Hacker: Wer ernste Angriffe nicht meldet, zahlt Bußgeld

Phishing, Identitätsdiebstahl und DDoS-Angriffe verunsichern zunehmend

© Negro Elkha –

Der Begriff Cybercrime bezeichnet Kriminalität in Zusammenhang mit dem Internet. Häufig wird daher auch der Begriff Internetkriminalität gebraucht. Es handelt sich dabei um Straftaten, die mithilfe von Informations- und Kommunikationstechnik begangen werden, also mithilfe des Computers, Netzwerks oder Smartphones.

Dabei sind Internet und Computer entweder das Ziel des Verbrechens, der „Komplize“ oder das Ausspähungsinstrument. Zu den Cyberdelikten zählen zum Beispiel Identitätsdiebstahl, Computersabotage und digitale Erpressung.

Was ist die digitale Identität?

Kriminelle Handlungen im Internet richten sich häufig gegen die digitale Identität. Der Begriff bezeichnet die Möglichkeiten und Rechte einer Person und ihre personenbezogenen Daten und Aktivitäten innerhalb des Internets. Darunter fallen alle Accounts und Zugangsdaten (zum Beispiel E-Mail-Konten oder Onlinebanking sowie sozialen Netzwerken oder Cloud-Computing).

Welche Straftaten werden im Internet begangen und wie werden sie bestraft?

Im Internet ist ein kontinuierlicher Anstieg der Kriminalität zu beobachten. Online werden sehr unterschiedliche Delikte verwirklicht. Dabei sind „klassische“ Straftaten wie Diebstahl, Rauschgiftdelikte und Straftaten gegen das Leben die Ausnahme. Laut polizeilicher Kriminalstatistik werden überwiegend Vermögens- und Fälschungsdelikte im Netz begangen. Im Folgenden sind einige der häufigsten Delikte aus der Cyberkriminalität und ihre Strafen aufgeführt:

Digitale Erpressung

Um digitale Erpressung handelt es sich, wenn die Täter mittels sogenannter Ransomware die Daten eines digitalen Systems verschlüsseln oder Netzwerkzugänge sperren und ein Lösegeld für einen Freischaltungscode verlangen. Digitale Erpressung kann sowohl Unternehmen als auch Privatpersonen betreffen.

Strafrechtlich handelt es sich dabei um eine Kombination aus Computersabotage und Erpressung. Die Strafe für Computersabotage beträgt grundsätzlich bis zu 3 Jahren Freiheitsstrafe oder Geldstrafe. Ist die betroffene Datenverarbeitung wesentlich für ein Unternehmen oder eine Behörde, ist die Strafe Freiheitsstrafe bis zu 5 Jahren oder Geldstrafe, in besonders schweren Fällen sogar Freiheitsstrafe bis zu 10 Jahren. Erpressung wird mit einer Geldstrafe oder einer Freiheitsstrafe bis zu 5 Jahren bestraft.

Phishing

Beim Phishing bewegen die Täter ihre Opfer per E-Mail dazu, ihre personenbezogenen Daten freiwillig herauszugeben. Die Täter wollen dabei meistens an die Zugangsdaten für das Onlinebanking des Opfers gelangen. Sie verschicken E-Mails, die von einer Bank zu stammen scheinen. Solche E-Mails enthalten dann zum Beispiel den Hinweis, dass die Kontodaten überprüft werden müssten, und einen Link zu einer gefälschten Webseite (Phishing-Webseite), die so aussieht wie die der eigenen Bank. Der Nutzer wird dann aufgefordert, seine IBAN, PIN und TAN einzugeben, sodass die Täter die Möglichkeit erhalten, Transaktionen von dem Konto vorzunehmen.

Für die strafrechtliche Bewertung kommt es auf die Unterscheidung in Datenbeschaffung und Verwendung der Daten an: Ob die Datenbeschaffung den Tatbestand der Fälschung beweiserheblicher Daten erfüllt, ist umstritten. Jedenfalls erfüllt der Täter durch die Beschaffung aber den Tatbestand der Nötigung, wenn er androht, dass das Konto gesperrt wird, wenn den Anweisungen nicht Folge geleistet wird.

Außerdem macht der Täter sich durch die Beschaffung nach dem Markengesetz und dem Urheberrechtsgesetz strafbar, wenn er zum Beispiel ein urheberrechtlich geschütztes Logo der Bank verwendet. Darüber hinaus macht er sich strafbar, wenn er die Daten tatsächlich erhält. Die Strafbarkeit der Datenverwendung nach § 202a Strafgesetzbuch (StGB) und § 263a Strafgesetzbuch (StGB) ist streitig. Zu bejahen ist hingegen, dass der Täter durch die Datenverwendung den Tatbestand der Fälschung beweiserheblicher Daten und der Täuschung im Rechtsverkehr bei Datenverarbeitung erfüllt. Die Strafen für Phishing können letztlich je nach dem konkreten Einzelfall zwischen Geldstrafen und Freiheitsstrafen bis zu 5 Jahren liegen.

Identitätsdiebstahl

Um einen Identitätsdiebstahl handelt es sich, wenn die Täter unter dem Namen und der Adresse des Opfers Waren oder Dienstleistungen bestellen. Ein Identitätsdiebstahl kann aber auch beim Erstellen von sog. Fake-Profilen oder dem Missbrauch von Zugangsdaten zu sozialen Netzwerken vorliegen. Beim Identitätsdiebstahl können daher unterschiedliche Straftatbestände verwirklicht werden. In Betracht kommen hier die Urkundenfälschung sowie die Fälschung beweiserheblicher Daten.

Das Strafmaß für eine Urkundenfälschung beträgt Freiheitsstrafe bis zu 5 Jahren oder Geldstrafe. In besonders schweren Fällen ist die Strafe Freiheitsstrafe von 6 Monaten bis zu 10 Jahren. Eine Fälschung beweiserheblicher Daten wird mit Freiheitsstrafe bis zu 5 Jahren oder Geldstrafe bestraft.

DDoS-Angriffe

Bestimmte Netzwerkangriffe werden als sog. „DDoS-Angriffe“ bezeichnet. DDoS bedeutet Distributed-Denial-of-Service. Das bezeichnet einen Angriff, bei dem durch eine gezielte Überlastung des Servers die Nichtverfügbarkeit eines Internetdienstes herbeigeführt wird. Opfer von DDoS-Angriffen sind meistens Unternehmen, insbesondere Onlineshops und andere Onlinedienstleister.

Hierbei handelt es sich um eine Form der Computersabotage, die nach § 303b Strafgesetzbuch (StGB) mit bis zu 5 Jahren – in besonders schweren Fällen bis zu 10 Jahren – Freiheitsstrafe bestraft wird.

Wünschen Sie eine unverbindliche Beratung? Schildern Sie auf anwalt.de Ihren Fall!

Wer ist zuständig für Cyberkriminalität?

Die Strafverfolgung von Offline- sowie Cyberkriminalität fällt zunächst in den Kompetenzbereich der Polizei. Insbesondere die Landeskriminalämter (LKA) sind zuständig für die Bekämpfung von Cyberkriminalität, auf Bundesebene das Bundeskriminalamt (BKA). Das Bundeskriminalamt ist außerdem als zentrale Einrichtung für die Koordination zuständig und kann auch auf entsprechende Spezialeinheiten zugreifen.

Das Bundesamt für Sicherheit und Informationstechnik (BSI) als überregionale Anlaufstelle zum Thema Cybercrime hat zudem das Projekt CERT gegründet. CERT steht für Computer Emergency Response Team und bietet den Bundesbehörden als CERT-Bund Unterstützung für die Lösung von Sicherheitsproblemen in Computersystemen. Das Bürger-CERT analysiert und bewertet die Gefahrenlage im Internet und warnt neben privaten Nutzern auch kleine Unternehmen.

Welche Schadsoftware setzen Täter ein?

Zur Täuschung im Rechtsverkehr und zum Ausspähen und Abfangen von Daten wird sogenannte Schadsoftware eingesetzt. Dabei wird zwischen folgenden Kategorien unterschieden:

Ransomware

Die normale Ransomware ist eine Software, die die Festplatte nicht verschlüsselt, aber durch Manipulation den Zugriff auf das System sperrt.

Krypto-Ransomware ist eine Software, die die Daten auf dem System des Opfers verschlüsselt.

Malware

Virus: Ein Virus verändert Dateien auf dem Computer, sodass sie beim Ausführen der Datei oder des Programmes vom Virus befallen werden.

Spyware: Spyware ist eine sich selbst installierende Software, die zum Ausspähen der digitalen Identität verwendet wird.

Trojaner:Ein Trojaner ist ein an sich harmloses Programm mit einer verborgenen Schadfunktion. Das kann zum Beispiel ein Wurm oder ein Virus sein.

Schadsoftware für Smartphones

Da Internetnutzer zunehmend ihr Smartphone statt des Computers verwenden, nimmt die Entwicklung von Schadsoftware für mobile Endgeräte (sog. Mobile Malware) zu. Es wird beispielsweise Schadsoftware verwendet, die das SMS-TAN-Verfahren beim Onlinebanking umgehen kann.

Die Infektion des Smartphones tritt ein, wenn infizierte Apps installiert, infizierte Links aufgerufen oder infizierte Anhänge heruntergeladen werden.

Wie können Unternehmen sich vor Cyberangriffen schützen?

Es gibt Sicherheitsvorkehrungen, die Nutzer treffen können, um sich vor Cyberangriffen zu schützen:

Setzen Sie einen Informationssicherheitsbeauftragten in Ihrem Unternehmen ein!

Schulen Sie Ihre Mitarbeiter hinsichtlich der Grundlagen der IT-Sicherheit. Dafür werden Seminare von unterschiedlichen Dienstleistern angeboten.

Führen Sie regelmäßig Sicherheitsupdates durch.

Nutzen Sie ein Virenschutzprogramm und aktualisieren Sie es regelmäßig.

Richten Sie eine Firewall ein.

Verwenden Sie sichere und vor allem unterschiedliche Passwörter für ihre Benutzerkonten. Noch sicherer ist es, die Passwörter regelmäßig zu erneuern.

Übertragen Sie Daten nur über verschlüsselte Verbindungen („https“).

Erstellen Sie regelmäßig Back-ups, um Ihre Daten zu sichern.

Sollten Sie dennoch Opfer eines Cyberangriffs werden, wenden Sie sich umgehend an die Polizei!

Wie können Sie Vertrauen bei Ihren Usern schaffen – Gütesiegel?

Heutzutage müssen sich User zudem immer mehr Gedanken darüber machen, welchen digitalen Fußabdruck sie im Internet hinterlassen. Konkret stellt sich also die Frage, wie Sie bei Ihren Usern das Vertrauen schaffen können, dass beispielsweise mit ihren personenbezogenen Daten sensibel umgegangen wird oder dass Ihre Internetseite gewissen Sicherheitsanforderungen entspricht.

Hierfür bieten sich unterschiedliche Gütesiegel an. Webseitenbetreiber können z. B. das europäische Datenschutz-Gütesiegel EuroPriSe (European Privacy Seal) verwenden. EuroPriSe bescheinigt unter anderem Websites die Konformität mit dem europäischen Datenschutzrecht, insbesondere mit der Datenschutzgrundverordnung der Europäischen Union (DSGVO). Unternehmen mit zertifizierten Produkten haben in der Regel einen Wettbewerbsvorteil gegenüber anderen Firmen, weil der Verbraucher ein größeres Vertrauen in den Anbieter hat.

Cyberkriminalität: BKA für härtere Strafen

Vergangenen Herbst war die Deutsche Telekom Ziel eines Hackerangriffs: Einem 29-jährigen Briten gelang es, massenhaft Router des Unternehmens lahmzulegen. Bei rund 1,2 Telekom-Kunden war daraufhin die Leitung tot: kein Telefon, kein Internet, kein Fernsehen. Zwar wurde der Hacker gefasst und vergangene Woche vom Kölner Landgericht verurteilt. Aber er kam aus Sicht von Kritikern mit einer recht milden Strafe davon: ein Jahr und acht Monate auf Bewährung.

BKA-Chef Münch. "Gefahr für Sicherheit und Volkswirtschaft"

Für Holger Münch, den Präsidenten des Bundeskriminalamts (BKA) ist klar: Das Strafrecht muss angepasst werden, um illegale Verkaufsplattformen und kriminelle Strukturen im Internet besser bekämpfen zu können. "Profi-Hacker können enorme Schäden anrichten. Sie stellen eine Gefahr für Sicherheit und Volkswirtschaft dar." Das müsse sich auch deutlich am Strafmaß widerspiegeln, sagte Münch der Zeitung "Die Welt". Gerade Betreibern von sogenannten Botnetzen, mit denen groß angelegte Cyberattacken möglich sind, sei strafrechtlich kaum beizukommen. Sie würden oftmals geringer betraft als diejenigen, die die Botnetze nutzten.

Staatsanwalt sieht Handlungsbedarf

Die Generalstaatsanwaltschaft Frankfurt am Main bestätigt im Prinzip die Einschätzung des BKA-Chefs und sieht ebenfalls Handlungsbedarf: Der Betrieb von Marktplätzen für illegale Waren im Internet sei in Deutschland bislang kein eigener Straftatbestand, kritisiert der Frankfurter Oberstaatsanwalt Georg Ungefuk. Vor allem mit Blick auf Verkaufsplattformen, auf denen Drogen, Waffen und Kinderpornografie angeboten werden, sei eine Reform des Strafrechts nötig.

Oberstaatsanwalt Ungefuk: "Nicht mehr zeitgemäß"

"Viele Delikte, mit denen wir es zu tun haben, können sonst nicht hinreichend verfolgt werden", sagte Ungefuk der "Welt". Gefasste Cyberkriminelle würden oftmals wegen Bildung einer kriminellen Vereinigung vor Gericht gestellt. Doch diese Bezeichnung sei nicht mehr zeitgemäß: "Cyberkriminelle kennen sich oft nicht persönlich. Die klassische kriminelle Vereinigung ist kaum nachzuweisen", so der Oberstaatsanwalt. Ungefuk gilt als ausgewiesener Experte auf diesem Gebiet. Seit Jahren ist er auch für die "Zentralstelle zur Bekämpfung der Internetkriminalität" (ZIT) in Gießen tätig.

Strategie gegen Internetkriminalität

Bayerns Innenminister Joachim Herrmann sieht aber auch Nachbesserungsbedarf bei der Fahndung: "Noch mehr als beim Terrorismus verwischen hier die Kompetenzen zwischen Bund, Land und Bundeswehr komplett", sagte Herrmann, der als möglicher Kandidat für den Posten des Bundesinnenministers gilt. Je nachdem, wo der Angreifer sitze, sei entweder eine örtliche Polizei, das Bundeskriminalamt oder das Verteidigungsministerium zuständig.

Landesinnenminister Herrmann: "Verwischen der Kompetenzen"

Der CSU-Politiker spricht sich daher für eine bundesweite Strategie gegen Internetkriminalität aus. Deutschland müsse sich nach der Bundestagswahl völlig neu gegen Cyberangriffe aufstellen, sagte Herrmann dem Nachrichtenmagazin "Der Spiegel".

Gemeinsam mit seinen Kollegen aus Bundesländern mit unionsgeführten Justizministerien hatte Herrmann am Montag bei einem Treffen in Kassel eine "Digitale Agenda für das Straf- und Strafprozessrecht" gefordert.

Die rechtspolitische Diskussion der kommenden Jahre müsse sich stärker den Herausforderungen der Digitalisierung widmen, heißt es in einer gemeinsamen Erklärung der von CDU und CSU gestellten Landesinnenminister. Dazu gehörten der digitale Hausfriedensbruch, also das Eindringen mit Schadsoftware auf Rechner, und Auskunftsansprüche gegenüber Postdienstleistern, um den illegalen Handel über das Darknet zu bekämpfen. Es gehe auch um Strafen für Beleidigungen im Internet und die Sicherung von Clouddaten.

2016 hatte die Polizei in der Kriminalstatistik rund 83.000 Fälle von Cybercrime im engeren Sinne erfasst. Verursachter Schaden: mehr als 51 Millionen Euro.

AR/se (Reuters, dpa, EPD, Die Welt, Der Spiegel)

Hacker: Wer ernste Angriffe nicht meldet, zahlt Bußgeld

Das wäre wohl die Höhe: Ausgerechnet Unternehmen, die Opfer einer Hackerattacke geworden sind, könnte Monate später auch noch ein Bußgeldbescheid des Datenschutzbeauftragten des Landes ins Haus flattern. Das passiert, zumindest theoretisch, in zwei Fällen: Entweder haben die Verantwortlichen die 72-Stunden-Frist verstreichen lassen, in der sie laut Datenschutz-Grundverordnung eine Cyberattacke an die Behörde melden müssen, wenn dabei personenbezogene Daten in unbefugte Hände geraten sind oder zumindest sein könnten. Oder es hat sich im Zuge der Schadensbeseitigung herausgestellt, dass das betroffene Unternehmen die Daten seiner Mitarbeiter, Kunden und Geschäftspartner so nachlässig verwaltet hat, dass der Datenschutzbeauftragte darin einen Verstoß gegen die gesetzlichen Pflichten sieht. Dann kann es sogar empfindlich teuer werden, die europaweit geltenden Vorschriften zum Datenschutz sehen je nach Sachverhalt Strafen in Millionenhöhe beziehungsweise von bis zu vier Prozent des Jahresumsatzes vor.

Inga Janović Redakteurin im Regionalteil der Frankfurter Allgemeinen Zeitung und verantwortliche Redakteurin des Wirtschaftsmagazins Metropol. Folgen Ich folge

„Wenn Unternehmen eine Hackerattacke in ihrem System feststellen, ist das nur im allerersten Moment ein technisches Thema, aber schon bei der Frage, in welchem Umfang man sie der Datenschutzbehörde melden und ob und wie man die von Datendiebstahl Betroffenen informieren muss, ist ein technisch versierter Jurist gefragt“, sagt Hauke Hansen, Rechtsanwalt bei der Frankfurter Großkanzlei FPS und auf Cybersecurity spezialisiert. Knapp ein Dutzend Mandanten hat er im Jahr, deren Anliegen mit Hackerattacken in Zusammenhang stehen. Ein Thema, das der seit 2004 tätige Jurist vor ein paar Jahren noch nicht auf dem Schreibtisch hatte.

Inzwischen beschäftigen ihn in solchen Fällen nicht nur die Vorschriften aus der Datenschutz-Grundverordnung, auch Schadenersatzansprüche können als Folge eines Hackerangriffs auf betroffene Unternehmen zukommen. Die können einerseits von Geschäftspartnern kommen, die etwa Lieferausfälle zu beklagen haben, weil der überfallene Betrieb vorübergehend handlungsunfähig war. Ebenso können Partner Ausgleich verlangen, die wegen des Datenklaus mit ansehen müssen, wie auch ihre Geschäftsgeheimnisse, die sie mit Verschwiegenheitsklauseln weitergegeben hatten, an die Öffentlichkeit gelangen. Laut Hansen ist all das juristisch denkbar, und teilweise würden solche Ansprüche auch geltend gemacht. Meist gingen die Betroffenen dann weniger strikt vor – und sehr selten vor Gericht. Auch weil sie wissen, dass niemand vor den Kriminellen aus dem Netz sicher ist.

Kunden können Schadenersatz vom gehackten Unternehmen fordern

Für wahrscheinlicher halten Juristen und Datenschützer, dass die Zahl der Schadenersatzforderungen vonseiten der Kunden zunimmt, deren Adressen, Kontonummern oder Gesundheitsdaten, die sie Dienstleistern, Ärzten oder Behörden anvertraut haben, über Hacker in die Öffentlichkeit gelangt sind. Als Vorbild dafür dient derzeit ein Urteil vom Landgericht München, das dem Kläger einen Schadenersatz von 2500 Euro zugesprochen und damit dem betroffenen Finanzdienstleister einen Verstoß gegen seine Pflichten zum Datenschutz vorgehalten hat.

Tracey is the Contributing Editor for Foodies100, Tots100, Hibs100 and Trips100. She also blogs at PackThePJs. Tracey writes mainly about family travel; from days out to road trips with her pet dogs, to cruises and long-haul tropical destinations. Her family consists of her husband Huw, a medical writer, Millie-Mae (14), Toby (12) and Izzy and Jack the spaniels