Sind die bestehenden Straftatbestände der Computerkriminalität wirksam, um die mit dem Datendiebstahl verbundenen Herausforderungen zu bewältigen?
Die vorliegende Forschungsarbeit befasst sich mit der Frage einer zeitgemäßen Regelung des Datendiebstahls und bewertet kritisch die Herausforderungen der bestehenden Straftatbestände der Cyberkriminalität auf der Grundlage des Entwurfs des Übereinkommens der Vereinten Nationen über Cyberkriminalität im Vergleich zu den geltenden Vorschriften der Russischen Föderation. Der Entwurf des Übereinkommens der Vereinten Nationen über Computerkriminalität zielt darauf ab, die internationale Zusammenarbeit bei der Bekämpfung bestimmter Straftaten, die mit Hilfe von Informations- und Kommunikationstechnologiesystemen begangen werden, und bei der gemeinsamen Nutzung von Beweismaterial in elektronischer Form für schwere Straftaten zu stärken. Kürzlich hat der Ad-hoc-Ausschuss der Vereinten Nationen in New York eine Einigung über den Entwurf der Konvention erzielt, der demnächst der Generalversammlung der Vereinten Nationen zur formellen Annahme vorgelegt werden soll.
Einleitung
Am 8. Januar 2024 veröffentlichte die ukrainische Hackergruppe „Kiborg“ die komplette Kundendatenbank der großen russischen Alfa-Bank[1] Die Hacker bezeichnen sich selbst als „ein Projekt von Journalisten und IT-Spezialisten, die sich im Kampf gegen Aggressionen im Informationsraum zusammengeschlossen haben“. Sie veröffentlichten riesige Mengen vertraulicher Bank- und persönlicher Daten (eine Datenbank mit vollständigen Namen, Geburtsdaten, Telefonnummern und Kontodaten von 38 Millionen Kunden) auf einer öffentlich zugänglichen Website[2] Dieses Beispiel zeigt deutlich, wie unsicher Daten in den Händen von Cyberkriminellen sein können, selbst wenn sie von professionellen Unternehmen mit starken Cybersicherheitsmaßnahmen gespeichert werden. Und es wirft die Frage auf, wie solche Exzesse in Zukunft bekämpft und verhindert werden können und wie Kriminelle zur Rechenschaft gezogen werden können, insbesondere außerhalb des Hoheitsgebiets.
I. Derzeitige Verbreitung von Straftaten des digitalen Datendiebstahls
Im Dezember 2023 wurde das Studio hinter dem beliebten Videospiel Spider-Man 2 gehackt und Details über das kommende Spiel sowie Mitarbeiter- und Unternehmensdaten gestohlen[3]. Im November 2023 wurden die Kundendaten der British Library im Dark Web veröffentlicht[4]. Im Juli 2022 wurde Crypto.com, eine weltweit führende Börse für Kryptowährungen, gehackt und die persönlichen Daten von mehr als 700.000 Nutzern gestohlen[5].
Bis heute steigt die Anzahl und das Ausmaß von Cyberangriffen mit dem Ziel, persönliche und Unternehmensdaten zu stehlen und zu kompromittieren. Unter Datendiebstahl versteht man den Diebstahl von computergestützten Informationen in digitaler Form, in der Regel mit dem Ziel, die Informationen zu kompromittieren, sie sich anzueignen oder sie weiterzuverkaufen oder zu verbreiten. Da Daten (im Gegensatz zu materiellen Gütern) immateriell sind und beim Eigentümer verbleiben, bedeutet Diebstahl eigentlich, sich Zugang zu den Daten zu verschaffen.
Personen, die in der Verletzung von Cybersicherheitsmaßnahmen erfahren sind, bieten ihre Dienste gegen Bezahlung an (crime as a service) und können sich überall auf der Welt befinden: Sie benötigen keine speziellen Werkzeuge, Instrumente oder physischen Zugang zu Räumlichkeiten, sondern lediglich eine Internetverbindung und einen Computer. Cyberkriminalität ist daher in vielen Ländern und Gebieten weit verbreitet, obwohl die meisten dieser Straftaten bestimmte Kategorien vertraulicher Informationen betreffen, wie z. B. personenbezogene Daten, Finanz- und Kreditkartendaten, Kontaktinformationen, Geschäftsgeheimnisse, geistiges Eigentum, Informationen über die nationale Sicherheit usw. [6]. [6] Wir sollten auch das enorme Ausmaß der Cyberkriminalität berücksichtigen. Im Jahr 2020 wurde beispielsweise in den USA ein Verfahren gegen vier chinesische Staatsbürger eingeleitet, die in das Computernetzwerk von Equifax (Georgia, USA) eingedrungen waren und sensible personenbezogene Daten von rund 145 Millionen US-Bürgern gestohlen hatten[7]. 2016 gelang es einer nordkoreanischen Hackergruppe namens Lazarus, durch einen Angriff auf das globale Überweisungssystem SWIFT Millionen von Dollar zu stehlen. Lazarus stahl auch Kryptowährungen im Wert von über 500 Millionen Dollar[8] Während der MSP-Diebstahlkampagne[9] verschafften sich Zhu, Zhang (aus China) und ihre Mitverschwörer in der APT10-Gruppe erfolgreich unbefugten Zugang zu Computern, die Webdienste für Unternehmen in mindestens 12 Ländern, darunter Brasilien, Deutschland, Finnland, Frankreich, Indien, Japan, Kanada, Schweden, die Schweiz, die Vereinigten Arabischen Emirate, das Vereinigte Königreich und die USA, bereitstellten oder diesen gehörten. Die Gruppe APT10 hat Hunderte von Gigabyte an sensiblen Daten aus den Computersystemen ihrer Opfer gestohlen und ist weiterhin aktiv.
Dieser extraterritoriale Aspekt erschwert die Verfolgung von Straftaten, insbesondere von Datendiebstahl, erheblich, da sich die Informationsquelle (das Ziel) in einem Land und der Täter in einem anderen Land befinden kann. Dies macht die Verurteilung und Festnahme von Straftätern äußerst schwierig. Der extraterritoriale Charakter des Datendiebstahls wirft die Frage auf, welches Recht auf die Straftat, den Täter und das Opfer anzuwenden ist und wie mit Gesetzeskollisionen umzugehen ist. Es ist wichtig zu erwähnen, dass Cyber-Spezialisten aufgrund ihrer ortsunabhängigen Tätigkeit häufig von Ort zu Ort ziehen (digitales Nomadentum), so dass die Staatsangehörigkeit häufig nicht mit dem Wohnsitz übereinstimmt.
Das Problem der Rechtsprechung im Bereich der Cyberkriminalität manifestiert sich in dreifacher Hinsicht: fehlende Strafgesetze, fehlende Verfahrenskompetenzen und fehlende durchsetzbare Rechtshilfebestimmungen mit ausländischen Staaten. Der Urheber des „I love you“-Virus ist bis heute nicht bestraft worden, weil es auf den Philippinen (seinem Wohnsitz) zum Zeitpunkt des Angriffs kein entsprechendes Gesetz über Computerkriminalität gab[10]. Die Straftat kann auf dem Gebiet eines Staates begangen werden, der Schaden entsteht jedoch auf dem Gebiet eines anderen Staates oder weltweit.
Das bestehende System für Straftaten im Zusammenhang mit Cyberkriminalität ist daher nicht in der Lage, die mit dem „Diebstahl“ von Daten verbundenen Herausforderungen zu bewältigen. Die einzige Möglichkeit, dieses Problem zu lösen, ist daher eine weltweit einheitliche Regelung (sofern dies in einer Welt mit unterschiedlichen Rechtssystemen, politischen Systemen und Spannungen überhaupt möglich ist).
II. Das Übereinkommen der Vereinten Nationen über Computerkriminalität als internationales Instrument zur Bekämpfung des Datendiebstahls
1. Allgemeiner Überblick
Die Vereinten Nationen haben mit dem Entwurf eines Übereinkommens über Computerkriminalität[11] einen Vereinheitlichungsversuch unternommen, der allerdings noch nicht in seiner endgültigen Form vorliegt und sich noch im Verhandlungsstadium befindet, wobei viele Kommentare der verschiedenen Teilnehmerstaaten[12] auf unterschiedliche Rechtssysteme und politische Spannungen zurückzuführen sind. [13] Laut der Electronic Frontier Foundation „könnte der Vertrag, wenn er angenommen wird, das Strafrecht umgestalten und die Befugnisse zur grenzüberschreitenden polizeilichen Überwachung im Hinblick auf den Zugriff auf und die Weitergabe von Nutzerdaten stärken, was die Privatsphäre und die Menschenrechte von Milliarden von Menschen weltweit beeinträchtigen würde“[14].
Es ist schwierig, die Wirksamkeit des vorgeschlagenen internationalen Rechtsrahmens zur Bekämpfung des Datendiebstahls zu beurteilen, da er noch nicht in Kraft getreten ist und vorläufige Schlussfolgerungen erst gezogen werden können, wenn er in Kraft getreten ist und in der Praxis angewandt wird. Die vorgeschlagene Regelung des Datendiebstahls ist im Übereinkommensentwurf in Artikel 12 „Computerbezogener Diebstahl oder Betrug“ enthalten. In der Standardfassung werden die Vertragsparteien aufgefordert, innerstaatliche Rechtsvorschriften zu erlassen, um „die vorsätzliche und unrechtmäßige Verursachung eines Vermögensschadens bei einer anderen Person <…> in der betrügerischen oder unredlichen Absicht, sich oder einer anderen Person einen unrechtmäßigen wirtschaftlichen Vorteil zu verschaffen, oder [Computerdaten] [digitale Informationen], die personenbezogene Daten enthalten, einschließlich Informationen über das Bankkonto einer Person <…>“ unter Strafe zu stellen.
Die aktuellen und wirksamen internationalen Rechtsinstrumente in Bezug auf Datendiebstahl sind das Budapester Übereinkommen über Computerkriminalität von 2001 und die Richtlinie 2013/40/EU der Europäischen Union. Letztere sieht genau diese Art der Cyberkriminalität - den Datendiebstahl - nicht vor und musste durch eine Reihe anderer Straftaten, den unrechtmäßigen Zugang und gegebenenfalls den Missbrauch von Werkzeugen interpretiert werden. Die Budapester Konvention definiert in ihrem Artikel 8 „Betrug im Zusammenhang mit Computern“ den Verlust von Eigentum durch die Löschung von Daten oder die Störung des Betriebs eines Computersystems[15]. Der große Fortschritt des neuen Textes der UN-Konvention besteht also darin, dass die weltweit am weitesten verbreitete Computerkriminalität endlich in einem eigenen Artikel definiert und damit ein klarer und eindeutiger rechtlicher Rahmen geschaffen wird.
Der Entwurf der UN-Konvention definiert alle Elemente, die für eine wirksame Bekämpfung des Datendiebstahls notwendig sind: Definition des Diebstahls (sogar im Namen des Artikels), Definition von Computerdaten und (oder) digitalen Informationen als Gegenstand der „Aneignung“ und Erlangung eines wirtschaftlichen Vorteils, besondere Erwähnung von personenbezogenen Daten und Bankkonten als gefährdete Arten von Informationen (actus reus), unredliche Absicht, vorsätzliche Verpflichtung und „unrechtmäßige“ Handlungen gegenüber der betroffenen Person (mens rea). Ein Meilenstein ist hier die Anerkennung digitaler Informationen als immaterielle Güter, die eindeutig gestohlen werden können. Auch die Teilnahme und der Versuch des Datendiebstahls werden unter Strafe gestellt (Art. 19).
Die bloße Definition eines neuen Straftatbestands garantiert jedoch noch keinen Erfolg bei der Bekämpfung des Datendiebstahls; vielmehr bedarf es komplexer Regelungen (und deren reibungsloser Umsetzung in der Praxis). Die Wirksamkeit eines neuen Straftatbestands sollte auch im Lichte von Artikel 16 über die Bekämpfung des Waschens von Erträgen aus Straftaten gesehen werden, der das Verbergen von Erträgen aus Straftaten unter Strafe stellt, da davon ausgegangen wird, dass die meisten Fälle von Datendiebstahl aus Gewinnstreben begangen werden. Noch wichtiger ist, dass die Wirksamkeit eines neuen Artikels auch von der Zuständigkeitsklausel (Artikel 22 des UN-Konventionsentwurfs) und von Kapitel IV „Verfahrensmaßnahmen und Strafverfolgung“ abhängt.
2. Alternativvorschläge zur komplexen Regelung des Datendiebstahls
Ein weiterer interessanter Punkt sind die von einer Gruppe von Ländern wie Russland, China, Iran und Venezuela vorgeschlagenen Ergänzungen bzw. Änderungen, gegen die die EU und die westlichen Länder protestieren. Es handelt sich um den Vorschlag, die Bereitstellung von Web-Diensten (Art. 10.ter der UN-Konvention) und die technische Beratung oder Erstellung von Websites, Kommunikationsnetzwerken mit der Absicht, diese zur Begehung von Diebstählen zu nutzen (oder sogar die Bereitstellung von Netzwerkdiensten - in Art. 10.quarter), unter Strafe zu stellen. Dieser Vorschlag könnte angesichts der Verbreitung von Darknet-Foren, in denen Hacker nicht nur ihre Hilfe bei der Begehung von Straftaten anbieten, sondern auch die illegalen Ergebnisse solcher Straftaten bewerben und verkaufen, in der Tat erwägenswert sein. Foren und Webseiten sind für sie der wichtigste Kommunikationskanal, um die Ergebnisse illegaler Diebstähle zu Geld zu machen.
So verlangte RaidForums beispielsweise Preise für den Zugang zu und das Herunterladen von gestohlenen Finanzinformationen, Identifikationsmitteln und Daten aus kompromittierten Datenbanken. Das Interessante daran war, dass der Hauptadministrator des Forums ein 15-jähriges Kind war, das die Aktivitäten des Forums sieben Jahre lang fortführte. Das Problem war, dass es Jahre dauerte und erhebliche Ressourcen der Strafverfolgungsbehörden und deren Zusammenarbeit erforderte, um das Dark Web zu durchdringen und die Plattform zu schließen[16].
In Anbetracht des oben genannten Beispiels des Diebstahls von 38 Millionen Bankkundendaten wäre ein Verbot von Websites, die diese Daten veröffentlichen, speichern und öffentlich zugänglich machen, keineswegs eine übertriebene Maßnahme. Zum Zeitpunkt der Erstellung dieses Dokuments ist die erwähnte Datenbank immer noch auf der Website von Kiborg[17] öffentlich zugänglich (sie bleibt zehn Monate hintereinander öffentlich zugänglich, was einen beispiellosen Verstoß gegen die Datenschutzbestimmungen darstellt). Es gibt keinen vernünftigen Grund, diese Website und ihren Inhalt nicht als eine der Abhilfemaßnahmen zu sperren. Würden sich die Betreiber oder Eigentümer der Website klar darüber im Klaren sein, dass diese Handlungen unter Androhung einer Strafanzeige illegal sind, wäre die Verbreitung gestohlener Daten nicht so weit verbreitet. Sicher, die Daten könnten ins Darknet durchsickern oder die Speichermedien wechseln, aber zumindest wären die Informationen nicht mehr so leicht zugänglich.
Ein weiterer Vorschlag im Entwurf des UN-Übereinkommens ist die Schaffung eines gesonderten Straftatbestands in Bezug auf personenbezogene Daten - Art. 10 quinquies „Verletzung personenbezogener Daten“. Dieser Vorschlag betrifft die Kriminalisierung des Verkaufs, der Lieferung oder der anderweitigen Zugänglichmachung von Material, das personenbezogene Daten enthält, an andere Personen unter Verwendung eines Informations- und Kommunikationstechnologiesystems/-geräts.
III. Regelung des Informationsdiebstahls in der Russischen Föderation
Gemäß Art. 5.1 des Föderalen Gesetzes der Russischen Föderation vom 27. Juli 2006 Nr. 149-FZ „Über Information, Informationstechnologien und Informationsschutz“ können Informationen Gegenstand öffentlicher, zivilrechtlicher und sonstiger Rechtsverhältnisse sein, von jedermann frei verwendet und von einer Person an eine andere Person übertragen werden. Informationen sind daher ein rechtlich geschütztes Gut und können gestohlen (verkauft, weitergegeben, kopiert usw.) werden. Das geltende Strafrecht der Russischen Föderation kennt keinen spezifischen Straftatbestand[18] des Datendiebstahls, und dieser Straftatbestand wird teilweise durch den Straftatbestand des unrechtmäßigen Zugangs nach dem Budapester Übereinkommen von 2011 abgedeckt.
Illegaler Zugang (Art. 272 des Strafgesetzbuches der Russischen Föderation), Missbrauch von Werkzeugen (Art. 273), Verletzung der Regeln für die Nutzung von Computern (Art. 274), Beeinträchtigung kritischer Infrastrukturen (Art. 274.1) und Verletzung der Sicherheit (Art. 274.2) - dies ist die vollständige Liste der Cyberkriminalität in Kapitel 28 des Strafgesetzbuches. Darüber hinaus gibt es einen speziellen Artikel 159.6 in Kapitel 21, der Eigentumsdelikten gewidmet ist - „Betrug mit Computerinformationen“. Dabei handelt es sich um den Diebstahl fremden Eigentums oder die Aneignung fremden Eigentums durch Eingabe, Löschung, Sperrung oder Änderung von Computerinformationen.
Die strafrechtliche Ahndung nach russischem Recht würde daher von der Art der gestohlenen Informationen abhängen:
(1) Handelt es sich um Informationen persönlicher Art, d.h. um personenbezogene Daten, so wäre der Täter nach Artikel 137 des Strafgesetzbuches „Verletzung der Unverletzlichkeit des Privatlebens“ verantwortlich: rechtswidrige Sammlung oder Verbreitung von Informationen über das Privatleben einer Person oder Verbreitung solcher Informationen in der Öffentlichkeit. Sanktionen: Geldstrafen und/oder Freiheitsstrafen.
(2) Handelt es sich um Informationen geschäftlicher Art, d.h. um Steuer-, Bank-, Betriebs- oder Geschäftsgeheimnisse, so wird der Täter gemäß Artikel 183 „Unerlaubte Beschaffung und Weitergabe von Informationen, die Geschäfts-, Steuer- oder Bankgeheimnisse darstellen“ zur Verantwortung gezogen: Erlangung von Informationen durch Diebstahl von Dokumenten oder auf andere rechtswidrige Weise (einschließlich mit Hilfe digitaler Mittel). Sanktionen: Geldstrafen und/oder Freiheitsstrafen.
Darüber hinaus würde die Straftat auch unter Artikel 272 „Unbefugter Zugang“ fallen, da das Eindringen mit digitalen Mitteln erfolgte. Unerlaubter Zugang bedeutet unrechtmäßiger Zugang zu rechtlich geschützten Computerinformationen, wenn diese Handlung z. B. zum Kopieren von Computerinformationen führt. Wenn die Informationen nicht persönlicher oder geschäftlicher Natur sind, wird ihr Diebstahl nur als Straftat des illegalen Zugangs verfolgt.
Nach dem derzeitigen Wortlaut der russischen Gesetze gibt es daher keinen gesonderten Artikel über den Diebstahl von Informationen, was die Regelung dieser Art von Straftat äußerst unwirksam macht. Und dies vor dem Hintergrund, dass jede vierte Straftat mit Hilfe digitaler Technologie begangen wird[19] (laut dem letzten bekannten offiziellen statistischen Bericht des Innenministeriums der Russischen Föderation für das Jahr 2022).
Schlussfolgerung
Das Übereinkommen des Europarates über Cyberkriminalität wurde geschaffen, um die Frage der Gerichtsbarkeit zu klären und die erfolgreiche Strafverfolgung von Cyberkriminellen zu unterstützen[20] Nur durch die Förderung der internationalen Zusammenarbeit kann Cyberkriminalität auf nationaler, regionaler und internationaler Ebene wirksamer verhindert und bekämpft werden. Zudem sollten die Gesetze zum Datendiebstahl klarer formuliert werden, um zu klären, wer für gestohlene Kundendaten oder geschwächte Computernetzwerke haftet[21] Auf internationaler und nationaler Ebene gibt es derzeit in keinem der beiden Rechtsrahmen einen eigenen Straftatbestand „Datendiebstahl“. Insgesamt ist das Cybercrime-Recht jedoch ein sehr begrenzter Mechanismus zur Bekämpfung von Online-Vergehen[22] und kann Datendiebstahl allein nicht verhindern; es bedarf einer korrekten Anwendung der Gesetze und Verfahrensmechanismen sowie strenger Sicherheitsmaßnahmen seitens der Eigentümer und Nutzer von Computerdaten. Auf jeden Fall stellt der Entwurf des Übereinkommens über Computerkriminalität eine Verbesserung dar, indem er den Straftatbestand des Datendiebstahls definiert, was ein Ausgangspunkt für die Hoffnung auf einen besseren Schutz in der Zukunft sein könnte.
[1] Novaya Gazeta Europe https://novayagazeta.eu/articles/2024/01/08/hackers-publish-personal-data-of-20-million-alfa-bank-customers-en-news Zugriff am 14. November 2024
[2] Hacker haben die Daten von 38 Millionen Kunden der Alfa Bank veröffentlicht. Die Bank bestreitet das Datenleck - CNews/ Zugriff am 14. November 2024
[3] BBC https://www.bbc.com/news/topics/cp3mvpdp1r2t Zugriff am 14. November 2024
[4] BBC https://www.bbc.com/news/entertainment-arts-67544504 Zugriff am 14. November 2024
[5] Techradar, https://www.techradar.com/features/top-data-breaches-and-cyber-attacks-of-2022 Zugriff am 14. November 2024
[6] Jonathan Clough, „Datendiebstahl? Cyberkriminalität und die zunehmende Kriminalisierung des Zugangs zu Daten ' (2011) 22 Crim LF 149
[7] Alexandra Haris & Bruce Zagaris, „Cyberkriminalität“ (2020) 36 IELR 69
[8] Bruce Zagaris, „Cyberkriminalität“ (2022) 38 IELR 161 - Quellen, 15y o forum
[9] Bruce Zagaris, „Cyberkriminalität“ (2019) 35 IELR 32
[10] Amalie M. Weber, „Das Übereinkommen des Europarats über Computerkriminalität“ (2003) 18 Berkeley Tech LJ 426
[11] Vereinte Nationen https://www.unodc.org/unodc/en/cybercrime/ad_hoc_committee/ahc_sixth_session/main Zugriff am 14. November 2024
[12] https://www.unodc.org/documents/Cybercrime/AdHocCommittee/6th_Session/DTC/DTC_rolling_text_31.08.2023_PM.pdf
[13] https://foreignpolicy.com/2023/08/31/united-nations-russia-china-cybercrime-treaty/
[14] https://unric.org/en/a-un-treaty-on-cybercrime-en-route/
[15] Europarat < https://rm.coe.int/1680081561> Zugriff am 14. November 2024
[16] Bruce Zagaris, „Cyberkriminalität“ (2022) 38 IELR 161 - Quellen, 15j o Forum
[17] <Hacker haben die Daten von 20 Millionen Kunden der Alfa Bank veröffentlicht. Die Bank bestreitet das Datenleck> Zugriff am 14. November 2024
[18] Gesetzbücher und Gesetze https://www.zakonrf.info/uk/?ysclid=lr7t7h0byt332707849 Zugriff am 14. November 2024
[19] MVD RF https://xn--b1aew.xn--p1ai/reports/item/35396677/?year=2023&month=1&day=20 Zugriff am 14. November 2024
[20] Amalie M. Weber, „Das Übereinkommen des Europarats über Cyberkriminalität“ (2003) 18 Berkeley Tech LJ 425
[21] Lillian Ablon & Martin Libicki, „'Hacker's Bazaar: Die Märkte für Cybercrime-Tools und gestohlene Daten“ (2015) 82 Def Counsel J 151
[22] Jonathan Mayer, „ Rechtsstreitigkeiten über Cyberkriminalität“ (2016) 164 U Pa L Rev 1506
Darina Shamatonova