5.2.2.2 Bekämpfung von
Cyberkriminalität und computergestützter
Kriminalität
5.2.2.2.1 Gefährdungspotenziale der
Cyberkriminalität
Mit der rasanten
technischen Entwicklung und zunehmenden globalen Verbreitung des
Internets haben sich auch neue Formen der Kriminalität
herausgebildet. Cyberkriminalität und computergestützte
Kriminalität umfassen eine Vielzahl verschiedener Delikte.
Nach den Schutzgütern der verschiedenen Delikte ist zwischen
mehreren Kategorien von Straftaten zu unterscheiden.
Die erste
Kategorie umfasst diejenigen Delikte, die die IT-Sicherheit (d. h.
die Vertraulichkeit, Verfügbarkeit, Integrität und
Authentizität von Daten) schützen. Dazu zählen vor
allem die Tatbestände der Datenausspähung (§202a
StGB), der Datenveränderung (§ 303a StGB), der
Computersabotage (§ 303b StGB) und des Computerbetrugs
(§263a StGB).
Die
Straftatbestände des Urheberrechts (Urheberrechtsgesetz) und
der verwandten Leistungsschutzrechte  (Markengesetz, Gebrauchsmustergesetz,
Geschmacksmustergesetz, Patentgesetz) sowie die gewerbliche oder
private Softwarepiraterie, die mittels Computer begangen werden,
bilden mit ihrer vorwiegend wirtschaftlichen Zielrichtung die
zweite Kategorie der Cyberkriminalität.
Die dritte
Kategorie umfasst die Delikte, bei denen sich der Täter des
Computers lediglich als eines Tatwerkzeugs bedient, die aber auch
außerhalb von Informations- und Kommunikationsnetzen begangen
werden können. Dies sind Äußerungsdelikte wie z. B.
die Verbreitung pornographischer Schriften (§ 184 StGB) oder
die Volksverhetzung (§ 130 StGB). Eine gesonderte Statistik im
Hinblick auf die Begehung dieser Delikte mittels Computernetzwerken
wird in der polizeilichen Kriminalstatistik nicht erhoben. Eine
seriöse Einschätzung zum Gefährdungspotenzial und
zur Bedeutung dieses Bereiches der Cyberkriminalität ist somit
nicht möglich.
Bezüglich
der Delikte der ersten beiden Kategorien weist die polizeiliche
Kriminalitätsstatistik in den letzten zehn Jahren einen
stetigen Anstieg der Fallzahlen aus. Hierbei ist zu beachten, dass
nach einhelliger Auffassung zudem für jedes der genannten
Delikte ein erhebliches Dunkelfeld besteht.
Auch für die zukünftige Entwicklung
ist eher mit einer Zunahme der Fallzahlen zu rechnen22. Dies liegt beispielsweise für
den Bereich der Datenspionage (§ 202a StGB) und der
Datenveränderung (§ 303a StGB) daran, dass in offenen
Computernetzen wie dem Internet die Daten oftmals schutzlos dem
unberechtigten Zugriff von Hackern, Viren oder so genannten
trojanischen Pferden ausgesetzt sind.
Die Statistik sagt nichts darüber aus,
wie hoch der wirtschaftliche Schaden ist, der durch die Begehung
der Delikte entstanden ist. Doch ist davon auszugehen, dass mit
steigenden Fallzahlen auch der wirtschaftliche Schaden zugenommen
hat. Neben diesem unmittelbar hervorgerufenen wirtschaftlichen
Schaden wird zudem das Vertrauen der Nutzer und Nutzerinnen in die
Sicherheit der Informations- und Kommunikationssys teme
geschwächt, was deren Akzeptanz hemmt und somit ebenfalls
einen mittelbaren wirtschaftlichen Schaden verursacht.
5.2.2.2.2 Nationale
Lösungsansätze: Telekommunikations
überwachungsverordnung
Auch wenn die
vorgelegten Statistiken belegen, dass die
Datennetzkriminalität in den vergangenen Jahren stetig
zugenommen hat, ist hinsichtlich der Erwägung neuer
Strafbestimmungen oder der Ausweitung der gesetzlichen
Eingriffsbefugnisse zur Strafverfolgung zu berücksichtigen,
dass der Missbrauch der Datennetze im Vergleich zur
legalen Nutzung
lediglich einen verschwindend geringen Ausschnitt an der
Gesamtnutzung darstellt. Dies gilt es insbesondere in Bezug auf
gesetzliche Regelungen wie der
Telekommunikationsüberwachungsverordnung (TKÜV) zu
beachten, nach der potenziell die Überwachung des gesamten
Telekommunikationsverkehrs der Bundesrepublik Deutschland
möglich ist. Zudem ist zu bedenken, dass die Zahl der
Internetnutzer und -nutzerinnen in Europa in den vergangengen
fünf Jahren um einen vierstelligen Prozentbetrag (von 5,9
Miollionen Nutzer und Nutzerinnen im Jahr 1996 auf 113,14 Millionen
Nutzer und Nutzerinnen im Jahr 2001, d. h. um ca. 1.800 Prozent)
gestiegen ist. Vor diesem Hintergrund ist die Entwicklung der
Fallzahlen zu relativieren und zeigt – zu den Nutzerzahlen
ins Verhältnis gesetzt – letztendlich
anteilsmäßig eine Abnahme der
Datennetzkriminalität.
Auch sollte bei
einer Bewertung der Statistik berücksichtigt werden, dass
jeder Einzelne die Vertraulichkeit, Verfügbarkeit,
Integrität und Authentizität seiner Daten durch
präventiv wirkende technische Verbesserungen (z. B.
Verschlüsselung) effektiver schützen kann, als der Staat
dies durch neue Gesetze zur Strafverfolgung vermag. Somit sollten
bezüglich der Sicherheit von Informations- und
Telekommunikationssystemen präventive Maßnahmen Vorrang
haben.
Die
strafprozessuale Aufklärung begangener Straftaten sollte unter
sorgfältiger Abwägung zwischen den Interessen der
Bedarfsträger (der Sicherheits- und
Strafverfolgungsbehörden) und den Rechten der Nutzer und
Nutzerinnen erfolgen. Hierbei ist zu berücksichtigen, dass
Überwachungsmaßnahmen ihrerseits einen Eingriff in die
Sicherheit von Informations- und Telekommunikationsnetzen
darstellen und gegen Täter, die ihre Kommunikation durch
Verschlüsselung oder durch Steganographie schützen, von
vornherein nicht zum Erfolg führen kann.
Zusammenfassend
lässt sich damit feststellen, dass die
Cyber-Krimininalität zwar eine Bedrohung für die
Informationsgesellschaft darstellt – die sich in Zukunft
vergrößern wird. Zuverlässige empirische Daten
über hierdurch verursachte Schäden fehlen aber
weitgehend. Zum Teil wird – insbesondere in der
öffentlichen Berichterstattung (siehe z. B. die
Berichterstattung zum Loveletter-Virus) – der Eindruck
erweckt, dass die Gefahren des Cybercrime jedenfalls zum aktuellen
Zeitpunkt übertrieben dargestellt werden. Dadurch werden die
gesellschaftlichen und wirtschaftlichen Potenziale, die mit dem
Stichwort „Informationsgesellschaft“ verbunden sind, in
den Hintergrund gedrängt.
5.2.2.2.3 Internationale
Lösungsansätze: Cybercrime-Konvention
Am 23. November 2001 unterzeichneten die
Mehrheit der Europarat-Länder (darunter auch Deutschland und
Österreich) sowie die USA, Kanada, Südafrika und Japan in
Budapest eine internationale Konvention. Sie definiert als erste
ihrer Art in umfassender Weise Straftaten, die mit dem und durch
das Internet begangen werden können und statuiert Regelungen
zur internationalen Zusammenarbeit der
Strafverfolgungsbehörden. Diese Regelungen werden von
Datenschützern teils heftig kritisiert. Die so genannte
Budapester Konvention, die auch Cybercrime-Convention genannt wird,
verpflichtet die Unterzeichnerstaaten zur Einführung oder
Anpassung nationaler strafrechtlicher Regelungen gegen
„Kriminalität im Internet“. Da runter fallen
etwa Angriffe gegen die Vertraulichkeit, ät und
Zugänglichkeit von Computerdaten und -systemen, also der
illegale Zugang zu Computersystemen, das Abfangen von fremden
Daten, die Zerstörung oder Veränderung dieser, sowie die
Zerstörung oder Veränderung fremder Computersysteme.
Kritisiert wird die Konvention unter anderem von
Datenschützern, Bürgerrechtsorganisationen und
Wirtschaftsverbänden wegen ihrer einseitigen
Berücksichtigung der Interessen der
Strafverfolgungsbehörden und der unzureichenden Beachtung
datenschutzrechtlicher Anforderungen.
Es erscheint insbesondere bedenklich, dass
auch Staaten das Cybercrime-Abkommen unterzeichnen können (und
sollen), die die Wahrung der Menschenrechte nur in geringem
Maße gewährleisten. Gleichwohl könnten auch diese
Staaten in den Genuss der vereinfachten Rechtshilfe kommen.
Prinzipiell sind die Unterzeichnerstaaten zwar berechtigt,
derartige Rechtshilfegesuche mit Verweis auf innerstaatliche
Verfassungsregelungen abzulehnen. Eine solche Verweigerungshaltung
wird sich jedoch mittel- bis langfristig kaum aufrecht erhalten
lassen. Somit ist zu befürchten, dass der internationale Druck
auf die EU-Staaten und die Bundesrepublik zu einer kontinuierlichen
Absenkung des Grundrechtsschutzes führen könnte. Zu
berücksichtigen ist ferner, dass bei der
grenzüberschreitenden Strafverfolgungs- und
Ermittlungstätigkeit in globalen Netzwerken, die durch die
Cybercrime-Konvention, international standardisierte
Abhörschnittstellen und das Europäische
Rechtshilfeabkommen in Strafsachen möglich werden wird, die
deutschen Grundrechte (insbesondere Art. 10 GG) nicht vor der
Tätigkeit ausländischer Behörden vom Ausland aus
schützen.
Das Beispiel der Cybercrime-Bekämpfung
zeigt andererseits aber auch, dass die internationalen
Harmonisierungsbestrebungen in relativ kurzer Zeit zu Ergebnissen
führen können, wenn die Nationalstaaten (in diesem Fall
waren es die USA) die jeweiligen Regulierungsziele
nachdrücklich verfolgen und in den internationalen Foren
vorantreiben.
5.2.2.2.4 Auswirkungen auf die
IT-Sicherheit
Die Diskussion um die Bekämpfung der
Computerkriminalität ist in den Kontext der Daten- bzw.
IT-Sicherheit zu stellen. Dabei fällt auf, dass der im Bereich
der Daten- bzw. IT-Sicherheit vorherrschende primär
technikzentrierte Blickwinkel zu erweitern ist. IuK-Systeme sind
sozio-technische Systeme, deren Sicherheit von den jeweiligen
Anwendungsfeldern und den Menschen, die sie bedienen,
abhängen. Hier sollten verstärkt interdisziplinäre
Forschungsprojekte gefördert werden, die die entsprechenden
Wechselwirkungen untersuchen. Die Verwundbarkeit der
Informationsgesellschaft an sich muss zum Gegenstand der nationalen
und internationalen Forschung gemacht werden (Stichwort: Schutz
kritischer Infrastrukturen). Im Rahmen des Information Society Technologies
Programme (IST) der EU sollte dieser Untersuchungsgegenstand noch
umfassender berücksichtigt werden.
Durch die vielfältigen
Einsatzmöglichkeiten von IKT ist zu überlegen, ob
mittelfristig nicht ein IT-Sicherheitsgesetz sinnvoll sein
könnte oder aber bestehende Technikgesetze ergänzt werden
müssen. Auf nationaler Ebene sollte deshalb der gesamte
sicherheitstechnische Regelungsrahmen überprüft werden,
um festzustellen, wo Defizite in Bezug auf Einsatz und Verwendung
von IuK-Technik bestehen. Hierzu gehören auch
Überlegungen, ob spezielle Haftungsregelungen für
Software- und Hardwarefehler eingeführt werden sollten.
Auf der internationalen Ebene muss
zukünftig genau beobachtet werden, welche Konsequenzen die
Vereinigten Staaten und die internationale Völkergemeinschaft
insgesamt aus dem Terroranschlag vom 11. September 2001 ziehen
wollen. Gegebenenfalls können die Initiativen dazu beitragen,
das nationale Instrumentarium zu verbessern. Es ist aber auch
denkbar, dass Instrumente vorgeschlagen werden, die nur schwerlich
mit dem Souveränitätsgedanken oder der deutschen
Grundrechtstradition zu vereinbaren sind.
22 Siehe Computer Crime and Security Survey des CSI und
FBI, abrufbar unter http://www.gocsi.com/forms/fbi/pdf.html.
10.01.2002
|
