20220615_142452_ANOM.docx I. Beschwerdeabteilung BS 2022 2 Oberrichter lic.iur. St. Scherer, Abteilungspräsident Oberrichter lic.iur. P. Huber Oberrichter lic.iur. M. Siegwart Gerichtsschreiberin MLaw J. Berweger Beschluss vom 28. September 2022 [rechtskräftig] in Sachen B.________ GmbH, vertreten durch RA lic.iur. C.________, Beschwerdeführerin, gegen Staatsanwaltschaft des Kantons Zug, II. Abteilung, An der Aa 4, Postfach, 6301 Zug, vertreten durch Staatsanwältin lic.iur. E.________, Beschwerdegegnerin, betreffend Einstellung
Seite 2/12 Sachverhalt 1. Mit Schreiben vom tt.mm.2020 reichte die B.________ GmbH (nachfolgend Beschwerdeführerin) Strafanzeige gegen unbekannt wegen unbefugter Datenbeschaffung, unbefugten Eindringens in ein Datenverarbeitungssystem, unbefugten Beschaffens von Personendaten und allfälliger weiterer Delikte ein. Zur Begründung führte sie – zusammengefasst – Folgendes aus: 1.1 Bei der unbekannten Täterschaft handle es sich mutmasslich um den Geschäftsführer und Gesellschafter der A.________ GmbH, F.________ (nachfolgend: Beschuldigter), und allenfalls weitere Beteiligte bzw. Mitarbeitende der A.________ GmbH. 1.2 Der Beschuldigte sei von der Beschwerdeführerin (über I.________) als Freelancer beauftragt worden, die von ihr angebotenen Softwareapplikationen zu überarbeiten und weiterzuentwickeln. Die Zusammenarbeit sei Mitte 2014 beendet worden. In der Folge habe I.________ ein Konkurrenzprodukt "J.________" entwickelt, welches heute über die A.________ GmbH vertrieben werde. Ab November 2016 sei es wiederholt zu Irregularitäten auf dem Netzwerk der Beschwerdeführerin gekommen (DDoS-Attacken, Verschlüsselung von Daten durch Ransomware etc.), wobei das ganze Netzwerk der Beschwerdeführerin oder einzelne Kundenserver angegriffen und lahmgelegt worden seien. Daraufhin hätten sich teilweise langjährige und zufriedene Kunden bei der Beschwerdeführerin beklagt, dass die von ihr angebotenen Dienstleistungen nicht mehr korrekt funktionieren würden. Ein Grossteil dieser Kunden habe in der Folge zum Konkurrenzprodukt "J.________" der A.________ GmbH gewechselt. Sie hätten jedoch nie eine entsprechende Datenherausgabe verlangt, obwohl dies für einen Wechsel auf eine neue Softwarelösung zwingend erforderlich sei. Es werde deshalb vermutet, dass der Beschuldigte (mit allenfalls weiteren Personen) die entsprechenden Kundendaten bereits im Vorfeld widerrechtlich von der Serverinfrastruktur der Beschwerdeführerin heruntergeladen habe. 1.3 Anfang 2020 habe die Beschwerdeführerin begonnen, die Angriffe auf ihre IT-Infrastruktur systematisch zu untersuchen und hierfür als Beraterin die G.________ AG beigezogen. Diese sei zum Schluss gekommen, dass eine unbekannte Täterschaft widerrechtlich in die IT-Infrastruktur der Beschwerdeführerin eingedrungen sei und dabei wohl wiederholt Datendiebstähle begangen und dadurch die Funktionsweise der Dienstleistungen und Serverinfrastruktur der Beschwerdeführerin negativ beeinflusst habe. Ein Mitarbeiter eines betroffenen Kunden habe der Beschwerdeführerin zudem mitgeteilt, der Beschuldigte habe sich im Namen der A.________ GmbH beim betroffenen Kunden gemeldet, diesem die eigenen – angeblich ungesichert im Internet frei zugänglichen – Kundendaten präsentiert und das eigene Konkurrenzprodukt angeboten. 1.4 Am 30. Oktober 2020 habe die G.________ AG einen Report erstellt, in welchem sie zu folgenden Erkenntnissen gelangt sei: - Die unbekannte Täterschaft habe zwei Softwaretools eingesetzt. Mit dem ersten Tool "Checker.exe" habe die Täterschaft überprüft, welche Datenbankdateien (".mbd-files") in den Datenordnern des jeweils angegriffenen Servers der Beschwerdeführerin zugänglich gewesen seien, und habe diese mit einem Hinweis "verschlüsselt" oder "offen" markiert.
Seite 3/12 Das zweite Tool "UploadBackup.exe" habe sämtliche ".mdb-files" und ".pdf-files" gesammelt, daraus ein ".zip-file" erstellt und auf einen Google-Drive-Account und/oder zum deutschen Hosting-Anbieter "K.________ GmbH" geladen. Anschliessend sei das entsprechende ".zip-file" wieder gelöscht worden. - Anschliessend habe sich die Täterschaft über die Fernwartungssoftware "Teamviewer" Zugang zum System bzw. Unternehmensnetzwerk der Beschwerdeführerin verschafft. Dabei habe die Täterschaft wohl über die B.________-Kunden, welche als Benutzer eingeloggt gewesen seien, die Session ID und das Passwort erhalten. Dadurch habe die Täterschaft die Session des Benutzers übernehmen können und sich von einem Kundensystem auch auf ein anderes System verbinden können, ohne auf dem angegriffenen System Spuren zu hinterlassen. So könne auch die Firewall umgangen werden. Die Auswertung der "TeamViewer"-Session habe sodann gezeigt, dass mehrmals die Ausführung von "Upload.cm", "Uploadbackup" und "Uploadbackup.exe" erfolgt sei. 1.5 Aus den Log-Einträgen sei sodann ersichtlich, dass die Täterschaft versucht habe, Domänen- sowie lokale Administratorenrechte auf verschiedenen Hosts der Beschwerdeführerin sowie Zugang zur internen Unternehmensdomain "B.________.local" zu erlangen. Schliesslich habe die Täterschaft so Kundendaten gesammelt und auf ein externes Google-Drive-Konto oder zum deutschen Provider "K.________ GmbH" exfiltriert. Dies sei nur möglich, wenn neben den Sicherheitsschranken der Kunden auch diejenigen der Beschwerdeführerin überwunden würden. Hierfür seien die Zugangsdaten sowohl der Kunden als auch der Beschwerdeführerin selbst notwendig. Die Täterschaft besitze gültige Kunden-Zugangsdaten und habe Kenntnis von einem veralteten Administratorenpasswort der Beschwerdeführerin. Zudem verfüge die Täterschaft über gültige Anmeldedaten mindestens eines Mitarbeiters der Beschwerdeführerin und des lokalen Benutzeradministrators des Servers "pro-data-01". Die Täterschaft sei dabei bis hin zu den Terminalservern der Beschwerdeführerin eingedrungen, sei auf acht verschiedenen Servern der Beschwerdeführerin aktiv gewesen und habe auch auf die Kundenverwaltungsanwendung der Beschwerdeführerin Zugriff gehabt. 2. Mit Schreiben vom tt.mm.2021 beauftragte die Staatsanwaltschaft die Zuger Polizei, die IP- Adresse __________, von welcher die Angriffe ausgegangen sein sollen, abzuklären sowie Preservation Requests bei Google und der K.________ GmbH in die Wege zu leiten. Die Ermittlungen ergaben, dass diese IP-Adresse zum fraglichen Zeitpunkt dem Beschuldigten zugewiesen war (Vi act. D 10/4). 3. Am tt.mm.2021 wurde eine Hausdurchsuchung in den Räumlichkeiten der A.________ GmbH und des Beschuldigten durchgeführt. Die sichergestellten Aufzeichnungen und Gegenstände wurden versiegelt. Die Staatsanwaltschaft stellte am tt.mm.2021 Antrag auf Entsiegelung und ersuchte gleichzeitig um Sistierung des Entsiegelungsverfahrens. 4. Am tt.mm.2021 befragte die Staatsanwaltschaft vier Zeugen und am tt.mm.2021 stellte sie den Parteien die Einstellung des Verfahrens in Aussicht. Die Beschwerdeführerin reichte am tt.mm.2021 eine ausführliche Stellungnahme ein.
Seite 4/12 5. Mit Verfügung vom 29. Dezember 2021 stellte die Staatsanwaltschaft das Verfahren gegen den Beschuldigten betreffend unbefugte Datenbeschaffung, unbefugtes Eindringen in ein Datenverarbeitungssystem und unbefugtes Beschaffen von Personendaten ein. Die Untersuchungskosten von CHF 5'195.80 sowie die Entschädigung an den Beschuldigten in der Höhe von CHF 4'553.35 zuzüglich Mehrwertsteuer auferlegte sie je zur Hälfte der Beschwerdeführerin; die andere Hälfte nahm sie auf die Staatskasse. Sodann hielt sie fest, dass nach Eintritt der Rechtskraft der Einstellungsverfügung das Gesuch um Entsiegelung vom tt.mm.2021 zurückgezogen werde. 6. Am 10. Januar 2022 erhob die Beschwerdeführerin hiergegen Beschwerde beim Obergericht und stellte folgende Anträge (act. 1): 1. Die Einstellungsverfügung der Oberstaatsanwaltschaft (Visum vom 29.12.2021) und der Staatsanwaltschaft des Kantons Zug vom 29.12.2021 in der Untersuchung gegen F.________, betreffend unbefugte Datenbeschaffung, unbefugtes Eindringen in ein Datenverarbeitungssystem, unbefugtes Beschaffen von Personendaten und allenfalls weitere Delikte sei aufzuheben und die Staatsanwaltschaft Zug sei anzuweisen, die Strafuntersuchung im Sinne der Anträge in Ziffer 3 nachfolgend weiterzuführen, gegebenenfalls mit Ausdehnung auf weitere Personen und anschliessend Anklage vor dem zuständigen Gericht zu erheben. 2. Der Beschwerdeführerin sei Akteneinsicht in das Nebendossier 2 und hier insbesondere in folgende Unterlagen zu gewähren: a. Schreiben RA L.________ an die KRIPO Zug vom 12.4.2021 (Dossier 2/1/2) b. Schreiben der Staatsanwaltschaft Zug an RA L.________ vom 16.4.2021 (Dossier 2/1/3) c. Gesuch um Akteneinsicht (Verteidigung) vom 25.5.2021 (Dossier 2/1/4) d. Verfügung über Akteneinsicht (Verteidigung) (Dossier 2/1/5-6) e. Schreiben RA L.________ an Staatsanwaltschaft (Auslandabwesenheit) vom 24.8.2021 (Dossier 2/1/7) 3. Die Staatsanwaltschaft sei anzuweisen, a. Die Kontaktnahme zwischen der Zuger Polizei und G.________ AG vom 25.2.2021 nachdokumentieren zu lassen; b. die im Forensikbericht vom 30.10.2020 nachweislich festgestellten und forensisch gesicherten Beweise auszuwerten und in der Strafuntersuchung vollumfänglich zu berücksichtigen sowie strafrechtlich zu würdigen; c. die Mitbeteiligung allfälliger Dritter, mindestens aus dem direkten Firmenumfeld (A.________ GmbH) des Beschuldigten F.________, vertieft abzuklären; d. zur Feststellung des erheblichen Sachverhalts die Entsiegelung der beschlagnahmten Daten aus der Hausdurchsuchung beim Strafgericht des Kantons Zug sofort in die Wege zu leiten; e. den internen Datensicherungsauftrag vom 2.2.2021 durchzusetzen und allenfalls diesbezüglich weitergehende Abklärungen bezüglich der Accounttätigkeiten bei M.________ Host des Beschuldigten durchzuführen; f. den rechtserheblichen Sachverhalt zu erheben und gestützt darauf den Beschuldigten mit den strafrechtlich relevanten, nachgewiesenen Handlungen gemäss Forensikbericht vom 30.10.2022 [recte: 2020] zu konfrontieren und ihn dazu zu befragen; g. in der Strafsache 2A 2020 297 KAM/stv beim zuständigen Gericht Anklage zu erheben.
Seite 5/12 Die Erhebung weiterer Beweise bleibt vorbehalten. 4. Unter Kosten- und Entschädigungsfolgen zulasten von F.________ und allenfalls weiterer Beschuldigter oder des Staates. 7. Mit Eingabe vom 24. Januar 2022 beantragte die Staatsanwaltschaft die Abweisung der Beschwerde, unter Kostenfolge zulasten der Beschwerdeführerin. Sie verzichtete auf eine Stellungnahme, verwies auf die Erwägungen in der Einstellungsverfügung und ersuchte für den Fall einer Rückweisung um Klarstellung, für welche Sachverhaltskomplexe die Untersuchung weitergeführt werden solle (act. 3). 8. Der Beschuldigte beantragte die Abweisung der Beschwerde und verzichtete im Weiteren auf eine Stellungnahme (act. 5). Erwägungen 1. Die Staatsanwaltschaft begründete die Einstellung des Verfahrens zusammengefasst wie folgt (act. 1/3): 1.1 Der Beschuldigte habe sich nicht der unbefugten Datenbeschaffung (Art. 143 StGB) strafbar gemacht. Er habe sich anlässlich der Hausdurchsuchung spontan dahingehend geäussert, dass er von den Kunden der Beschwerdeführerin den Auftrag erhalten habe, deren Daten in ein anderes System zu überführen, da die Beschwerdeführerin die Herausgabe der Daten verweigert habe. Die jeweiligen Kunden hätten sich aber selbständig in die Systeme der Beschwerdeführerin eingeloggt und dem Beschuldigten anschliessend die Kontrolle über die Systeme überlassen, damit dieser die Daten der Kunden habe herunterladen können. Dieses Vorgehen sei von den Zeugen anlässlich der Einvernahme bestätigt worden. Die Kunden hätten wechseln wollen und die Beschwerdeführerin die Datenherausgabe teilweise verweigert, weshalb sich die Zeugen gezwungen gesehen hätten, mithilfe des Beschuldigten mit ihren Logins die Daten zu migrieren. 1.2 Der Beschuldigte habe sich auch nicht des unbefugten Eindringens in ein Datenverarbeitungssystem (Art. 143bis StGB) strafbar gemacht. Alle Zeugen hätten übereinstimmend ausgesagt, dem Beschuldigten ihre Passwörter nicht überlassen zu haben. Seien solche benötigt worden, hätten die Zeugen diese selbst eingegeben. Der Beschuldigte habe zu keiner Zeit irgendeine elektronische Sicherung der Beschwerdeführerin umgangen und damit nicht irgendwelche Zugangsschranken überwunden. Die Aussagen des Beschuldigten und der Zeugen zeigten klar auf, dass weder der Beschuldigte noch eine andere Person aus dem Umfeld der A.________ GmbH in das System der Beschwerdeführerin im Sinne des Tatbestandes eingedrungen sei. Der Beschuldigte habe die Zeugen einzig bei ihrem Wechsel auf die Systeme der A.________ GmbH unterstützt. 1.3 Auch des unbefugten Beschaffens von Personendaten (Art. 179novies StGB) habe sich der Beschuldigte nicht strafbar gemacht. Der Beschuldigte habe keine Daten der Beschwerdeführerin beschafft. Die Personendaten gehörten einzig den Zeugen, welche
Seite 6/12 diese Daten auf das System der A.________ GmbH hätten übertragen wissen wollen. Hierfür habe weder der Beschuldigte noch eine andere Drittperson Sicherungsmechanismen oder Zugangssperren überwinden müssen. 1.4 Die Untersuchungen hätten sodann auch keine Hinweise auf ein sonstiges strafbares Verhalten ergeben. Die Zeugen hätten klar ausgesagt, sie seien mit den Leistungen der Beschwerdeführerin nicht mehr zufrieden gewesen und hätten deshalb den Anbieter gewechselt. Hingegen gebe es keinen hinreichenden Verdacht, dass die in der Anzeige und den Ergänzungen geschilderten Probleme der Beschwerdeführerin auf das Mitwirken des Beschuldigten bei der Datenmigration zurückzuführen seien. Die angebliche zeitliche Konnexität zwischen den Problemen der Beschwerdeführerin und der Unterstützung des Beschuldigten bei der Datenmigration würden keinen hinreichenden Verdacht für eine strafbare Handlung darstellen. Eine weitere Strafuntersuchung würde somit einer unerlaubten "fishing expedition" gleichkommen. Bezüglich der bereits in den Verfahren 2A 2017 2-4 abgehandelten Sachverhaltskomplexe (Strafanzeige vom 23. Dezember 2016 u.a. gegen den Beschuldigten bezüglich Kopierens und Verwendens des Sourcecodes der Beschwerdeführerin, Abwerben von Kunden) greife sodann der Grundsatz "ne bis in idem", weshalb diesbezüglich ein Verfahrenshindernis bestehe. 2. Die Beschwerdeführerin rügt in ihrer Beschwerde zusammengefasst Folgendes: 2.1 Vorliegend gehe es bei den Aktivitäten des Beschuldigten nicht bloss um das Herunterladen der Daten von – ihn angeblich autorisierenden – Kunden, sondern es hätten bewiesenermassen weitergehende Eingriffe in das besonders geschützte IT-Gesamtsystem der Beschwerdeführerin stattgefunden. Der Beschuldigte habe an den internen IT-Systemen und Datenbanken der Beschwerdeführerin sowie an fremden Kundendaten nachweislich strafrechtlich relevante Manipulationen vorgenommen durch a) weitergehende Informationsbeschaffungen aus den IT-Systemen der Beschwerdeführerin, b) Beschaffung von Daten unbeteiligter Drittkunden und c) Implementierung von fremden Programmcodes auf den IT-Systemen der Beschwerdeführerin. Dieses Vorgehen könne nicht durch irgendwelche Kundeneinwilligungen legitimiert werden, weil diese auch nicht involvierte Kunden sowie die Informatiksysteme der Beschwerdeführerin beträfen. 2.2 Der Beschuldigte habe sich dabei weitergehende Informationen aus den Systemen der Beschwerdeführerin beschafft, als dies über das Kundenlogin möglich sei. Der Account bzw. Login der Kunden umfasse einzig die Zugangs- und Nutzungsberechtigungen der Applikationen der Beschwerdeführerin, wodurch Funktionen der Applikation genutzt sowie Patientendaten bewirtschaftet und verwaltet werden könnten. Systemtechnisch sei ein direktes Herunterladen der Kundendaten hingegen nicht möglich und es bestehe technisch keine Möglichkeit, direkt auf die Systeme und insbesondere auf die Datenbanken mit den Patientendaten zuzugreifen, um daraus Datenextrakte für Kunden zu erstellen. Hierfür seien vielmehr zusätzliche, illegale System- und Programmmanipulationen ("Upload-Backup-Programme") notwendig, wie sie im Forensikbericht vom 30. Oktober 2020 dokumentiert und nachgewiesen seien. Nach dem Programm-Update zu Beginn des Jahres 2020 sei es dem Beschuldigten nicht mehr möglich gewesen, im gewohnten Umfang und mit dem eingespielten Vorgehen an die Datenbank mit den Kundendaten zu gelangen. Er habe
Seite 7/12 deshalb das Berechtigungssystem des Servers der Beschwerdeführerin mit Hackingtools "aushebeln" müssen, wie dies im Forensikbericht vom 30. Oktober 2020 bewiesen werde. Hierbei sei das System der Beschwerdeführerin im bestimmungsgemässen Betrieb gestört und schlussendlich jeweils auch in erheblichem Umfang beschädigt zurückgelassen worden. Das Vorgehen des Beschuldigten könne deshalb nicht mit der Einwilligung der Kunden, ihre Daten zu extrahieren oder ihre Account- und Passwortdaten bereitzustellen, begründet werden. Die entsprechenden Ausführungen in der Einstellungsverfügung seien ein technischer und juristischer Fehlschluss. 2.3 Der Beschuldigte sei sodann nachgewiesenermassen in die interne IT-Systeminfrastruktur der Beschwerdeführerin eingedrungen. 2.3.1 Aus dem Forensikbericht vom 30. Oktober 2020 ergebe sich aus Ziff. 2.2.4 beispielsweise, dass der Beschuldigte mit den Logindaten von N.________ (dessen Einwilligung nicht vorliege) auf den Account von N.________ und nach der Überwindung zusätzlicher Sicherheitsbarrieren widerrechtlich auf die internen IT-Systembereiche der Beschwerdeführerin (Entwicklungsumgebung, Kundenverwaltung) zugegriffen habe. Um diese Sicherheitsschranken zu durchbrechen, habe der Beschuldigte nachgewiesenermassen diverse Administratoren-Passwörter vom internen Domänen- Controlling der Beschwerdeführerin ausprobiert. Gleichzeitig habe der Beschuldigte die Benutzernamen und Passwörter eines ehemaligen Entwicklers der Beschwerdeführerin eingesetzt und ausprobiert sowie diejenigen eines aktuell angestellten Entwicklers missbraucht. Diese Angriffe seien in mehreren Fällen erfolgreich gewesen. So habe der Beschuldigte mit den Userdaten von O.________ ("___.Station1") die erste Sicherheitshürde überwinden und über den Server TS52 auf die internen IT-Systeme der Beschwerdeführerin zugreifen können, z.B. die interne Kundenverwaltung, Buchhaltung, Entwicklungsumgebung und die neueren Versionen der Software. Dazu habe der Beschuldigte von der Domäne "B.________" aus die Benutzeradministratoren "__" und "__" verwendet (Forensikbericht vom 30. Oktober 2020, Ziff. 2.2.5). Der Administrator "__" habe dabei keinen Zugang zu Kundendaten, sondern beschäftige sich mit der Kundenverwaltung und Source-Code- Arbeiten. Die missbräuchlich verwendete Benutzer-ID "__" könne somit keinesfalls für die Beschaffung von Kundendaten verwendet worden sein. Dafür habe der Beschuldigte diverse Sicherheitsschranken überwinden müssen, wobei er auch auf die Terminalserver TS_, TS_, TS_ und TS_ zugegriffen habe. Auf diesen Servern werde eine Vielzahl anderer Kunden gehostet. Aus dem Forensikbericht vom 30. Oktober 2020 ergebe sich zudem, dass sich der Beschuldigte auf den internen Server "___-01" mit RDP und in das SQL-Server-Management mit "Administrator" eingeloggt habe. Hierfür habe er sich mit einem speziellen Passwort einloggen müssen, welches nur den Entwicklern der Beschwerdeführerin bekannt sei. Der Administrator "___-01" habe dabei Zugriff auf tausende versendete Rechnungen der Beschwerdeführerin, nicht jedoch auf Kundendaten, weshalb auch dieser Zugriff keinesfalls durch Kundeneinwilligung legitimierbar sei. Die Datenbank-Server seien vom Internet aus nicht erreichbar, weshalb der Beschuldigte Logindaten von Kunden habe missbrauchen müssen, um die erste Sicherheitshürde des Servers TS_ zu umgehen. Sodann habe er sich interne Administratorenpasswörter der
Seite 8/12 Beschwerdeführerin beschaffen und diese verwenden müssen, um widerrechtlichen Zugang zu diesen Bereichen zu erlangen. Die Staatsanwaltschaft ignoriere diese Fakten vollständig. Die Einwilligung zum Download von Kundendaten hätten mit diesen nachweislich festgestellten kriminellen Tätigkeiten des Beschuldigten nichts mehr zu tun. 2.3.2 Der Beschuldigte habe ausserdem Angriffe auf andere Anwenderkonten verübt. Unter Verwendung des Benutzernamens und der Zugangsdaten des Zeugen P.________ seien Angriffe auf andere Anwenderkonten im System der Beschwerdeführerin durchgeführt worden, welche nicht von einer Einwilligung der Kunden gedeckt sein könnten. Dabei sei die Systemumgebung des Accounts des Zeugen P.________ derart stark beschädigt worden, dass die Systemumgebung nicht mehr bestimmungsgemäss ausführbar gewesen sei. Im Forensikbericht vom 30. Oktober 2020 seien Start- und Endzeiten der einzelnen Zugriffe auf Kundendaten nicht einwilligender Kunden dokumentiert (vgl. act. 1 S. 15 f.). Teilweise habe sich der Beschuldigte von diesen Kundenaccounts aus auf Systeme anderer Kunden weiterverbunden. 2.3.3 Der Beschuldigte habe zudem auf Kundendaten von nicht beteiligten Drittkunden, welche keinen Auftrag für eine Datenextraktion erteilt hätten, zugegriffen und diese weiterverwendet. Gemäss Forensikbericht vom 30. Oktober 2020 habe der Beschuldigte zuerst über Kundenlogins versucht, auf weitere Kundendaten zuzugreifen und sich wenig später mit den Kundendaten dieser unbeteiligten Drittkunden angemeldet. Am 13. Oktober 2020 habe sich der Beschuldigte beispielsweise mit dem Usernahmen von Q.________ ohne dessen Einwilligung eingeloggt und wiederholt auf das System der Beschwerdeführerin zuzugreifen versucht (vgl. act. 1 S. 18 f.). Dabei sei es dem Beschuldigten gelungen, auf Server zuzugreifen, welche hochsensible Rechnungsdaten und Mails der Beschwerdeführerin enthielten. Auf diese Server habe kein Kunde Zugriff und diese seien vom Internet aus nicht erreichbar. Der Beschuldigte habe somit Kundenlogins missbrauchen müssen, um die erste Sicherheitshürde zum Terminalserver TS_ überwinden zu können. Sodann habe er sich mit internen Administratorenpasswörtern der Beschwerdeführerin auf die internen Systeme weiterverbunden. 2.3.4 Überdies habe sich der Beschuldigte nachweislich im Oktober 2020 mit den Benutzerdaten von R.________, Mitarbeiter der Beschwerdeführerin, angemeldet und sodann am 22. und 23. Oktober 2020 auf den Server "___01" zugegriffen, welcher über die Kundendomäne nicht erreichbar sei. Darauf seien die interne Kundenverwaltung, die Buchhaltung der Beschwerdeführerin, Störungsmeldungen und E-Mails der Kunden abgelegt. Die Login- Informationen würden von R.________ mit niemandem geteilt, weshalb der Beschuldigte diese aus den internen Systemen der Beschwerdeführerin beschafft haben müsse. Diese Zugriffe auf das interne System der Beschwerdeführerin würden in der Einstellungsverfügung nicht abgehandelt, sondern schlicht totgeschwiegen. 2.4 Der Beschuldigte habe schliesslich eigene Programme in die Systemumgebung der Beschwerdeführerin implementiert. Die entsprechende Auflistung ergebe sich aus dem Forensikbericht vom 30. Oktober 2020 auf den Seiten 17-25. So habe der Beschuldigte das von ihm entwickelte Programm "UploadBackup.exe" mindestens auf den Servern TS_, TS_ und TS_ der Beschwerdeführerin ausgeführt. Am 9. Oktober 2020 habe der Beschuldigte versucht, mit dem "SQL Server Management Studio" und dem Taskmanager innerhalb einer
Seite 9/12 Remote-Desktop-Sitzung Anmeldeinformationen auszulesen. Am 23. Oktober 2020 habe der Beschuldigte eine RDP-Sitzung von TS_ auf "___01" aufgebaut und ein Programm geöffnet, mittels welchem er Zugangsdaten der Kunden erhalten habe. Mit dem selbst entwickelten Programm "UploaderBackup.exe" habe der Beschuldigte Kundendaten unbeteiligter Dritter gesammelt und herauskopiert. Auch damit setze sich die Staatsanwaltschaft in der Einstellungsverfügung nicht auseinander. 3. Die Staatsanwaltschaft verfügt gemäss Art. 319 Abs. 1 StPO unter anderem dann die Einstellung des Verfahrens, wenn kein Tatverdacht erhärtet ist, der eine Anklage rechtfertigt (lit. a), wenn kein Straftatbestand erfüllt ist (lit. b) oder wenn Rechtfertigungsgründe einen Straftatbestand unanwendbar machen (lit. c). Der Entscheid über die Einstellung eines Verfahrens hat sich nach dem Grundsatz "in dubio pro duriore" zu richten. Danach darf eine Einstellung durch die Staatsanwaltschaft grundsätzlich nur bei klarer Straflosigkeit oder offensichtlich fehlenden Prozessvoraussetzungen angeordnet werden. Hingegen ist, sofern die Erledigung mit einem Strafbefehl nicht in Frage kommt, Anklage zu erheben, wenn eine Verurteilung wahrscheinlicher erscheint als ein Freispruch. Ist ein Freispruch genauso wahrscheinlich wie eine Verurteilung, drängt sich in der Regel, insbesondere bei schweren Delikten, eine Anklageerhebung auf. Bei zweifelhafter Beweis- oder Rechtslage hat nicht die Staatsanwaltschaft über die Stichhaltigkeit des strafrechtlichen Vorwurfs zu entscheiden, sondern das zur materiellen Beurteilung zuständige Gericht. Der Grundsatz, dass im Zweifel nicht eingestellt werden darf, ist auch bei der Überprüfung von Einstellungsverfügungen zu beachten (BGE 143 IV 241 E. 2.2 m.w.H.). 4. Die Staatsanwaltschaft stützt ihre rechtliche Würdigung in der Einstellungsverfügung auf eine Sachverhaltsfeststellung, welche sich nicht in dieser Klarheit aus den Akten ergibt. 4.1 So geht die Staatsanwaltschaft davon aus, der Beschuldigte habe zu keiner Zeit irgendeine elektronische Sicherung der Beschwerdeführerin umgangen und sei abgesehen vom Kundenlogin nicht in das System der Beschwerdeführerin eingedrungen. Er habe die Zeugen einzig bei ihrem Wechsel auf die Systeme der A.________ GmbH unterstützt, indem er ihre Daten mithilfe ihres Logins extrahiert habe. Hingegen nimmt die Staatsanwaltschaft keine Stellung zu den Behauptungen der Beschwerdeführerin, dass (1) der Beschuldigte – neben der Migration von Daten seiner neuen Kunden – auf Daten unbeteiligter Kunden zugegriffen und diese eventuell kopiert habe, (2) er in das System der Beschwerdeführerin eingedrungen sei und (3) hierfür Login-Daten von unbeteiligten Kunden sowie Mitarbeitenden der Beschwerdeführerin verwendet habe, (4) dass der Beschuldigte eigene Programme auf dem System der Beschwerdeführerin installiert, verwendet und wieder gelöscht und (5) weitergehende Informationen aus den Systemen der Beschwerdeführerin beschafft habe, als dies über das Kundenlogin möglich sei. Die Beschwerdeführerin trug ihre Behauptungen dabei substanziiert vor und verwies auf entsprechende Beweismittel. Aus den Akten ergeben sich dennoch keine Hinweise, dass die Staatsanwaltschaft die Behauptungen der Beschwerdeführerin geprüft hätte. 4.2 Vielmehr stützt sich die Staatsanwaltschaft bei ihren Sachverhaltsfeststellungen einzig auf die Aussagen der vier Zeugen sowie eine spontane Äusserung des Beschuldigten anlässlich der Hausdurchsuchung. Dabei fällt auf, dass keiner der Zeugen darlegen konnte, wie der Beschuldigte an die Kundendaten gelangte, obwohl die Zeugen selbst die Daten nicht
Seite 10/12 extrahieren konnten. Auch konnten die Zeugen nicht nachvollziehen, was der Beschuldigte im Rahmen der Datenmigration mithilfe ihres Accounts tat. Der Beschuldigte selbst wurde nicht dazu befragt, wie er die Datenmigration genau gestaltete, insbesondere als diese nicht reibungslos funktionierte. 4.3 Die Beschwerdeführerin ihrerseits legte einen Forensikbericht der G.________ AG (Vi act. D 4/1/5) vor, der ihrer Darstellung der geschilderten Vorgänge zugrunde liegt, und beschreibt unter Verweis auf diesen Bericht detailliert, welche Handlungen an welchem Datum durch eine Person mit der IP-Adresse des Beschuldigten vorgenommen worden seien. Die Staatsanwaltschaft erklärt nicht, weshalb der Forensikbericht und die daraus abgeleiteten Schlussfolgerungen der Beschwerdeführerin unzutreffend sein sollen. Es ist somit nicht ersichtlich, wie die Staatsanwaltschaft zu ihrer abweichenden Sachverhaltsfeststellung gelangt. Aufgrund des Forensikberichts vom 30. Juni 2020 und den detaillierten, mit objektiven Beweismitteln zumindest plausibel dargelegten Behauptungen der Beschwerdeführerin ist der Sachverhalt somit nicht genügend geklärt, um gestützt darauf das Strafverfahren gegen den Beschuldigten einzustellen. 4.4 Der von der Beschwerdeführerin behauptete Sachverhalt würde sodann ein strafbares Verhalten des Beschuldigten nahelegen. Dieses wäre insbesondere nicht durch die Einwilligung bestimmter Kunden gerechtfertigt, da gemäss Darstellung der Beschwerdeführerin ihre eigenen IT-Systeme und unbeteiligte Drittkunden betroffen gewesen seien. Auf weitergehende Ermittlungen kann deshalb auch nicht aufgrund einer antizipierten Beweiswürdigung verzichtet werden. 5. Die Beschwerde ist somit gutzuheissen, die Einstellungsverfügung vom 29. Dezember 2021 aufzuheben und das Verfahren zur weiteren Abklärung an die Staatsanwaltschaft zurückzuweisen. 5.1 Die Staatsanwaltschaft ersuchte für diesen Fall das Obergericht, die Sachverhaltskomplexe, die weiter zu untersuchen sind, zu bezeichnen. Aufgrund der Vorbringen der Beschwerdeführerin (vorne E. 3) wird namentlich abzuklären sein, ob der Beschuldigte i) weitergehende Informationen oder Daten aus den Systemen der Beschwerdeführerin beschaffte, als dies über das Kundenlogin möglich war, ii) ob er in die interne IT- Systeminfrastruktur der Beschwerdeführerin eingedrungen ist, iii) ob er dadurch Kundendaten oder andere Informationen erlangte und iv) ob er Programme in die Systemumgebung der Beschwerdeführerin implementierte. Dabei wird zu klären sein, ob die in diesem Zusammenhang gemachten Feststellungen im Forensikbericht vom 30. Oktober 2020 und die daraus gezogenen Schlüsse der Beschwerdeführerin zutreffend sind. 5.2 Hingegen erscheint eine Abklärung des Sachverhalts, welcher der Nichtanhandnahmeverfügung vom 21. Februar 2017 in den Verfahren 2A 2017 2-4 zugrunde lag, nicht angezeigt. Dies wird von der Beschwerdeführerin im Beschwerdeverfahren auch nicht geltend gemacht. Inwieweit Abklärungen zu Störungen der Systemumgebung der Beschwerdeführerin vorzunehmen sind, kann beim aktuellen Ermittlungsstand nicht beurteilt werden. Hierfür ist insbesondere relevant, ob sich die von der Beschwerdeführerin behaupteten Aktivitäten des Beschuldigten so zugetragen haben und ob diese geeignet wären, die behaupteten Störungen zu verursachen.
Seite 11/12 5.3 Schliesslich wird die Staatsanwaltschaft in einem hinreichend begründeten Entscheid über das Gesuch der Beschwerdeführerin um Einsicht in die Akten der Nebendossiers 1 und 2 zu entscheiden haben. Wie die Beschwerdeführerin in der Beschwerde zutreffend rügt, hat die Staatsanwaltschaft bisher keine begründete Verfügung erlassen, in welcher sie – unter Hinweis auf die gesetzlichen Anforderungen der Einschränkung der Akteneinsicht – ihren ablehnenden Entscheid näher begründet. Der Verweis auf die "Usanz", gewisse Teile der Untersuchungsakten nicht zur Verfügung zu stellen, erfüllt die Anforderung an die Begründung der Einschränkung des Akteneinsichtsrechts nicht. 6. Hebt die Beschwerdeinstanz einen Entscheid auf und weist die Sache an die Vorinstanz zurück, sind die Kosten des Beschwerdeverfahrens auf die Staatskasse zu nehmen (Art. 428 Abs. 4 StPO). Die Beschwerdeführerin ist zudem für die notwendigen Aufwendungen im Beschwerdeverfahren aus der Staatskasse zu entschädigen (Art. 436 Abs. 3 StPO; Schmid/ Jositsch, Schweizerische Strafprozessordnung, Praxiskommentar, 3. A. 2018, Art. 436 StPO N 4; Wehrenberg/Bernhard, Basler Kommentar, 2. A. 2014, Art. 436 StPO N 8; je m.H.). Beschluss 1. In Gutheissung der Beschwerde wird die Einstellungsverfügung der Staatsanwaltschaft vom 29. Dezember 2021 aufgehoben und die Sache wird zur weiteren Abklärung im Sinne der Erwägungen an die Staatsanwaltschaft zurückgewiesen. 2. Die Kosten dieses Verfahrens betragen CHF 1'800.00Gebühren CHF 35.00 sonstige Auslagen CHF 1'835.00Total und werden auf die Staatskasse genommen. Der Kostenvorschuss in der Höhe von CHF 2'500.00 wird der Beschwerdeführerin zurückerstattet. 3. Die Beschwerdeführerin wird für das Beschwerdeverfahren mit CHF 4'000.00 (inkl. MWST) aus der Staatskasse entschädigt. 4. Gegen diesen Entscheid ist die Beschwerde in Strafsachen gemäss Art. 78 ff. des Bundesgerichtsgesetzes (BGG) zulässig; die Beschwerdegründe richten sich nach Art. 95 ff. BGG. Die Beschwerde ist innert 30 Tagen seit Zustellung des Entscheids schriftlich, begründet und mit bestimmten Anträgen sowie unter Beilage des Entscheides und der Beweismittel (vgl. Art. 42 BGG) beim Schweizerischen Bundesgericht, 1000 Lausanne 14, einzureichen.
Seite 12/12 5. Mitteilung an: - Parteien (an die Staatsanwaltschaft unter Rückgabe der eingereichten Akten) - RA D.________ (z.H. des Beschuldigten) - Gerichtskasse (im Dispositiv) Obergericht des Kantons Zug I. Beschwerdeabteilung lic.iur. St. Scherer MLaw J. Berweger Abteilungspräsident Gerichtsschreiberin versandt am: