Ausspähen von Daten gemäß § 202a StGB ist die zweite Strafnorm, die im Rahmen unserer Cybercrime Blogreihe detailliert erläutert werden soll. Neben kurzen Erklärungen zum Straftatbestand werden typische Cyberangriffe sowie mögliche Schutzmaßnahmen aufgezeigt.
Der Inhalt im Überblick
Welche Handlungen sind strafbar?
Wie immer, sollte man zunächst einen Blick ins Gesetz werfen. In § 202 a Abs. 1 StGB heißt es:
„Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.“
1. Daten im strafrechtlichen Sinne
Im zweiten Absatz der Strafnorm wird der Begriff von Daten wie folgt legal definiert:
„Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.“
Einerseits geht der Anwendungsfall also weiter als der Schutz der DSGVO und des BDSG, da nicht nur personenbezogene Daten geschützt werden, sondern alle Datenarten. Es muss sich auch nicht um ein Geheimnis handeln, wie dies beispielsweise § 203 StGB oder § 23 GeschGehG fordert. Andererseits ist es wichtig, dass die Daten nicht physisch unmittelbar wahrnehmbar sind, sondern Hilfsmittel wie Monitore oder Bildschirme benötigt werden. Ausgedruckte Dokumente unterfallen demnach nicht mehr dem Anwendungsbereich.
Gespeichert sind diese Daten, wenn sie digital, optisch und / oder akustisch auf einem Datenträger (z.B. USB-Stick, Festplatte) fixiert werden. Es ist nicht erforderlich, dass die Daten dauerhaft gespeichert werden. Auch die kurzzeitige Speicherung im Arbeitsspeicher genügt. Von der Tatbestandsalternative „Übermittlung“ von Daten werden nur unkörperliche Übertragungen erfasst, wie dies beim Aufrufen von Webseiten oder anderen Fernkommunikationsmitteln der Fall ist. Der (körperliche) Transport von Festplatten, USB-Sticks oder sonstigen Speichermedien fällt also nicht unter den Begriff der Übermittlung des § 202a StGB.
Für die Mehrheit der Strafrechtler ist es im Übrigen irrelevant, ob nur ein Datum, viele Daten oder ganze Computerprogramme ausgespäht werden. Letztere zeichnen sich durch eine Zusammenfügung mehrerer Daten aus und seien daher ebenfalls schützenswert.
2. Nicht für den Täter bestimmt
Zur Vermeidung einer uferlosen Auslegung dieser Strafvorschrift unterliegt der Tatbestand in § 202a StGB einer gewissen Einschränkung: Es werden nur solche Daten geschützt, die nicht für den Täter bestimmt und gegen unberechtigten Zugang besonders gesichert sind.
Ob Daten für den Täter bestimmt sind oder nicht, ist keine Frage des Eigentums am Datenträger. Maßgeblich ist vielmehr der Wille des Verfügungsberechtigten. So bestimmt grundsätzlich der Arbeitgeber (und nicht der Dokumentenersteller), welche Mitarbeiter Zugriff auf Betriebsdaten erhalten dürfen und in welchen Umfang diese verarbeitet werden dürfen. Bei Anbietern, die Daten gegen ein Entgelt zur Verfügung stellen, dürfen zahlende Kunden diese entsprechend der Nutzungsbedingungen verwenden. Im Internet frei zugänglich bereitgestellte Daten unterfallen nicht mehr dem Schutzbereich von § 202a StGB.
Soweit Unternehmen sich durch IT-Firmen zum Thema IT-Sicherheit beraten lassen, ist es bei der Durchführung von Schwachstellenanalysen und Penetrationstest wichtig, in den Dienstleistungsverträgen genau zu regeln, was für die Beratungsfirma bestimmt bzw. erlaubt wird und was nicht.
Wenn Hacktivisten sich eigenverantwortlich Zugang zu fremden Systemen verschaffen, sind diese Daten auch nicht für diese bestimmt. Da kann der Anlass noch so nobel und ehrenhaft sein. Im Falle einer Anklage kann der Rechtsanwalt aber versuchen die Verteidiung auf Vorliegen von Rechtfertigungs- und/ oder Entschuldigungsgründe zu stützen.
3. Überwinden besonderen Zugangssicherungen
Der Täter muss besondere Zugangssicherungen überwinden, d.h. der Zugriff Dritter auf diese Daten muss nicht unerheblich erschwert sein. Nur so drückt der Verfügungsberechtigte seinen Geheimhaltungswillen hinreichend aus. Zu den besonderen Zugangssicherungen gehören insbesondere:
- Passwörter
- Firewall
- Magnetkarten
- biometrische Erkennungsverfahren
- verschlüsselte kabellose Netze
- Datenverschlüsselungen
- hardwareunabhängige Sicherungen (z. B. das Einschließen des Rechners in einen Schrank).
Ob ein unerlaubtes Kopieren einer Software immer den Straftatbestand von § 202a StGB erfüllt oder vielmehr auch eine straffreie zweckwidrige Verwendung der (teilweise auch nur befristet) zur Nutzung überlassenen Daten darstellt, ist zwischen Juristen – wie so vieles – umstritten.
Beim Auslesen von Daten auf einer Bankkarte, die unverschlüsselt auf dem Magnetstreifen der Karte gespeichert sind, fehlt es allerdings an einer besonderen Zugangssicherung. Auch wenn der Täter später mit Betrugsabsicht Kartendubletten anfertigt, liegt also kein unerlaubtes Ausspähen von Daten nach § 202a StGB vor.
Wenn sich Unternehmen nicht um technische und organisatorische Maßnahmen ihrer IT-Systeme bemühen und dadurch Opfer eines Hackerangriffs werden, kann die also Strafbarkeit nach § 202a StGB mangels besonderer Zugangssicherungen ausscheiden. Es können dann aber noch andere Strafvorschriften erfüllt sein.
4. sich oder einem Dritten unbefugt verschaffen
Der Täter muss sich oder einem Dritten gegen den Willen des Verfügungsberechtigten Zugang zu den Daten verschaffen. Es genügt insoweit die Möglichkeit, die Daten abzurufen. Eine tatsächliche Kenntnisnahme ist demnach nicht erforderlich.
5. Weitere Strafvoraussetzungen
Nur vorsätzliches Handeln ist unter Strafe gestellt. Der Täter muss also zum Zeitpunkt der Tatbegehung mindestens davon ausgehen, dass der Verfügungsberechtigte einen Geheimhaltungswillen hat und daher besondere Zugangssicherungsmaßnahmen ergriffen hat.
Falls der Täter irrig davon ausgeht, dass die Daten für seinen Zugriff bestimmt sind und er sie daher nutzen darf, handelt er nicht vorsätzlich. Eine Strafbarkeit scheidet gemäß § 16 Abs. 1 StGB aus (sog. Tatbestandsirrtum).
Aus § 205 Abs. 1 StGB folgt, dass die Tat grundsätzlich nur auf Antrag des Berechtigten verfolgt wird. In § 77 StGB ist sodann geregelt, wer antragsberechtigt ist. Dies ist zunächst der Verletzte, also im Falle des Ausspähens von Daten der Verfügungsberechtigte. Im Falle von Betriebs- und Geschäftsdaten ist dies also der Arbeitgeber bzw. das betroffene Unternehmen. Dies kann insbesondere dann interessant sein, wenn Hacker digital geführte Personalakten ausspähen. Auch in diesem Falle bleibt der Arbeitgeber antragsberechtigt. Die betroffenen Mitarbeiter sind in der Regel nicht antragsbefugt, da diese nicht über die Personalakte verfügen.
Da es sich um ein relatives Antragsdelikt handelt, kann die die Strafverfolgungsbehörde bei besonderen öffentlichen Interessen an der Strafverfolgung ausnahmsweise von Amts Wegen ermitteln.
Was sind typische Anwendungsfälle?
Der Einsatz von Key-Logging-Trojanern, Sniffern und Backdoorprogrammen durch Hacker stellen typische Anwendungsfälle dieser Strafvorschrift dar. Aber auch Portscanning, bei dem das Zielsystem nach laufenden Programmen und nach offenen Ausgängen abgetastet wird, kann hierunter fallen. Dies wird insbesondere dann zum Problem, wenn die Lücken ausgenutzt und Daten „abgeschöpft“ werden. Wichtig ist, dass der Verfügungsberechtigte durch geeignete Schutzmaßnahmen deutlich macht, dass er seine Daten geheim halten will.
Derzeit liest man auch viele Beiträge über die vielfach kritisierte Spyware Pegasus des israelischen Unternehmens NSO Group. Mit dieser Software werden gezielt iOS- und Android-Geräte ausspioniert. NSO Group bietet nach eigenen Angaben das Tool nur Regierungen und staatlichen Geheimdiensten zu legitimen Kriminaluntersuchungen an. Es stellt sich hier bereits die Frage, wie ein Privatunternehmen dies weltweit rechtsfehlerfrei prüfen will. Amnesty International berichtet nun, dass im Rahmen einer Zusammenarbeit mit Forbidden Stories festgestellt wurde, dass die Überwachungssoftware „Pegasus“
„weltweit eingesetzt [wird], um Medienschaffende, Menschenrechtsverteidiger_innen und Aktivist_innen systematisch zu überwachen.“
Als potenzielle NSO-Kunden wurden folgende elf Länder identifiziert: Aserbaidschan, Bahrain, Ungarn, Indien, Kasachstan, Mexiko, Marokko, Ruanda, Saudi-Arabien, Togo und den Vereinigten Arabischen Emiraten (VAE). Nun ist zwar Ungarn Mitgliedstaat der EU, sodass auch dort u.a. die strengen Vorgaben der DSGVO theoretisch greifen. Bei den restlichen Ländern dieser Liste assoziiert man aber nicht unbedingt als Erstes „Pressefreiheit“, „Demokratie“ und „Datenschutz“.
Grundsätzlich wäre der Einsatz einer solchen Software durch eine private Personen nach § 202a StGB strafbar. Wenn aber Regierungen diese nun gezielt einsetzen, ist die Bejahung der Strafbarkeit nicht ganz so leicht. Ein Staat selber kann strafrechtlich nicht sanktioniert werden, da sich die Vorschriften des StGB nur gegen natürliche Personen richten. Bei den Beamten und sonstigen Mitarbeitern einer Regierung, die die Spyware weisungsgebunden ausführen, ist die strafrechtliche Beurteilung durchaus komplexer. Es kann sich eine Gehorsamspflicht ergeben, soweit eine Weisung nicht rechtswidrig ist. Die Weisung ist dann nicht rechtswidrig, wenn die Voraussetzungen einer Befugnisnorm über den Einsatz solcher staatlichen Ermittlungsmaßnahmen erfüllt ist. Zugunsten strafrechtlicher Ermittlungen in Deutschland könnte im Einzelfall insbesondere §§ 100a ff. StPO greifen. Eine detaillierte Auseinandersetzung mit dieser Thematik übersteigt leider den Rahmen dieses Blogbeitrages und soll an dieser Stelle den Strafrechtlern vorbehalten bleiben.
Welche präventiven Vorsichtsmaßnahmen können Privatpersonen und Unternehmen ergreifen?
Auch wenn der Mensch selber oftmals das Einfallstor für kriminelle Machenschaften ist, gibt es einige Maßnahmen, die man zum Selbstschutz ergreifen kann. Man sollte es den Tätern so schwer wie möglich machen.
1. Als Privatperson
- sichere Passwörter verwenden
- 2-Faktor-Authentifzierung aktivieren
2. Zusätzliche Maßnahmen als Unternehmen
- Aufbau eines Informationssicherheitsmanagementsystems (ISMS)
- Aufteilung von Admin-Rechten
- organisatorische Prozesse z. B. interner Meldepflichten definieren
- Implementieren von technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO
- Durchführung einer IT-Schwachstellenanalyse zur Schließung von IT-Sicherheitslücken
- Umsetzung eines Schwachstellenmanagements zur Absicherung der IT-Infrastruktur
- Durchführung von Penetrationstests
Und wie sollte man sich im Falle eines Hackerangriffs verhalten?
Trotz bester Vorkehrungen kann man dennoch Opfer einer solchen Cyber-Straftat werden. Sobald Sie dies bemerken, sollten Sie den Kopf nicht in den Sand stecken, sondern handeln.
1. Als Privatperson
- Passwort ändern und Täter somit „aussperren“
- Ausmaße des Angriffs ermitteln
- Strafantrag bei der Polizei stellen
- Beratungstelefon für Opfer von Identitätsmissbrauch
- Hilfestellung vom Landesdatenschutzbeauftragte, z.B. Informationen von LfDI Baden-Württemberg
2. Zusätzliche Maßnahmen als Unternehmen
Auch Unternehmen können von solchen Attacken betroffen sein. Folgende Maßnahmen können helfen, den Schaden für das Unternehmen gering zu halten:
- ggf. Systeme herunterfahren
- Zugriffsrechte des kompromittierten Mitarbeiters entziehen
- Kontakt mit der Zentrale Ansprechstelle Cybercrime (kurz: ZAC) aufnehmen
- Beratung durch externe Dienstleister
Wieder einmal ein sehr gut geschriebener und informativer Beitrag von Frau Dannewitz.
Anfrage: Es geht um Identitätsklau über z.B. die IP-Adresse und Vermittung in wesentlich höherdosierte Berufe/ Tätigkeiten mit eigener Infrastruktur, Beweise vorhanden, Selbst, ebenso wie andere z.T auch monate-/ jahrelanges Observieren, Einholen von persönlich , auch ärztlichen Unterlagen, Schicken von Internettendolumenten an „Kontakte der Kontakte“- Identitätsklau ohne jedliche Zustimmung mit jährlichen Milliärdengewinnen, Suche/ Organisation/ Ausbildung u.a. über Microsoft 325/ Facebook vermittelt , so ist es zB möglich NICHT zu studieren, aber alle Prüfungen sachgemäß zu absolvieren. Ein weiteres, in seiner Tragweite schon jetzt fast nicht mehr überschaubares/ kontrollierbares Themengebiet. Dringend müssen Maßnahmen diesbezüglich ergriffen werden. Ansonsten stimme ich Frau Dannewitz absolut zu, würde jedoch gerne mehr, auch eindeutig beweisende Einzelbeispiele. zu dem angesprochenen Thema vor entsprechendem Forum vortragen.
Gerne würde wir Ihnen auf Ihren Kommentar antworten, leider ist uns Ihr Anliegen nicht ganz klar. Stellen die von Ihnen genannten Themen weitere Anwendungsfälle von § 202a StGB oder ersuchen Sie Beratung für einen konkreten Fall? Falls letzteres der Fall sein sollte, kontaktieren Sie gerne unseren Vertrieb.