Cybercrime –
Bedrohung, Intervention, Abwehr
BKA-Herbsttagung vom 12. - 13. November 2013
Rechtliche Herausforderungen bei der Bekämpfung von Cybercrime
Kurzfassung
Dr. Wolfgang Bär
Digitale Techniken aller Art bestimmen mehr und mehr unser Leben. Das Internet ist schon heute aus unserem Alltag nicht mehr wegzudenken. Das Einkaufen im Netz, die Informationssuche, das Anschauen von Filmen und Videos, das Chatten mit Freunden ist für viele zur Selbstverständlich-keit geworden. Das Internet erfasst immer weitere Lebensbereiche. Die mobile ErreichbarSelbstverständlich-keit über das Netz und der mobile Zugriff auf das Internet von überall aus werden immer wichtiger.
Dabei darf das Internet aber kein rechtsfreier Raum sein – und ist es selbstverständlich auch nicht. Das Recht der analogen Welt wird im Cyberspace nicht außer Kraft gesetzt. Die große Herausfor-derung besteht allerdings darin, es an die digitalen Besonderheiten anzupassen und seine tatsächli-che Durchsetzbarkeit zu gewährleisten. Das Internet eröffnet jedem von uns unendlitatsächli-che Möglichkeiten für alles, was wir uns nur vorstellen können. Leider aber auch dem Straftäter für seine kriminellen Interessen. Es verwundert daher nicht, dass es in den letzten fünf Jahren hier zu einer Verdoppelung der in der Kriminalstatistik registrierten Verfahren gekommen ist. Dabei ist die Dunkelziffer aber sehr hoch, da in der Statistik viele Fälle - etwa Straftaten mit Auslandsbezug - gar nicht erfasst sind. Kennzeichnend ist dabei die Tendenz zu immer gefährlicheren und häufi-geren Großangriffen auf Informationssysteme im öffentlichen und privaten Sektor. Gleichzeitig sind die Angriffe mit immer ausgefeilteren Methoden verbunden, bei denen kriminelle Handlun-gen in verschiedenen Stufen erfolHandlun-gen. Im Beitrag sollen daher die wichtigsten strafrechtlichen Problemstellungen dieser neuen digitalen Welt aufgegriffen werden, um aufzuzeigen, ob zum ei-nen alle neue Begehungsformen durch das materielle Strafrecht erfasst werden und ob zum ande-ren die Strafverfolgungsbehörden mit ausreichenden Mitteln ausgestattet sind, um Straftaten mit den neuen Technologien aufdecken und angemessen verfolgen zu können.
I. Materielles Strafrecht
Die rasante technische Entwicklung bei modernen IT-Systemen eröffnet den Straftätern immer neue Möglichkeiten für Straftaten. So haben sich in den letzten Jahren etwa mit den Schlagwörtern Phishing, Pharming, Skimming, Ransomware und den Bot-Netzen zahlreiche neue strafrechtliche Begehungsformen herausgebildet. Vom Begriff Cybercrime werden alle Straftaten erfasst, die sich gegen das Internet, weitere Datennetze, informationstechnische Systeme oder deren Daten richten oder die mittels dieser Informationstechnik begangen werden.
Straf-dem 2. WiKG von 1986 quasi den Kernbereich des Computerstrafrechts bildeten, novelliert und ergänzt. Dies hat bereits zu zahlreichen Änderungen bei den Delikten zum Schutz der Geheimhal-tung von Daten und zum Schutz der Datenintegrität geführt. So wurden neben der Erweiterung des „elektronischen Hausfriedensbruchs“ in § 202a StGB vor allem die neuen Tatbestände des § 202b und § 202c StGB geschaffen und gleichzeitig die bisherigen Regelungen zur Datenveränderung (§ 303a StGB) und Computersabotage (§ 303b StGB) verschärft.
Auch vor dem Hintergrund der im Juli 2013 vom Europäischen Parlament verabschiedeten und in nationales Recht umzusetzenden Richtlinie zum Angriff auf Informationssysteme besteht aber ein gesetzlicher Handlungsbedarf vor allem in drei Punkten: So müssen zunächst aufgetretene Straf-barkeitslücken bei der Weitergabe rechtswidrig erlangter Daten geschlossen werden. Hierfür ent-hält der Gesetzentwurf des Bundesrates zur Schaffung eines neuen Straftatbestands der "Datenhehlerei" in § 202d StGB-E (BR-Drs. 284/13) einen zu unterstützenden Vorschlag. Erfor-derlich ist zum Zweiten - auch vor dem Hintergrund des Art. 9 Abs. 5 der neuen EU-RL über An-griffe auf Informationssysteme - die Aufnahme qualifizierender Tatbestände für schwerwiegende und breitflächige Angriffe auf Informationssysteme und beim Ausspähen von Daten in den §§ 202a, 202b und 303a StGB. So kann gerade die Rekrutierung von Computersystemen mittels Schadsoftware zu Bot-Netzen sowie das Eindringen in Rechner von großen Firmen und kritischen Infrastrukturen zu einem erheblichen Gefahrenpotenzial oder zu hohen Schäden im Einzelfall füh-ren. Die §§ 202a und 202b StGB sollten auch eine Möglichkeit zur Sanktionierung eines Versuchs vorsehen. Zum Dritten muss der bisher nur für Datenspeicher anwendbare Schriftenbegriff des § 11 Abs. 3 StGB an die veränderten technischen Entwicklungen angepasst werden. Im Pornogra-fiestrafrecht und auch bei allen anderen Inhaltsdelikten des StGB sollte statt an einem für körperli-che Gegenstände entwickelten Schriftenbegriff in allgemeiner Form an das Zugänglichmakörperli-chen von Medien oder Medieninhalten mit entsprechenden strafbewehrten Inhalten angeknüpft werden. Nur so lassen sich Strafbarkeitslücken durch die moderne Internetnutzung vermeiden.
II. Strafverfahrensrecht
So wie sich Straftaten in die digitale Welt verlagern, müssen auch die Werkzeuge zur Strafverfol-gung in die Virtual Reality transferiert werden. Dies erfordert vor allem auf legislativer Ebene das notwendige gesetzliche Instrumentarium für die Strafverfolgungsbehörden, um dem hohen Gefah-renpotential der Internetkriminalität angemessen Rechnung tragen zu können. Um eine effektive
Strafverfolgung gewährleisten zu können, dürfen deshalb den Ermittlungsbehörden die dafür be-nötigten rechtlichen und technischen Mittel zur Tataufklärung nicht vorenthalten werden.
Da die meisten Straftaten mittels Telekommunikation begangen werden, sind für die Strafverfol-gungsbehörden vor allem dem Stand der Technik entsprechende Befugnisse für Eingriffe in die Telekommunikation notwendig, ohne die in vielen Verfahren ein Ermittlungsansatz fehlt und eine weitere Tataufklärung gar nicht möglich ist. Ein Internetnutzer ist in der Regel nur über seine IP-Adresse zu identifizieren. Hier hat der Gesetzgeber für den Zugriff auf Bestandsdaten der Tele-kommunikation und für die Personenauskunft zu einer dynamischen IP-Adresse entsprechend den Vorgaben des BVerfG zum 01.07.2013 in § 100j StPO eine neue bereichsspezifische Eingriffser-mächtigung geschaffen. Eine Zuordnung von IP-Adressen und eine Auskunft über Verkehrsdaten ist aber nur dann möglich, wenn bei den jeweiligen Providern entsprechende Informationen erho-ben und für einen bestimmten Zeitraum gespeichert werden. Dazu bedarf es einer gesetzlichen Verpflichtung zur anlasslosen Speicherung von Verkehrsdaten. Eine verfassungskonforme Aus-gestaltung einer solchen Vorratsdatenspeicherung ist entsprechend den Vorgaben des Bundesver-fassungsgerichts möglich, wenn angemessene Regelungen zur Datensicherheit, zum Umfang der Datenverwendung, zur Transparenz und zum Rechtsschutz geschaffen werden. Nur mit einer sol-chen Neuregelung wird auch den europarechtlisol-chen Verpflichtungen zur Umsetzung der entspre-chenden EU-RL Rechnung getragen und eine Verurteilung durch den EuGH im Vertragsverletzungsverfahren mit hohen Strafzahlungen vermieden. Um auch bei schwerwiegen-den Straftaten der §§ 202a, 202b, 303a und 303b StGB eine Überwachung der Telekommunikati-on anordnen zu können, erscheint - wie im Gesetzentwurf zur Datenhehlerei bereits vorgesehen - eine Aufnahme dieser qualifizierten Tatbestände in den Katalog der Straftaten des § 100a StPO erforderlich. Zur Klarstellung sollte dort auch eine spezielle Eingriffsermächtigung für die Quel-len-TKÜ als einer besonderen Form der TK-Überwachung aufgenommen werden.
Neben verdeckten technischen Eingriffsmaßnahmen werden zur Tataufklärung verdeckte persona-le Ermittlungen in soziapersona-len Netzwerken immer wichtiger. Soziapersona-le Netzwerke wie Facebook, Wer-kennt-wen, MySpace, Twitter werden von Millionen von Menschen in weiten Teilen der Bevölke-rung genutzt. Sie sind deshalb für die Strafverfolgungsbehörden aufgrund ihrer hohen Attraktivität und der stetig steigenden Verwendung eine wichtige Erkenntnisquelle. Dabei sind zwei Bereiche zu unterschieden, die nach der Art der Tätigkeit und den zu Grunde liegenden Rechtsgrundlagen
Straftaten einerseits und zur Öffentlichkeitsfahndung andererseits. Bzgl. der Ermittlungen in so-zialen Netzwerken muss an Hand der jeweiligen konkreten Maßnahme im Einzelfall deren Grund-rechtsrelevanz beurteilt und darauf aufbauend eine Prüfung hinsichtlich der in Betracht kommenden Eingriffsermächtigungen zum Einsatz nicht offen ermittelnder Polizeibeamter (§§ 161, 163 StPO) und verdeckter Ermittler (§§ 110a - 110c StPO) vorgenommen werden. Unter den engen gesetzlichen Voraussetzungen §§ 131 - 131c StPO kommt auch eine Fahndung in so-zialen Netzwerken in Betracht, wenn datenschutzrechtliche Belange gewahrt bleiben.
Da die bisherigen gesetzlichen Eingriffsbefugnisse zur Sicherstellung von Informationen vom Konzept einer geographischen Verortung von Daten und der damit verbundenen Territorialität ausgehen, bedarf es insoweit im Zeitalter von Cloud Computing entsprechender Anpassungen. Daten können innerhalb kürzester Zeit ihren Speicherort verändern. Vielfach ist dem Cloud-Provider der aktuelle physikalische Speicherort der Daten selbst nicht bekannt. Die bestehenden Eingriffsbefugnisse zur Durchsuchung und zur Überwachung der Telekommunikation werden diesen neuen Fallgestaltungen nicht mehr gerecht. Dies hat zur Folge, dass es für die Gewinnung von beweisrelevanten Daten in der Cloud einer rechtliche Klarstellung durch die Kombination von § 100a und § 102 StPO zu einer neuen Befugnis zum Zugriff auf extern gespeicherte Daten mit Mitteln der Telekommunikation bedarf. Diese sollte auch die Möglichkeit des Zugriffs auf Daten beinhalten, deren konkreter Speicherort sich nicht feststellen lässt, auch soweit er sich irgendwo außerhalb des nationalen Hoheitsbereichs befinden sollte. Nur durch solche Anpassungen kann den Bedürfnissen der effektiven Strafverfolgung Rechnung getragen werden.
