Rechtliche Möglichkeiten gegen Cyberkriminalität

David, das Internet bietet unzählige Möglichkeiten für Hacker. Die Cyberkriminalität ist in der Corona-Pandemie deutlich gestiegen. Welches sind die häufigsten Cybercrimes und wer ist davon betroffen?

Der häufigste Cybercrime ist der Datendiebstahl, insbesondere der Diebstahl von Kreditkartendaten. Beim Datendiebstahl beobachten wir eine starke Zunahme der Angriffe auf Geschäftsgeheimnisse. Diese können anschliessend verschlüsselt werden und ein Lösegeld für eine Entschlüsselung wird gefordert.

Betroffen sind alle Firmen und Privatpersonen. Ein Beispiel: Sobald eine der Big-Tech-Firmen in Kalifornien einen neuen Server auf ihren gigantischen fussballfeldgrossen Serverfarmen «live» schaltet, dauert es nur Millisekunden, bis dieser direkt «online» angegriffen wird. Diese Angriffe laufen automatisiert und rund um die Uhr. Umso wichtiger ist es, dass wir versuchen, uns gut zu schützen. Zum Beispiel sollten wir die Passwörter mit einem Passwortmanager schützen, um einerseits «gute» Passwörter zu haben und anderseits Passwörter nicht mehrfach zu verwenden.

Cyberkriminalität hat die Schwierigkeit, dass die Täter überall auf der Welt sein könnten. Was bedeutet das für den Gesetzgeber?

Wir haben hier ein Auseinanderklaffen der Räumlichkeit: Sowohl der Täter wie auch das Opfer können sich irgendwo auf der Welt befinden. Wenn ich in Schweden bin und bspw. Daten in der Schweiz entwende und anschliessend auf einem amerikanischen Portal etwas mit den Kreditkartendaten zahle, dann haben wir bei der Verbrechensbekämpfung die Schwierigkeit, dass die Souveränität der jeweiligen Staaten auf ihr Territorium beschränkt sind.

Mit der DSGVO und der Budapest Convention gibt es zwei rechtliche Ansätze, diese Kriminalität zu bekämpfen. Kannst du kurz die wichtigsten rechtlichen Eckpunkte der beiden Ansätze nennen?

Die Budapest Convention ist ein Grundsatzleuchtturm in der weltweiten cyberrechtlichen Grundordnung. Sie bietet eine Grunddefinition von Cybercrime und das ist eine sehr wichtige legislatorische Leistung. Aber Staaten müssen die Definitionen nicht zwingend ins Landesrecht überführen, sondern diese als Guidelines benutzen. Die DSGVO (die Datenschutz-Grundversorgung) hingegen hat die Verbraucherrechte vor Augen. Es möchte die Daten der Verbraucher schützen und ist für die EU-Länder rechtlich bindend.

In deinem Paper hast du beide Richtlinien zur Eindämmung der Cyberkriminalität untersucht. Was ist dein Fazit? Dämmen die Richtlinien wirklich die Cyberkriminalität ein?

Beide haben ihre Berechtigung. Die DSGVO hat einen sehr wirksamen Hebel: Die Bussenandrohung. Die Bussen können bis zu 20 Millionen Euro betragen und sind umsatzabhängig. Dieses Element fehlt der Budapest Convention. Viele Länder stützen sich aber darauf, deshalb ist sie sehr hilfreich.

Reichen diese beiden Richtlinien oder braucht es noch weitere?

Wichtig ist, dass Kriminelle noch härter bestraft werden. Es braucht einen griffigeren Strafkatalog. Ausserdem eine intensivere Ausbildung der Nutzer und Nutzerinnen.

Die Technik hinter den Hackerangriffen entwickelt sich ständig weiter, wie werden neue technische Herausforderungen ins Recht eingebettet?

Diese werden durch eine sogenannte «Principal Based Regulation» abgedeckt: Der Gesetzgeber umschreibt die Funktion der Geräte. Beispielsweise darf man nicht in digitale Geräte oder Geräte mit ähnlicher Funktion ohne Erlaubnis eindringen. Dabei spielt es keine Rolle, ob es sich um ein iPhone, Android Handy, iPads oder Technologien – die heute noch nicht bekannt sind – handelt.

Ein grosses Problem liegt dabei, dass der Grossteil der Täter nicht gefunden werden.

Genau, das Recht ist auf dem aktuellsten Stand, aber wir können teilweise gar nicht nachvollziehen, wo die Täter sind. Hier müsste man bei den Internet Hosting Providern ansetzen. Es sollte ähnlich gelöst werden, wie bei der Geldwäscherei. Banken müssen nachvollziehen können, wo das Geld herkommt. Dasselbe sollte für Internet Hosting Providern gelten. Sie müssen verantwortlich für eine einwandfreie Identifikation ihrer Kunden, damit diese im Falle von kriminellen Handlungen schnell identifiziert werden können. Nehmen wir das Thema Kinderpornografie: Wenn jemand Kinderpornografie hostet, dann sollte er dafür verantwortlich sein, in dem Sinne, dass er genau weiss (und einwandfrei identifiziert hat), wer diesen Content hochgeladen hat. Damit könnten wir schnell den Täter ermitteln. Hosts sollten wissen, wem sie einen Server vermieten. Die Provider sollten also in die Verantwortung gezogen werden.

Ist ein Unternehmen oder eine Privatperson betroffen von einem Cyberangriff, welche rechtlichen Möglichkeiten hat die Person?

Grundsätzlich sollte man immer rechtliche Schritte ergreifen. Kann man aber nicht eruieren, wo oder wer der Täter ist, wird es sehr schwierig. Deshalb ist es hier wichtig, vorzubeugen: mit einer guten Firewall, einem VPN-Tunnel, mit sicheren Passwörtern und einer 2-Faktor-Authentifizierung. Wenn es trotz diesen Massnahmen zu einem Datendiebstahl kommt, dann sollte der User unbedingt alle Daten sichern, Kreditkarten sperren. Ebenfalls hilft, von Beginn weg Daten an zwei völlig unterschiedlichen Orten speichern.

Jedes Jahr müssen Firmen schliessen aufgrund von Cyber-Erpressungen. Was rätst du Unternehmen, die betroffen sind?

Unternehmen brauchen eine gute IT Security. Wenn ein Einbrecher ein verriegeltes Haus sieht, zieht er weiter, zum nächsten Haus mit dem offenen Fenster.

Es gibt ja auch den Ansatz der Resilienz. Was hältst du davon?

Es braucht das Zusammenspiel zwischen faktischer Prävention, Mitarbeitendenausbildung und gutem Abwehrdispositiv. So hat man eine ideale Cyber Resilience und den optimalen Schutz.