Cyberkriminalität und das Gesetz

Einleitung

Wir haben in den letzten Jahren auf unserem Weblog immer wieder Kommentare zu einzelnen Aspekten der britischen Computerkriminalitäts-Gesetze und der britischen Politik zur Cyberkriminalität veröffentlicht (viruslist.com, 4. November 2005; viruslist.com, 12. Mai 2006; viruslist.com, 26. Januar 2006; viruslist.com, 28. Juli 2006; viruslist.com, 15. September 2006). Dieser Beitrag soll nun einen Überblick über die britische Gesetzgebung zur Computerkriminalität geben.

Die Malware-Landschaft

Über 20 Jahre sind seit dem Erscheinen der ersten PC-Viren vergangen. Die Art der Bedrohungen hat sich seitdem deutlich verändert und sich an den technologischen Wandel, der wachsenden Verbreitung von Computern in immer mehr Gesellschaftsschichten und den stetig steigenden Nutzerzahlen angepasst. Es ist kennzeichnend für jede Art von menschlicher Aktivität, dass die aktuelle Generation auf den Errungenschaften ihrer Vorgänger aufbaut und aus dem lernt, was bereits getan und ausprobiert wurde. Dazu gehört es auch, bewährte Techniken weiterzuverwenden sowie Neuland zu betreten. Dies gilt auch für die Urheber von Schadcode. Mehrere Generationen von Malware-Autoren haben die Bedrohungslandschaft neu definiert.

Bis vor einigen Jahren kam es durch Viren und andere bösartige Programme nur vereinzelt zu Computervandalismus – einer Art zerstörerischer Selbstdarstellung mit Hightech-Mitteln. Die meisten Viren beschränkten sich darauf, Disketten oder Programme zu infizieren. Der Schaden beschränkte sich im Wesentlichen auf Datenverlust, wenn ein Virus die auf einem infizierten Datenträger gespeicherten Daten löschte oder verfälschte.

Das hat sich geändert. Heute ist Cyberkriminalität zu einem großen Problem geworden, und Malware wird programmiert, um damit illegal Geld zu verdienen. Eine der wesentlichen Triebƒkräfte hinter diesem Wandel ist die Entwicklung des World Wide Web. Viele Unternehmen und Privatpersonen nutzen das Internet inzwischen sehr intensiv und die Anzahl der webƒbasierten Finanztransaktionen steigt kontinuierlich. Der kriminelle Untergrund hat die gigantischen Möglichkeiten erkannt, mit Schadcode Geld zu verdienen. Viele der heutigen Schadprogramme werden entweder auf Bestellung geschrieben oder speziell für den Verkauf an andere Kriminelle entwickelt.

Kriminalität ist ein untrennbarer Teil der modernen Gesellschaft und berührt fast alle Aspekte unseres Lebens. Da verwundert es kaum, dass dem Gebrauch von Computerƒtechnologie deren Missbrauch gegenübersteht: Beides hat sich parallel entwickelt. Und je mehr Bereiche unseres Alltags von Computern abhängig werden, desto größer ist das Betätigungsfeld für Cyberkriminelle.

Wo immer die Gesellschaft mit Kriminalität konfrontiert wird, sucht sie nach Wegen, um Verbrechen zu verhindern und die Übeltäter zu bestrafen. In erster Linie bedeutet dies, Gesetze zu erlassen, die bestimmte Handlungen unter Strafe stellen.

Dieser Beitrag soll einen Überblick über die Entwicklung der Gesetzgebung zur Computerƒkriminalität in Großbritannien und Nordirland geben.

Computerkriminalität

Computerdelikte fallen in zwei Hauptkategorien. Erstens gibt es herkömmliche Delikte, die nicht ursächlich mit dem Computer zusammenhängen, sondern bei denen der Computer einfach ein Werkzeug ist, mit dem eine Straftat begangen wird. Ein Beispiel wäre eine Erpressung, bei der das Opfer statt eines Briefs eine E-Mail erhält. Zweitens gibt es computerspezifische Verbrechen.

Bei einem solchen computerƒspezifischen Verbrechen kam beispielsweise der ‚Aids Information‘-Trojaner zum Einsatz. Dieser Trojaner wurde Ende 1989 von einer Firma namens ‚PC Cyborg‘ per Diskette verteilt. Nach 90 Neustarts verschlüsselte der Schädling den Inhalt der Festplatte des Opfers und hinterließ eine README-Datei mit der Aufforderung, zur Wiederherstellung der Daten Geld an eine Postfachadresse in Panama zu schicken. Der mutmaßliche Autor des Trojaners, Dr. Joseph Popp, wurde später an Großbritannien ausgeliefert, wo er sich vor Gericht wegen Erpressung und Beschädigung von Computersystemen verantworten musste. Er wurde dann allerdings für unzurechnungsfähig erklärt und freigelassen.

Der Computer Misuse Act

Das erste speziell gegen Computermissbrauch gerichtete Gesetz in Großbritannien war der ‚Computer Misuse Act 1990‘ (Gesetz gegen Computermissbrauch). Dieses Gesetz war eine Antwort auf die wachsende Besorgnis über die mangelnde Eignung der bestehenden Gesetzgebung für den Umgang mit Hackern. Das Problem geriet ins Blickƒfeld der Öffentlichkeit, als es nicht gelang, Stephen Gold und Robert Schifreen zu verurƒteilen, die sich 1984 unautorisierten Zugang zu dem Bildschirmtext-Dienst ‚Prestel‘ der British Telecom verschafft hatten und aufgrund des ‚Forgery and Counterfeiting Act 1981‘ (‚Fälschungsgesetz‘) angeklagt wurden. Sie wurden in zweiter Instanz freigesprochen und der Freispruch wurde später vom Oberhaus bestätigt.

Der Computer Misuse Act 1990, ‚ein Gesetz, das Vorkehrungen für die Sicherung von Computermaterial gegen unbefugte Zugriffe und Veränderungen und für damit in Zusammenhang stehende Zwecke trifft‘, beschreibt drei Straftatbestände des Computermissbrauchs:

  1. Unbefugten Zugriff auf Computermaterial.
  2. Unbefugten Zugriff mit der Absicht, weitere Straftaten zu begehen oder zu begünstigen.
  3. Unbefugtes Verändern von Computermaterial.

Auf diese Straftaten standen Freiheitsstrafen von bis zu sechs Monaten.

Die erste Anklage gegen eine Einzelperson wegen Freisetzens eines Computervirus wurde 1995 erhoben. Christopher Pile, bekannt als ‚the Black Baron‘, bekannte sich in sieben Anklagepunkten nach den Paragraphen 2 und 3 des Computer Misuse Act schuldig und wurde zu 18 Monaten Haft verurteilt. Pile hatte die Viren Pathogen und Queeg programmiert. Beide Malware-Exemplare verwendeten Piles polymorphen Generator ‚SMEG‘ (‚Simulated Metamorphic Encryption Generator‘), der ihre Erkennung erschwerte. Beide waren außerdem dafür ausgelegt, wesentliche Teile der Festplatten ihrer Opfer unbrauchbar zu machen. Pile verbreitete die Viren als Spiele und in einem Fall auch getarnt als Antiviren-Software in den Dateibereichen von Mailboxen. Schätzungen zufolge verursachten die beiden Viren einen Schaden von 1 Million britischen Pfund (The Independent, 16. November 1995).

Eine weitere Aufsehen erregende Verurteilung nach dem Computer Misuse Act war die Verurteilung von Simon Vallor. Er bekannte sich schuldig, die Würmer Gokar, Redesi und Admirer geschrieben und in Umlauf gebracht zu haben. Diese verbreiteten sich per Massenmail – das sind Straftaten nach Paragraph 3 des Computer Misuse Act. Im Januar 2003 wurde Vallor zu zwei Jahren Gefängnis verurteilt. Schätzungen zufolge verbreiteten sich seine Würmer auf 27.000 Computern in 42 Ländern (The Register, 21. Januar 2003).

Spam, Malware und das Gesetz

Praktisch jeder, der über ein E-Mail-Konto verfügt, muss sich wohl oder übel mit Spam auseinandersetzen. Das Spam-Problem besteht jedoch nicht allein in dem Ärgernis über verschwendete Bandbreite und anzügliche Inhalte. Spam wird darüber hinaus benutzt, um Schadcode zu verbreiten. Spam-Mails sind oft Sprungbrett für Drive-by-Downƒloads, da sie Links auf Webseiten enthalten können, die von Cyberkriminellen mit Schadcode infiziert wurden. Spam ist außerdem der primäre Mechanismus, mit dem Phisher ihre Opfer auf gefälschte Websites lenken, um ihnen vertrauliche Daten zu entlocken.

Um das Spam-Problem in den Griff zu bekommen, hat das Handels- und Industrieƒministerium die ‚Datenschutzvorschriften für elektronische Kommunikation (EG-Richtlinie) 2003‘ eingeführt. Mit diesen Vorschriften wurde die EG-Richtlinie 2002/58/EG in britisches Recht umgesetzt, da die nationale Umsetzung von EG-Richtlinien den einzelnen Mitƒgliedsstaaten überlassen bleibt. Die Datenschutzvorschriften für elektronische Kommunikation werden in Großbritannien vom ‚Information Commissioner’s Office‘ umgesetzt, einer unabhängigen Stelle, die den Zugang zu amtlichen Informationen sowie deren Schutz verbessern soll (Auf der Website des Information Commissioner’s Office finden sich Richtlinien zur Anwendung der Vorschriften).

Laut diesen Vorschriften dürfen Unternehmen E-Mail- oder SMS-Nachrichten an Privatƒpersonen nur mit Einwilligung des Empfängers versenden. Das Gesetz gilt auch für Telefonƒanrufe und Faxe. Zum Thema E-Mail sagt das Gesetz: ‚Eine Person darf unerwünschte Mitteilungen per E-Mail zum Zwecke der Direktwerbung weder senden noch zu deren Versendung anstiften, es sei denn, der Empfänger der E-Mail hat den Absender zuvor darüber in Kenntnis gesetzt, dass er bis auf weiteres damit einverstanden ist, solche Mitteilungen vom Absender oder auf Initiative des Absenders zu erhalten.‘

Es gibt jedoch wesentliche Einschränkungen: Erstens gelten die Vorschriften nur für Mitteilunƒgen, die an private E-Mail-Adressen versandt werden, nicht aber für Geschäftsƒadressen. Auch sind die Strafen gering im Vergleich zu den Strafen für Delikte, die unter den Computer Misuse Act fallen. Verstöße gegen die Vorschriften müssen an das Information Commissioner’s Office gemeldet werden, das darüber entscheidet, ob es die zuwiderhandelnde Organisation vor Gericht bringt. Ein Amtsgericht kann eine Geldstrafe von bis zu 5.000 britischen Pfund gegen sie verhängen. Wird der Fall an ein Geschworenengericht verwiesen, sind Geldƒstrafen in beliebiger Höhe möglich.

Es gibt noch eine schwerwiegendere Einschränkung: Das Gesetz gilt nur für Absender, die innerhalb Großbritanniens und Nordirlands operieren. Der meiste Spam stammt jedoch aus dem Ausland. Derzeit sind Russland und die USA die Hauptquellen von Spam (Quelle: Kaspersky Security Bulletin: Spam Evolution 2008), so dass britische Gesetze wenig bis gar keinen Einfluss auf die Spammer haben. Hier tritt ein Kernproblem zum Vorschein, mit dem alle Maßnahmen gegen Cyberkriminelle zu kämpfen haben: Aufgrund geopolitischer Schranken können die Gesetzgebung und die Strafverfolgungsƒbehörden – anders als die Cyberkriminellen – nicht grenzƒüberschreitend arbeiten.

Neuer Wein in alten Schläuchen

Wie eingangs erwähnt, hat sich die Art der Bedrohung, die Malware für Unternehmen und Privatpersonen darstellt, seit dem ersten Auftauchen von PC-Viren im Jahr 1986 dramatisch verändert. Es hat ein massiver technologischer Wandel stattgefunden. Technologie zieht sich heute durch fast alle Bereiche unseres Lebens. Die Herausbildung von Online-Märkten hat die Motivation der Malware-Autoren geändert und zum Entstehen einer Schattenwirtschaft geführt, in der Schadprogramme und persönliche Daten zu Profitzwecken gehandelt werden.

Obwohl die Gesetzestexte allgemein formuliert sind, um möglichst viele aktuelle und künftige Delikte zu erfassen, hinkt die Gesetzgebung der rasanten technologischen Entwicklung oft hinterher. Gesetze, die ursprünglich als Instrument gegen Cyber-Vandalen gedacht waren, die Viren installieren oder in Computersysteme einbrechen, eignen sich nur bedingt zum Umgang mit den heutigen ausgeklügelten Schadprogrammen, die Daten stehlen, Spam versenden oder Systeme zum Absturz bringen.

Im November 2004 entschied ein Amtsrichter, dass ein Teenager, dem vorgeworfen wurde, einen Server durch millionenfaches Versenden von E-Mails lahmgelegt zu haben, nicht gegen den Computer Misuse Act verstoßen habe. Im Rahmen dieser Handlungen seien nach Definition des Gesetzes keine unbefugten Veränderungen an einem Computer vorgenommen worden (viruslist.com, 4. November 2005). Die Berufungsinstanz hob dieses Urteil später auf (viruslist.com, 12. Mai 2006). Allerdings bestätigte dieser Fall die Befürchtungen derer, die die Wirksamkeit eines Gesetzes in Frage stellten, das aus einer Zeit stammt, deren dominierende Technologie – DOS, Disketten und Mailboxen – heute längst veraltet ist.

Der Earl von Northesk, Mitglied der ‚All-Party Parliamentary Internet Group‘, brachte im Jahr 2002 eine Initiativ-Gesetzesvorlage ein. Diese sollte den Computer Misuse Act ergänzen und sah insbesondere vor, das Gesetz hinsichtlich Denial-of-Service-Attacken zu erweitern. Zwar scheiterte dieser Versuch, verlieh dem Ruf nach einer Aktualisierung der bestehenden Gesetzeslage jedoch zusätzliches Gewicht.

Der ‚Police and Justice Act 2006‘ (er deckt weit mehr ab als nur Computerkriminalität) enthielt auch Änderungen am Computer Misuse Act. Die maximale Gefängnisstrafe nach Paragraph 1 des ursprünglichen Gesetzestextes wurde von sechs Monaten auf zwei Jahre erhöht. Paragraph 3 des Gesetzes (‚unbefugtes Verändern von Computermaterial‘) wurde wie folgt geändert: ‚unbefugte Handlungen, die beabsichtiƒgen oder billigend in Kauf nehmen, dass der Betrieb eines Computers etc. beeinträchtigt wird.‘ Auf solche Delikte steht nun eine Freiheitsstrafe von maximal zehn Jahren.

Das Gesetz schuf außerdem einen neuen Paragraphen, der das ‚Erstellen, Liefern oder Beschaffen von Artikeln zur Verwendung bei Computermissbrauchs-Delikten‘ mit einer Höchstƒstrafe von zwei Jahren ahndet. Dieser Paragraph sagt aus:

  1. Wer einen Artikel herstellt, anpasst, liefert oder zu liefern anbietet, der zur Begehung oder zur Mithilfe bei der Begehung einer Straftat nach Paragraph 1 oder 3 vorgesehen ist, macht sich einer Straftat schuldig.
  2. Wer einen Artikel liefert oder zu liefern anbietet, von dem er glaubt, dass er wahrƒscheinlich zur Begehung oder zur Mithilfe bei der Begehung einer Straftat nach Paragraph 1 oder 3 vorgesehen ist, macht sich einer Straftat schuldig.
  3. Wer sich einen Artikel beschafft, der nach seinem Ermessen zur Verwendung bei der Begehung oder zur Mithilfe bei der Begehung einer Straftat nach Paragraph 1 oder 3 geliefert wird, macht sich einer Straftat schuldig.
  4. Der Begriff ‚Artikel‘ in diesem Paragraph umfasst beliebige Programme oder Daten, die in elektronischer Form vorliegen.

Dieser Paragraph hat viel Kritik auf sich gezogen. Er zielt offensichtlich darauf ab, den Einsatz von Hacker-Tools für illegal zu erklären. Der Paragraph lässt sich aber theoretisch auch auf legitime Werkzeuge anwenden, die sich zum Hacken missbrauchen lassen, sowie gegen so genannte ‚Riskware‘ einsetzen, die sowohl legalen als auch illegalen Zwecken dienen können. Viele Menschen, darunter auch Mitglieder der All-Party Parliamentary Internet Group, hoffen auf eine Nachbesserung dieses Paragraphen.

Die Europäische Konvention gegen Cyberkriminalität

Es wurde bereits erwähnt, dass nationale Gesetze gegen Computerkriminalität dem globalen Phänomen der Cyberkriminalität nicht wirksam beikommen. Im November 2001 verabschiedete das Ministerkabinett des Europarats die Europäische Konvention gegen Cyberkriminalität, die einen gemeinsamen internationalen Rechtsrahmen für den Umgang mit Cyberkriminalität schaffen soll.

Der Vertrag ist weitreichend und deckt alle Aspekte der Cyberkriminalität ab, darunter: illegaler Zugang, illegales Abfangen von Daten, Eingriffe in Daten, Eingriffe in Systeme, Missbrauch von Vorrichtungen, computerbezogene Fälschungen, computerbezogener Beƒtrug, Straftaten im Zusammenhang mit Kinderpornographie und Straftaten im Zusammenƒhang mit Verletzungen des Urheberrechts und verwandter Schutzrechte. Der Vertrag soll außerdem einen gemeinsamen Strafverfolgungsrahmen zum Umgang mit Cyberkriminellen schaffen und den Informationsaustausch zwischen allen Vertragsstaaten fördern.

Bis jetzt haben den Vertrag 46 Länder unterzeichnet (Convention on Cybercrime CETS Nr. 185, Stand 26.03.2009), doch nur 24 Länder haben ihn auch tatsächlich ratifiziert. Auch fehlen einige wichtige Länder wie China, mehrere lateinamerikanische Länder und Russland, die allesamt zu den größten Quellen von Schadcode zählen. Großbritannien hat den Vertrag noch nicht ratifiziert, wird dies aber voraussichtlich 2009 tun (Hansard [Protokolle der Sitzungen des britischen Unterhauses], 27. Januar 2009).

Persönliche Sicherheit im Internet

Die Debatte über Maßnahmen gegen Cyberkriminalität wurde weiter angeheizt, als das Komitee für Wissenschaft und Technologie des britischen Oberhauses im August 2007 seinen Bericht über Persönliche Sicherheit im Internet veröffentƒlichte. Der Bericht kritisierte die britische Regierung dafür, dass sie die Hauptƒverantwortung für Internetsicherheit auf den einzelnen Nutzer abwälzt. Diese Haltung verstärkt nach Überzeugung des Komitees den Eindruck, das Internet sei ein ‚gesetzloser ‚wilder Westen‘. Das Komitee beschrieb das Internet als ‚Spielwiese für Kriminelle‘ und forderte, dass ‚viele Organisationen, die Interesse am Internet haben‘ – darunter Hardware- und Softwareanbieter, Internet-Provider, Online-Unternehmen, Banken, die Polizei und die Regierung -, ‚mehr tun sollten, um die persönliche Sicherheit im Internet zu fördern‘.

Das Komitee schlug weiterhin vor, dass alle Beteiligten die Verantwortung für Internet-Sicherheit überƒnehmen sollen. Die Unternehmen sollten beispielsweise bei Hacker-Angriffen verpflichtet werden, jeden Anwender zu benachrichtigen, der von einer Datenpanne betroffen ist. Internet-Provider sollten Maßnahmen zum Umgang mit kompromittierten Rechnern ihrer Kunden ergreifen. Softwareanbieter sollten für Sicherheitslöcher in ihrer Software verantwortlich gemacht werden und die Regierung sollte ein Qualitätssiegel für Anwendungen und Online-Inhalte entwickeln. Banken sollten, so argumentierte das Komitee, die Haftung für Verluste durch Online-Betrug überƒnehmen. Das Komitee drängte die Regierung außerdem dazu, ihrem Versprechen nachzukommen, die europäische Konvention gegen Cyberkriminalität zu ratifizieren.

Die Regierung wies in ihrer im Oktober 2007 veröffentlichen Antwort viele der Empfehlungen des Komitees für Wissenschaft und Technologie des Oberhauses zurück. Das Komitee veröffentlichte daraufhin im Juli 2008 einen Anschlussbericht. Er wiederholte viele der vorherigen Empfehlungen, lobte aber die inzwischen ‚etwas positiveren Ansichten‘ der Minister zu den Empfehlungen des Komitees sowie das Eingeständnis der Regierung, dass der Bericht des Komitees ‚geholfen hätte, die Agenda voranzubringen‘.

Schuld und Sühne

Es ist klar, dass Gesetze gegen spezielle Arten von krimineller Aktivität allein noch nicht ausreichen, um das Problem der Cyberkriminalität zu lösen. Man muss auch dafür sorgen, dass die Polizei das Problem versteht und die Ressourcen hat, um damit umgehen zu können. Unglücklicherweise verfügte in den Jahren nach Einführung des Computer Misuse Act mit Ausnahme der Metropolitan Police von Greater London kaum eine Polizeibehörde über das nötige Wissen und die nötige Erfahrung für den Umgang mit Computerkriminalität. Erst als klar war, dass sich das Problem nicht von selbst lösen würde, wurden Ressourcen für den Aufbau einer Dienststelle gegen Cyberkriminalität bereitgestellt.

Im April 2001 richtete die Regierung die ‚National Hi-Tech Crime Unit‘ (NHTCU) ein. Diese Spezialeinheit der britischen Polizei sollte die Cyberkriminalität mit koordinierten Aktionen eindämmen. Sie arbeitete eng mit Spezialisten aus unterschiedlichen Dienststellen zusammen, darunter dem National Crime Squad (Dezernat für organisiertes Verbrechen), dem HM Revenue and Customs (Zoll- und Finanzƒamt) und dem National Criminal Intelligence Service (einer Behörde mit Kompetenzen ähnlichen denen des BKA).

Die NHTCU konnte einige bemerkenswerte Erfolge vorweisen, darunter eine gemeinsame Operation mit russischen Strafverfolgungsbehörden. Diese führte einerseits zur Festnahme russischer Hacker, die Online-Wettbüros mit DDoS-Attacken gedroht hatten (The Register, 21. Juli 2004). Zum anderen nahmen die Behörden auch die Verantwortlichen fest, die im Oktober 2004 versucht hatten, Geld von der Londoner Niederlassung der japanischen Sumitomo-Mutsui-Bank zu stehlen (The Register, 19. März 2009).

Im April 2006 wurden die Aufgaben der NHTCU von der ‚Serious Organised Crime Agency‘ (SOCA) übernommen. Man befürchtete daher, der Kampf gegen die Cyberkriminalität würde nun mit weniger Ressourcen geführt, da er nur einen kleinen Teil des Aufgabenbereichs der SOCA darstellt (SOCA – Ziele).

Im April 2007 wurden die Regeln für die Meldung von Bankbetrug geändert. Seit Inkraftƒtreten des ‚Fraud Act 2006‘ sind die Banken und Finanzinstitutionen der erste Ansprechpartner für die Meldung von Betrugsfällen mit Karten, Schecks und Onlineƒ-Banking. Erklärtes Ziel dieser Änderungen war der Abbau von Bürokratie, es wurden jedoch Bedenken laut, dass zu viele Betrugsfälle nicht gemeldet werden könnten.

Aufgrund dieser Bedenken änderte man die Regeln und hofft nun, dass die Cyberkriminalität wieder mehr ins Zentrum der Aufmerksamkeit rückt. Als direkte Folge dieser Änderungen wurde im Jahr 2009 die ‚Police Central e-crime Unit‘ (PCeU) ins Leben gerufen. Die PCeU soll die SOCA oder andere Polizeibehörden nicht ersetzen, sondern die Maßnahmen gegen Cyberkriminalität koordinieren und als ’nationale Ermittlungskapazität für besonders schwere Fälle von elektronischer Kriminalität‘ bereitstehen (Mission Statement der PCeU). Die zweite Neuerung ist die für Ende 2009 (Hansard [Protokolle der Sitzungen des britischen Unterhauses], 26. Februar 2009) geplante Einführung des ‚National Fraud Reporting Centre‘. Die Öffentlichkeit und kleine Unternehmen haben damit die Möglichkeit, Betrugsfälle online oder telefonisch zu melden.

Natürlich können Strafverfolgungsbehörden Verbrecher selbst bei vorhandener Rechtsgrundlage nur dann verhaften und anklagen, wenn das Beweismaterial dafür ausreicht. Dieses ist nicht immer einfach zu beschaffen und leider meldet sich nicht jedes Cybercrime-Opfer. Dies gilt besonders für Unternehmen, die befürchten, dadurch ihre Reputation zu beschädigen.

Der Einsatz des Zivilrechts gegen Cyberkriminelle

Im Juli 2006 kommentierten wir (viruslist.com, 28. Juli 2006) das vom Home Office veröffentlichte Informationsschreiben ‚New Powers Against Organised and Financial Crime‘. Die Regierung schlug in diesem Papier vor, über die Zivilgerichte und so genannte ‚Organised Crime Prevention Orders‘ ‚eine Lücke im Strafgesetz zu schließen, um die Hintermänner der organisierten Kriminalität zu fassen‘.

Die Gerichte würden die Vollmacht erhalten, Verfügungen gegen Individuen zu erteilen, wenn diese nach Überzeugung des Gerichts mit hinreichender Wahrscheinlichkeit

  1. sich in einer Weise verhalten haben, die die Begehung einer schweren Straftat begünstigt oder sich eignet, die Begehung einer schweren Straftat zu begünstigen,
  2. und die Bestimmungen der Verfügung notwendig und verhältnismäßig sind, um solchen Schaden in Zukunft abzuwenden.

Die Missachtung der Bestimmungen einer solchen Verfügung wäre ein Straftatbestand.

Ihre endgültige Form nahmen die Vorschläge im ‚Serious Crime Act 2007‘ an. Das Gesetz wurde verfasst, um ‚unseren Strafverfolgungsbehörden die bestmöglichen Instrumente zur Verfügung zu stellen, um den Straftätern stets einen Schritt voraus zu sein‘ und ’stärker gegen Kriminelle durchƒzugreifen und deren Operationen zu zerschlagen‘ (Pressemitteilung des Home Office, 30. Oktober 2007).

Die Balance zwischen Sicherheit und Freiheit

Auf den ersten Blick scheint der Serious Crime Act eine gute Sache zu sein, stattet er die Polizei doch mit Vollmachten aus, ’schwere Straftaten zu erkennen, zu zerschlagen und zu verhindern‘ (Pressemitteilung des Home Office, 30. Oktober 2007). Es gibt allerdings Bedenken wegen der Folgen für die bürgerƒlichen Freiheitsrechte, nicht zuletzt weil die Beweishürde in einem Zivilverfahren niedriger liegt als in einem Strafverfahren. Infolgedessen ist das Risiko für Justizirrtümer höher.

Diese Debatte verschärfte sich Anfang des Jahres durch Presseberichte, nach denen die Polizei ohne richterliche Anordnung Computer von Verdächtigen hacken darf (The Sunday Times, 4. Januar 2009; The Independent, 5. Januar 2009).

Wie die Debatte um den Bundestrojaner in Deutschland zeigt (viruslist.com, 27. Februar 2008), ist Großbritannien nicht allein mit dem Problem, persönliche Freiheit gegen Sicherheit abzuwägen. Bis jetzt wurde noch keine Lösung für dieses Dilemma gefunden.

Zukunftsperspektiven

Es ist klar, dass die Cyberkriminalität nicht verschwinden wird und das sollte uns nicht überƒraschen. Cyberkriminalität ist einerseits ein unerwünschter Nebeneffekt des InternetƒZeitalters, andererseits aber nur eine weitere Form von Kriminalität. Wenn sich etwas gebrauchen lässt, wird irgendjemand stets auch einen Weg finden, es zu missbrauchen. Dies betrifft auch die Computertechnik und die Möglichkeiten des Internets. Kriminalität lässt sich nicht eliminieren. Beim Kampf gegen die Cyberkriminalität geht es daher weniger darum, den ‚Krieg zu gewinnen‘, als vielmehr darum, die Risiken bei der Nutzung des Internets abzumildern.

Um die Risiken kontrollieren zu können, braucht die Weltgemeinschaft einen klaren Rechtsrahmen sowie zuverlässige und angemessen agierende Strafverfolgungsbehörden. Es gibt kaum Zweifel daran, dass die Strafverfolgungsbehörden während der vergangenen zehn Jahre immer kompetenter gegen Hightech-Delikte vorgegangen sind und grenzüberschreitende Polizeiaktionen etablieren konnten. Diese Entwicklung muss andauern, wenn wir effektiv mit Cyberkriminalität umgehen wollen. Insbesondere die Ausdehnung der internationalen Gesetzgebung über die Grenzen der Industriestaaten hinaus und der Aufbau einer ‚Cyber-Interpol‘ zur Verfolgung von Krimiƒnellen über geopolitische Grenzen hinweg würden den Kampf gegen Cyberkriminalität stark beschleunigen.

Strafverfolgung ist jedoch nur ein Teil der Lösung. Wir müssen auch dafür sorgen, dass Menschen und Unternehmen die Risiken verstehen und über das Wissen und die Tools verfügen, um Cyberkriminellen möglichst wenig Angriffsfläche zu bieten. Dies ist insbesonƒdere für diejenigen Endnutzer wichtig, die oftmals technisch unerfahren sind und deshalb mögliche Probleme beim Online-Einkauf, Internet-Banking und Social Networking übersehen können. Die Situation wird dadurch verschärft, dass immer mehr Menschen ihre ersten Schritte im Internet tun. Die Gesellschaft muss Einfallsreichtum beweisen und unterschiedliche Wege finden, um das öffentliche Bewusstsein für Cyberkriminalität und Methoden zur Minderung der damit verbundenen Risiken zu steigern.

Die ‚Datenautobahn‘ ist in vielerlei Hinsicht nicht anders als jede andere öffentliche Straße. Wir benötigen gut geplante Straßen, sichere Autos, eindeutige Wegweiser und kompetente Fahrer. Mit anderen Worten: Wir brauchen einen Mix aus geeigneter Gesetzƒgebung, effektiver Strafverfolgung und öffentlichem Bewusstsein.

Haftungsausschluss

Dieser Beitrag wurde von Kaspersky Lab ausschließlich zu Informationszwecken verfasst und ist keine Rechtsberatung und ist auch nicht als solche vorgesehen. Durch Erhalt dieser Informationen kommt kein Vertrag über Rechtsberatung und keine Anwalt-Kunde-Beziehung zustande.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.