Datenschutzgrundverordnung

“Digitaler Hausfriedensbruch“ bald strafbar

Das Land Hessen hat den Entwurf eines Strafrechtsänderungsgesetzes zur Einführung einer Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme – digitaler Hausfriedensbruch – vorgelegt.

iustitiaIn den letzten Jahren haben sich die Angriffe auf Internetseiten erhöht, bei denen eine Vielzahl von in krimineller Absicht ausgelösten Anfragen, die an Webseiten gerichtet werden, dazu führen, dass diese vorübergehend unerreichbar sind. Zudem finden gezielte Angriffe auf mit dem Internet verbundene kritische Infrastrukturen, also Einrichtungen wie große Industrieanlagen, Elektrizitätswerke, Kliniken, Staudämme, Anlagen der Wasserversorgung oder Telekommunikationsanlagen statt, die diese beschädigen, empfindlich stören oder unbrauchbar machen sollen. Ferner treten in jüngster Zeit massenhaft sogenannte „Erpressungs-Trojaner“ oder „Krypto-Trojaner“ auf (allein bei einer Variante wurden über 5000 Neuinfektionen in Deutschland pro Stunde festgestellt). Hierdurch werden große Schäden verursacht, auch die öffentliche Verwaltung und kritische Infrastrukturen seien betroffen.

Botnetz statt Brechstange

Als Werkzeuge setzen Straftäter sogenannte „Botnetze“ ein. Als Botnetz bezeichnet man eine große Anzahl von mit dem Internet ständig oder zeitweise verbundener informationstechnischer Systeme wie Computer oder Mobiltelefone die – von ihrem rechtmäßigen Nutzer unbemerkt – mit Schadprogrammen infiziert sind und daher einzeln oder in ihrer Gesamtheit einer fremden Kontrolle unterliegen. Große Botnetze umfassen mehrere Millionen Opferrechner, die von den jeweiligen sie kontrollierenden Tätern einzeln oder zusammen ferngesteuert werden können. Botnetze sind auch Handelswaren, die über kriminelle Märkte im Internet in Gänze oder in Teilen verkauft, verliehen oder vermietet werden.

Trojaner sollen draußen bleiben

Neben dem Anklicken von Links in Spam E-Mails oder dem Öffnen infizierter Dateianhänge kann eine Infektion etwa auch dadurch erfolgen, dass der rechtmäßige Nutzer mit seinen informationstechnischen System eine legitime Internetseite aufsucht, die zuvor von den Tätern unerkannt präpariert wurde. Die Täter schleusen dabei Schadcode in die Webseite ein, der dazu führt, dass auf dem Opfersystem im Hintergrund heimlich Schadprogramme aufgespielt werden und er so zum „Bot“ wird, also zu einem durch Dritte unerkannt fernsteuerbaren Zombie-Computer, dessen sämtliche Funktionen und Daten nunmehr eben jenem Dritten, der in infiziert hat, offenstehen. Derartige Bot-Netze werden auch genutzt zum Versenden von Spam-E-Mails, zur Begehung von Betrug im Onlinebanking oder zur Verschleierung des Standortes von Servern mit kriminellen Inhalten. Die Täter können sämtliche auf der Festplatte gespeicherten oder im Arbeitsspeicher befindlichen Daten des legitimen Benutzers ausspähen oder kopieren. Gleiches gilt für Daten, die der Nutzer extern, etwa bei Cloude-Diensten, gespeichert hat, denn die Täter können ihren Zugriff auch auf alle mit dem infizierten System verbundenen Systeme ausdehnen. Weiterhin kann der gesamte Internetverkehr der Opfer durch die Straftäter abgehört und manipuliert werden. Auch die Computerhardware des Opfersystems kann unbeschränkt ferngesteuert werden. So können z.B. Webcam oder Mikrofon unbemerkt eingeschaltet werden, um aus den Räumen der Opfer heimlich Videos und Töne zu übertragen. Damit wird der heimische Laptop oder dessen Mobiltelefon zu einem machtvollen Ausspähwerkzeug in den Händen international agierender Cyberkrimineller. Hierdurch ist die Integrität und Vertraulichkeit informationstechnischer Systeme vollständig aufgehoben, ohne dass der legitime Benutzer es bemerkt.

Vertraulichkeit informationstechnischer Systeme

Das Bundverfassungsgericht hat in seiner wegweisenden Entscheidung aus dem Jahr 2007 die Bedeutung des neu entwickelten Grundrechts auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme hingewiesen und zugleich die bestehenden Gefahren für die Bürger dargestellt. Der Gesetzentwurf schlägt nun vor, mittels des Strafrechts den Schutz des bedeutsamen Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sicherzustellen.

Schutz gegen „Überwinden“ der Zugangssicherung fehlt

Der bisherige strafrechtliche Schutz von informationstechnischen Systemen, der bislang durch die §§ 202a, 303a und 303b StGB gewährt wird, ist lückenhaft. § 202a StGB erfasst das Ausspähen solcher Daten, die durch eine besondere Zugangssicherung geschützt sind. Zudem greift diese Norm nur dann ein, wenn der Täter unter Überwindung der Zugangssicherung handelt. Aber auch in Fällen, in denen einen Zugangssicherung überwunden wird, sind die Schutzlücken gravierend, so die Gesetzesinitiatoren. Etwa nicht strafbewehrt ist es, wenn die mit einer Hand eingegebene PIN durch schlichtes Beobachten bei der Eingabe erfasst wird. Der anschließende Einsatz der beobachteten Zahlenkombination durch den Täter hebt bestimmungsgemäß den entsprechenden Schutz auf, so dass es am „Überwinden“ der Zugangssicherung fehlt. Eine „Überwindung“ im Sinne des § 202a Abs. 1 StGB soll nämlich dann nicht gegeben sein, wenn nur noch ein unerheblicher technischer oder zeitlicher Aufwand erforderlich ist. Der Täter wäre demnach straflos. Auch in den Fällen, in denen Täter unabhängig voneinander vorgehen, sei die Datenausspähung nach § 202a StGB straflos. Eine Strafbarkeit nach 303a StGB setzt hingegen voraus, dass der Täter auf dem betroffenen informationstechnischen System gespeicherte Daten löscht, verändert et cetera. Die Infiltration informationstechnischer Systeme ist heutzutage jedoch auch ohne die Veränderung von gespeicherten Daten möglich. § 303b StGB sei ebenfalls nicht geeignet, informationstechnische Systeme hinreichend zu schützen. Die Norm greife zum Beispiel nicht bei internetgekoppelten Haushaltsgeräten oder bei ausschließlich privat genutzten Systemen, welche den überwiegenden Teil der angegriffenen Systeme darstellten.

Digitales Hausrecht vorgeschlagen

Das Land Hessen schlägt vor, zur Erreichung eines angemessenen Schutzniveaus für die Vertraulichkeit und Integrität informationstechnischer Systeme die Rechtsgedanken des § 123 StGB und des § 248b StGB in die digitale Welt zu übertragen und einen neuen § 202e im Strafgesetzbuch einzuführen. Mit der neuen Vorschrift soll die unbefugte Benutzung informationstechnischer Systeme unter Strafe gestellt werden. IT-Systeme seien mindestens ebenso schutzwürdig wie das Hausrecht und wie das ausschließliche Nutzungsrecht an Fahrzeugen. Nach § 202e StGB-E wird mit Geldstrafe oder Freiheitsstrafe bis zu einem Jahr bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist, wenn jemand unbefugt sich oder einem Dritten den Zugang zu einem informationstechnischen System verschafft, ein informationstechnisches System in Gebrauch nimmt oder einen Datenverarbeitungsvorgang oder einen informationstechnischen Ablauf auf einem informationstechnischen System beeinflusst oder in Gang setzt. Die Tat soll nur strafbar sein, wenn sie geeignet ist, berechtigte Interessen eines anderen zu beeinträchtigen.

Strafen bis zu fünf Jahren Gefängnis

Mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren wird bestraft, wer eine in Abs. 1 bezeichnete Handlung gegen Entgelt oder in der Absicht, sich oder einen Dritten zu bereichern oder einen Dritten zu schädigen begeht, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. Ein besonders schwerer Fall, der mit Freiheitsstrafe von sechs Monaten bis zu zehn Jahren geahndet werden soll, soll in der Regel vorliegen, wenn der Täter gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Straftaten unter Nutzung von informationstechnischen Systemen verbunden hat, den Zugang zu einer großen Anzahl von informationstechnischen Systemen verschafft oder eine große Anzahl von informationstechnischen Systemen in Gebrauch nimmt oder eine große Anzahl von Datenverarbeitungsvorgängen oder informationstechnischen Abläufen beeinflusst oder in Ganz setzt oder in der Absicht handelt, eine Gefahr für die öffentliche Sicherheit, eine gemeingefährliche Straftat oder eine besonders schwere Straftat gegen die Umwelt nach § 330 StGB herbeizuführen oder zu ermöglichen. Handelt der Täter in der Absicht, einen Ausfall oder eine Beeinträchtigung der Funktionsfähigkeit kritischer Infrastrukturen zu bewirken, so ist die Strafe Freiheitsstrafe von einem bis zu zehn Jahren. Dieser Fall soll damit als Verbrechen ausgestaltet werden, so der Gesetzesvorschlag. Auch der Versuch soll strafbar sein.

Mehr Schutz für das Internet der Dinge

Im Sinne dieser Vorschrift soll ein informationstechnisches System nur ein solches sein, dass zur Verarbeitung personenbezogener Daten geeignet oder bestimmt ist oder Teil einer Einrichtung oder Anlage ist, die wirtschaftlichen, öffentlichen, wissenschaftlichen, künstlerischen, gemeinnützigen oder sportlichen Zwecken dient oder die den Bereichen Energie, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Versorgung, Haustechnik oder Haushaltstechnik angehört.

Kritische Infrastruktur ist danach eine Einrichtung, Anlage oder Teile davon, die dem Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung oder Finanz-und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung ein erheblicher Versorgungsengpass oder eine Gefährdung für die öffentliche Sicherheit eintreten wird.

Weiterführende Hinweise:
Bundesrat-Drucksache 338/16

2016-10-15

Print Friendly, PDF & Email