Thema des Tages Wirtschaft

Phishing, Identitätsdiebstahl und DDoS-Angriffe verunsichern zunehmend

© Negro Elkha – stock.adobe.com

Der Begriff Cybercrime bezeichnet Kriminalität in Zusammenhang mit dem Internet. Häufig wird daher auch der Begriff Internetkriminalität gebraucht. Es handelt sich dabei um Straftaten, die mithilfe von Informations- und Kommunikationstechnik begangen werden, also mithilfe des Computers, Netzwerks oder Smartphones.

Dabei sind Internet und Computer entweder das Ziel des Verbrechens, der „Komplize“ oder das Ausspähungsinstrument. Zu den Cyberdelikten zählen zum Beispiel Identitätsdiebstahl, Computersabotage und digitale Erpressung.

Was ist die digitale Identität?

Kriminelle Handlungen im Internet richten sich häufig gegen die digitale Identität. Der Begriff bezeichnet die Möglichkeiten und Rechte einer Person und ihre personenbezogenen Daten und Aktivitäten innerhalb des Internets. Darunter fallen alle Accounts und Zugangsdaten (zum Beispiel E-Mail-Konten oder Onlinebanking sowie sozialen Netzwerken oder Cloud-Computing).

Welche Straftaten werden im Internet begangen und wie werden sie bestraft?

Im Internet ist ein kontinuierlicher Anstieg der Kriminalität zu beobachten. Online werden sehr unterschiedliche Delikte verwirklicht. Dabei sind „klassische“ Straftaten wie Diebstahl, Rauschgiftdelikte und Straftaten gegen das Leben die Ausnahme. Laut polizeilicher Kriminalstatistik werden überwiegend Vermögens- und Fälschungsdelikte im Netz begangen. Im Folgenden sind einige der häufigsten Delikte aus der Cyberkriminalität und ihre Strafen aufgeführt:

Digitale Erpressung

Um digitale Erpressung handelt es sich, wenn die Täter mittels sogenannter Ransomware die Daten eines digitalen Systems verschlüsseln oder Netzwerkzugänge sperren und ein Lösegeld für einen Freischaltungscode verlangen. Digitale Erpressung kann sowohl Unternehmen als auch Privatpersonen betreffen.

Strafrechtlich handelt es sich dabei um eine Kombination aus Computersabotage und Erpressung. Die Strafe für Computersabotage beträgt grundsätzlich bis zu 3 Jahren Freiheitsstrafe oder Geldstrafe. Ist die betroffene Datenverarbeitung wesentlich für ein Unternehmen oder eine Behörde, ist die Strafe Freiheitsstrafe bis zu 5 Jahren oder Geldstrafe, in besonders schweren Fällen sogar Freiheitsstrafe bis zu 10 Jahren. Erpressung wird mit einer Geldstrafe oder einer Freiheitsstrafe bis zu 5 Jahren bestraft.

Phishing

Beim Phishing bewegen die Täter ihre Opfer per E-Mail dazu, ihre personenbezogenen Daten freiwillig herauszugeben. Die Täter wollen dabei meistens an die Zugangsdaten für das Onlinebanking des Opfers gelangen. Sie verschicken E-Mails, die von einer Bank zu stammen scheinen. Solche E-Mails enthalten dann zum Beispiel den Hinweis, dass die Kontodaten überprüft werden müssten, und einen Link zu einer gefälschten Webseite (Phishing-Webseite), die so aussieht wie die der eigenen Bank. Der Nutzer wird dann aufgefordert, seine IBAN, PIN und TAN einzugeben, sodass die Täter die Möglichkeit erhalten, Transaktionen von dem Konto vorzunehmen.

Für die strafrechtliche Bewertung kommt es auf die Unterscheidung in Datenbeschaffung und Verwendung der Daten an: Ob die Datenbeschaffung den Tatbestand der Fälschung beweiserheblicher Daten erfüllt, ist umstritten. Jedenfalls erfüllt der Täter durch die Beschaffung aber den Tatbestand der Nötigung, wenn er androht, dass das Konto gesperrt wird, wenn den Anweisungen nicht Folge geleistet wird.

Außerdem macht der Täter sich durch die Beschaffung nach dem Markengesetz und dem Urheberrechtsgesetz strafbar, wenn er zum Beispiel ein urheberrechtlich geschütztes Logo der Bank verwendet. Darüber hinaus macht er sich strafbar, wenn er die Daten tatsächlich erhält. Die Strafbarkeit der Datenverwendung nach § 202a Strafgesetzbuch (StGB) und § 263a Strafgesetzbuch (StGB) ist streitig. Zu bejahen ist hingegen, dass der Täter durch die Datenverwendung den Tatbestand der Fälschung beweiserheblicher Daten und der Täuschung im Rechtsverkehr bei Datenverarbeitung erfüllt. Die Strafen für Phishing können letztlich je nach dem konkreten Einzelfall zwischen Geldstrafen und Freiheitsstrafen bis zu 5 Jahren liegen.

Identitätsdiebstahl

Um einen Identitätsdiebstahl handelt es sich, wenn die Täter unter dem Namen und der Adresse des Opfers Waren oder Dienstleistungen bestellen. Ein Identitätsdiebstahl kann aber auch beim Erstellen von sog. Fake-Profilen oder dem Missbrauch von Zugangsdaten zu sozialen Netzwerken vorliegen. Beim Identitätsdiebstahl können daher unterschiedliche Straftatbestände verwirklicht werden. In Betracht kommen hier die Urkundenfälschung sowie die Fälschung beweiserheblicher Daten.

Das Strafmaß für eine Urkundenfälschung beträgt Freiheitsstrafe bis zu 5 Jahren oder Geldstrafe. In besonders schweren Fällen ist die Strafe Freiheitsstrafe von 6 Monaten bis zu 10 Jahren. Eine Fälschung beweiserheblicher Daten wird mit Freiheitsstrafe bis zu 5 Jahren oder Geldstrafe bestraft.

DDoS-Angriffe

Bestimmte Netzwerkangriffe werden als sog. „DDoS-Angriffe“ bezeichnet. DDoS bedeutet Distributed-Denial-of-Service. Das bezeichnet einen Angriff, bei dem durch eine gezielte Überlastung des Servers die Nichtverfügbarkeit eines Internetdienstes herbeigeführt wird. Opfer von DDoS-Angriffen sind meistens Unternehmen, insbesondere Onlineshops und andere Onlinedienstleister.

Hierbei handelt es sich um eine Form der Computersabotage, die nach § 303b Strafgesetzbuch (StGB) mit bis zu 5 Jahren – in besonders schweren Fällen bis zu 10 Jahren – Freiheitsstrafe bestraft wird.

Wünschen Sie eine unverbindliche Beratung? Schildern Sie auf anwalt.de Ihren Fall!

Wer ist zuständig für Cyberkriminalität?

Die Strafverfolgung von Offline- sowie Cyberkriminalität fällt zunächst in den Kompetenzbereich der Polizei. Insbesondere die Landeskriminalämter (LKA) sind zuständig für die Bekämpfung von Cyberkriminalität, auf Bundesebene das Bundeskriminalamt (BKA). Das Bundeskriminalamt ist außerdem als zentrale Einrichtung für die Koordination zuständig und kann auch auf entsprechende Spezialeinheiten zugreifen.

Das Bundesamt für Sicherheit und Informationstechnik (BSI) als überregionale Anlaufstelle zum Thema Cybercrime hat zudem das Projekt CERT gegründet. CERT steht für Computer Emergency Response Team und bietet den Bundesbehörden als CERT-Bund Unterstützung für die Lösung von Sicherheitsproblemen in Computersystemen. Das Bürger-CERT analysiert und bewertet die Gefahrenlage im Internet und warnt neben privaten Nutzern auch kleine Unternehmen.

Welche Schadsoftware setzen Täter ein?

Zur Täuschung im Rechtsverkehr und zum Ausspähen und Abfangen von Daten wird sogenannte Schadsoftware eingesetzt. Dabei wird zwischen folgenden Kategorien unterschieden:

Ransomware

  • Die normale Ransomware ist eine Software, die die Festplatte nicht verschlüsselt, aber durch Manipulation den Zugriff auf das System sperrt.
  • Krypto-Ransomware ist eine Software, die die Daten auf dem System des Opfers verschlüsselt.

Malware

  • Virus: Ein Virus verändert Dateien auf dem Computer, sodass sie beim Ausführen der Datei oder des Programmes vom Virus befallen werden.
  • Spyware: Spyware ist eine sich selbst installierende Software, die zum Ausspähen der digitalen Identität verwendet wird.
  • Trojaner:Ein Trojaner ist ein an sich harmloses Programm mit einer verborgenen Schadfunktion. Das kann zum  Beispiel ein Wurm oder ein Virus sein.

Schadsoftware für Smartphones

Da Internetnutzer zunehmend ihr Smartphone statt des Computers verwenden, nimmt die Entwicklung von Schadsoftware für mobile Endgeräte (sog. Mobile Malware) zu. Es wird beispielsweise Schadsoftware verwendet, die das SMS-TAN-Verfahren beim Onlinebanking umgehen kann.

Die Infektion des Smartphones tritt ein, wenn infizierte Apps installiert, infizierte Links aufgerufen oder infizierte Anhänge heruntergeladen werden.

Wie können Unternehmen sich vor Cyberangriffen schützen?

Es gibt Sicherheitsvorkehrungen, die Nutzer treffen können, um sich vor Cyberangriffen zu schützen:

  • Setzen Sie einen Informationssicherheitsbeauftragten in Ihrem Unternehmen ein!
  • Schulen Sie Ihre Mitarbeiter hinsichtlich der Grundlagen der IT-Sicherheit. Dafür werden Seminare von unterschiedlichen Dienstleistern angeboten.
  • Führen Sie regelmäßig Sicherheitsupdates durch.
  • Nutzen Sie ein Virenschutzprogramm und aktualisieren Sie es regelmäßig.
  •  Richten Sie eine Firewall ein.
  • Verwenden Sie sichere und vor allem unterschiedliche Passwörter für ihre Benutzerkonten. Noch sicherer ist es, die Passwörter regelmäßig zu erneuern.
  • Übertragen Sie Daten nur über verschlüsselte Verbindungen („https“).
  • Erstellen Sie regelmäßig Back-ups, um Ihre Daten zu sichern.
  • Sollten Sie dennoch Opfer eines Cyberangriffs werden, wenden Sie sich umgehend an die Polizei!

Wie können Sie Vertrauen bei Ihren Usern schaffen – Gütesiegel?

Heutzutage müssen sich User zudem immer mehr Gedanken darüber machen, welchen digitalen Fußabdruck sie im Internet hinterlassen. Konkret stellt sich also die Frage, wie Sie bei Ihren Usern das Vertrauen schaffen können, dass beispielsweise mit ihren personenbezogenen Daten sensibel umgegangen wird oder dass Ihre Internetseite gewissen Sicherheitsanforderungen entspricht.

Hierfür bieten sich unterschiedliche Gütesiegel an. Webseitenbetreiber können z. B. das europäische Datenschutz-Gütesiegel EuroPriSe (European Privacy Seal) verwenden. EuroPriSe bescheinigt unter anderem Websites die Konformität mit dem europäischen Datenschutzrecht, insbesondere mit der Datenschutzgrundverordnung der Europäischen Union (DSGVO). Unternehmen mit zertifizierten Produkten haben in der Regel einen Wettbewerbsvorteil gegenüber anderen Firmen, weil der Verbraucher ein größeres Vertrauen in den Anbieter hat.

 

Themen

Lesen Sie auch