Cyber-Security

Cybercrime-Special: Rechtliche Hintergründe (2/3)

Dr. Cornelius Granig Dr. Cornelius Granig

Homeoffice bestimmt derzeit den Berufsalltag. Die verkündeten Maßnahmen der Bundesregierung waren tiefgreifend und erforderten schnelles Handeln seitens der Unternehmen – eine Herausforderung für die IT-Sicherheit. Denn: Kriminelle nutzen die neuen Rahmenbedingungen im Homeoffice für verstärkte Angriffe auf Firmennetzwerke. Cybersecurity-Experte und Krisenmanager Cornelius Granig von Grant Thornton klärt im Blog-MACHER über die aktuelle Lage auf.

Rechtliche Hintergründe

Wieso ist die strafrechtliche Verfolgung von Hackern so schwierig?

Granig: Ein großes Problem bei Cyberstraftaten stellt das geringe Strafausmaß dar. Wenn man ‚nur‘ Daten stiehlt, ist dafür im Strafgesetzbuch maximal ein halbes Jahr unbedingte Haft vorgesehen, so weit nicht Computersysteme betroffen sind, die Teil der ‚Kritischen Infrastruktur‘ unseres Landes sind (§ 118a StGB Widerrechtlicher Zugriff auf ein Computersystem). Hinzu kommt, dass die Strafprozessordnung bei Delikten mit derart geringem Strafausmaß keine Überwachungsmaßnahmen wie Hausdurchsuchungen oder Telefonüberwachungen zulässt (§ 136 StPO Optische und akustische Überwachung von Personen). Das bedeutet: Selbst wenn man einen begründeten Verdacht hat, wer der Hacker ist, kann man keine Hausdurchsuchung bei ihm durchführen, wenn nicht auch ein Verdacht für darüber hinausgehende Straftaten begründet werden kann. Wenn sich der Hacker nicht in Österreich befindet, gestaltet sich die Verfolgung noch einmal schwieriger, weil man dazu die Unterstützung einer Behörde im Ausland anfordern muss. Diese Unterstützung kommt häufig viel zu spät oder überhaupt nicht, weil dabei die Schwere des Deliktes eine Rolle spielt. Ein konkretes Beispiel ist der Fall der ÖVP im vergangenen Jahr, wo offenbar große Datenmengen der größten politischen Partei Österreichs kopiert wurden. Solange die Daten ‚nur‘ kopiert werden und kein weiteres Zusatzdelikt vorliegt, wie etwa die Beschädigung des Computersystems, der Weiterverkauf der Daten oder die Erpressung der Organisation, bleibt es bei einem maximalen Strafausmaß von einem halben Jahr. Dabei ist es völlig egal, ob man ein paar Dokumente von einer Privatperson oder 500 Gigabyte Daten von einer politischen Partei stiehlt.

 

Warum beurteilt die Gesetzgebung hier so milde?

Granig: Die Gesetze sind in einer Zeit entstanden, in der wir in einer Industriegesellschaft gelebt haben. Damals waren die Themen Kommunikation und Internetzugriff noch nicht so bedeutend wie heute. In vielen Bereichen wird unsere digitale Abhängigkeit daher immer noch nicht angemessen in den gesetzlichen Rahmenbedingungen abgebildet. Die Folge sind unter anderem niedrige Aufklärungsquoten bei Cyberkriminalität. Natürlich müssen auch erschwerende Faktoren wie das Darknet, IP-Anonymisierungstools oder Kryptowährungen hervorgehoben werden, aber die Gesetzgebung unterstützt die Aufklärungsquoten in ihrer derzeitigen Ausformulierung nicht wirklich. Bei rund einem Drittel der Cybercrime-Straftaten werden die Täter ermittelt. Dabei handelt es sich größtenteils um Internetbetrug. Das ist aber keine technische Thematik, also kein Cybercrime im engeren Sinne. Bei den wirklich technischen Delikten ist die Aufklärungsquote enorm gering – im Bereich der Ransomware liegt sie gerade einmal bei vier Prozent.

 

Sie unterstützen den ‚Digitalen Krisenstab‘ des Bundekanzlers. Wie wird das Thema Strafverschärfung dort diskutiert - und wieso wurden die Gesetze noch nicht entsprechend angepasst?

Granig: Cyberkriminalität wird in der Bevölkerung von vielen als gewaltloses Verbrechen wahrgenommen, weshalb die soziale Akzeptanz dafür relativ hoch ist. Ich habe mit dem Justizministerium und mit vielen Abgeordneten schon öfter über die Notwendigkeit von Strafverschärfungen gesprochen, da in meinen Augen höhere Strafdrohungen abschreckend auf die Kriminellen wirken werden. Darüber hinaus hoffe ich, dass auch neue, wichtige Gesetze eingeführt werden, die beispielsweise das vorsätzliche Verbreiten von Fakenews - falschen Gerüchten, die großen Schaden anrichten können - generell unter Strafe stellen. In Österreich gab es ein Gesetz, das in diesem Bereich greifen würde (§276 - Verbreitung falscher, beunruhigender Gerüchte), allerdings im Jahr 2015 im Rahmen der Aussortierung von ‚totem Recht‘ abgeschafft wurde. Mein Appell gilt aber nicht nur der Bundesregierung und dem Parlament, sondern uns allen: Wir müssen einfach zur Kenntnis nehmen, dass wir mittlerweile in einer Informationsgesellschaft leben, in der wir total abhängig von der digitalen Welt sind. Deshalb muss sich unsere Wahrnehmung in Bezug auf Cyberkriminalität verändern. Der Schaden, der damit angerichtet werden kann, ist enorm. Leider realisieren das viele Menschen und Unternehmen erst, wenn sie selbst einmal davon betroffen sind.

 

Weiter zu:

Cybercrime-Special: Hacker Angriffe (1/3)

Cybercrime-Special: Krisenmanagement und Fake News (3/3)