Digitaler Hausfriedensbruch
Ein neuer Straftatbestand im IT Recht/Internetstrafrecht?
Ein neuer Straftatbestand im IT Recht/Internetstrafrecht?
Ein Gastbeitrag von Desiree Szitnick
Die Nutzung des World-Wide-Webs ist nicht nur allgegenwärtig, sondern notwendiger Bestandteil in nahezu allen Bereichen unserer Gesellschaft. Neben der legalen Nutzung des Internets gewinnen aber auch immer mehr Angriffe international agierender Cyberkriminelle an Bedeutung. Diese führen jährlich zu Schäden in Millionenhöhe.
Der Bundesrat hat als Reaktion auf diese Entwicklung den Entwurf eines Strafrechtsänderungsgesetzes eingebracht, das die Strafbarkeit der „unbefugten Benutzung informationstechnischer Systeme“ begründen soll.
„Botnetze“ führen zu ferngesteuerten Computern
Allein bei einer Variante eines „Erpressungs-Trojaners“ wurden kürzlich über 5.000 Neuninfektionen in Deutschland pro Stunde festgestellt. Dabei richten sich solche Angriffe gerade nicht ausschließlich gegen Private. Besonders gefährdet sind Unternehmen und staatliche Organisationen und Einrichtungen.
Als Werkzeug solcher Angriffe dienen regelmäßig sogenannte „Botnetze“. Dabei werden mit dem Internet verbundene Geräte, ohne Wissen ihrer rechtmäßigen Nutzer, durch eine Schadenssoftware einer fremden Kontrolle unterstellt. Die Infiltration geschieht auf unterschiedlichsten Wegen – zum Beispiel über Spam-Emails oder durch das Aufsuchen einer legitimen Seite, die aber zuvor von den Tätern präpariert wurde. Der eigene Computer wird so zu einem, durch Dritte unerkannt ferngesteuerten „Zombie-Computer“. Durch ein ganzes Netzwerk solcher infizierten Computer oder Smartphones werden weitergehende Cyberangriff ermöglicht.
Unternehmen benötigen Schutz
In der letzten Zeit häuften sich besonders Cyberangriffe mittels sogenannter „Distributed-denial-of-service (DDos)“- Attacken. Diese richten sich an Webseiten und führen dazu, dass diese vorübergehend unerreichbar sind. Besonders für Unternehmen können sich existenzgefährdende Situationen ergeben, wenn dadurch Ausfall- oder Fehlfunktionen z.B. in der Produktion oder bei Geschäftsprozessen hervorgerufen werden.
Eine zusätzliche Gefahr: infizierte Computer sind für die Täter vollständig einsehbar, das heißt alle auf der Festplatte gespeicherten Daten können kopiert oder ausgespäht werden. Die Computerhardware kann zudem ferngesteuert werden, sodass zum Beispiel Webcams oder Mikrofone unbemerkt eingeschaltet werden können. Damit wird ein infizierter Computer zu einem ausgezeichneten Ausspähwerkzeug für Cyberkriminelle.
Beunruhigend ist darüber hinaus die Entwicklung, dass auch immer mehr staatliche Einrichtungen und Organisationen von solchen Cyberangriffen betroffen sind. Zu den prominenten Fällen gehörten in jüngster Zeit der Internet-Angriff auf den Deutschen Bundestag 2015 oder der auf eine deutsches Stahlwerk 2014. Zudem wurde bereits eine Schadsoftware in einem deutschen Atomkraftwerk entdeckt. Vor allem im Hinblick auf den international agierenden Terrorismus ergeben sich daraus schwerwiegende Gefahren für die innere Sicherheit.
Ist der bisherige strafrechtliche Schutz für das IT-Recht ausreichend?
Aufgabe des Strafrechts soll es sein, lückenlosen Schutz des Grundrechts auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sicherzustellen. Der Bundesrat bemängelt in seinem neuen Gesetzesentwurf, dass der derzeitige Schutz über die §§ 202a, 303a und 303b des Strafgesetzbuchs nicht ausreichend sei. Das Ausspähen von persönlichen Daten werde derzeit nur dann geschützt, wenn es bei dem Angriff zu einer „Überwindung von Zugangssicherungen“ gekommen ist.
Dazu ein simples Beispiel: Erspäht ein Täter den Zugangs-PIN eines Smartphones und gelingt es ihm daraufhin dieses Smartphone zu entwenden und sich mittels dieses PINs Zugang zu privaten Daten zu verschaffen, dann bleibt allein das Ausspähen straflos, da für eine „Überwindung“ im Sinne der Strafnorm ein Mindestmaß an „technischen und zeitlichen Aufwand“ gefordert wird. Dies zeige, so der Bundesrat, eine erhebliche Strafbarkeitslücke.
Ein weiteres Problem tritt auf, wenn ein Täter die betreffenden Daten auf einem Computer oder Smartphone nicht gelöscht oder verändert hat, denn nur damit wird ein strafrechtliches Handeln begründet. Für das Infiltrieren einer Schadenssoftware ist es mittlerweile aber nicht mehr notwendig, dass es zu einer Veränderung von Daten kommt.
Zudem ist nach Ansicht des Bundesrates derzeit kein ausreichender Schutz für Gegenstände vorhanden, die nicht direkt unter den Begriff „informationstechnische Systeme“ fallen, aber dennoch mit dem Internet verbunden sind und somit auch taugliches Angriffsobjekt von Cyberangriffen sein können. Zu denken ist hier vor allem an internetgekoppelte Haushaltsgeräte.
„Derzeit sind Fahrräder besser geschützt als Computer mit höchstpersönlichen Daten“
Die Lösung des Bunderates ist die Einführung eines neuen Straftatbestandes im Internetstrafrecht, der die „unbefugte Nutzung informationstechnischer Systemen“ unter Strafe stellen soll. Dabei sollen die Rechtsgedanken des Hausfriedensbruchs und des unbefugten Gebrauchs eines Fahrzeugs auf die digitale Welt übertragen werden – Ergebnis ist die erweiterte Strafbarkeit des „digitalen Hausfriedensbuchs“.
Vorteil des neunen Tatbestandes soll es vor allem sein, dass er technikoffen formuliert ist. Damit sei eine hohe praktische Handhabung gewährleistet. Zudem soll damit die Strafbarkeit nahezu aller Angriffsarten sichergestellt werden, also auch das Beeinflussen oder Auslösen von informationstechnischen Vorgängen durch Dritte. Ziel des neunen Gesetz soll ein lückenloser strafrechtlicher Schutz aller technischer Systeme gegen sämtliche Angriffsarten sein. Im nun folgenden Verfahren wird von der Bundesregierung umfassend überprüft „ob und inwieweit Strafbarkeitslücken ein gesetzgeberisches Handeln erforderlich machen“.
Weitere Informationen zum IT-Recht finden Sie hier: IT-Recht
Weitere Informationen zum Internetstrafrecht und Medienstrafrecht finden Sie hier: Internetstrafrecht & Medienstrafrecht