SBS Firmengruppe Logos

| Kryptorecht, Sonstige Rechtsgebiete

NFT-Strafrecht: Diebstahl im Metaverse


NFT’s (non-fungible Token) sind sowohl im Internet, als auch in der nicht-virtuellen Welt immer noch ein sehr heißes Thema. Die Mode-Branche benutzt die virtuellen Wertmarken ständig, um ihr Geschäft auch ins Internet 3.0 und in die Metaverse zu tragen. Jedoch zeigen auch kuriose Rechtsstreitigkeiten, wie zum Beispiel die Meta-Birkins, dass viele Rechtsfragen noch klärungsbedürftig sind. Hierzu zählt auch das NFT-Strafrecht. Kann man NFT’s überhaupt „stehlen“? Gibt es ein Eigentum an den Token, also den Programm-Codes, die hinter einem virtuellen Bild stecken? Diese Fragen werden im folgenden Beitrag erläutert.

Einleitung ins NFT-Strafrecht

Zunächst klären wir die spannende Frage, ob man ein NFT stehlen kann. In den Medien wird mittlerweile immer öfter berichtet, dass Hacker einen Angriff auf ein NFT-Unternehmen starten, um NFT’s im Wert von einigen Millionen Dollar zu stehlen. Außerdem machen auch Nachrichten die Runde, in denen es um Betrug und arglistige Täuschung geht. Wir haben bereits in einem Beitrag über die Schwierigkeiten der NFT-Einordnung geschrieben. Diese werden nämlich über sogenannte Smart-Contracts veräußert. Sachenrechtlich lassen sich die sogenannten „nicht austauschbaren Token“ nur sehr schwer identifizieren, da es sich nicht um körperliche Gegenstände handelt. Das erläutern wir im nächsten Abschnitt etwas genauer.


Diebstahl gem. §242 des Strafgesetzbuches (StGB)

Wer eine fremde, bewegliche Sache einem anderen wegnimmt, um sich die Sache zuzueignen, wird mit Freiheitsstrafe oder Geldstrafe bestraft.


Abgrenzung NFT-Diebstahl und NFT-Betrug

NFT-Strafrecht und NFT-DiebstahlMedien berichten von „Raub“ und „Diebstahl“ bei NFT-Plattformen, wie OpenSea. Dabei handelt es sich genau genommen nicht um einen Diebstahl nach dem Strafgesetzbuch, sondern eher um einen Betrug. Und das, obwohl man davon ausgehen durfte, dass NFT’s wegen der vielen zusammenhängenden Daten-Blöcke eigentlich sicher sind.

Bei einem Angriff auf den Discord-Server des „Bored Ape Yacht Club“ (BAYC), einem der berühmtesten NFT-Hersteller, kam es zu einem „Diebstahl“, bei dem die Täter NFT-Kollektionen im Wert von über 3 Millionen US-Dollar stahlen. Diese Art von Diebstahl nennt sich Phishing-Angriff. Dazu später mehr. Die Angreifer hackten den Instagram-Account des BAYC-Projekts und lockten die Nutzer per Links auf eine falsche Seite, die die Originalseite des Projekts nachahmte. Die jeweiligen Opfer verknüpften ihre Wallets mit der Website und stimmten der Transaktion zu. Dadurch wurden die NFTS den Cyberkriminellen unverzüglich übertragen.

Wie man oben sehen kann, müssen die Tatbestandsmerkmale für den Diebstahl nach §242 StGB vorliegen. Aus zwei Gründen kommt das hier nicht in Betracht:

  • Keine bewegliche Sache
  • Keine Wegnahme

Die Voraussetzungen werden im Folgenden näher erläutert.

NFT’s als bewegliche Sache nach §90 BGB

Bewegliche Sachen sind nach §90 des Bürgerlichen Gesetzbuches (BGB) körperliche Gegenstände. Da NFT’s aber nur Daten-Codes hinter verschiedenen sichtbaren Medien (bspw. Bildern) sind, liegt kein körperlicher Gegenstand vor. Hier helfen auch die neuen Regelungen zu digitalen Produkten (noch) nicht weiter, die seit der Schuldrechts-Modernisierung in 2022 eingeführt wurden.

NFT’s könnten Sachen gleichgestellt werden, da sie ja eine gewisse Ähnlichkeit aufweisen. Jedoch verbietet das Strafrecht eine Analogie zulasten des Täters. Im Zivilrecht darf man Normen auf gleich gelagerte Fälle anwenden, wenn es eine planwidrige Regelungslücke und eine vergleichbare Interessenlage gibt. Im Strafrecht gibt es jedoch das Analogieverbot, welches in Artikel 103 Absatz 2 des Grundgesetzes (GG) verankert ist.

Keine Wegnahme bei Phishing-Angriffen

Eine Wegnahme gem. §242 StGB ist der Bruch fremden, und die Begründung neuen – nicht notwendigerweise tätereigenen – Gewahrsams. Das bedeutet, dass Sachherrschaft des bisherigen NFT-Besitzers gegen seinen Willen oder ohne seinen Willen aufgehoben wird. Anschließend muss der Täter oder ein Dritter die tatsächliche Sachherrschaft über den jeweiligen Gegenstand haben. Das Opfer muss durch den Täter auch noch gehindert werden, den Besitz auszuüben oder über die Sache frei zu verfügen. Das zeigt also, dass der Täter eigenmächtig tätig wird und das Opfer somit aktiv schädigt. Es handelt sich um ein Fremdschädigungsdelikt. Bei einem Betrug handelt es sich dagegen um ein Selbstschädigungsdelikt, weil das Opfer selbst die Transaktion oder die Verfügung vornimmt.

Deshalb machen auch Schlagzeilen, wie „Hacker stehlen NFTs im Wert von mehreren Millionen US-Dollar“ eigentlich keinen Sinn. Im obigen Fall des „Bored Ape Yacht Club“ haben die Opfer nämlich der Datenübertragung und dem Eingriff in die Zugangsdaten zugestimmt und die Transaktion unterschrieben. Die strafrechtlich relevante Handlung ist die „freiwillige“ Herausgabe der Daten, nicht die „Wegnahme“ durch den Täter.


Betrug gem. §263 StGB

Wer durch Lügen oder durch Vorspiegelung falscher Tatsachen beim Opfer einen Irrtum hervorruft und ihn zu einer Vermögensverfügung verleitet und sich dadurch einen rechtswidrigen Vermögensvorteil verschafft, wird mit Freiheitsstrafe oder mit Geldstrafe bestraft.


Krypto-Strafrecht: Computerbetrug und Datenverarbeitung

Da eine Strafbarkeit nach §242 StGB ausscheidet, könnte ein Betrug nach §263 Absatz 1 StGB in Betracht kommen. Durch die Täuschungshandlung (Fake-Seite) und den dadurch eingetretenen Irrtum bei den Opfern haben diese auch erst die Transaktionen durchgeführt, also ihr eigenes Vermögen übertragen. Nachdem Sie das getan hatten, entstand auch ein Schaden, weil sie dadurch ihre NFT-Sammlungen verloren hatten.

Die Vermögensverfügung grenzt den Betrug vom Diebstahl ab, auch wenn dieses Tatbestandsmerkmal nicht explizit in dem Paragraphen genannt ist. Damit meint man Handlungen, die sich unmittelbar vermögensmindernd auswirken. Wenn also das Opfer selbst die NFT’s an die Täter überträgt und dadurch einen Vermögensschaden hat, tut er dies sozusagen freiwillig aufgrund der Täuschung. Dementsprechend liegt dann ein Betrug nach §263 StGB vor.

Auch der modernere Computerbetrug gem. §263a StGB kommt möglicherweise in Frage. Wenn der Täter einen Datenverarbeitungs-Ablauf manipuliert, wodurch ein Vermögensschaden eintritt, dann wird er bestraft. Wenn eine unbefugte Person durch die unbefugte Verwendung von Daten auf die Wallets der Berechtigten zugreift und die NFT’s auf andere Wallets überträgt, dann kann der ursprüngliche Besitzer nicht mehr auf seine Token zugreifen. Dadurch erleidet er dann automatisch einen Vermögensschaden. Jedoch findet bei Transaktionen mit NFT’s gerade kein Abgleich der Identität des Nutzers durch einen Validierungs-Prozess statt, wie es bei der Überweisung mittels TAN der Fall ist. Durch die Blockchain verschaffen sich die Täter ohne Wissen des Opfers den Zugriff auf die Wallet und übertragen die NFT’s einfach selbst. Nach außen sieht es aber wie eine normale Übertragung aus. Ein Computerbetrug liegt also nicht vor, da es keinen täuschungsähnlichen Vorgang gibt.

Sind NFT’s ausspähungsfähige Daten gem. §202a StGB?

Der §202a StGB stellt das Ausspähen von Daten unter Strafe. Derjenige, der sich unbefugt Zugang zu Daten – beispielsweise in einer Wallet – unter Überwindung der Zugangssicherung verschafft, wird bestraft. NFT’s sind eine Art Datenspur und fallen demnach unter den Begriff des §202a StGB. Daten sind laut Strafgesetzbuch solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Sie werden gespeichert, wenn sie digital, optisch und oder akustisch auf einem Datenträger fixiert werden. Eine dauerhafte Speicherung der Daten ist hingegen nicht erforderlich. Auch die kurzzeitige Speicherung genügt. Die Daten müssen gegen unberechtigten Zugang besonders gesichert sein. Hierfür ist der Wille des Verfügungsberechtigten maßgeblich. Wenn sich die NFT-Täter also eigenverantwortlich Zugang zu fremden passwortgeschützten Wallets verschaffen, dann sind diese Daten nicht für sie bestimmt und eine Strafbarkeit nach § 202a StGB liegt nahe.

Phishing-Attacken auf NFT’s im Metaverse

Im Grunde handelt es sich bei NFT-Dieben im Metaverse eigentlich eher um klassische Phishing-Betrüger. Phishing ist der Versuch, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdige Person auszugeben. Durch diesen Trick werden ahnungslosen Nutzern geheime Daten entlockt. Durch die täuschend echt aussehenden Links oder E-Mails veranlassen die Betrüger die NFT-Nutzer zur Eingabe ihrer Zugangsdaten, um danach auf die Daten, also auch auf die Wallet und die NFT’s zuzugreifen. Hier kommen die oben beschriebenen Straftatbestände Betrug gem. § 263 Abs. 1 StGB, Computerbetrug gem. § 263a StGB, Ausspähen von Daten gemäß § 202a ff. StGB sowie Datenveränderung gemäß § 303a StGB. in Betracht.

Fragmentarisches Strafrecht: Neue Straftatbestände nötig?

Die aufgeführten Beispiele zeigen, dass die steigende Kriminalität im Zusammenhang mit NFTs nicht auf eine mangelnde Sicherheit der Technik zurückzuführen ist. Es existieren keine schwerwiegenden Sicherheitslücken auf den Plattformen oder in der Blockchain an sich, sondern die Nutzer haben voreilig ihre NFT-Wallets an die Täter herausgegeben. Und dadurch entstand dann der Schaden. Alte Betrugsmaschen können also auch auf neue Technologien angewendet werden. Die Systeme brauchen kein Update, sondern die Nutzer ein stärkeres Sicherheits- / Risiko-Empfinden.



SBS-Legal – Anwalt für Kryptorecht

Wenn Sie auch Opfer eines Phishing-Angriffes geworden sind oder lieber auf Nummer sicher gehen wollen, dann schreiben Sie uns. Es kommt oft vor, dass Täter ahnungslosen Opfern die – zum Teil sehr wertvollen – NFT’s aus der Tasche (Wallet) ziehen wollen. Bevor Sie ein vermeintlich gutes Geschäft vollziehen, dass sie nachher vielleicht sogar ruiniert, melden Sie sich bei unseren Experten. Wir helfen Ihnen, die Vertragspartner zu verifizieren und die Transaktion risikofrei zu vollziehen. Außerdem stehen wir mit allen Fragen rund ums Thema Kryptorechts für Sie zur Verfügung. Unsere spezialisierten Rechtsanwälte beraten Sie aufgrund jahrelanger Erfahrung fachkundig und kompetent in allen Belangen des Kryptorechts. Wir setzen Ihre Interessen sowohl gerichtlich als auch außergerichtlich für Sie durch.

Gerne können wir Ihnen auch eine Beratung über das Kryptorecht hinaus in den verwandten Themengebieten des Internetrechts oder Compliance-Rechts anbieten. Bei uns steht Ihnen immer der richtige Partner zur Verfügung.

Noch Fragen zum IT- und Kryptorecht?

Unsere Fachanwälte für IT- und Kryptorecht stehen Ihnen tatkräftig zur Verfügung. Das Kryptorecht – und speziell das NFT-Recht – sind neue Ausformungen der immer weiter fortschreitenden Technologie und der modernen Finanzierung. Scheuen Sie sich nicht, vorher Informationen einzuholen. Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.

Der Erstkontakt zu SBS LEGAL ist immer kostenlos.

SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.

Zurück zur Blog-Übersicht