Cyberkriminalität

Unter „Cyberkriminalität“ versteht man alle jene Formen von Kriminalität, die mittels moderner IT begangen werden. Nach einem engeren Sprachgebrauch umfasst Cyberkriminalität nur solche Taten, deren Angriffsgegenstand Computer, Daten, Datennetze und Datenverarbeitungen sind. [1] Zur Cyberkriminalität im weiteren Sinn gehören etwa die Verbreitung von Pornografie online, Betrug bei eBay oder Beleidigung mittels E-Mails oder auf Internetseiten. Da das Internet weltweit Menschen mit kriminellen Neigungen miteinander vernetzen kann, die sich in der analogen Welt kaum je begegnet wären, treten Solidarisierungseffekte auf, die die Hemmschwelle zu Begehung selbst extremer Formen von kriminellem Verhalten absenken. Ein Beispiel sind Herstellung und Austausch von gewaltorientierter Kinderpornografie.

Zur Cyberkriminalität im engeren Sinne zählen z.B. Angriffe auf fremde Computer oder Datenverarbeitungen durch „Hacken“, Datenspionage oder Datenveränderungen. Besonders verbreitet ist der Computerbetrug, bei dem ein Computer (z.B. ein Geldausgabeautomat) durch täuschungsgleiche Mittel dazu gebracht wird, dem Täter eine ihm nicht zustehende Leistung (z.B. die Auszahlung eines Geldbetrags) zu gewähren. Eine andere häufig vorkommende Form von Cyberkriminalität ist der DoS-Angriff („Denial of Service“), bei dem die Internetseiten eines Unternehmens durch massenhafte Anfragen überlastet und damit blockiert werden. Oft werden derartige Angriffe durch viele Computer gleichzeitig in Szene gesetzt, weshalb man von einem DDoS-Angriff („Distributed Denial of Service“) spricht. DoS- und DDoS-Angriffe gehen häufig mit Schutzgelderpressungen einher.

Die Entwicklung der Cyberkriminalität ist eng mit der Entwicklung des Computers und insbesondere des Internets verknüpft. Mit jeder technischen Neuerung treten neue Formen von sozialschädlichem, oft auch kriminellem Verhalten auf. Die Coronapandemie hat zu einem starken Ansteigen der Cyberkriminalität geführt. [2] Cyberkriminalität bedroht heute sämtliche Einsatzbereiche moderner IT. Sie stellt damit einer der größten technischen, gesellschaftlichen und rechtspolitischen Herausforderungen unserer Zeit dar.

Cyberkriminalität zeichnet sich durch einige Besonderheiten aus: Sie ist typischerweise ein Distanzdelikt und überschreitet leicht Landesgrenzen, was die Strafverfolgung häufig schwierig macht. Außerdem stellt sich in solchen Fällen die Frage, welche Rechtsordnung überhaupt zuständig ist. Zweitens bietet das Internet die Möglichkeit, sehr viele Ziele praktisch zeitgleich anzugreifen, etwa durch betrügerische E-Mails, die zeitgleich an Hunderttausende von potenziellen Opfern gesendet werden. Eine dritte Besonderheit liegt darin, dass durch das Wachstum des Internets immer wieder neue, oft gänzlich unerfahrene Personen als potenzielle Opfer zur Verfügung stehen. Durch die Ausweitung der Vernetzung von klassischen PCs über Notebooks, Tablets und Smartphones hin zum Internet der Dinge wird die Zahl möglicher Angriffsobjekte immer größer.

Während in der traditionellen Kriminalität in der Regel singuläre Personen- oder Sachschäden drohen, können Cyberkriminelle durch Angriffe auf Krankenhäuser, Behörden oder kritische Infrastrukturen mit wenigen Tastenklicks u. U. Milliardenschäden erzeugen und Tausende von Menschen in Gefahr bringen. So macht es die Vernetzung von Krankenhäusern möglich, medizinische Einrichtungen vom Ausland aus zu bedrohen, und die derzeit rasch fortschreitende digitale Vernetzung des Straßenverkehrs lässt ähnliche Szenarien für diesen wahrscheinlich erscheinen.

Immerhin gibt es auch Faktoren, die die Strafverfolgung im Internet erleichtern. Dazu gehört vor allem, dass Täter im Internet stets Spuren hinterlassen, die mittels der immer leistungsfähiger werdenden Computer-Forensik [3] ausgewertet werden können. Die Frage, wie weit der Staat technische Möglichkeiten zur Kontrolle des Internets einsetzen darf (z. B. eine Vorratsdatenspeicherung), gehört heute zu den wichtigsten Themen des Polizei- und Strafverfahrensrechts.

Da sich die Internettechnologie weltweit ähnelt, gleichen sich auch die Formen der Cyberkriminalität. Schon lange gibt es deshalb Bestrebungen, die Strafnormen zur Bekämpfung von Cyberkriminalität international zu vereinheitlichen. Selbst bei international gleichförmigen Strafnormen bereitet jedoch die Rechtsdurchsetzung über die eigenen Staatsgrenzen hinaus oft Probleme.

Der rasante Fortschritt der Internet-Technologie führt außerdem dazu, dass fortwährend neue Formen von Cyberkriminalität entstehen. So lassen sich etwa mittels virtueller Realität sogenannte „Deepfakes“ [4] erstellen, die Personen z. B. in sexuell konnotierten Situationen zeigen. Da in einem derartigen Fall kein IT-System angegriffen wird, sondern mittels neuer IT-Möglichkeiten ein Angriff auf ein traditionelles Rechtsgut (die Ehre) erfolgt, handelt es sich hier um Cyberkriminalität im weiteren Sinne. Eine neue Form von Cyberkriminalität im engeren Sinne liegt z. B. vor, wenn KI eingesetzt wird, um die Schwachstellen eines IT Systems auszutesten und unter Umständen zu durchbrechen.

Ein in letzter Zeit sichtbar gewordenes Problem im Kontext der Cyberkriminalität ist die Frage der zivil- und strafrechtlichen Haftung für Sabotageanfälligkeit. Kritische technische Systeme sind heute in aller Regel gegen Angriffe geschützt. Doch wie sicher muss ein solcher Schutz sein? Hat etwa ein IT-Sicherheitsingenieur ein Sicherungssystem verwendet, welches von den Angreifern relativ leicht überwunden werden konnte, so stellt sich neben der Frage nach der Strafbarkeit der eigentlichen Täter auch die Frage nach der Verantwortung dessen, der für die Sicherheit des Systems zu sorgen hatte. In diesem Zusammenhang ist daran zu erinnern, dass kein System 100-prozentige Sicherheit bieten kann. Ein gewisses Restrisiko bleibt stets. Es muss noch geklärt werden, welche Sicherheitsanforderungen für welche technischen Systeme angemessen sind und rechtlich durchgesetzt werden sollen. In der Rechtswissenschaft werden die damit zusammenhängenden Fragen oft unter dem Stichwort „erlaubtes Risiko“ diskutiert.

Ein zentrales Problem der rechtlichen Bewältigung von Cyberkriminalität bildet die Providerhaftung. Internetprovider stellen die Infrastruktur bereit, ohne die der Internetverkehr (und damit auch die dort stattfindenden kriminellen Aktivitäten) nicht möglich wäre. Damit wird fraglich, ob ein Provider z. B. dann strafbar sein kann, wenn er einen ihm bekannten kriminellen Nutzer nicht daran hindert, Hassnachrichten oder Kinderpornografie online zu stellen. In der Anfangszeit des Internet wurden die Provider haftungsrechtlich privilegiert, um das Wachstum des Internets nicht unnötig zu behindern. Im Zeitalter einer nahezu ubiquitären Vernetzung, in der auch medizinische Einrichtungen und der Straßenverkehr mehr und mehr an das Internet angeschlossen werden, wird jedoch fraglich, ob diese Haftungsprivilegien nicht obsolet geworden sind.

Deutschland hat als eines der ersten Länder der Welt Strafnormen gegen Cyberkriminalität erlassen. Es handelt sich hier vor allem um die Tatbestände der Datenveränderung (§ 303a StGB), der Computersabotage (§ 303b StGB) und des Ausspähens von Daten (§ 202a StGB). Hinzu tritt die Urkundenfälschung im Computer (§§ 269, 270) sowie der Computerbetrug (§ 263a StGB). Normen zum Schutz der Datensicherheit existieren außerdem auch im Datenschutzrecht, etwa in der DSGVO.

Wirksamer als ein strafrechtlicher Schutz, dessen präventive Wirkung stets fragwürdig bleibt, sind jedoch technische Maßnahmen zum Schutz von Computersystemen. Hinzu kommt die Notwendigkeit, im Rahmen der allseits geforderten Medienkompetenz hinreichend Sensibilität dafür zu entwickeln, dass man sich im digitalen Raum mindestens ebenso vorsichtig verhalten sollte wie in der alten analogen Welt. Dies bedeutet z. B. den Einsatz elementarer Selbstschutzmaßnahmen (wirksamer Passwörter, Nutzung von Anti-Viren-Software, usw.). Ohne hinreichenden Schutz vor Cyberkriminalität droht die digitale Transformation unserer Gesellschaft zu scheitern.

Am bidt wird im Doktorandenprojekt „Sichere leichtgewichtige authentifizierte Verschlüsselung für kritische Infrastrukturen im Internet der Dinge“ untersucht, welche kryptografischen Verfahren sich eignen, um vernetzte Geräte im Internet der Dinge vor modernen Angriffen zu schützen.