Obergericht
Strafkammer
Urteil vom 23. April 2019
Es wirken mit:
Präsident Kiefer,
Oberrichter Marti
Oberrichter von Felten
Gerichtsschreiberin Lupi De Bruycker
In Sachen
Staatsanwaltschaft, Franziskanerhof, Barfüssergasse 28, Postfach 157, 4502 Solothurn,
Anklägerin
gegen
A.___, vertreten durch Rechtsanwalt Konrad Jeker,
Beschuldigter und Berufungskläger
betreffend Datenbeschädigung
Die Strafkammer des Obergerichts zieht in Erwägung:
I. Prozessgeschichte
1. Das deutsche Bundeskriminalamt (BKA) stiess im Rahmen von Recherche- und Analysetätigkeiten im Bereich Anti-Cybercrime auf die Webseite «http://droidjack.net», die sich als Verkaufsplattform für die Schadsoftware «DroidJack» (sog. Trojaner) herausstellte. In der Folge tätigte das BKA am 14. November 2014 anlässlich einer verdeckten Fahndung unter der Leitung der Staatsanwaltschaft Frankfurt am Main, Hessen, Deutschland, einen Scheinkauf der betreffenden Schadsoftware. Zwecks weiterer Ermittlungen wurden am 20. November 2014 Unterlagen bei PayPal ediert. Dabei stiess das BKA auf insgesamt 79 Individuen, die Zahlungen in der Höhe des auf der Webseite aufgeführten Preises von USD 210.00 für die Schadsoftware «DroidJack» an den Verkäufer bzw. Zahlungsempfänger «01.droidjack@gmail.com» getätigt hatten. Darunter befanden sich zwei in der Schweiz wohnhafte Käufer, unter anderem der Beschuldigte (vgl. AS 1 ff., 9 ff., 14 ff., 64 f.).
Am 2. September 2015 kontaktierte ein Beamter des BKA die bundeskriminalpolizeiliche Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) und informierte diese über die durch Europol koordinierte Aktion «Operation R2-D2», welche sich gegen die Käufer der genannten Schadsoftware richtete. Im Rahmen dieser Operation wurde ein internationaler Aktionstag gegen Ende Oktober 2015 in Aussicht gestellt, an welchem europaweit gleichzeitig Hausdurchsuchungen bei den Käufern durchgeführt werden sollten. Hiernach übermittelte das deutsche Europol-Verbindungsbüro der KOBIK unter anderem einen Bericht zur «Operation R2-D2» sowie ein von der Polizei Bielefeld (Nordrhein-Westfalen, Deutschland) verfasstes technisches Gutachten, das sich zu den Funktionen und Fähigkeiten der Schadsoftware «DroidJack 4.0 Beta» äusserte (AS 9 ff., 14 ff., 31 ff.).
Aus weiteren durch das BKA an die KOBIK übermittelten Unterlagen ging insbesondere hervor, dass am 17. Juli 2015 vom PayPal-Konto des Beschuldigten eine Zahlung in der Höhe von USD 210.00 an den Verkäufer der fraglichen Schadsoftware und damit an den Empfänger «01.droidjack@gmail.com» erfolgt war. Anschliessend benachrichtigte die KOBIK am 4. September 2015 die zuständigen Polizeistellen in der Schweiz und informierte vorab über den Sachverhalt sowie den für Ende Oktober vorgesehenen Aktionstag. Am 22. September 2015 teilte das deutsche Europol-Verbindungsbüro der KOBIK mit, dass das Datum für die gleichzeitig geplanten Hausdurchsuchungen provisorisch auf den 27. Oktober 2015 festgelegt worden sei (vgl. AS 1 ff., 9 ff., 86 f.).
In der Folge verständigte die Polizei Kanton Solothurn am 16. Oktober 2015 die Staatsanwaltschaft des Kantons Solothurn, welche mit Verfügung vom 21. Oktober 2015 eine Strafuntersuchung gegen den Beschuldigten wegen Datenbeschädigung eröffnete und sogleich einen Hausdurchsuchungsbefehl erliess (vgl. AS 3 f., 123 f., 128 ff.).
Am 27. Oktober 2015 fand die Hausdurchsuchung am Domizil des Beschuldigten statt, bei welcher diverse Gegenstände, so insbesondere das Mobiltelefon, der Laptop und der Computer, sichergestellt wurden (vgl. AS 131 ff.). Im Anschluss an die Hausdurchsuchung wurde der Beschuldigte gestützt auf die staatsanwaltliche Delegationsverfügung polizeilich einvernommen (vgl. AS 77 ff., 125). Anlässlich der Befragung beantragte der Beschuldigte die Siegelung sämtlicher an seinem Domizil sichergestellter Gegenstände und Aufzeichnungen (vgl. AS 4, 83 f., 131 ff.). Im Nachgang zur Einvernahme erklärte sich der Beschuldigte mit der Durchsuchung und forensischen Auswertung seines Mobiltelefons sowie der eingelegten SIM-Karte einverstanden; die restlichen Gegenstände (Laptop Mac Book Pro sowie Computer iMac) blieben weiterhin versiegelt (vgl. AS 5, 141 f.).
Bevor die auf dem Mobiltelefon gespeicherten Daten forensisch gesichert und ausgewertet werden konnten, erfolgte eine Fernlöschung. Das Gerät konnte danach lediglich im Setup-Modus gestartet werden. Infolgedessen wurde auf eine entsprechende Sicherung und Auswertung der Mobiltelefondaten verzichtet. Auf der eingelegten SIM-Karte konnten ausserdem keine benutzerspezifischen Daten gefunden werden (vgl. AS 5, 143 ff.). Der Beschuldigte wurde sodann am 23. November 2015 von der Polizei Kanton Solothurn zur Fernlöschung befragt, wobei er von seinem Aussageverweigerungsrecht Gebrauch machte (vgl. AS 5, 94 ff.).
Mit Entsiegelungsgesuch der Staatsanwaltschaft vom 4. November 2015 wurde das Entsiegelungsverfahren vor dem Haftgericht des Kantons Solothurn eingeleitet. Dieses verfügte am 15. Dezember 2015 schliesslich die Aufhebung der Siegelung (vgl. AS 171 ff.). Gestützt auf den rechtskräftigen Entscheid wurde die Polizei Kanton Solothurn am 7. März 2016 von der Staatsanwaltschaft mit der forensischen Datensicherung und Auswertung beauftragt (vgl. AS 126, 148 ff., 201).
Am 21. Juni 2016 wurde B.___ und am 6. Oktober 2016 der Beschuldigte polizeilich befragt. Der Beschuldigte berief sich wiederum auf sein Aussageverweigerungsrecht (vgl. AS 97 ff., 108 ff.). Im Einverständnis mit B.___ wurden die Daten ihres alten und bereits weiterverschenkten Mobiltelefons forensisch gesichert und ausgewertet, wobei dieses bereits zurückgesetzt und neu eingerichtet worden war. Es konnten keine tatrelevanten Spuren bzw. keine Hinweise auf den Trojaner «DroidJack» festgestellt werden (vgl. AS 5, 112 ff., 148 ff.).
2. Am 23. November 2016 erliess die Staatsanwaltschaft einen Strafbefehl, mit dem der Beschuldigte wegen Datenbeschädigung nach Art. 144bis Ziff. 2 Abs. 1 StGB zu einer Geldstrafe von 150 Tagessätzen zu je CHF 160.00, bedingt aufgeschoben bei einer Probezeit von 2 Jahren, verurteilt wurde (vgl. AS 124.1 ff.). Gegen diesen Strafbefehl liess der Beschuldigte am 5. Dezember 2016 durch seinen Verteidiger frist- und formgerecht Einsprache erheben und verlangte zugleich Akteneinsicht (vgl. AS 124.4 ff.).
Am 19. Januar 2017 fand eine Einvernahme des Beschuldigten bei der Staatsanwaltschaft statt; dieser machte bezüglich des Vorhalts ein weiteres Mal von seinem Aussageverweigerungsrecht Gebrauch (vgl. AS 107.1 ff.). In der Folge erliess die Staatsanwaltschaft einen zweiten Strafbefehl, der denjenigen vom 23. November 2016 ersetzte und mit dem der Beschuldigte wegen Datenbeschädigung nach Art. 144bis Ziff. 2 Abs. 1 StGB zu einer Geldstrafe von 150 Tagessätzen zu je CHF 100.00, bedingt aufgeschoben bei einer Probezeit von 2 Jahren, verurteilt wurde (vgl. AS 124.9 ff.). Gegen diesen Strafbefehl erhob der Beschuldigte über seinen Verteidiger am 31. Januar 2017 erneut frist- und formgerecht Einsprache und ersuchte um Akteneinsicht (vgl. AS 124.13 ff.).
3. Mit Verfügung vom 22. Februar 2017 hielt die Staatsanwaltschaft am angefochtenen Strafbefehl fest und überwies die Einsprache mit den Akten dem Gerichtspräsidium von Bucheggberg-Wasseramt zum Entscheid (vgl. AS 00.1 f.).
Mit Verfügung des Amtsgerichtspräsidenten von Bucheggberg-Wasseramt vom 30. März 2017 wurde das Verfahren sistiert und der als Anklage dienende Strafbefehl vom 19. Januar 2017 samt den Akten zwecks Berichtigung an die Staatsanwaltschaft zurückgewiesen (vgl. AS 258). Am 3. April 2017 stellte der Staatsanwalt den Abschluss der Untersuchung und die Anklageerhebung beim Gericht in Aussicht. Gleichzeitig setzte er Frist zur Akteneinsicht und zum Stellen von Beweisanträgen (vgl. AS 264). Nach unbenutztem Fristablauf erhob der Staatsanwalt beim Gerichtspräsidium von Bucheggberg-Wasseramt mit Anklageschrift vom 24. April 2017 Anklage gegen den Beschuldigten wegen Datenbeschädigung (Art. 144bis Ziff. 2 Abs. 1 StGB); zugleich überwies er die Akten (vgl. AS 261 ff.). Mit Verfügung des Amtsgerichtspräsidenten von Bucheggberg-Wasseramt vom 1. Juni 2017 erhielten die Parteien unter anderem Gelegenheit zur Stellung von Beweisanträgen; zugleich wurde die Hauptverhandlung auf den 8. September 2017 angesetzt (vgl. AS 266 f.). Mit Verfügung vom 5. September 2017 stellte der Amtsgerichtspräsident von Bucheggberg-Wasseramt sodann fest, dass die mit Verfügung vom 30. März 2017 vorgenommene Rückweisung an die Staatsanwaltschaft unter Beibehaltung der Rechtshängigkeit beim Gericht erfolgt war, womit die Verfahrensherrschaft fälschlicherweise beim Gericht verblieben war. Aus diesem Grund wurde die auf den 8. September 2017 angesetzte Hauptverhandlung abgesetzt und das Verfahren wiederum sistiert, wobei die Verfahrensherrschaft bis zur erneuten Anklageerhebung der Staatsanwaltschaft übertragen wurde. Die Akten gingen ebenfalls zurück an die Staatsanwaltschaft (vgl. AS 270 f.).
Mit Anklageschrift vom 6. September 2017 erhob der Staatsanwalt erneut Anklage gegen den Beschuldigten wegen Datenbeschädigung (Art. 144bis Ziff. 2 Abs. 1 StGB) und überwies gleichzeitig die Akten dem Gerichtspräsidium von Bucheggberg-Wasseramt (vgl. AS 273 ff.).
4. Der Amtsgerichtspräsident von Bucheggberg-Wasseramt erliess am 18. Januar 2018 folgendes Strafurteil:
« 1. A.___ hat sich der Datenbeschädigung schuldig gemacht.
2. A.___ wird zu einer Geldstrafe von 150 Tagessätzen zu je CHF 90.00 verurteilt, unter Gewährung des bedingten Vollzugs bei einer Probezeit von 2 Jahren.
3. Die sichergestellte Festplatte ([…], aus dem Apple iMac 27" stammend) wird eingezogen und ist durch die Polizei des Kantons Solothurn nach Rechtskraft des Urteils zu vernichten (aufbewahrt bei der Polizei Kanton Solothurn, Fachbereich Asservate).
4. Die folgenden bei A.___ sichergestellten Gegenstände werden diesem nach Rechtskraft des Urteils herausgegeben (alles aufbewahrt bei der Polizei Kanton Solothurn, Fachbereich Asservate):
a) Computer Apple iMac 27", […], ohne Festplatte,
b) Laptop Apple MacBook Pro, inkl. Datenträger Samsung SSD, […],
c) Mobiltelefon iPhone 6, […], inkl. allfälliger SIM-Karte,
d) SIM-Karte Turkcell 64k,[…].
5. Die Kosten des Verfahrens, mit einer Urteilsgebühr von CHF 2’000.00, total CHF 4’145.00, hat A.___ zu bezahlen.
Wird von keiner Partei ein Rechtsmittel ergriffen und nicht ausdrücklich eine schriftliche Begründung des Urteils verlangt, reduziert sich die Urteilsgebühr um CHF 600.00, womit sich die Kosten auf CHF 3’545.00 belaufen.»
5. Der Beschuldigte liess am 26. Januar 2018 gegen das Urteil die Berufung anmelden (AS 313). Mit Berufungserklärung vom 14. Mai 2018 wurde beantragt, der Beschuldigte sei vom Vorhalt der Datenbeschädigung freizusprechen und es seien ihm alle sicher gestellten Gegenstände zurückzugeben. Die Kosten des Verfahrens seien dem Staat aufzuerlegen und der Beschuldigte sei gemäss Kostennote zu entschädigen. Damit ist einzig Ziffer 4 des erstinstanzlichen Urteils (Herausgaben) in Rechtskraft erwachsen. Im Einverständnis mit dem Beschuldigten und Berufungskläger wurde das schriftliche Verfahren durchgeführt.
II. Beweiswürdigung und rechtliche Würdigung
1.Der Beschuldigte soll sich der Datenbeschädigung (Art. 144bis Ziff. 2 Abs. 1 StGB), begangen am 17./18. Juli 2015, vermutungsweise an seinem Wohnort am [...] in [...], eventuell an einem anderen Ort, schuldig gemacht haben. Dies, indem er am 17. Juli 2015 via PayPal eine Zahlung von USD 210.00 für die Schadsoftware «DroidJack» ausgelöst und am Folgetag, 18. Juli 2015, 08:48 Uhr, via Internet die Datei «DroidJack.zip» heruntergeladen sowie auf seinem Computer Apple iMac 27’’, konkret auf dessen Festplatte […], gespeichert habe. Er habe damit unbefugt und vorsätzlich auf dem Weg der Datenübertragung die Schadsoftware «DroidJack» in die Schweiz eingeführt sowie in der Folge installiert und damit hergestellt. Als EDV-Spezialist habe er gewusst oder zumindest in Kauf genommen, dass die Schadsoftware «DroidJack» zur illegalen Verwendung erschaffen worden sei, nämlich mit der Absicht, unbemerkt die Kontrolle über Android-Geräte zu erlangen, indem sie Drittprogrammen angefügt werden könne (sog. Trojaner), insbesondere mit dem Zweck, Daten von Drittpersonen zu verändern, zu löschen oder unbrauchbar zu machen. Zudem habe er gewollt oder zumindest in Kauf genommen, dass in der Folge mit der von ihm heruntergeladenen Schadsoftware «DroidJack» Daten einer Drittperson verändert, gelöscht oder unbrauchbar gemacht würden.
2. Den Straftatbestand von Art. 144bis Ziff. 2 Abs. 1 StGB erfüllt, wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziff. 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt. Nach dem Gesetzeswortlaut ist demgemäss erforderlich, dass die Programme zum Zwecke der Datenbeschädigung im Sinne von Art. 144bis Ziff. 1 Abs. 1 StGB verwendet werden sollen, d.h. zum unbefugten Verändern, Löschen oder Unbrauchbarmachen von elektronisch oder in vergleichbarer Weise gespeicherten Daten. Art. 144bis Ziff. 2 Abs. 1 StGB pönalisiert somit ausschliesslich Vorbereitungshandlungen zur Datenbeschädigung nach Art. 144bis Ziff. 1 Abs. 1 StGB und stellt ein abstraktes Gefährdungsdelikt dar. Geschütztes Rechtsgut ist bei beiden Tatbestandsvarianten das Interesse des Verfügungsberechtigten an der ungestörten Verwendbarkeit von Daten (vgl. Philippe Weissenberger in: Marcel Alexander Niggli/Hans Wiprächtiger [Hrsg.], Balser Kommentar, Strafrecht II, 4. Aufl., Basel 2019, Art. 144bis StGB, N 6, N 47; Stefan Trechsel/Dean Crameri in Stefan Trechsel/Mark Pieth [Hrsg.], Praxiskommentar Schweizerisches Strafgesetzbuch, 3. Aufl., Zürich/St. Gallen 2018, Art. 144bis StGB N 2 und 12; BGE 129 IV 230, E. 3.1).
Die Vorinstanz hat auf US 6 - 13 die objektiven und subjektiven Tatbestandselemente ausführlich und korrekt dargelegt. Darauf kann vollumfänglich verwiesen werden, in der Folge wird nur noch auf einzelne, umstrittene Tatbestandselemente eingegangen.
3. Die Vorinstanz hat auf US 33/34 der schriftlichen Urteilsbegründung folgende sachverhältliche und rechtliche Würdigung vorgenommen:
«Gestützt auf die vorhandenen Beweise ist darauf zu schliessen, dass der Beschuldigte am 17. Juli 2015 eine PayPal-Zahlung von USD 210.00 mit dem Zahlungsbetreff ‘DroidJack – Android Remote Administration Tool Single User License’ an den Softwareverkäufer der Software ‘DroidJack 4.0 Beta’ und damit als Entgelt für die Software leistete. Wie bereits erwähnt, bestritt der Beschuldigte in der polizeilichen Befragung vom 27. Oktober 2015, die fragliche Überweisung getätigt zu haben. Ebenso wenig habe er die Webseite ‘http://droidjack.net’ besucht. Seinen Angaben zufolge soll eine Fremdperson die Zahlung via sein PayPal-Konto getätigt haben. Dieser Einwand kann jedoch nicht nur gestützt auf die hiervor angeführten Beweismittel als tatsachenwidrige Schutzbehauptung gewertet werden, sondern auch deshalb, weil diese Behauptung abwegig erscheint. Denn diesfalls wäre es der angeblichen Drittperson lediglich darum gegangen, dem Beschuldigten einen finanziellen Schaden von exakt USD 210.00 zuzufügen. Darüberhinausgehende ‘Vorteile’ für diese Drittperson sind schlichtweg nicht ersichtlich. Zudem ergab, wie hiervor dargelegt, die forensische Datensicherung und Auswertung des dem Beschuldigten gehörenden Datenträgers, dass die Datei ‘DroidJack.zip’ am 18. Juli 2015 um 08:48 Uhr heruntergeladen wurde, auch wenn das Kontrollprogramm per se nicht gefunden werden konnte. Die zeitliche Nähe des Herunterladens von ‘DroidJack’ sowie der APK-Datei zur PayPal-Zahlung ist frappant; so auch das jeweilige Erstellungsdatum der beiden Dokumente betreffend Sunrise-Gutschrift und ‘Checkliste’ (vgl. die chronologische Abfolge, AS 165). Nach Feststellungen der Polizei wurde der Trojaner ausserdem auf dem Datenträger des Beschuldigten in einer virtuellen Maschine installiert (AS 150 f., 153). Auch wenn die eigentliche Kontrollsoftware – weder als ZIP-Datei noch als EXE-Datei – auf dem Computer des Beschuldigten gefunden werden konnte, wie der Beschuldige über seinen Privatverteidiger hat vorbringen lassen, so wurde doch die mit dem Trojaner ‘DroidJack’ erweiterte Android-App ‘Sunrise My Account’ auf dem Datenträger des Beschuldigten gefunden und entsprechend analysiert. Die polizeiliche Analyse ergab zudem, dass die technischen Voraussetzungen für den Einsatz der Software erfüllt waren (vgl. AS 152 f., 155 ff., insbesondere 159). Das Programm bzw. der Trojaner ‘DroidJack’ war damit bereits einsatzbereit und lauffähig (vgl. AS 159). Zudem hat der sachverständige Zeuge anlässlich der Hauptverhandlung plausibel und ohne Aktenkenntnis erklären können, weshalb ein heruntergeladenes Programm als solches nicht immer ohne Weiteres auf einem Datenträger festgestellt werden kann. Ohne Kenntnis davon zu haben, dass der Datenträger des Beschuldigten über zwei virtuelle Maschinen verfügt, hat der sachverständige Zeuge dargelegt, dass eine der Möglichkeiten des Nichtauffindens darin liegen könne, dass sich die Datei auf einer virtuellen Maschine in einem verschlüsselten Container befinde. Vorliegend wurde, wie schon erwähnt, durch die Polizei festgestellt, dass der Trojaner auf dem Datenträger des Beschuldigten in einer virtuellen Maschine installiert ist. Damit erscheint es ohne Weiteres plausibel, dass sich die entsprechende ZIP-Datei als solche in einem verschlüsselten Container auf der virtuellen Maschine befindet. Jedenfalls vermag das Nichtauffinden der eigentlichen Kontrollsoftware die polizeilichen Schlussfolgerungen, die in jeder Hinsicht schlüssig erscheinen, und die vorhandenen Beweismittel (Dokumente Sunrise-Gutschrift, Checkliste etc.), die klar für die Täterschaft des Beschuldigten sprechen, nicht in Frage zu stellen.
Dem Gesagten zufolge bestehen bei objektiver Würdigung der Beweislage keine erheblichen Zweifel daran, dass der Beschuldigte am 17. Juli 2015 den Trojaner ‘DroidJack’ kaufte und diesen am 18. Juli 2015 auf seinen Computer herunterlud.
Beim dem vom Beschuldigten heruntergeladenen Trojaner ‘DroidJack’ handelt es sich um ein Programm im Sinne von Art. 144bis Ziff. 2 Abs. 1 StGB. So besitzt es die wesentliche Eigenschaft und Zweckausrichtung, unbemerkt in ein Datenverarbeitungssystem eines Dritten eingeschleust zu werden und Daten eines Dritten im Sinne von Ziff. 1 der vorgenannten Bestimmung zu beschädigen, insbesondere zu verändern und zu löschen. Dies hat nicht nur das Gutachten der Polizei Bielefeld ergeben (vgl. AS 031 ff.), sondern auch die Aussagen des sachverständigen Zeugen (vgl. AS 286 ff.). Wie bereits unter Ziff. 2.2, b) ausgeführt, gilt ein Programm bereits dann als Tatmittel im Sinne der Bestimmung, wenn damit fremde Datenverarbeitungssysteme ausspioniert und fremde Daten an Dritte weiterversandt werden können, denn damit werden Daten im Sinne der Bestimmung verändert. Der Trojaner ‘DroidJack’ besitzt unter anderem diese Eigenschaften: Mit dem Programm ist es nicht nur möglich fremde Datenverarbeitungssystem auszuspionieren, sondern auch Daten zu verändern und zu löschen (vgl. AS 014 ff., 031 ff., 157). Der Einwand des Beschuldigten, wonach es sich vorliegend nicht um ein Programm im Sinne von Art. 144bis Ziff. 2 Abs. 1 StGB handle, da es nicht die Eigenschaft zur Selbstreplikation besitze, ist nicht zu hören. Wie bereits ausführlich dargelegt, kann dieser Ansicht nicht gefolgt werden (vgl. dazu Ziff. 2.2, b). Als gefährlichste Malware fallen auch sog. Trojanische Pferde und damit auch das hier in Frage stehende Programm ‘DroidJack 4.0 Beta’ unter den Begriff des Programms im Sinne von Art. 144bis Ziff. 2 Abs. 1 StGB.
Durch das Herunterladen des Programms ist die Tathandlung des Herstellens im Sinne von Art. 144bis Ziff. 2 Abs. 1 StGB erfüllt. Wie bereits aufgezeigt wurde, fand der Download gemäss Computer-Zeitstempel am 18. Juli 2015 über die Webseite ‘www.droidjack.net/DroidJack.zip’ statt. Zudem wurde das Programm von einem im Ausland stationierten Server heruntergeladen und damit per Datenübertragung in die Schweiz eingeführt (vgl. AS 075 f.), womit auch die Tathandlung des Einführens nach Art. 144bis Ziff. 2 Abs. 1 StGB gegeben ist. Daran vermag auch der vom Beschuldigten vorgebrachte Einwand, wonach der abschliessende Nachweis des Standorts des Servers für die Domain "droidjack.net" fehle, nichts zu ändern. Aus den Ermittlungen des BKA und der KOBIK geht nämlich klar hervor, dass die entsprechende Domain unter der IP-Adresse […] gehostet wurde. Diese IP-Adresse ist der US-amerikanischen Firma […] zugeordnet. Laut Whois-Auszug befand sich der Standort des Servers auf den Britischen Jungferninseln (BVI). Physisch befand sich der Server aber gemäss Auskunft der US-amerikanischen Behörden in den USA (vgl. AS 075 f.). Demzufolge befand sich der Server der Verkaufsplattform zweifelsohne im Ausland, entweder in den USA oder aber auf den BVI. Dies hat denn auch der sachverständige Zeuge anlässlich der Hauptverhandlung bestätigt (vgl. AS 294). Dabei kann der genaue Standort offen bleiben. Fakt ist, dass sich der Server im Ausland und nicht in der Schweiz befand. Der objektive Tatbestand der Datenbeschädigung gemäss Art. 144bis Ziff. 2 Abs. 1 StGB ist damit zu bejahen.
Der Beschuldigte handelte sodann auch mit direktem Vorsatz. Er wusste, dass er die Schadsoftware bzw. den Trojaner ‘DroidJack’ herunterlud und in die Schweiz einführte. Er war auch über die entsprechenden Funktionen von ‘DroidJack’ im Bilde, gab er doch anlässlich der polizeilichen Einvernahme vom 27. Oktober 2015 an, dass er als Spezialist wisse, was ein Trojaner sei und wie dieser funktioniere. Somit wusste er, dass es sich hierbei um Malware und damit um ein Programm im Sinne der fraglichen Bestimmung handelte. Genau dies wollte er denn auch. Die auf seinem Datenträger des Beschuldigten gefundene Datei mit dem Namen ‘Checkliste’ gibt Aufschluss darüber, wie er das heruntergeladene Programm einzusetzen beabsichtigte. Der Beschuldigte wollte das Programm unbemerkt in das Mobiltelefon der Zielperson B.___ einschleusen, um ihre Daten auszuspionieren und einer oder mehreren Drittpersonen weiterleiten zu können. Weiter wollte er eine von ihm verfasste Nachricht im Namen der Zielperson an eine Drittperson senden, wonach sie fremdgegangen sei. Die Weiterleitung von Daten und das Hinzufügen einer solchen Nachricht stellt zweifelsohne eine Veränderung von Daten und damit eine Datenbeschädigung im Sinne von Art. 144bis Ziff. 1 Abs. 1 StGB dar. Das zusätzliche subjektive Tatbestandsmerkmal des sog. Verwendungszwecks, nämlich zu illegalen Zwecken, ist demnach ebenfalls erfüllt. Dementsprechend hat auch der subjektive Tatbestand der Datenbeschädigung nach Art. 144bis Ziff. 2 Abs. 1 StGB als erfüllt zu gelten.»
4. In der Berufungsbegründung vom 21. August 2018 wird zusammengefasst Folgendes geltend gemacht:
Der Beschuldigte bestreite die ihm zur Last gelegten Tathandlungen vollumfänglich. Er bestreite damit auch, die inkriminierte Software gekauft sowie vom Ausland in die Schweiz eingeführt und durch Installation auf seinem Computer hergestellt zu haben. Dies sei vom Berufungsgericht von Amtes wegen zu prüfen. Er konzentriere sich darauf, zu belegen, dass aus der Anklageschrift kein strafbares Verhalten hervorgehe und ihm die Vorinstanz Sachverhalte zur Last lege, die aufgrund der Umgrenzungsfunktion des Anklageprinzips nicht Gegenstand der Beweiswürdigung hätten sein dürfen.
Vorgehalten werde dem Beschuldigten beim objektiven Tatbestand, er habe die Datei «DroidJack.zip» auf seinen iMac geladen. Damit habe er «Schadsoftware» in die Schweiz eingeführt. Indem er sie dann auf seinem Computer installiert habe, habe er die Schadsoftware zudem hergestellt. Vorgeworfen würden ihm damit zwei Tatbestandsvarianten, nämlich das Einführen und das Herstellen. Alles andere sei nicht Beweisthema und damit unbeachtlich, zumal es von der Anklage nicht erfasst sei. Das gelte insbesondere für die umfangreichen Ausführungen der Vorinstanz über die Beziehung des Berufungsklägers zu einer B.___.
Beim subjektiven Tatbestand werde dem Beschuldigten zunächst vorgeworfen, er habe unbefugt oder vorsätzlich auf dem Weg der Datenübertragung die Schadsoftware «DroidJack» in die Schweiz eingeführt. Er habe gewusst oder zumindest in Kauf genommen, dass sie zur illegalen Verwendung erschaffen worden sei (was gemäss Lehre im Übrigen ein objektives Erfordernis sei). Konkret laute der Vorwurf, der Beschuldigte habe gewollt oder zumindest in Kauf genommen, dass mit der Schadsoftware Daten einer (in der Anklage nicht genannten) Drittperson verändert, gelöscht oder unbrauchbar gemacht würden. Nicht geltend gemacht werde in der Anklage, ob und wozu der Berufungskläger die Software tatsächlich habe benützen wollen. Ohne diesen Vorwurf sei die Verurteilung bereits deshalb ausgeschlossen, weil Art. 144bis Ziff. 2 StGB als Vorbereitungshandlung konzipiert sei. Es gehe nach dem klaren Wortlaut des Gesetzes somit zunächst nicht darum, zu welchen Zwecken das inkriminierte Programm abstrakt dienen könnte, sondern darum, wozu es konkret dienen solle. Der Täter müsse demnach wollen (in Kauf nehmen), dass die Software unbefugt i.S.v. Ziff. 1 eingesetzt werde. Das werde dem Beschuldigten in der Anklage gerade nicht vorgeworfen, weshalb er von Vorneherein nicht verurteilt werden könne. Anders zu entscheiden würde u.a. den Anklagegrundsatz verletzen.
Im Übrigen sei der Vorwurf, der Beschuldigte habe gewollt oder in Kauf genommen, dass mit der von ihm heruntergeladenen Software Daten einer Drittperson verändert, gelöscht oder unbrauchbar gemacht würden, jedenfalls solange unhaltbar, als der Hersteller die Kontrolle über die Software behalte, sie also gerade nicht unbefugt installiere und sie damit sich selbst oder einem Dritten überlasse. Gemäss Anklage habe der Beschuldigte das Programm ausschliesslich auf seinem eigenen Rechner installiert. Das geschützte Rechtsgut, nämlich das Interesse des Verfügungsberechtigten an der ungestörten Verwendbarkeit von Daten, sei unbestrittenermassen nie verletzt oder auch nur gefährdet gewesen. Letzteres ergebe sich aus dem vorinstanzlichen Beweisergebnis, wonach es der Berufungskläger gewesen sein solle, welcher die inkriminierte Software auf einer Virtual Machine seines eigenen Computers installiert habe. Im Ergebnis sei der Beschuldigte dafür verurteilt worden, dass er als ausgewiesener Computerexperte ein Computerprogramm auf einer auf seinem eigenen Computer eingerichteten Virtual Machine installiert habe. Wenn die Vorinstanz darüber spekuliere, dass der Beschuldigte das Programm eingeführt habe, um es dann unbemerkt auf dem Mobiltelefon der genannten Frau Morina zu installieren, verkenne sie die Fakten. Installiert gewesen sei das Programm auf dem Computer der Beschuldigten selbst und nirgendwo anders. Der Beschuldigte habe auch entgegen der Anklage weder gewollt noch in Kauf genommen, dass mit der von ihm herunter geladenen Software «DroidJack» Daten einer Drittperson verändert, gelöscht oder unbrauchbar gemacht würden.
Handlungsobjekt sei nach dem Gesetzestext ein «Programm». Programme seien codierte Arbeitsanweisungen an ein EDV-System. Dieses müsse die Anweisungen lesen können und – weil das Programms selbst nicht denken und entscheiden könne – ohne weiteres Zutun eines Menschen ausführen. Ein Programm im Sinne des Gesetzes müsse also selbständig Daten beeinträchtigen. Es müsse mit anderen Worten das tun, was Ziffer 1 der Norm verbiete, also Daten von anderen Personen verändern, löschen oder unbrauchbar machen. Zur Frage nach den Eigenschaften von «DroidJack» könne auf die zutreffenden Ausführungen des sachverständigen Zeugen anlässlich der erstinstanzlichen Hauptverhandlung verwiesen werden. Im Wesentlichen ermögliche das Programm das Herstellen von Applikationen (in der Folge kurz «Apps» oder «APK-Paket» – erst ein solches Paket stelle gemäss dem sachverständigen Zeugen inkriminierte Schadsoftware dar), die – einmal auf dem System einer anderen Person installiert – deren Daten verändern, löschen oder unbrauchbar machen solle. Die App, die mit «DroidJack» hergestellt werden könnten (also gerade nicht «DroidJack» selbst, sondern, beispielsweise «SandroRAT») ermögliche beispielswiese den Fernzugriff auf Nachrichten, Telefonlisten, Kontaktdaten oder den Standort des Geräts, auf dem sie – mit oder ohne Wissen des Besitzers – installiert worden sei. Das Kürzel «RAT» stehe für «Remote Administration Tool», was mit Fernbedienung übersetzt werden könne. Sie schneide bspw. Telefonate mit, könne die Kamera kontrollieren, Daten verändern und kopieren, Nachrichten versenden etc. Nur ein Teil dieser Anwendungsmöglichkeiten sei strafbar i.S.v. Ziff. 1. Die Vorbereitungshandlung müsse sich aber natürlich auf einen strafbaren Zweck, z.B. das Verändern, beziehen und das werde dem Beschuldigten nicht vorgeworfen. Entsprechend habe der sachverständige Zeuge anlässlich der vorinstanzlichen Verhandlung ausgeführt, diese Möglichkeiten würden das Programm nicht bösartig machen. Die Bösartigkeit ergebe sich aus der Tatsache, dass man es auf einem Zielgerät unbemerkt verstecken könne. Das Programm selbst, also die mit der Software «DroidJack» herstellbare App «SandroRAT», die im fremden System einzuschleusen sei, sei erst dann ein tatbestandsmässiges Programm, wenn es über die Fähigkeit verfüge, sich selbst zu vervielfältigen und damit weitere als die ursprünglich betroffenen Datenbestände zu verseuchen (Verweis auf Stratenwerth/Jenny/Bommer, § 14 N 65). Dazu könne auf ein Urteil des Obergerichts des Kantons Zürich verwiesen werden, das mit BGE 129 IV 230 E. 2.1.2 bestätigt worden sei. «DroidJack» sei nach diesen Erwägungen des Bundesgerichts eindeutig kein Programm i.S.v. Art. 144bis Ziff. 2 StGB. Das gelte sogar für APK-Pakete, die mit «DroidJack» erstellt werden könnten. Dabei handle es sich um das Programm, die eigentliche Schadsoftware, auf welches die Anklage im vorliegenden Fall ziele. Es sei nicht denkbar, dass die APK-Pakete sich vervielfältigten und Datenbestände verseuchten. Sie als Programme im Sinne von Ziffer 2 der Strafnorm zu qualifizieren, würde jedes Programm als tatbestandsmässig erscheinen lassen, mit dem ein Fernzugriff möglich sei.
Der sachverständige Zeuge habe auf S. 31 f. des angefochtenen Urteils ausführlich dargelegt, was nötig sei, um aus «DroidJack» ein Programm machen zu können, das seines Erachtens tatbestandsmässig sein könnte (ohne allerdings die Voraussetzungen von BGE 129 IV 230 E. 2.1.2 auch nur annähernd zu erfüllen). Zusammengefasst habe er dargelegt, dass zuerst Software herunter geladen und installiert werden müsse (das habe der Beschuldigte jedenfalls gemäss Anklage getan). Anschliessend müsse eine sog. DNS-Weiterleitung eingerichtet werden. «DroidJack» müsse dann ein entsprechender Domainname gegeben werden. Diese DNS-Einrichtung sei der zweite Schritt nach der Installation der Schadsoftware. Dann sei zu entscheiden, mit welchen Funktionen die Software ausgestattet sein solle. Zuletzt könne man einen Knopf drücken, um zusätzlich eine APK-Datei zu erzeugen. Das Programm generiere sodann im Hintergrund diese Schadsoftware, also das fragliche APK-Paket. Der letzte Schritt sei sodann, das APK-Paket auf das Zielgerät zu bringen. Eine solche APK-Datei, welche man mit «DroidJack» generieren könne, sei nicht fähig, sich wurmartig und unkontrolliert selbständig weiter zu verbreiten und weitere Geräte zu infizieren.
Die Vorinstanz weiche in Bezug auf die Auslegung des Begriffs «Programm» bewusst von der bundesgerichtlichen Rechtsprechung in BGE 129 IV 230 ab, womit bestätigt worden sei, dass unter Art. 144bis Ziff. 2 StGB nur Programme fielen, die dazu bestimmt seien, in die Datenverarbeitungsprogramme anderer eingeschleust zu werden (E. 2.1.2). Die Vorinstanz vertrete die Auffassung, heute werde der ungestörte Umgang mit Daten kaum mehr bzw. nur noch in seltenen Fällen allein durch Schadprogramme gefährdet. Es würden andere Schadprogramme überwiegen, deren Schädigungspotential man sich erst im Nachgang zur Ausarbeitung von Art. 144bis StGB bewusst geworden sei. Neben Computerviren fielen auch andere Formen von Schadprogrammen unter den Tatbestand von Art. 144bis Ziff. 2 StGB. Es könne daher nicht mehr darauf ankommen, dass der ausschliessliche Zweck des Programms in der Datenbeschädigung liege. Auch die Selbstreplikationsfähigkeit, die Computerviren im Gegensatz zu Trojanern aufwiesen, sei als einschränkendes Zusatzkriterium für den Begriff des Programms abzulehnen. Die Vorinstanz verkenne dabei, dass es Sache des Gesetzgebers sei, angeblich nicht mehr zeitgemässe Strafbestimmungen zu ändern. Bereits der völlig unbestimmte Begriff «Programm» sei unter dem Aspekt des Bestimmtheitsgebots hoch problematisch. Definitiv nicht mehr vertretbar sei jedenfalls im Strafrecht, in dem das Analogieverbot herrsche, tatbestandsmässige Begriffe einfach über den Umfang auszudehnen, der ihnen vom Gesetzgeber zuerkannt worden sei. Es sei Sache des Gesetzgebers, neue Strafbestimmungen zu schaffen, wenn er dies für notwendig erachte. Es sei aber nicht Sache des Richters, Bundesstrafgesetze auszudehnen, die er nicht mehr als zeitgemäss erachte. Das verletzte das Prinzip der Gewaltentrennung. Schliesslich sei darauf hinzuweisen, dass die Rechtsprechung des Bundesgerichts bei der Auslegung von Bundesgesetzen für den kantonalen Richter verbindlich sei. Nur so sei garantiert, dass Bundesrecht einheitlich angewendet werde. Im Ergebnis setze sich die Vorinstanz über die bundesgerichtliche Rechtsprechung hinweg, die zumindest indirekt – nämlich in Bestätigung der Rechtsprechung des Obergerichts des Kantons Zürich – nur Programme erfasse, die über die Fähigkeit verfügten, sich selbst zu vervielfältigen.
Im Sinne eines Exkurses werde bestritten, dass «DroidJack» nur illegal verwendet werden könne. Das Deutsche Bundesverfassungsgericht habe im Jahr 2009 entschieden, dass es nicht ausreiche, dass ein Programm für die Begehung von Computerstraftaten geeignet oder auch besonders geeignet sei. So habe es im Sinne eines IT-Fachmannes, der Schadsoftware zur Analyse von Kunden eingesetzt habe, entschieden, aber auch eines Dozenten, der Schadsoftware zu Ausbildungszwecken seinen Studenten zugänglich gemacht habe, und eines IT-Experten, der Dual-Use-Software auf Linux-Systemen eingesetzt habe. Das Gericht habe dargelegt, dass jede Software auch legal eingesetzt werden könne und dass es einen entsprechenden Vorsatz brauche. Ein solcher Vorsatz sei auch im vorliegenden Fall nicht ersichtlich, auch wenn die Vorinstanz ausserhalb der Anklage darüber spekuliere. Das sei für den beantragten Freispruch aber wohl nicht zentral und auch die Dual-Use-Problematik erscheine für das schweizerische Recht nicht entscheidend. Entscheidend sei aber, dass das Programm nach Ziffer 1 «verwendet werden solle». Dies treffe im vorliegenden Fall nicht zu.
5. Die Vorinstanz hat eine ausführliche Beweiswürdigung vorgenommen, aufgrund welcher sie zutreffend schloss, der Anklagesachverhalt sei rechtsgenüglich nachgewiesen. Es kann deshalb grundsätzlich auf die betreffenden Erwägungen des Amtsgerichtspräsidenten auf US 14 bis 34 verwiesen werden, welche nachfolgend teilweise zitiert werden. Zusammenfassend können folgende zentralen Umstände aufgeführt werden, welche den Beweis für den angeklagten Sachverhalt liefern:
- Am 17. Juli 2015 um 14:25 Uhr wurde via dem Online-Zahlungsdienst PayPal eine Zahlung von USD 210.00 von der Email-Adresse des Beschuldigten «[...]» an den Empfänger «01.droidjack@gmail.com» getätigt. Dieser Betrag entspricht demjenigen, der auf der Internetseite http://droidjack.net für den Erwerb der Schadsoftware «DroidJack 4.0 Beta» verlangt wurde. Zudem stimmt die Email-Adresse des Zahlungsempfängers «01.droidjack@gmail.com» mit derjenigen überein, die auf der entsprechenden Verkaufsplattform «www.droidjack.net» angegeben wurde (US 14 f.).
- Bei der forensischen Datensicherung und Auswertung der sichergestellten Festplatte des Computers iMac des Beschuldigten wurden zahlreiche Hinweise für das in der Anklage vorgehaltene Vorgehen des Beschuldigten gefunden: In der Datenbank, in welcher alle getätigten Downloads verzeichnet werden, konnte der Eintrag «http://www.droidjack.net/DroidJack.zip» festgestellt werden. Gemäss Zeitstempel wurde die Datei «DroidJack.zip» am 18. Juli 2015 um 8:48 Uhr (Lokalzeit) heruntergeladen (US 15). In Bezug auf die weiteren technischen Details kann vollumfänglich auf die Darlegungen der Vorinstanz auf US 15 bis 17 verwiesen werden, welche im Berufungsverfahren nicht bestritten wurden. Insbesondere wurde nicht mehr bestritten, dass der Beschuldigte das Programm «DroidJack» auf seinen Computer herunter geladen hat. Die Vorinstanz schliesst (US 17):
«Der Trojaner ‘DroidJack’ wurde ursprünglich über die Webseite ‘http://www.droidjack.net/DroidJack.zip’ – und damit als ZIP-Datei – heruntergeladen und auf dem Datenträger des Beschuldigten installiert. Ausserdem wurde der Trojaner ‘DroidJack’ der Android-App ‘Sunrise My Account’ hinzugefügt. Wie sogleich noch aufzuzeigen sein wird, gehörte die Tarnung des genannten Trojaners als Sunrise-App zum Tatplan des Beschuldigten. Auch die Zurverfügungstellung der mit ‘DroidJack’ infizierten ‘Sunrise’-App zum Direktdownload über den ‘Vesort’-Server gehörte zu dessen Tatplan (vgl. die nachfolgenden Ausführungen unter c).»
- Auf der Festplatte des Beschuldigten kam eine Datei mit dem Namen «134CD175-9210-49E3-BB226-D5E0A41BBCEE» und der inhaltlichen Textüberschrift «Checkliste» zum Vorschein (Wortlaut siehe US 18). Zu dieser Checkliste verweigerte der Beschuldigte die Aussage (AS 100). Aus der Checkliste schloss die Vorinstanz zu Recht Folgendes (US 18/19):
«Diese ‘Checkliste’ spiegelt offensichtlich den Tatplan bzw. das Vorhaben des Beschuldigten mit dem Programm ‘DroidJack’ wider. Daraus geht deutlich hervor, dass der Beschuldigte den Trojaner ‘DroidJack’ als Sunrise-App tarnen wollte; dies tat er dann auch (dazu sogleich unter d) und e). Sodann wollte er eine SMS an die weibliche Zielperson senden mit dem Absendernamen ‘Sunrise’. In dieser Nachricht sollte der Link zum Download der Schadsoftware ‘DroidJack’ – getarnt als Sunrise-App – versendet werden, wobei der Download über ‘Vesort’ laufen sollte. Dies entspricht denn auch den Feststellungen der Polizei, wonach unter der Domain ‘vesort.com’ die App zur Verfügung gestellt worden sei. Des Weiteren wollte der Beschuldigte in der Nachricht den bereits von ihm entworfenen und vermeintlich von Sunrise stammenden Text versenden, in welchem für die Nutzung dieser (mit ‘DroidJack’ erweiterten) Sunrise-App eine Gutschrift von CHF 150.00 versprochen wird (dazu sogleich unter d). Mit dem Herunterladen dieser App durch die Zielperson wäre dann deren Mobiltelefon mit ‘DroidJack’ infiziert gewesen (‘DroidJ vorbereiten und als Sunrise tarnen’; ‘SMS Absender als Sunrise ausgeben’; ‘Link mit google url kürzer tarnen’; ‘direkt download link über vesort laufen lassen’; ‘Infect her phone’). Hierauf wollte der Beschuldigte die Mobiltelefondaten dieser weiblichen Zielperson sammeln (‘collect all Data’ etc.). Weiter wollte er diese Daten über das infizierte Mobiltelefon selbst an eine Drittperson weiterleiten (‘Plan 1: Über ihr Handy alle Nachrichten inkl. Beweisen an victim 2 senden’). Schliesslich wollte er eine von ihm verfasste Nachricht über das Mobiltelefon und damit im Namen der weiblichen Zielperson an eine Drittperson senden, welche dahingehend hätte lauten sollen, dass sich die weibliche Zielperson bei dieser Drittperson für das Fremdgehen entschuldige (‘Plan 2: 1 Nachricht über ihr Hand[y] das sie fremdgegangen ist und es ihr leid tue’). Wie noch zu sehen sein wird, lassen weitere Beweismittel darauf schliessen, dass es sich bei der weiblichen Zielperson um B.___ handelte, an welcher sich der Beschuldigte mit diesem Vorgehen rächen wollte (vgl. die E-Mail des Beschuldigten an B.___, AS 105, und die diesbezüglichen Ausführungen unter f) sowie die Aussagen von B.___ unter Ziff. 3.3.3.»
- Im Rahmen der forensischen Datensicherung und Auswertung wurde auch eine Datei festgestellt, die am 17. Juli 2015,10:17 Uhr, auf dem Datenträger des Beschuldigten gespeichert wurde. Diesem Dokument ist folgender Text zu entnehmen: «Lad unsere Sunrise Mein Konto-App herunter, nutze diese 1 Monat und wir vergueten dir auf deine naechste Rechnung 150 CHF. Deine Sunrise» (vgl. AS 106, 162). Diese Datei bzw. deren Inhalt geht mit dem Inhalt der soeben erwähnten «Checkliste» einher: Die Textnachricht hätte den Anschein erwecken sollen, dass sie von Sunrise stamme. Der Beschuldigte wollte damit offensichtlich sicherstellen, dass die mit dem Trojaner «DroidJack» erweiterte Sunrise-App von der Zielperson tatsächlich auch heruntergeladen wird. Die versprochene Gutschrift von CHF 150.00 hätte den Anreiz dafür schaffen sollen.
- Unter lit. e) auf US 19 - 21 wird ausgeführt:
«Laut der von der Polizei durchgeführten Analyse der vorgefundenen Datei bzw. App ‘sunrise.apk’ (vgl. AS 155 ff.) wurde diese gemäss Zeitstempel am 18. Juli 2015, 13:53 Uhr, auf der Festplatte des Beschuldigten unter dem Pfad ‘/Download’ abgelegt. Zusätzlich wurde eine weitere Datei ‘ch.sunrise.mein.konto-1.apk’ festgestellt, die identisch mit der ‘sunrise.apk’ ist. Dazu wird im Bericht festgehalten, es falle auf, dass das Paket ‘net.droidjack.server’ darin enthalten sei. Darin befinde sich wiederum eine Datei ‘bk’, die die Zeilen "a = prohiring.ddns.net' und ‘b = 1337’ aufweise. Erstere stelle die Domain und Letztere den Port dar. Beide seien auch in der Datei ‘Sandrorat_Configuration_Database’ gefunden worden und würden als Verbindung zum Kontrollserver verwendet. Weiter seien unter anderem folgende Berechtigungen entdeckt worden: SMS / MMS abfangen, lesen, schreiben und versenden; vom externen Speicher (SD-Karte) lesen und darauf schreiben; genaue Position des Geräts abfragen; Kontakte lesen und schreiben; Anrufliste lesen und schreiben; Bowserverlauf lesen; laufende Prozesse abfragen; Anrufe tätigen sowie Zugriff aufs Internet. Gemäss Bericht ist diese hohe Anzahl an Berechtigungen ungewöhnlich und stellt ein Hinweis dar, dass sich der Trojaner ‘DroidJack’ in der App befindet. Weiter würden auch die in der App definierten Services und Activities aufgrund ihrer Namen, die jeweils die Bezeichnung ‘net.droidjack.server’ mitenthalten, darauf hinweisen, dass sich der Trojaner ‘DroidJack’ in der Datei befinde. Ein Vergleich mit der ‘echten’ Referenzdatei, also der öffentlichen von Sunrise angebotenen App ‘Sunrise My Account’ mit dem Paketnamen ‘ch.sunrise.mein.konto’, zeige, dass diese deutlich weniger Berechtigungen enthalte. Auch würden darin die gefundenen Activities und Services fehlen.
Zusammenfassend hält der Analyse-Bericht fest, dass die gefundene Datei ‘sunrise.apk’ eine mit DroidJack erweiterte Version der App ‘Sunrise My Account’ ist; dies aufgrund der folgenden Merkmale:
- Der Paketname ‘net.droidjack.server’ deutet darauf hin, dass es sich hierbei um ‘DroidJack’ handelt, welcher auch im Bericht zur IT-Untersuchung des Trojaners ‘DroidJack’ von der Polizei Nordrhein-Westfalen / Bielefeld erwähnt wird.
- Die App fordert zusätzliche Berechtigungen an, die in der öffentlichen Version von ‘Sunrise My Account’ nicht notwendig sind.
- Die in der Datei ‘bk’ in ‘sunrise.apk’ gefundene Datei enthält Hinweise auf den Kontrollserver, der gemäss IP-Adresse im Raum Solothurn stationiert war.
Im Analysebericht wird schliesslich ausgeführt, dass die gefundenen APK-Dateien keine Hinweise auf die Kontrollsoftware enthalten würden, mit der diese Dateien erzeugt worden seien. Es könne daher nicht belegt werden, dass sich die Kontrollsoftware auf einem der Geräte befinde oder befunden habe, jedoch könne dies auch nicht ausgeschlossen werden. Allerdings könne gesagt werden, dass die technischen Voraussetzungen für den Einsatz der Kontrollsoftware auf den Geräten erfüllt seien.
Damit kann als erstellt gelten, dass der Beschuldigte entsprechend seinem Tatplan (‘Checkliste’) die Sunrise-App bereits mit dem Trojaner ‘DroidJack’ erweitert hatte (‘DroidJ vorbereiten und als Sunrise tarnen’). Das Programm bzw. der Trojaner ‘DroidJack’ war einsatzbereit. Der Trojaner ‘DroidJack’ musste nur noch auf das Mobiltelefon der Zielperson eingeschleust werden und zwar mittels der oben beschriebenen Schritte.»
- Der Beschuldige sandte am 8. Juli 2015 eine längere E-Mail an B.___ (AS 105). Aus dieser Nachricht wird sehr deutlich, dass der Beschuldigte verletzt und enttäuscht von B.___ und auch wütend auf sie war. Er fühlte sich ausgenutzt und von ihr in die Irre geführt, nachdem sie ihm gewissermassen einen Korb gegeben hatte bzw. keine Liebesbeziehung mit ihm eingehen wollte, sondern zurück zu ihrem Ex-Freund ging (vgl. dazu die Aussagen von B.___ zur Hintergrundgeschichte unter Ziff. 3.3.3; AS 108 ff.). In der E-Mail an B.___ schilderte der Beschuldigte, seine Gefühle für sie seien nun endgültig ausgelöscht. Er sprach insbesondere davon, dass er gewisse Personen bereits über das Geschehene informiert habe, diese das Ganze weitererzählen würden und er noch weitere darüber informieren werde. Am Schluss würden alle, die B.___ kennen würden, darüber Bescheid wissen; schliesslich hätten es alle verdient, die Wahrheit über sie zu erfahren. Er habe auch genug Beweise; er sei immer auf das Schlimmste vorbereitet und habe alles protokolliert sowie archiviert: unter anderem jede SMS, jede E-Mail, ihr Übernachten bei ihm und überhaupt alles, was mit ihr zu tun habe. Weiter ist der Nachricht zu entnehmen, dass dies erst der Anfang sei. Jede Leiche, die sie im Keller beherberge, werde nun ans Tageslicht kommen. Denn jede Person solle im Leben nach seinen eigenen Taten «gekennzeichnet» sein. Schliesslich bedankte sich der Beschuldigte in ironischer Art und Weise, dass sie ihn in den Abgrund «gstüpft» und noch «dri gshuttet» habe, denn erst dann habe es bei ihm «klick» gemacht. Sie habe immer gedacht, wenn A nicht mehr hier sei, dann sei B noch da; nun seien weder A noch B da. Dies habe sie sich selbst angetan und stelle Gerechtigkeit dar.
Diese E-Mail an B.___ veranschaulicht, dass der Beschuldigte aus seiner Enttäuschung und Wut heraus nach Rache – aus seiner Sicht «Gerechtigkeit» («justice») – dürstete. Er war offensichtlich verliebt in B.___; nachdem er diese nicht für sich gewinnen konnte und sie wieder zurück zu ihrem Ex-Freund gegangen war, wollte er sich insofern an ihr rächen, als dass die «Wahrheit» über sie und ihn ans Tageslicht kommen sollte. All ihre Freunde, ihre Familie und insbesondere ihr Freund und dessen Umfeld hätten erfahren sollen, was zwischen ihm und ihr gelaufen war (vgl. dazu auch die Aussagen von B.___ zur Vorgeschichte mit dem Beschuldigten unter Ziff. 3.3.3; AS 108 ff., welche die Vorgänge bestätigen). Zur genannten E-Mail und zu den Angaben von B.___ verweigerte der Beschuldigte die Aussage (AS 101 ff.). B.___ verwendete zur Tatzeit ein Samsung-Handy mit Android-Betriebssystem (AS 113).
- Beim Beschuldigten handelt es sich um einen IT-Fachmann, welcher problemlos zur Ausführung dieser technisch anspruchsvollen Handlungen in der Lage war.
6. Nach dem Anklagegrundsatz bestimmt die Anklageschrift den Gegenstand des Gerichtsverfahrens (Umgrenzungsfunktion; Art. 9 und Art. 325 StPO; Art. 29 Abs. 2 und Art. 32 Abs. 2 BV; Art. 6 Ziff. 1 und Ziff. 3 lit. a und b EMRK). Das Gericht ist an den in der Anklage wiedergegebenen Sachverhalt gebunden (Immutabilitätsprinzip), nicht aber an dessen rechtliche Würdigung durch die Anklagebehörde (Art. 350 StPO). Die Anklage hat die der beschuldigten Person zur Last gelegten Delikte in ihrem Sachverhalt so präzise zu umschreiben, dass die Vorwürfe in objektiver und subjektiver Hinsicht genügend konkretisiert sind. Der Anklagegrundsatz bezweckt zugleich den Schutz der Verteidigungsrechte der beschuldigten Person und dient dem Anspruch auf rechtliches Gehör (Informationsfunktion; BGE 131 IV 132 E. 3.4.1; 140 IV 188 E. 1.3; je mit Hinweisen). Unter dem Gesichtspunkt der Informationsfunktion muss die beschuldigte Person aus der Anklage ersehen können, wessen sie angeklagt ist. Dies bedingt eine zureichende Umschreibung der Tat. Entscheidend ist, dass die beschuldigte Person genau weiss, welcher konkreten Handlungen sie beschuldigt und wie ihr Verhalten rechtlich qualifiziert wird, damit sie sich in ihrer Verteidigung richtig vorbereiten kann. Sie darf nicht Gefahr laufen, erst an der Gerichtsverhandlung mit neuen Anschuldigungen konfrontiert zu werden (vgl. BGE 103 Ia 6 E. 1b; Urteile 6B_492/2015 vom 2.12.2015 E. 2.2, nicht publiziert in: BGE 141 IV 437; 6B_1151/2015 vom 21.12.2016 E. 2.2; je mit Hinweisen). Solange für die beschuldigte Person klar ist, welcher Sachverhalt ihr vorgeworfen wird, kann auch eine fehlerhafte und unpräzise Anklage nicht dazu führen, dass es zu keinem Schuldspruch kommen darf. Die nähere Begründung der Anklage erfolgt an den Schranken; es ist Sache des Gerichts, den Sachverhalt verbindlich festzustellen (Urteil 6B_894/2016 vom 14.3.2017 E. 1.1.1 mit Hinweisen).
Eine Verletzung des Anklagegrundsatzes kann vorliegend nicht ausgemacht werden: Die Anklage umschreibt den dem Beschuldigten vorgeworfenen Lebenssachverhalt im Hinblick auf die inkriminierte Strafnorm klar und ausreichend: Wenn der Beschuldigte moniert, es stehe nicht in der Anklage, ob und wozu er die inkriminierte Software tatsächlich habe benutzen wollen, so ist dies zwar richtig: Man hätte in der Anklage durchaus auf die geplante Verwendung auf dem Mobiltelefon von B.___ hinweisen können. Dies war aber zur Einhaltung des Anklageprinzips nicht nötig: Dem Beschuldigen wird vorgehalten, er habe gewollt oder in Kauf genommen, dass in der Folge mit der von ihm heruntergeladenen Schadsoftware «DroidJack» Daten einer Drittperson verändert, gelöscht oder unbrauchbar gemacht würden. Dass es sich bei der «Drittperson» um B.___ handelt, geht aus den Akten eindeutig hervor und wurde dem Beschuldigten auch immer wieder vorgehalten. Dieser wusste damit genau, was ihm vorgeworfen wurde und eine Einschränkung seiner Verteidigungsrechte ist nicht erkennbar. Es kann auf die obigen allgemeinen Ausführungen verwiesen werden. Im Übrigen würde eine allfällig unzureichende Anklage nicht zum Freispruch führen, sondern zu einer Rückweisung an die Staatsanwaltschaft.
7. Der Beschuldigte liess geltend machen, der Vorwurf, der Beschuldigte habe gewollt oder in Kauf genommen, dass mit der von ihm heruntergeladenen Software Daten einer Drittperson verändert, gelöscht oder unbrauchbar gemacht würden, sei jedenfalls solange unhaltbar, als der Hersteller die Kontrolle über die Software behalte, sie also gerade nicht unbefugt installiere und sie damit sich selbst oder einem Dritten überlasse. Dieser Einwand ist nicht nachvollziehbar, handelt es sich doch vorliegend um ein abstraktes Gefährdungsdelikt, strafbar ist eben gerade das Herunterladen des Programmes (auch) auf den eigenen Computer im Wissen oder in der Annahme, dass dieses zu den in Ziffer 1 von Art. 144bis StGB genannten Zwecken verwendet würde (im vorliegenden Fall durch den Beschuldigten selber). Verhindert werden soll damit gerade das Beschaffen solcher Schadsoftware aus dem Internet mittels Herunterladen auf den eigenen Computer (was nach bundesgerichtlicher Rechtsprechung zur Pornographie einem «Herstellen» im Sinne des Gesetzes entspricht). Ob nun der Täter selbst oder ein (ihm bekannter) Dritter das Programm danach zu einem der genannten Zwecke verwenden will, ist nicht von Relevanz. Die vom Strafrecht verpönte Gefährdung der Rechte Dritter lag nach dem obigen Beweisergebnis vor.
8. Der Haupteinwand des Beschuldigten betrifft das Handlungsobjekt. Er macht geltend, nach den Ausführungen des sachverständigen Experten vor dem Amtsgerichtspräsidenten sei es gerade nicht die Datei «DroidJack» gewesen, welche auf dem Handy von B.___ hätte Schaden anrichten sollen. Es sei vielmehr die App, die mit dem Programm «DroidJack» hergestellt werden könne, die den Fernzugriff auf das betroffene Gerät (hier Handy) ermögliche.
Das war aber nicht die Aussage des Experten: Er sagte aus, zur Qualifikation als Schadsoftware habe der Umstand geführt, dass das Programm, das die Software sei, ein sogenanntes APK-Paket erzeugen könne. Diese Funktion biete, dass man es anderen Programmen anhängen könne und dass das quasi unbemerkt im Hintergrund laufe. Wenn man es schaffe, ein Gerät mit dieser Schadsoftware zu infizieren, habe man Zugriff auf die wesentlichen Funktionen, die wichtig seien, um die Kommunikation zu überwachen. Man könne auf Telefongespräche zugreifen, SMS abfangen, den WhatsApp-Chat auslesen, aber auch Daten löschen etc. Es könne durchaus sein, dass man das machen möchte aus der Ferne, aber die Funktion, die sie in seinen Augen wirklich «bösartig» mache, sei die Tatsache, dass man es verstecken könne auf dem Gerät. Dass der Benutzer, der das Gerät bediene, nichts mitbekomme. Dass die Software drauf sei, wenn er nicht gezielt danach suche. Und «gezielt danach suchen», heisse nicht einfach anschauen, sondern er müsse recht tief in das System hineingreifen, damit er wirklich sehen könne, dass die Software da sei (AS 289 Rz. 117 ff.). Die unmittelbar darauf folgende Frage des Amtsgerichtspräsidenten, der Punkt, den der Sachverständige soeben beschrieben habe, sei also, dass man die Schadsoftware einem anderen Programm anhängen könne: Man könne also einem Dritten ein anderes Programm schicken und damit könne auch der Trojaner als Schadsoftware mitgeschickt werden, hat der Sachverständige bestätigt (AS 289 Rz. 138 ff.). Auf die entsprechende Frage führte er aus, wenn jemand wie er (der Sachverständige) diese Software interessehalber oder aus wissenschaftlichen Gründen ausprobiere, müsse er das Schadensprogramm dafür sicher nicht koppeln an ein anderes Programm, man lade dann nur die Schadensoftware auf den Computer herunter. Das sei korrekt. Er habe das Programm «Droidjack», das ja einerseits aus der Schadsoftware selbst bestehe, andererseits auch aus einem Programm zur Erzeugung dieser Schadsoftware oder aus einem anderen Programm, das ermögliche, diese Schadsoftware zusammenzuführen (AS 290 Rz. 159 ff.). Der Sachverständige erklärte auch, die fragliche Schadsoftware biete sich selbst als «Remote Administration Tool» an (AS 294 Rz. 357 f.).
Schon auf dem Titelblatt des Berichts vom 24. September 2015 des sachverständigen Zeugen C.___ (fedpol/KOBIK) wird folgendes ausgeführt:
«Käuflicher Erwerb einer Schadsoftware, welche es ermöglicht, diese in bestehende Softwarepakete für das Android-Betriebssystem einzuschleusen und unerlaubt über das Internet die Kontrolle über ein Handy, inklusive Zugriff auf SMS, Mails und Applikationsdaten, zu erlangen» (AS 9).
Es solle somit die Schadsoftware «DroidJack» in das Android-Betriebssystem eingeschleust werden. Genau so wird es auf Seite 2 (AS 10) des betreffenden Berichts umschrieben:
«Die Webseite http://droidjack.net ist eine Verkaufsplattform für die Schadsoftware ‘DroidJack’. Sofern auf einem Gerät mit dem Android-Betriebssystem installiert, erlaubt es die Schadsoftware einem Angreifer, die totale Kontrolle über das Gerät zu erlangen, inklusive Zugang zu Applikationsdaten wie SMS-Speicher, E-Mails, Standortdaten etc. Zudem erlaubt die Schadsoftware die Manipulation der auf dem Gerät gespeicherten Daten. Des Weiteren geht aus der Beschreibung der Software auf der Webseite hervor, dass diese in beliebige so genannte APK-Pakete (Programm-Dateien für Geräte mit Android-Betriebssystem) eingeschleust werden kann. Ein Angreifer kann somit ein bereits existierendes (gutartiges) Programm übernehmen und mit geringem Aufwand die zusätzlichen (bösartigen) Funktionen hinzufügen. Das überarbeitete Programm erfüllt weiterhin alle Funktionen des Original-Programms, gibt jedoch dem Angreifer zusätzlich die totale Kontrolle über das infizierte Gerät. Im beigelegten Memorandum kommt das deutsche Bundeskriminalamt zum Schluss, dass es sich bei der Software DroidJack nicht um ein so genanntes Dual-Use-Programm handle, das sowohl Potential für einen legitimen Einsatz als auch Missbrauchspotential aufweist. Vielmehr handelt es sich aufgrund der Fähigkeiten, der Art und Weise der Präsentation auf der Webseite http://droidjack.net und dem spezifischen Design des Quellcodes um ein Programm, welches mit der Absicht erschaffen wurde, unbemerkt die Kontrolle über Android-Geräte zu erlangen, indem es Drittprogrammen angefügt werden kann (so genanntes ‘Trojanisches Pferd’, kurz: ‘Trojaner’). Dementsprechend schliesst das BKA, dass für Personen, welche dieses Programm erwerben, der dringende Verdacht besteht, dass diese dies mit der Absicht tun, einen bösartigen Programmcode auf Android-basierte Geräte einzuschleusen.»
Gleich ist die Beschreibung im «Gutachten der Polizei Bielefeld zu Fähigkeiten von DroidJack 4.0 Beta» vom 12. Februar 2015 (AS 031 ff.):
«Bei dem Tool DroidJack handelt es sich um ein sogenanntes Remote Administration Tool (R.A.T.), das zur Fernsteuerung von Android-Smartphones mittels Microsoft Windows-PC oder Apple Mac genutzt werden kann» (AS 34).
«DroidJack besteht aus zwei Teilen. Der Kontrollsoftware, welche in Java programmiert wurde und auf den Betriebssystemen Mac OS und Windows (nicht Linux!) lauffähig ist, so wie der eigentlichen Schadensoftware, welche mit der Kontrollsoftware vorbereitet und im Anschluss auf beliebigen Android-Geräten installiert werden kann, um diese fernzusteuern» (AS 35).
«Zusammenfassung: Wie die Analyse zeigt, handelt es sich bei DroidJack 4.0 Beta um ein Remote Administration Tool, welches alle angegebenen Funktionen bietet. Dabei wurde offensichtlich ein besonderer Schwerpunkt auf die Verschleierung der Anwesenheit der Software gelegt. Somit ist die Software allem Anschein nach primär auf das unbemerkte Überwachen und Fernsteuern von Android-Smartphones ausgelegt» (AS 63).
Auch im Internet wird das Programm «DroidJack» als Trojaner beschrieben (Bericht vom 10.8.2015 auf https://www.heise.de/security/meldung/Stagefright-Online-Ganoven-tarnen-Android-Trojaner-als-Sicherheitsupdate-2775388.html, besucht am 17.3.2019):
«Die Absender fordern den Empfänger auf, ein in der Mail verlinktes Sicherheitsupdate mit dem Dateinamen CVE-2015-1538.apk über Sideloading zu installieren. Dabei handelt es sich jedoch nicht um einen Security-Patch, sondern um einen Android-Trojaner. Eine Sandbox-Analyse von heise Security und Untersuchungen des CISPA zeigen, dass es sich offenbar um das kommerzielle Remote-Administration-Tool (RAT) DroidJack handelt, das einen weitreichenden Fernzugriff auf das Android-Gerät erlaubt.»
9. Letztlich macht der Beschuldigte geltend, es handle sich vorliegend nicht um ein Schadprogramm, das sich selbst reproduziere und damit gemäss BGE 129 IV 230 E. 2.1.2 ein Programm im Sinne von Art. 144bis StGB sei. Der Sachverständige bestätigte vor der Vorinstanz, es sei ihm nicht bekannt, dass sich die Schadsoftware «DroidJack» wurmartig und unkontrolliert weiterverbreiten könne (AS 297 Rz. 535 ff.). Etwas laienhafter ausgedrückt wird damit vorgebracht, die Strafnorm stelle nur die Verwendung von Viren (die sich reproduzieren und sich so wurmartig weiterverbreiten), nicht aber die Verwendung von Trojanern wie «DroidJack» unter Strafe.
Die Vorinstanz hat sich unter Ziffer 2.2 lit. b) auf US 7 ff. eingehend mit diesem Einwand unter Bezugnahme auf entsprechende Literatur auseinandergesetzt und hat ihn zu Recht verworfen. Auf diese zutreffenden Erwägungen des Amtsgerichtspräsidenten kann vorweg vollumfänglich verwiesen werden.
BGE 129 IV 230 lag folgender Sachverhalt zu Grunde: Der Beschuldigte vertrieb CD-ROMs. Die CD-ROM war über ein Web-Browser-Programm (z.B. Microsoft, Internet-Explorer, Netscape) lesbar. Sie enthielt im Inhaltsverzeichnis unter anderem einen Bereich, der mit «VIRUS» betitelt war. Dieser Teil, der in fünf Unterbereiche gegliedert war, enthielt zwar kein lauffähiges Virusprogramm. Es fanden sich dort jedoch Instruktionen und Hinweise zur Erzeugung von Programmen, die Daten infizieren, zerstören oder unbrauchbar machen. Das Bundesgericht zitiert in der vom Beschuldigten in der Berufungsbegründung genannten und wörtlich wieder gegebenen Erwägung 2.1.2 aber die Vorinstanz (= Obergericht Kanton Zürich): Diese habe erwogen, unter die Tatbestandsvariante von Art. 144bis Ziff. 2 StGB fielen nur solche Programme, die dazu bestimmt seien, in die Datenverarbeitungsprogramme anderer eingeschleust zu werden. Sie müssten zudem über die Fähigkeit verfügen, sich selbst zu vervielfältigen. Wenn in der Berufungsbegründung nun diese Voraussetzung als bundesgerichtliche Rechtsprechung bezeichnet wird, ist das somit zumindest nicht präzis. Dazu kommt, dass der Gesetzestext keinerlei Einschränkung enthält, wonach nur Programme pönalisiert würden, welche «über die Fähigkeit verfügen, sich selbst zu vervielfältigen». Es mag sein, dass bei der Schaffung der Strafnorm vor allem Virusprogramme im Fokus standen, der Wortlaut der Strafnorm ist aber klar: Es geht um Programme, welche es ermöglichen, dass unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, gelöscht oder unbrauchbar gemacht werden. Eine Beschränkung auf Virenprogramme ergibt sich daraus in keiner Weise. Folglich ist auch die Einfuhr und die Herstellung des Trojaners «DroidJack» strafbar, da dieses Programm über die genannten Fähigkeiten verfügt, wie sich aus der obigen Sachverhaltsfeststellung ergibt. Ebenso ist es das Beweisergebnis, dass der Beschuldigte das Programm im Sinne des Gesetzes zu diesen Zwecken verwenden wollte. Er kannte die schädliche Wirkung des Programmes. Der Schuldspruch der Vorinstanz ist deshalb zu bestätigen.
Nur noch der Vollständigkeit halber: Wenn das Bundesgericht im genannten Entscheid die Handlungen des Beschwerdeführers einzig unter dem Gesichtspunkt der letzten der aufgeführten Tatbestandsvarianten von Art. 144bis Ziff. 2 Abs. 1 StGB prüfte, nämlich der Anleitung zur Herstellung von Programmen, die zu einem der in Ziff. 1 genannten Zwecke verwendet werden sollen, hatte das einen besonderen Grund: Die inkriminierte CD-ROM war über ein Web-Browser-Programm (z.B. Microsoft, Internet-Explorer, Netscape) lesbar. Sie enthielt im Inhaltsverzeichnis unter anderem einen Bereich, der mit «VIRUS» betitelt war. Dieser Teil, der in fünf Unterbereiche gegliedert war, enthielt zwar kein lauffähiges Virusprogramm. Es fanden sich dort jedoch Instruktionen und Hinweise zur Erzeugung von Programmen, die Daten infizieren, zerstören oder unbrauchbar machen (lit. A. des Urteils).
10. Unter diesen Umständen ist die Festplatte […] (aus dem Apple iMac 27 stammend) gestützt auf Art. 69 Abs. 1 StGB einzuziehen und durch die Polizei Kanton Solothurn zu vernichten. Es kann dazu auf die Ausführungen der Vorinstanz auf US 40 f. (Ziff. IV.) verwiesen werden.
III. Strafzumessung
1.Gemäss Art. 47 Abs. 1 StGB misst das Gericht die Strafe nach dem Verschulden des Täters zu. Es berücksichtigt das Vorleben und die persönlichen Verhältnisse sowie die Wirkung der Strafe auf das Leben des Täters. Die Bewertung des Verschuldens wird in Art. 47 Abs. 2 StGB dahingehend präzisiert, dass dieses nach der Schwere der Verletzung oder Gefährdung des betroffenen Rechtsguts, nach der Verwerflichkeit des Handelns, den Beweggründen und Zielen des Täters sowie danach bestimmt wird, wie weit der Täter nach den inneren und äusseren Umständen in der Lage war, die Gefährdung oder Verletzung zu vermeiden. Nach Art. 50 StGB hat das Gericht die für die Zumessung der Strafe erheblichen Umstände und deren Gewichtung festzuhalten.
Der Begriff des Verschuldens muss sich auf den gesamten Unrechts- und Schuldge-halt der konkreten Straftat beziehen. Innerhalb der Kategorie der realen Strafzumessungsgründe ist zwischen der Tatkomponente, welche nun in Art. 47 Abs. 2 StGB näher umschrieben wird, und der in Abs. 1 aufgeführten Täterkomponente zu unterscheiden (vgl. Stefan Trechsel/Marc Thommen in: Stefan Trechsel/Mark Pieth [Hrsg.], Praxiskommentar Schweizerisches Strafgesetzbuch, 3. Aufl., Zürich/St. Gallen 2018, Art. 47 StGB N 16 mit Hinweisen auf die bundesgerichtliche Praxis).
2. Die Datenbeschädigung gemäss Art. 144bis Ziff. 2 StGB wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Der Beschuldigte gefährdete mit seinem Verhalten das Rechtsgut der ungestörten Verwendbarkeit von Daten. Dass der Gesetzgeber mit Art. 144bis Ziff. 2 StGB typische Vorbereitungshandlungen zur eigentlichen Datenbeschädigung zu einem eigenständigen Delikt erhoben hat, zeigt, dass diesem Rechtsgut ein beachtlicher Rang zukommt. Ein grösserer – auch finanzieller – Aufwand für die Beschaffung des Programms war für den Beschuldigten nicht nötig, sein Vorgehen war aber - wie dies die Vorinstanz zu Recht festhält - überaus gut durchdacht und nur mit besonderen Fachkenntnissen durchführbar. Aus den Akten ergeben sich keine Anhaltspunkte, wonach der Beschuldigte neben B.___ weitere Personen im Visier hatte. Andererseits wollte er immerhin auch Mitteilungen ab dem Handy von B.___ und in deren Namen versenden und sie damit in ihrem Umfeld blossstellen. Der Beschuldigte handelte mit direktem Vorsatz und er hätte sich ohne weiteres rechtskonform verhalten können. Sein Motiv war Rache und damit ein niedriger Beweggrund. Mit der Vorinstanz ist insgesamt von einem noch leichten Tatverschulden auszugehen. Aus den Täterkomponenten ergeben sich keine für die Strafzumessung relevanten Umstände, es kann dazu auf die Ausführungen der Vorinstanz auf US 38 f. verwiesen werden. Die vom Amtsgerichtspräsidenten ausgefällte Geldstrafe von 150 Tagessätzen ist angemessen und zu bestätigen. Gleiches gilt für den Tagessatz von CHF 90.00; aus den von Amtes wegen eingeholten Steuerzahlen ergäben sich zwar höhere Werte, eine Erhöhung des Tagessatzes ist aber wegen des Verschlechterungsverbots nicht möglich. Dem Beschuldigten ist der bedingte Strafvollzug mit einer Probezeit von zwei Jahren zu gewähren.
IV. Kosten und Entschädigungen
Bei diesem Verfahrensausgang hat der Beschuldigte die Kosten des erst- und zweitinstanzlichen Verfahrens zu bezahlen. Die Urteilsgebühr für das Berufungsverfahren ist auf CHF 2'000.00 festzusetzen. Der Antrag auf Ausrichtung einer Parteientschädigung ist abzuweisen.
Demnach wird in Anwendung von Art. 34, 42 Abs. 1, Art. 44 Abs. 1, Art. 47, Art. 69, Art. 144bis Ziff. 2 Abs. 1 StGB, Art. 379 ff., 398 ff. sowie Art. 426 StPO erkannt:
1. Der Beschuldigte A.___ hat sich der Datenbeschädigung, begangen am 17./18. Juli 2015, schuldig gemacht.
2. A.___ wird zu einer Geldstrafe von 150 Tagessätzen zu je CHF 90.00 verurteilt, unter Gewährung des bedingten Vollzugs bei einer Probezeit von 2 Jahren.
3. Die sichergestellte Festplatte ([…], aus dem Apple iMac 27" stammend, aufbewahrt bei der Polizei Kanton Solothurn, Fachbereich Asservate) wird eingezogen und ist durch die Polizei des Kantons Solothurn nach Rechtskraft des Urteils zu vernichten.
4. Es wird festgestellt, dass gemäss rechtskräftiger Ziffer 4 des Urteils des Amtsgerichtspräsidenten von Bucheggberg-Wasseramt vom 18. Januar 2018 die folgenden beim Beschuldigten sichergestellten Gegenstände (alles aufbewahrt bei der Polizei Kanton Solothurn, Fachbereich Asservate) diesem nach Rechtskraft des Urteils herausgegeben werden:
a) Computer Apple iMac 27", […], ohne Festplatte;
b) Laptop Apple MacBook Pro, inkl. Datenträger Samsung SSD, […];
c) Mobiltelefon iPhone 6, […], inkl. allfälliger SIM-Karte;
d) SIM-Karte Turkcell […].
5. Der Antrag des Beschuldigten auf Ausrichtung einer Parteientschädigung für das erst- und zweitinstanzliche Verfahren wird abgewiesen.
6. Die Kosten des erstinstanzlichen Verfahrens mit einer Urteilsgebühr von CHF 2’000.00, total CHF 4’145.00, sowie des zweitinstanzlichen Verfahrens mit einer Urteilsgebühr von CHF 2'000.00, total CHF 2'020.00, hat der Beschuldigte zu bezahlen.
Rechtsmittel: Gegen diesen Entscheid kann innert 30 Tagen seit Erhalt des begründeten Urteils beim Bundesgericht Beschwerde in Strafsachen eingereicht werden (Adresse: 1000 Lausanne 14). Die Frist beginnt am Tag nach dem Empfang des begründeten Urteils zu laufen und wird durch rechtzeitige Aufgabe bei der Post gewahrt. Die Frist ist nicht erstreckbar. Die Beschwerdeschrift hat die Begehren, deren Begründung mit Angabe der Beweismittel und die Unterschrift des Beschwerdeführers oder seines Vertreters zu enthalten. Für die weiteren Voraussetzungen sind die Art. 78 ff. und 90 ff. des Bundesgerichtsgesetzes massgeblich.
Im Namen der Strafkammer des Obergerichts
Der Präsident Die Gerichtsschreiberin
Kiefer Lupi De Bruycker