Egal ob durch betrügerische E-Mails, gefälschte Websites oder zunutze gemachte Sicherheitslücken: Gerade durch die Pandemie und den davon bedingten Wechsel ins Homeoffice ist die Zahl der Delikte im Internet – sowieso schon am Steigen – in die Höhe geschnellt. So verzeichnet das Bundeskriminalamt in seiner Kriminalstatistik einen Anstieg um 26,3 Prozent im Bereich der Internetkriminalität im Vergleich zum Jahr davor. Delikte rund um Datenmissbrauch, etwa Diebstähle durch Hacker, sind laut den Behörden gar um 70 Prozent gestiegen.

Rechtliches Neuland

"Für 2021 werden die dadurch verursachten Schäden weltweit auf sechs Billionen Euro geschätzt", sagt der Cyberforensiker und Gerichtsgutachter Thomas Hrdinka. Er verweist bei einem Gespräch der Bundeskammer der Ziviltechnikerinnen und -techniker mit Medien auf eine Studie des Weltwirtschaftsforums. Auch die Arbeit für Ermittler und Gerichte sei eine andere geworden. Ging es vor 20 Jahren noch darum, Festplattendaten zu prüfen, so analysiert man heute Informationen aus der Cloud, aus Netzwerken oder etwa Autos.

Die Technik ist rasant vorangeschritten – und habe damit ein rechtliches Neuland geschaffen, sagt der Forensiker. Tendenziell komme es zu vielen Delikte im Darknet, und das erfolge organisiert, etwa der Handel mit illegalen Drogen. Dennoch seien auch reguläre Internet-User verstärkt betroffen.

Verurteilungen "de facto null"

Insgesamt sei es schwierig, Beschuldigte tatsächlich nach dem Hackerparagrafen (Paragraf 118a im Strafgesetzbuch) zu verurteilen: "Die Wahrscheinlichkeit ist de facto null, bei über 300 Verfahren jährlich gibt es häufig keinen oder einen Verurteilten", sagt Hrdinka. Dieser sieht nämlich vor, dass eine spezifische Sicherheitseinrichtung unrechtmäßig überwunden wurde – und das ist wiederum schwierig nachzuweisen. Dringt jemand etwa in ein fremdes Konto ein und nutzt dafür das Passwort, würde der Paragraf noch nicht als erfüllt betrachtet werden. Ein Schuldspruch könnte erst erfolgen, wenn belegt werden kann, dass die Information widerrechtlich erlangt wurde. Ein Beispiel dafür wären etwa sogenannte Brute-Force-Attacken, also die automatisierte Eingabe wahlloser Begriffe, um ein Kennwort zu knacken.

Für eine tatsächliche Verurteilung müssten die Ermittler auf andere Tatbestände setzen, etwa den Besitz von Crackersoftware, die darauf ausgelegt wird, Software zum eigenen Zweck zu manipulieren. Aus Hrdinkas Sicht müssten die Überwindung eines Systems weiter interpretiert werden als bisher, um tatsächlich wirksam zu sein.

Zeitpunkt essenziell

Bei der Aufklärung sei vor allem der Zeitpunkt eine entscheidende Komponente: "Der Erfolg einer Tat ist nicht entscheidend, sondern der Tatzeitpunkt, der rekonstruiert werden muss, um einen Schuldspruch fällen zu können." Geschieht das in der realen Welt unmittelbar, kann ein Vorgehen sich digital über Tage, Monate oder Jahre erstrecken – etwa der Einsatz eines Bot-Netzes.

Zur Aufklärung fänden sich in digitalen Systemen häufig Zeitstempel. Forensiker untersuchen diese und versuchen, Widersprüche zu erkennen. Eine Erschwernis sei allerdings die unterschiedliche Interpretation eines Zeitpunkts – etwa durch eine falsche Einstellung oder unterschiedliche technische Systeme, die die Stempel verschieden auslesen. Auch warnt der Experte vor Zeitumstellungen, da diese zu Fehlern in den Systemen führen könnten.

Plattformen entfliehen Verfolgung

Im Regelfall müssten Plattformanbieter, die Informationen über ihre Nutzer speichern, diese Daten in strafrechtlich relevanten Fällen zur Verfügung stellen. Das würden große IT-Konzerne wie Facebook oder Google auch tun, jedoch sei es bei anderen Diensten – vor allem jenen, die keinen Sitz in der Europäischen Union haben – schwieriger, an Beweise zu gelangen. Gerade bei zivilrechtlichen Angelegenheiten sei oft keine Reaktion zu erwarten.

Ein Beispiel dafür ist etwa der Messenger Telegram, der in den vergangenen Monaten vermehrt als Alternative von Rechtsextremen genutzt wird, um Propaganda zu verbreiten. Die Plattform hat ihren Unternehmenssitz allerdings in den vergangenen Jahren mehrfach geändert, um einer Rechtsdurchsetzung zu entfliehen. So war dieser zeitweise in Berlin, London und Singapur. Die Entwickler befänden sich mittlerweile nach Eigenangaben in Dubai.

Vorgaben für IT-Sicherheit

Aus Nutzerperspektive ließe sich nebst regelmäßiger Einspielung von Updates und anderen regulären Sicherheitsroutinen nicht viel machen. Eher sei der Gesetzgeber gefragt: Die Produktsicherheit müsste rechtlich vorgeschrieben werden. Aktuell gebe es zwar Zertifizierungen für Software, diese seien allerdings freiwillig. Daher müssten Konsumenten darauf vertrauen, dass ihre Geräte wirklich sicher sind.

"Bei Hardware ist klar, dass sie als Produkt anerkannt wird, bei Software weniger", so Hrdinka. Hier würden die Erwägungsgründe des bestehenden EU-Cybersicherheitsgesetzes eigentlich in ihren Erwägungen vorwegnehmen, dass Softwareprodukte die gleichen Haftungsvorschriften hätten wie andere Produkte. Der geplante neueste Entwurf der Richtlinie Cybersicherheit geht hier noch einen Schritt weiter, und möchte die Sicherheit von digitalen Produkten und Diensten erhöhen.

Aus seiner Sicht bräuchte es aber weitere Klarstellungen – und mehr Verpflichtungen für Hersteller. Ende 2019 beschloss das EU-Parlament die Richtlinie für digitale Inhalte, bei der auch eine Updatepflicht vorgesehen ist – allerdings ohne konkrete Zeiträume vorzugeben. "De facto wird das wenig ändern", sagt Hrdinka zum STANDARD: "Die Union hat in den vergangenen Jahren einige gute Ideen vorgestellt, allerdings bei der Umsetzung in den letzten beiden Jahren geschlafen." Aktuell würde es auch wenige Entwicklungen in dem Bereich geben. Hrdinka: "Wenn wir ordentliche Zertifizierungen, eine moderne Sicherheit und zukunftsfähige Produkte haben wollen, muss sich das ändern." (Muzayen Al-Youssef, 15.4.2021)