 

NFT-(Computer-)Betrug 

In den oben genannten Fällen liegt die Strafbarkeit wegen Betrugs nach § 263 Abs. 1 StGB zulasten des jeweiligen Nutzers – und bei einem hohen finanziellen Schaden auch ein Betrug im besonders schweren Fall – nahe. Denn in diesen Konstellationen hat das Opfer seine Daten freiwillig aufgrund eines durch Täuschung hervorgerufenen Irrtums eingegeben. 

Das Kriterium der Vermögensverfügung findet sich nicht explizit im Gesetzestext von § 263 StGB, liegt diesem aber gewissermaßen logisch zugrunde und grenzt den Betrug von Delikten wie dem Diebstahl ab. Gemeint sind Handlungen, die sich unmittelbar vermögensmindernd auswirken – so auch die Einräumung der Möglichkeit des Täters zur Übertragung eines NFTs – und dann zu einem Vermögensschaden führen. Verkürzt gesagt, liegt ein solcher vor, wenn sich durch den Tatbestand des Betrugs das Vermögen unmittelbar verringert. Trägt das Opfer die persönlichen (Zugangs-)Daten also freiwillig ein und ermöglicht den Tätern – wenn auch unbewusst – so die Übertragung der NFTs, kann man einen Betrug annehmen.

Weiter könnte man über die Verwirklichung eines Computerbetrugs gemäß § 263a StGB nachdenken. Dieser stellt (vereinfacht gesagt) die Manipulation eines Datenverarbeitungsablaufs, durch die eine Vermögensschaden eintritt, unter Strafe. Für ein besseres Verständnis ist es hilfreich, sich die Systematik der Vorschrift und die Eigenschaften von NFTs (noch) einmal genauer anzuschauen. 

Wie bereits festgestellt, handelt es sich bei NFTs nicht um Sachen. Auch eine analoge Anwendung des Sachbegriffs kommt im Strafrecht aufgrund des Analogieverbotes nicht in Betracht. Diese Feststellungen können jedoch insoweit dahinstehen, als dass auch der Gesetzgeber bereits in (älteren) anderen Fällen gesehen hat, dass es mit der fortschreitenden Digitalisierung, der Einführung weiterer Tatbestände bedarf, um strafrechtliche Lücken anderer Tatbestände zu schließen. So auch bei der Einführung des § 263a StGB. Die Einführung des Tatbestands des Computerbetrugs hatte das Ziel, strafrechtliche Lücken zu schließen, die dadurch entstehen, dass im Unterschied zum Betrug kein Mensch getäuscht und zu einer irrtumsbedingten Vermögensverfügung veranlasst wurde, sondern der Schaden durch eine Manipulation eines Datenverarbeitungssystems herbeigeführt wird. Alle vier Tatmodalitäten des Computerbetrugs beziehen sich jeweils auf Daten. Damit sollen alle Arten von Einwirkungen auf einen Datenverarbeitungsvorgang erfasst werden, durch die das Ergebnis des Vorgangs manipuliert werden kann.

Taterfolg des Computerbetrugs ist also die Beeinflussung des Ergebnisses eines Datenverarbeitungsvorgangs. Insoweit entspricht die Beeinflussung dem Irrtum, welchen ein Täter im Rahmen eines gewöhnlichen Betrugs erregt. Außerdem muss die Tathandlung einen unmittelbaren Vermögensschaden verursacht haben. Denn das geschützte Rechtsgut ist nach ganz herrschender Auffassung allein das Vermögen des Berechtigten und nicht die Sicherheit und Funktionsfähigkeit der EDV-Anlagen. Greift eine nichtberechtigte Person – durch die unbefugte Verwendung von Daten – auf die Wallet des Berechtigten zu und überträgt die Tokens auf eine andere Wallet, ist es dem ursprünglich Berechtigten nicht mehr möglich, auf diese zuzugreifen, weswegen er unmittelbar einen Vermögensschaden erleidet. 

Jedoch stellt sich dann im Rahmen des Tatbestandes des Computerbetrugs im Sinne des § 263a StGB die Frage, ob die Verwendung der Daten tatsächlich „unbefugt“ geschieht. Dies wird deutlich, wenn man sich den Fall anschaut, in dem eine Person sich mit fremden Zugangsdaten ohne den Willen des Berechtigten, Zugriff auf einen Online-Banking-Account verschafft und eine Überweisung vornimmt. Das System gleicht bei einer Online-Überweisung die Identität der Person ab, die Inhaber des mit dem Online-Banking verknüpften Bankkontos ist. Nimmt eine andere Person die Überweisung unter Eingabe der TAN vor, geht das System (irrtümlicherweise) davon aus, dass die dem Konto zugeordnete Person die Überweisung getätigt hat – was aber gerade nicht der Fall ist. In solchen kommt es zu einer täuschungsähnlichen Situation im System. Deutlich wird dies, wenn man sich diese Handlung gegenüber einer Person vorstellt. Denn würde eine Person den Zugriff kontrollieren, würde diese darüber getäuscht, dass nicht die berechtigte Person sich den Zugriff ermöglicht. 

Anders ist dies jedoch bei einer Transaktion mit NFTs. Dort findet kein Abgleich der Identität des Nutzers im Netzwerk im Rahmen des Validierungsprozesses einer Transaktionsanweisung statt, denn die Wallets haben gerade keinen Verifizierungsprozess. Verschaffen die Täter sich – ohne Wissen des Opfers – Zugriff auf die Wallet und übertragen sie die darin gesicherten NFTs auf eine andere Wallet, sieht dieser Vorgang nach außen wie eine rechtmäßige Übertragung aus. Mangels täuschungsähnlichen Vorgangs, scheidet ein Computerbetrug jedoch aus.

Dateneigenschaft von NFTs und das Ausspähen von Daten 

Eine weitere Lösung könnte in dem Tatbestand des § 202a StGB liegen, der das „Ausspähen von Daten“ unter Strafe stellt. Strafbar macht sich nach § 202a StGB derjenige, der sich oder einem anderen unbefugt Zugang zu Daten – beispielsweise in einer Wallet – die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. 

Da es sich bei NFTs um eine Art Datenspur handelt, unterfallen diese dem Tatbestand des § 202a StGB. Denn danach sind Daten solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Auch die Tatbestandsmerkmale der Speicherung der Daten und der besonderen Zugangssicherung kann in vielen Fällen angenommen werden. Daten sind gespeichert, wenn sie digital, optisch und oder akustisch auf einem Datenträger fixiert werden. Eine dauerhafte Speicherung der Daten ist hingegen nicht erforderlich. Auch die kurzzeitige Speicherung genügt. Zur Vermeidung einer uferlosen Auslegung der Strafvorschrift unterliegt der Tatbestand jedoch der Einschränkung, dass nur solche Daten geschützt werden, die nicht für den Täter bestimmt und gegen unberechtigten Zugang besonders gesichert sind. Ob Daten für den Täter bestimmt sind oder nicht, ist letztlich keine Frage des Eigentums am Datenträger, maßgeblich ist vielmehr der Wille des Verfügungsberechtigten. Verschaffen sich die Täter also eigenverantwortlich Zugang zu fremden Systemen – auch fremden Wallets – sind diese Daten nicht für sie bestimmt und eine Strafbarkeit nach § 202a StGB liegt nahe. Ebenso dürfte eine besondere Zugangssicherung bei NFTs – blockchain-basierten Tokens – anzunehmen sein, wenn diese sich in der Wallet befinden und die Wallet einer Passwortsicherung unterliegt.

Die Lösung: Strafbarkeit nach bestehenden Straftatbeständen oder Einführung neuer Strafvorschriften? 

Die aufgeführten Beispiele zeigen, dass die steigende Kriminalität im Zusammenhang mit NFTs nicht auf eine mangelnde Sicherheit der Technik zurückzuführen ist. Denn die Vorkommnisse der letzten Monate ereigneten sich wohl nicht wegen etwaiger Sicherheitslücken auf den Plattformen oder in der Blockchain an sich. Denn die Blockchain als solche ist sicher. Vielmehr haben die jeweiligen Nutzer ihre Daten – in den oben genannten Fällen – selber herausgegeben. Die Handlungen der Nutzer führten letzten Endes dazu, dass eine ungewollte Übertragung der in der Wallet gespeicherten NFTs stattfinden konnte. Somit beruhen die Schäden auf der eigens vorgenommenen Handlung. 

Das zeigt, dass auch die Sicherheit des Systems nicht verhindert, dass alte Betrugsmaschen auf neue Technologien angewendet werden und Betrüger Personen durch falsche Angaben zu „unklugen“ Transaktionen verleiten. 

Auch wenn der Tatbestand des Betrugs gemäß § 263 StGB und die Strafbarkeit wegen des Ausspähens von Daten nach § 202a StGB in vielen (NFT-)Fällen greift, können einige der Phishing-Fälle nicht strafrechtlich verfolgt werden, da es an einschlägigen Tatbeständen mangelt – das Verhalten der Täter aber grundsätzlich sanktioniert werden müsste. Das ist vor allem in solchen Konstellationen anzunehmen, in denen das Opfer die Eingabe nicht selber aufgrund eines täuschungsbedingten Irrtums vornimmt. In diesen Fällen besteht eine Strafbarkeitslücke, die wohl nur durch die Einführung einer neuen Strafvorschrift geschlossen werden kann. 

Exit mobile version