Compliance und Risiko
Juristischer Leitfaden: Straftaten im Internet
Die Neuauflage des juristischen Leitfadens von Trend Micro behandelt eingehend das Thema der Starfverfolgung bei Cyberkriminalität.
Save to Folio
Es gibt kaum ein Thema das leidenschaftlicher diskutiert wird, als die Frage nach den rechtlichen Konsequenzen von Straftaten. Menschen fügten einander seit jeher vorsätzlich Schaden zu. Dies belegen viele archäologische Quellen und zeigen auch, wie „Recht“ in solchen Fällen gesprochen wurde. Gleiches gilt natürlich auch für die sehr junge Internet-Technologie. Anders als bei anderen Straftaten sind die im Internet nicht an einem Standort festzumachen, und so entsteht der Eindruck, dass Polizei und Strafverfolgungsbehörden in jenen Fällen gegen Windmühlen kämpfen. Auch ist die Verantwortung für kriminelle Dienste oft nur schwierig zu definieren und somit zu ahnden. Der Gesetzgeber hat in den letzten Jahren diesen Bereich aktualisiert. Die Neuauflage des juristischen Leitfadens von Trend Micro behandelt dieses Thema eingehend.
Das Thema Risiken für IT-Unternehmen hat nach Einführung der Datenschutzgrundverordnung (DSGVO) 2018 eine neue, durchaus unangenehme Dimension erreicht. So wurde der Bußgeldkatalog für Datenschutzvergehen in Unternehmen von zuvor meist „homöopathischer“ Größenordnung auf drastische 20 Millionen € oder 4% vom weltweitem Jahresumsatzes des Vorjahres angehoben — je nachdem, was höher liegt. Damit setzte Anfang 2018 auch in deutschen Unternehmen eine Art Panikstimmung ein, die das Thema Datenschutz in den IT Diskussionen wieder in den Mittelpunkt rückte. Und das, obwohl die Regelungen der DSGVO in den meisten Punkten ohnehin dem deutschen Bundesdatenschutzgesetz entsprachen, welches schon seit Jahren galt.
Nach einem Jahr DSGVO stellt sich nun die Frage, ob die Androhung des hohen Strafmaßes ein Umdenken in der Industrie bezüglich der Sicherheit der Daten bewirkt hat. Das Fazit lautet ein klares Jein. So ist beispielsweise die Zahl der gemeldeten Datendiebstähle sprunghaft auf mehr als das doppelte angestiegen. Das ist für betroffene Nutzer theoretisch eine gute Nachricht, weil eine Verteidigung gegen Cyberangriffe nur möglich ist, wenn das Unternehmen weiß, welche Daten die „Bösen“ haben. Leider trägt die Menge der Taten auch dazu bei, dass — nach dem Motto „passiert doch jedem“ – eine Art Gewöhnung daran eintritt. Zudem war bedauerlicherweise lang nicht klar, ob der Gesetzgeber Firmen, in denen ein Datendiebstahl/-einbruch passiert, wirklich dafür zur Rechenschaft zieht. Gegen zwei Großkonzerne (British Airways und Marriott) haben die Behörden jüngst diesbezüglich jeweils Rekordbußgelder in dreistelliger Millionenhöhe angedroht. Es bleibt abzuwarten, inwieweit diese Bußgeldandrohungen umgesetzt werden und dann auch Signalwirkung für die Industrie haben.
Signalwirkung der DSGVO für andere IT-Gesetze?
Die DSGVO-Sanktionsregelung hat viel Aufmerksamkeit erregt und kann von diesem Standpunkt her als durchschlagender Erfolg gelten. Dies regt zur Nachahmung an. Das Bundesinnenministerium hat nun unter dem Schlagwort „IT-Sicherheitsgesetz 2.0“ im März/April 2019 den Referentenentwurf eines „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ vorgelegt. Im Vergleich zum IT-Sicherheitsgesetz (1.0) von 2015 wird die Bußgeldhöhe von derzeit 100.000€ für Verstöße auf ebenfalls 20 Millionen € oder 4% vom weltweiten Jahresumsatzes angehoben. Auch hier ist zu erwarten, dass es kein Alleingang der Bundesrepublik bleibt, sondern andere europäische Länder nachziehen werden.
Insgesamt zeigt sich, dass der einst nur moderat funktionierende Rechtsraum Internet im stärkeren Fokus des Gesetzgebers steht und dass zunehmend die Bereitschaft besteht rechtlich gegen Verstöße vorzugehen. Wichtig ist auch, dass nicht mehr nur klassisch Täter (Cybergangster) und Opfer definiert werden, sondern eine „Zusatzkategorie“ dazwischen eingeführt wurde — die der Verantwortung. Täter ist, wer angreift, das ist klar, aber Opfer ist nicht mehr zwangsläufig das Unternehmen, das angegriffen wurde, sondern diejenigen, die darunter leiden, etwa die Personen, deren persönliche Daten gestohlen wurden. Das angegriffene Unternehmen nimmt eine Zwischenrolle ein, bei der in größerem Maße geprüft wird, ob es verantwortungsvoll mit den jeweiligen Assets umgeht. Ist dies nicht der Fall, erhält das Unternehmen eine Mitschuld an der Tat und wird entsprechend zur Rechenschaft gezogen.
Haftung einzelner Personen
Dass dies nicht nur Unternehmen sondern auch Einzelpersonen (persönliche Haftung) mit einschließt, ist den meisten handelnden Personen vermutlich bekannt, wird aber in der Praxis oft nicht gelebt, teilweise auch aufgrund von arbeitnehmerfreundliche Haftungsregelungen. So kommt es nicht selten vor, dass beispielsweise die Entscheidung für oder gegen die Installation eines Patches innerhalb der IT-Abteilung des Unternehmens getroffen wird, häufig durch den jeweils verantwortlichen Administrator. Die durch interne Richtlinien in der Regel geforderte Risikoeinschätzung erbringen die Firmen dabei häufig nicht, von Dokumentation ganz zu schweigen. Kommt es in der Folge zu einem Security-Vorfall, so ist Wahrscheinlichkeit hoch, dass dieses Unternehmen eine erhebliche Strafsumme zahlen muss. Als Konsequenz können Mitarbeiter und Entscheider, die durch mangelhafte Aufstellung oder Missachtung interner Sicherheitsrichtlinien zu dem Vorfall beigetragen haben, zur Verantwortung gezogen werden.
Hohe Strafen auch für die „Bösen“
Strafen sollen natürlich vor allem die Schuldigen treffen. Dies stellt im Bereich der IT eine Herausforderung dar, denn die Schuldigen – meist Hacker, Cybergangster oder ähnliche – sind oft nicht greifbar. Zudem ist nicht immer klar, in welchem Fall eine Straftat vorliegt und wann nicht. So steht beispielsweise das Ausspähen von Daten unter Strafe, doch stellt sich gleichzeitig die Frage, was „Ausspähen“ bedeutet. Öffentliche bzw. ungeschützte Daten anzusehen ist nicht strafbar. Vielmehr muss der Besitzer der Daten deutlich machen, dass diese nicht für „ungebetene Gäste“ gedacht sind. Ein einfacher Hinweis reicht dabei nicht aus.
Das Ausspähen geschützter Daten wiederum ist eine Straftat, auch wenn der Hacker die ausgespähten Daten nicht weiterverwendet. Unklar ist allerdings, ob einfache Passwörter wie „1234“ einen ausreichenden Schutz darstellen. Schwache Passwörter sind naturgemäß eine der Hauptursachen, die zu Datendiebstahl führen. Selbst wenn das Hacken „einfacher“ Passwörter eine Straftat ist, so entsprechen andererseits diese Passwörter sicher nicht dem in der DSGVO und dem IT-SG geforderten Schutz dem „Stand der Technik“ gemäß, und das kann einem Unternehmen eine der 4% Strafen einbringen.
Neu: Strafvorschriften und Ermittlungsinstrumente
Der Entwurf für das bereits erwähnte IT-Sicherheitsgesetz 2.0 sieht darüber hinaus die Einführung zweier neuer Strafvorschriften sowie neue Ermittlungsinstrumente für Polizei und Staatsanwaltschaft vor. Unter anderem gibt es ein neues Strafrecht, welches das Betreiben von Plattformen im Darkweb, die „Leistungen zur Begehung von Straftaten anbieten“, unter Strafe stellt. Es mag überraschen, dass dieser Passus erst jetzt im deutschen Strafrecht auftaucht, zumal schon lange bekannt ist, dass in derartigen Foren im Prinzip alles erhältlich ist und das wenigste davon legal.
Die im Referentenentwurf genannten neuen Ermittlungsinstrumente der Polizei sind in die öffentliche Diskussion geraten. Denn um Täter im Darkweb zu überführen, mag es notwendig sein, die Identitäten von Beschuldigten zu übernehmen und ggf. weiter zu führen. Um an die Zugangsdaten für einen Account zu gelangen, können staatliche Stellen u.a. verdeckte Ermittlungsmaßnahmen oder Durchsuchungen bei Dritten durchführen. Sie können schließlich den Verdächtigen selbst mittels Ordnungs- und Zwangsmitteln bis hin zur Beugehaft zwingen, seine Zugangsdaten, also sein Passwort herauszugeben.
Fazit
Die Meinungen zu den einzelnen Regelungen mögen auseinander gehen. Doch eines ist sicher: Die Bundesrepublik zieht bezüglich des Internets in ihrer Gesetzgebung die Zügel straffer an. Und sie steht damit keineswegs allein da. Praktisch alle Staaten richten polizeiliche und geheimdienstliche Aktivitäten auf das Internet aus. Doch wird es nur dann gelingen, Cyberkriminellen die Grundlage zu entziehen, wenn sich länderübergreifend Polizeiorganisationen zusammenschließen und gemeinsam gegen diese Art Kriminalität vorgehen. Ansätze hierzu bieten unter anderem Europol und Interpol. Als privatwirtschaftliches Unternehmen unterstützt Trend Micro diese Ansätze im Rahmen der gesetzlichen Möglichkeiten.
Die hier angesprochenen Regelungen können Sie detailliert in unserem neu aufgelegtem juristischen Leitfaden in den Kapiteln I/3 und 7, II/1 und VIII nachlesen. Der erste Teil dieser Blog-Serie stellt neue Entwicklungen wie etwa beim IT-Sicherheitsgesetz Version 2 oder im Bereich IoT und im Strafrecht und die Auswirkungen davon vor. Der zweite Teil beleuchtet das Thema Bring Your Own Device (BYOD) sowie den Heimarbeitsplatz aus Sicht der IT-Sicherheit. Im Vordergrund stehen Anleitungen dazu, was die Security zu beachten hat. Der dritte Teil der Blog-Serie beschäftigt sich mit den rechtlichen Aspekten der Verantwortung im Fall der Nutzung einer Cloud-Umgebung.