Das Phänomen „Computerkriminalität“ ist zahlenmäßig nur schwer zu erfassen, da eine Beg-riffsdefinition (vgl. Kapitel 1.7) bislang noch aussteht. Die den deutschen Ermittlungsbehör-den bekannt geworErmittlungsbehör-denen Straftaten werErmittlungsbehör-den in der jährlich geführten Polizeilichen Kriminal-statistik (PKS) erfasst.150 Darin erscheinen die Fälle, die der Polizei im Rahmen von Ermitt-lungsverfahren hinreichend bekannt geworden sind, d.h. es müssen überprüfbare Anhalts-punkte für Tatbestand, Zeitpunkt, Ort, Beteiligte, usw. vorliegen.151 Auf eine Verurteilung
145 Pressemitteilung des DFN vom 21.04.1997, http://www.dfn.de/service/ra/archiv/sperrung.html; Hoe-ren/Sieber – Sieber 19 Rn 107 ff., 201 ff.; „heise online“, 09.09.1996,
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/data/un-09.09.96-000/default.shtml&words=radikal; 17.04.1997
http://www.heise.de/newsticker/result.xhtml?url=/newsticker/data/un-17.04.97-000/default.shtml&words=radikal
146 Verfassungsschutzbericht 2002, S. 107 ff.
147 http://www.fsm.de/ (01.03.2004)
148 http://www.inhope.org/ (01.03.2004)
149 Krempl “telepolis” 09.03.2001, http://www.heise.de/tp/deutsch/inhalt/te/7103/1.html
150 Elektronische Version über die Homepage des BKA verfügbar, http://www.bka.de/ (01.03.2004)
151 PKS 2002, Vorbemerkung, lit. D, S. 19 ff.
kommt es nicht an. In Bezug auf die Aussagekraft dieser Statistik wird in der PKS zu Recht darauf hingewiesen, dass auf Grund eines schwer abschätzbaren Dunkelfeldes bei den Ermitt-lungen „kein getreues Bild der Kriminalitätswirklichkeit gegeben werden kann, sondern nur eine mehr oder weniger starke Annäherung an die Realität.“152 Eine Differenzierung zwischen Datennetz- und sonstiger im Zusammenhang mit Computern stehender Kriminalität erfolgt in der PKS nicht. Unter dem Stichwort „Computerkriminalität“ wurden folgende Delikte erfasst:
Betrug mittels rechtswidrig erlangter Debitkarten mit PIN, Computerbetrug (§ 263a StGB), Betrug mit Zugangsberechtigung zu Kommunikationsdiensten, Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung (§§ 269, 270 StGB), Datenverän-derung, Computersabotage (§§ 303a, 303b StGB), private und gewerbliche Softwarepiraterie.
Betrug mittels Scheck-/Kreditkarten ohne PIN (Lastschriftverfahren) wurden im Jahr 2002 erstmals nicht mehr als Computerkriminalität erfasst. Vor allem dadurch lässt sich der starke Rückgang im Jahr 2002 erklären. Insgesamt fällt auf, dass Betrug mittels Debitkarten in der PKS die überwiegende Mehrheit von Computerdelikten ausmacht. Bemerkenswert ist darüber hinaus, dass es im Bereich der Softwarepiraterie und Datenveränderung/Computersabotage starke prozentuale Zunahmen im Vergleich zum Vorjahr gab.
Computerkriminalität
0 10 000 20 000 30 000 40 000 50 000 60 000 70 000 80 000
1987 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002
erfasste Fälle
Computerkriminalität (8970) darunter:
bis 2001: Betrug mittels rechtswidrig erlangter Karten für Geldausgabe- bzw.
Kassenautomaten;
ab 2002: Betrug mittels
rechtswidrig erlangter Debitkarten mit PIN (5163)
G96
Hinweis: 1987 – 1990: alte Länder
1991 – 1992: alte Länder mit Berlin ab 1993: Bundesgebiet insgesamt
1998: Wegen zusätzlicher Aufnahme von Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten (Schlüssel: 5179) ist ein Vergleich der Computerkriminalität (8970) zum Vorjahr beeinträchtigt.
Quelle: BMI, Polizeiliche Kriminalstatistik 2002, S. 238
Neben amtlichen Statistiken liefern zunehmend private Umfragen aussagekräftige Zahlen. In diesem Bereich ist beispielsweise die Studie der Zeitschrift für „Kommunikations- und EDV Sicherheit“ (KES) zu nennen, die alle zwei Jahre Unternehmen und Behörden in Deutschland, Österreich und der Schweiz befragt.153 Die letzte Studie wurde 2002 in Zusammenarbeit mit
152 PKS 2002, Vorbemerkung, lit. A, S. 7 ff.
153 Lagebericht zur IT-Sicherheit, KES 2002 Nr. 3 und Nr. 4; online verfügbar unter http://www.kes.info/studie2002/index.htm
Einleitung
der Wirtschaftsberatung KPMG durchgeführt. Insgesamt machten 260 Teilnehmer aus Wirt-schaft und Verwaltung Angaben zum Thema IT-Sicherheit. In Bezug auf das Internet gaben 63 % der Befragten an, Ziel von Angriffsversuchen gegen die Verfügbarkeit, Vertraulichkeit und Integrität ihrer Daten und Systeme gewesen zu sein. Spitzenreiter bei den Nennungen waren Hack-Versuche sowie DoS-Attacken. Bei den Webservern kam auf den vorderen Plät-zen die Entstellung von Webseiten, (engl. defacement) hinzu. Die Dunkelziffer lässt sich al-lerdings nur schwer abschätzen, da die meisten Unternehmen über keine „Intrusion Detection Systeme“ verfügen, so dass Angriffe teilweise (noch) nicht bemerkt wurden.
Aus dem Mutterland der Computertechnologie verdient vor allem die seit 1995 jährlich durchgeführte Studie des „Computer Security Institute (CSI)“154 und der „Computer Intrusion Squad“ der US-amerikanischen Bundespolizei FBI besonderes Augenmerk. In der Umfrage wird unter anderem versucht, die Kosten der Computerkriminalität zu erfassen. Spitzenpositi-on nehmen danach der Diebstahl geschützter bzw. geheimer InformatiSpitzenpositi-onen (engl. proprietary information) sowie DoS-Angriffe ein. Der geschätzte Schaden stieg von ca. 100 Millionen US
$ 1997 zunächst auf über 455 Millionen US $ im Jahr 2002 an, um 2003 wieder auf ca. 200 Millionen US $ zu fallen. Unklar an dieser Studie bleibt, anhand welcher Methoden die Be-troffenen die Schadenshöhe feststellten.
154 http://www.gocsi.com/ (01.03.2004)
2 Begriffsbestimmungen
Kapitel I der Konvention enthält in Art. 1 Begriffsbestimmungen mit Geltung für das gesamte Übereinkommen. Es stellt daher einen „allgemeinen Teil“ mit einheitlichen Definitionen dar, der im deutschen Strafrecht bislang keine Entsprechung findet. Bei den vier Begriffsbestim-mungen in Art. 1 der Konvention kommt es dem Sachverständigenausschuss des Europarats (PC-CY)155 ausweislich des Erläuternden Berichts156 nicht darauf an, die Unterzeichner zu einer wörtlichen Übernahme in nationales Recht zu verpflichten. Es genügt vielmehr, wenn die Grundsätze in einer mit der Konvention zu vereinbarenden Weise übernommen werden.157 Artikel 1 – Begriffsbestimmungen158
Im Sinne dieses Übereinkommens bedeutet
a) „Computersystem“ eine Vorrichtung oder eine Gruppe verbundener oder zusammenhängender Vorrichtun-gen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Datenverarbeitung durchführen;
b) „Computerdaten“ jede Darstellung von Fakten, Informationen oder Konzepten in einer für die Verarbeitung in einem Computersystem geeigneten Form einschließlich eines Programms, das geeignet ist, ein Computersys-tem zur Durchführung einer Funktion zu veranlassen;
c) „Dienstanbieter“
i) jede öffentliche oder private Organisation, die Nutzern ihres Dienstes ermöglicht, mit Hilfe ei-nes Computersystems zu kommunizieren;
ii) jede andere Organisation, die für diesen Kommunikationsdienst oder für Nutzer dieses Diens-tes Computerdaten verarbeitet oder speichert.
d) „Verbindungsdaten“ alle Computerdaten in Zusammenhang mit einer Kommunikation mit Hilfe eines Com-putersystems, die von einem Computersystem, das Teil der Kommunikationskette war, erzeugt wurden und aus denen Ursprung, Bestimmung, Leitweg, Uhrzeit, Datum, Umfang oder Dauer der Kommunikation oder die Art des Trägerdienstes hervorgehen.