Strafrechtliche Risiken von Cyberangriffen
Recht & Verwaltung04 Juli, 2022

Strafrechtliche Aspekte bei der Bekämpfung von Cyberkriminalität

Von Lucas Merschmöller, Rechtsanwalt bei Knierim & Kollegen Rechtsanwälte PartG mbB, Mainz
Die Medienberichterstattung ist von Straftaten wie Körperverletzung und anderen plastischen Straftatbeständen geprägt. Im Zuge der Digitalisierung hat sich die Cyberkriminalität jedoch auch im Strafrecht zu einem nicht zu unterschätzenden Phänomen entwickelt.

Die Zahl der Cyberangriffe nimmt massiv zu

Ziel solcher Angriffe können sowohl Privatpersonen werden, deren Daten ausgespäht und dann im Internet genutzt werden (sog. Phishing) als auch Unternehmen. Es wird nicht mehr eingebrochen – vielmehr werden die IT-Systeme gezielt angegriffen und nach Informationen durchsucht. Solche Angriffe zeigen unterschiedliche Zielrichtungen:

Teilweise werden Daten der Unternehmen gestohlen und nur gegen Zahlung eines Lösegeldes zurückgegeben; teilweise werden die geklauten Daten weiterverkauft. 

Bei den geschädigten Unternehmen hat dies eine Vielzahl von Folgen. So drohen beispielsweise Reputationsverlust und Wettbewerbsnachteile. Die Unternehmen reagieren auf diese Gefahren durch eine Verstärkung der IT-Sicherheit. Der Trend der letzten Jahre, die Investitionen im Bereich der Digitalisierung zu erhöhen und die damit immer größer werdende Rolle von IT-Systemen bedingt, dass auch die Sicherheit dieser Systeme an Bedeutung gewinnt. 

Blickt man auf die Schäden, die durch Cyberangriffe entstehen können, wird deutlich, dass die Sicherheit von Daten erheblicher Aufmerksamkeit bedarf. Der Branchenverband Bitkom e.V. stellt ein Schadensvolumen von über 220 Mrd. Euro in den Jahren 2020/2021 - im Vergleich zu „nur“ 103 Mrd. Euro in den Jahren 2018/2019 - fest.

Herausforderung auf Seiten der Strafverfolgung und Verteidigung 

Die Anforderungen, die diese Art der Kriminalität an die Strafverfolgungsbehörden stellt, sind nicht mehr mit denen „gewöhnlicher“ Straftaten vergleichbar. Das Land NRW hat hierauf bereits mit der Einrichtung eines „Cybercrime-Kompetenzzentrums“ beim LKA im Jahr 2011 sowie der ZAC NRW – der Zentral- und Ansprechstelle Cybercrime Nordrhein-Westfalen – bei der Staatsanwaltschaft Köln im Jahr 2016, reagiert. Auch andere Länder, wie beispielsweise Rheinland-Pfalz, haben bereits entsprechende Stellen eingerichtet. Diese Einrichtungen setzen sich schwerpunktmäßig mit allen Themen der Cyberkriminalität auseinander. Dieser Umstand macht deutlich, dass eine effektive Strafverfolgung nur durch einen hohen Grad an Spezialisierung möglich ist. Dies ist insbesondere auch vor dem Hintergrund erforderlich, dass der Angriff auf Unternehmen in der Regel nicht durch einzelne Personen, sondern durch ganze Gruppen ausgeführt wird, die arbeitsteilig zusammenwirken. Eine effektive Strafverfolgung lässt sich jedoch nur ermöglichen, wenn angegriffene Unternehmen sich an die jeweiligen Behörden wenden. Dies geschehe leider viel zu selten, so die ZAC NRW. 

Ein Beispiel stellt die Baumarktkette „Bauking“ dar. Das Unternehmen wurde Anfang März 2022 Ziel eines Hacker-Angriffs, bei welchem sogenannte „Randsomeware“ eingesetzt wurde. Die Hacker verschafften sich Zugriff auf unternehmensinterne sowie personenbezogene Daten, verschlüsselten diese und veröffentlichten die Daten letztlich im Darknet. Die Baumarktkette schaltete umgehend die ZAC NRW ein, welche die Ermittlungen aufnahm. Zu einer Lösegeldzahlung kam es in diesem Fall nicht. Seitens der ZAC NRW wird ausdrücklich von Lösegeldzahlungen abgeraten, da nur durch die jeweils geleisteten Zahlungen das Interesse der Täter, an der Durchführung von Angriffen dieser Art, bestehen bliebe.  

Auch in der Strafverteidigung ergeben sich im Zusammenhang mit Cyberangriffen neue Herausforderungen. Der Verteidiger eines Beschuldigten, der sich einem Ermittlungsverfahren wegen Cyberkriminalität ausgesetzt sieht, muss sich im Falle eines Strafverfahrens nicht nur mit den rechtlichen Parametern auseinandersetzen, sondern auch die technischen Vorgänge verstehen, um eine zutreffende rechtliche Einordnung zu ermöglichen. Die hohe Komplexität von Cyberangriffen, insbesondere wenn sich der Angriff gegen Unternehmen richtet, stellt die Verteidigung vor vollkommen neue Herausforderungen. Auch hier macht sich das alt-bekannte Problem bemerkbar, dass der Verteidiger nicht die gleichen Ressourcen zur Verfügung hat, wie die Justiz. Diese verfügt in der Regel über eine weitaus größere Zahl an Ermittlern und auch technischen Ressourcen.

Strafrechtliche Risiken - § 129 StGB

Aus strafrechtlicher Perspektive ist das Phänomen aus vielerlei Hinsicht interessant und von hoher Relevanz. Aufgrund der Zunahme der Cyberangriffe in den letzten Jahren, stehen auch die relevanten strafrechtlichen Vorschriften vermehrt in der Diskussion. Wenn ein Cyberangriff darauf gerichtet ist, Daten eines Unternehmens zu blockieren und diese nur gegen Zahlung eines Lösegeldes freizugeben, sieht sich das Unternehmen in einer Zwickmühle. Auf der einen Seite ist es auf die Daten angewiesen. Auf der anderen Seite begibt es sich damit möglicherweise in den weiten Anwendungsbereich des § 129 Abs. 1 S.2 StGB – stellt die Zahlung eines Lösegeldes eine hinreichende Unterstützungshandlung dar? 

Die Norm des § 129 StGB steht seit geraumer Zeit in rechtsdogmatischer Diskussion, um auszuloten, welche Möglichkeiten bestehen, um unter anderem diesen Zwiespalt aufzulösen. Noch ist hier aber keine Lösung in Sicht. Dies ist wohl auch dem Umstand geschuldet, dass der Bundesgerichtshof noch keine Gelegenheit hatte, hierzu Stellung zu beziehen. Naheliegend wäre auf den ersten Blick eine Lösung dieser Problematik über die „Mitläuferklausel“ des Abs. 6, wonach das Gericht „bei Beteiligten, deren Schuld gering und deren Mitwirkung von untergeordneter Bedeutung ist, von einer Bestrafung nach den Absätzen 1 bis 4 absehen“ kann. Insbesondere für Unternehmen besteht aufgrund der offenen Problemfelder ein hohes Maß an Rechtsunsicherheit. Daher sollte in jedem Falle immer die Beratung durch einen mit der Materie vertrauten Strafverteidiger gesucht werden, um die Risiken zutreffend abzuwägen und dann die in der individuellen Situation sinnvollste Handlungsalternative zu finden. Den einen „richtigen“ Weg kann es – schon aufgrund der Vielzahl der möglichen Konstellationen – nicht geben.


Die Folgen eines Cyberangriffs

Im Falle eines erfolgten Cyberangriffes stellen sich für ein Unternehmen mehrere Fragen. Ist der Angriff von solchem Gewicht, dass zunächst sämtliche Systeme abgeschaltet werden müssen? Welche Maßnahmen müssen unternehmensintern zur Sicherung der übrigen Systeme veranlasst werden? Es empfiehlt sich aus präventiver Sicht, Notfallpläne zu erstellen, um einem solchen Angriff mit den notwendigen Schritten begegnen zu können. 

Aus rechtlicher Sicht stellt sich die Frage, ob eine Zusammenarbeit mit den Behörden sinnvoll ist und wie man mit dem möglicherweise relevanten Umstand umgeht, dass man ein Lösegeld zahlen will/muss, um die Daten wieder zu erhalten. Eine solche Entscheidung kann und sollte in jedem Fall unter Einbeziehung rechtlicher Beratung erfolgen. Häufig kann durch die richtige rechtliche Einordnung und die maßvolle Kommunikation mit den Behörden der in dieser schwierigen Situation sinnvollste Weg gefunden werden. Aus Sicht des beratenden Anwaltes ist von größter Bedeutung, den Sachverhalt im Hinblick auf die rechtlich skizzierten Unsicherheiten zutreffend einzuordnen, um unter Abwägung der Risiken die für den Mandanten beste Strategie zu finden.
 
Unser Autor
Merschmoeller_Lucas
Lucas Merschmöller
Rechtsanwalt bei Knierim & Kollegen Rechtsanwälte PartG mbB, Mainz
Bildnachweis: Who is Danny/stock.adobe.com
Back To Top