HWZ Science09. August 2021

Rechtliche Möglichkeiten gegen Cyberkriminalität

Die Cyberkriminalität ist in der Corona-Pandemie deutlich gestiegen. Die Schwierigkeit dabei ist, dass sowohl Täter als auch Opfer sich überall auf der Welt befinden können. Was bedeutet dies für den Gesetzgeber? Mit der DSGVO und der Budapest Convention gibt es zwei rechtliche Ansätze, diese Kriminalität zu bekämpfen. David Wicki, Studiengangsleiter CAS Data Protection Officer, untersuchte in einem Artikel die beiden Richtlinien zur Eindämmung von Cyberkriminalität. Im Gespräch erzählt er, welche rechtlichen Möglichkeiten für Unternehmen und Personen bestehen, wenn sie Opfer von Cyberkriminalität werden. Ausserdem zeigt er auf, wie wichtig Mitarbeitendenausbildung und ein Passwortgenerator sind.

David, das Internet bietet unzählige Möglichkeiten für Hacker. Die Cyberkriminalität ist in der Corona-Pandemie deutlich gestiegen. Welches sind die häufigsten Cybercrimes und wer ist davon betroffen?

Der häufigste Cybercrime ist der Datendiebstahl, insbesondere der Diebstahl von Kreditkartendaten. Beim Datendiebstahl beobachten wir eine starke Zunahme der Angriffe auf Geschäftsgeheimnisse. Diese können anschliessend verschlüsselt werden und ein Lösegeld für eine Entschlüsselung wird gefordert.

Betroffen sind alle Firmen und Privatpersonen. Ein Beispiel: Sobald eine der Big-Tech-Firmen in Kalifornien einen neuen Server auf ihren gigantischen fussballfeldgrossen Serverfarmen «live» schaltet, dauert es nur Millisekunden, bis dieser direkt «online» angegriffen wird. Diese Angriffe laufen automatisiert und rund um die Uhr. Umso wichtiger ist es, dass wir versuchen, uns gut zu schützen. Zum Beispiel sollten wir die Passwörter mit einem Passwortmanager schützen, um einerseits «gute» Passwörter zu haben und anderseits Passwörter nicht mehrfach zu verwenden.

Cyberkriminalität hat die Schwierigkeit, dass die Täter überall auf der Welt sein könnten. Was bedeutet das für den Gesetzgeber?

Wir haben hier ein Auseinanderklaffen der Räumlichkeit: Sowohl der Täter wie auch das Opfer können sich irgendwo auf der Welt befinden. Wenn ich in Schweden bin und bspw. Daten in der Schweiz entwende und anschliessend auf einem amerikanischen Portal etwas mit den Kreditkartendaten zahle, dann haben wir bei der Verbrechensbekämpfung die Schwierigkeit, dass die Souveränität der jeweiligen Staaten auf ihr Territorium beschränkt sind.

Grenzüberschreitende Ermittlungen erfordern langwierige Rechtshilfeprozesse, deren Erfolg teilweise sehr ungewiss ist. Die Kriminellen im Internet können die Grenzen innert Millisekunden überschreiten.

Mit der DSGVO und der Budapest Convention gibt es zwei rechtliche Ansätze, diese Kriminalität zu bekämpfen. Kannst du kurz die wichtigsten rechtlichen Eckpunkte der beiden Ansätze nennen?

Die Budapest Convention ist ein Grundsatzleuchtturm in der weltweiten cyberrechtlichen Grundordnung. Sie bietet eine Grunddefinition von Cybercrime und das ist eine sehr wichtige legislatorische Leistung. Aber Staaten müssen die Definitionen nicht zwingend ins Landesrecht überführen, sondern diese als Guidelines benutzen. Die DSGVO (die Datenschutz-Grundversorgung) hingegen hat die Verbraucherrechte vor Augen. Es möchte die Daten der Verbraucher schützen und ist für die EU-Länder rechtlich bindend.

In deinem Paper hast du beide Richtlinien zur Eindämmung der Cyberkriminalität untersucht. Was ist dein Fazit? Dämmen die Richtlinien wirklich die Cyberkriminalität ein?

Beide haben ihre Berechtigung. Die DSGVO hat einen sehr wirksamen Hebel: Die Bussenandrohung. Die Bussen können bis zu 20 Millionen Euro betragen und sind umsatzabhängig. Dieses Element fehlt der Budapest Convention. Viele Länder stützen sich aber darauf, deshalb ist sie sehr hilfreich.

Reichen diese beiden Richtlinien oder braucht es noch weitere?

Wichtig ist, dass Kriminelle noch härter bestraft werden. Es braucht einen griffigeren Strafkatalog. Ausserdem eine intensivere Ausbildung der Nutzer und Nutzerinnen.

Ein wichtiger Faktor ist und bleibt aber die Selbstverantwortung der User. Noch immer gibt es im geschäftlichen Bereich wie im Privaten viele Menschen, die «1234», «Passwort» oder ähnlich einfach zu erratende Passwörter benutzen.

Die Technik hinter den Hackerangriffen entwickelt sich ständig weiter, wie werden neue technische Herausforderungen ins Recht eingebettet?

Diese werden durch eine sogenannte «Principal Based Regulation» abgedeckt: Der Gesetzgeber umschreibt die Funktion der Geräte. Beispielsweise darf man nicht in digitale Geräte oder Geräte mit ähnlicher Funktion ohne Erlaubnis eindringen. Dabei spielt es keine Rolle, ob es sich um ein iPhone, Android Handy, iPads oder Technologien – die heute noch nicht bekannt sind – handelt.

Ein grosses Problem liegt dabei, dass der Grossteil der Täter nicht gefunden werden.

Genau, das Recht ist auf dem aktuellsten Stand, aber wir können teilweise gar nicht nachvollziehen, wo die Täter sind. Hier müsste man bei den Internet Hosting Providern ansetzen. Es sollte ähnlich gelöst werden, wie bei der Geldwäscherei. Banken müssen nachvollziehen können, wo das Geld herkommt. Dasselbe sollte für Internet Hosting Providern gelten. Sie müssen verantwortlich für eine einwandfreie Identifikation ihrer Kunden, damit diese im Falle von kriminellen Handlungen schnell identifiziert werden können. Nehmen wir das Thema Kinderpornografie: Wenn jemand Kinderpornografie hostet, dann sollte er dafür verantwortlich sein, in dem Sinne, dass er genau weiss (und einwandfrei identifiziert hat), wer diesen Content hochgeladen hat. Damit könnten wir schnell den Täter ermitteln. Hosts sollten wissen, wem sie einen Server vermieten. Die Provider sollten also in die Verantwortung gezogen werden.

Über den Artikel

The Budapest Convention and the General Data Protection Regulation: acting in concert to curb cybercrime?

Abstract The Budapest Convention and the General Data Protection Regulation (GDPR)—two Legal Frameworks designed to curb cybercrime. While the Convention on Cybercrime of the Council of Europe, the Budapest Convention, is the only binding international instrument on this issue, the GDPR is globally setting standards in data protection Law. How are the two policies working to curb cybercrime? Cybercrime concerns every person, every company, every authority and every public institution. The fact that the origin as well as the target of the criminal act can be located virtually everywhere around the globe sets a new challenge for lawmakers in their efforts to protect society. The increasing use and importance of the Internet of Things will create new conveniences for the public to enjoy and at the same time provide countless new entry points for hackers to gain access to devices, networks and valuable data, all of which might be abused for criminal intents. The Budapest Convention on Cybercrime plays a crucial role in the fight against cybercrime by setting state of the art principle based criminal law standards and important procedural rules with regard to the provisional storage of data to be potentially used as evidence in prosecuting criminal acts. GDPR is blazing the trail for the appropriate handling of data, and is thereby—albeit from a different starting point—significantly contributing to an improved data security framework and thus efficiently curbing cybercrime.

Der Artikel ist im September 2020 im International Cybersecurity Law Review erschienen

Zum Artikel

Ist ein Unternehmen oder eine Privatperson betroffen von einem Cyberangriff, welche rechtlichen Möglichkeiten hat die Person?

Grundsätzlich sollte man immer rechtliche Schritte ergreifen. Kann man aber nicht eruieren, wo oder wer der Täter ist, wird es sehr schwierig. Deshalb ist es hier wichtig, vorzubeugen: mit einer guten Firewall, einem VPN-Tunnel, mit sicheren Passwörtern und einer 2-Faktor-Authentifizierung. Wenn es trotz diesen Massnahmen zu einem Datendiebstahl kommt, dann sollte der User unbedingt alle Daten sichern, Kreditkarten sperren. Ebenfalls hilft, von Beginn weg Daten an zwei völlig unterschiedlichen Orten speichern.

Jedes Jahr müssen Firmen schliessen aufgrund von Cyber-Erpressungen. Was rätst du Unternehmen, die betroffen sind?

Unternehmen brauchen eine gute IT Security. Wenn ein Einbrecher ein verriegeltes Haus sieht, zieht er weiter, zum nächsten Haus mit dem offenen Fenster.

Regel Nummer 1: Die Mitarbeitenden ausbilden, damit diese sich sicher verhalten. Absolute Sicherheit wird es nie gehen. Tritt der Case dennoch ein, braucht es eine saubere Backup Lösung.

Es gibt ja auch den Ansatz der Resilienz. Was hältst du davon?

Es braucht das Zusammenspiel zwischen faktischer Prävention, Mitarbeitendenausbildung und gutem Abwehrdispositiv. So hat man eine ideale Cyber Resilience und den optimalen Schutz.

Anschubfinanzierung von Forschungsprojekten durch die HWZ

Auf der Suche nach einer Anschubfinanzierung für deine VorstudieBereit, deine Projektergebnisse zu publizieren oder vorzutragen? Interessiert an einem kostenlosen Zugang zur aktuellsten Literatur deines FachgebietsEntdecke die zahlreichen Möglichkeiten der HWZ, dich bei deinen Forschungsbestrebungen zu unterstützen. 

Hier geht es zu den Informationen.  

 

Portrait Studiengangsleiter David Wicki-Birchler

Dr. iur. David Wicki-Birchler, LL.M.

Studiengangsleiter

Verpassen Sie nichts! Abonnieren Sie unseren Newsletter.

Der Newsletter informiert Sie über die aktuellen Trends, News und Events an der HWZ.

Jetzt anmelden