|
|
|
||||
Gegenstand und Gefahren der Cybercrime |
Erkenntnisse und
Irrtümer |
|||
Empfangsvollmachten und Briefkästen für verschiedene Firmen an einer Haustür in Hannover. Quelle: PD Hannover Großansicht |
In die Schriftenreihe des vor einem Jahr vorgestellten Forschungsforums Öffentliche Sicherheit sind seither nur zwei weitere Veröffentlichugen eingestellt worden, die sich aber mit Naturkatastrophen und ihren sozialen und gesellschaftlichen Auswirkungen beschäftigen. Hervorgehoben habe ich seinerzeit das Buch: Dominik Brodowski, Felix C. Freiling, Cyberkriminalität. Computerstrafrecht und die digitale Schattenwirtschaft, FÖS 02.03.2011 Restlos begeistert bin ich von dem Werk noch immer nicht und meine Kritik an der oberflächlichen Beschreibung der Cyberkriminalität, ihrer Akteure und an der schwachen fachlichen Durchdringung der Rechtsfragen bei verschiedenen Erscheinungsformen halte ich aufrecht. |
||
Meine später erschienenen Ausarbeitungen über das IuK-Strafrecht und die Automatisierte Malware orientieren sich stärker an der Rechtsprechung, als an der juristischen Literatur, und betrachten die Erscheinungsformen der Cybercrime feingliedriger unter technischen und rechtlichen Gesichtspunkten.
Dieter Kochheim,
IuK-Strafrecht, April 2012
Dessen
ungeachtet schätze ich das Buch von Brodowski und Freiling wegen seiner
beachtlichen Materialfülle und der starken Teile über die betroffenen Grundrechte
und das Verfahrensrecht. |
|||
Folienpräsentation: Cyberkriminalität | |||
Dominik Brodowski, Felix C. Freiling, Cyberkriminalität. Computerstrafrecht und die digitale Schattenwirtschaft, FÖS 18.05.2011 Die Autoren definieren zunächst die Cyberkriminalität im engeren und im weiteren Sinne <F 3> und heben dann die ökonomische Dimension der Cyberkriminalität hervor <F 7>. Die anschließend entwickelten Thesen bleiben häufig hinter dem Kenntnisstand vom Mai 2011 und den seither erkennbaren Entwicklungen zurück. |
|||
|
Die Ausgangsthese ist vollkommen richtig, dass die Cybercrime meistens auf Gewinn ausgerichtet ist. Die Beispiele greifen jedoch etwas zu kurz, vor Allem die "Betrügereien". Sie reichen vom Phishing über das Skimming, dem Vorkassebetrug, dem Identitätsbetrug (Käufe unter falschen oder "gestohlenen" Identitäten) und der (damit verbundenen) Zahlungsunwilligkeit bis hin zu schlichten Warenbetrügereien mit falschen Qualitätsmerkmalen (falsche Marken- und mängelbehaftete Waren). Das Ausmaß der Industriespionage war 2011 noch nicht so bekannt und wurde erst später deutlich.
Dass die
Cybercrime keine Gewaltkriminalität ist,
stimmt auf dem ersten, nicht aber auf dem zweiten Blick. Schon Bolduan
berichtete 2008 von gewalttätigen Strukturen in der Cybercrime-Szene und
das vor Allem im russischen Einflussbereich unter der Regie von
Gordon
Bolduan, Digitaler Untergrund, Technology Review 4/2008, S. 26
ff. (kostenpflichtiger Download, 1 €) |
||
Gesamtansicht bei Norton |
Die ersten tieferen Einblicke in die hiesige Carding-Szene zeigen, dass nicht nur mit ausgespähten Daten, Equipment, Malware, Botnetzen und Mule-Accounts gehandelt wird, sondern mit kleinem Anteil auch mit Betäubungsmitteln, Medikamenten und Waffen. Es gibt Fälle, in denen sich Einzelne nicht nur mit Raubüberfällen brüsten, sondern sie auch durchführen. Das sind Symptome dafür, dass dort, wo viel Geld im Spiel ist, die Bereitschaft zur Drohung und zur Ausführung von Gewalttaten immer ausgeprägter wird. Das Defacement, also das Eindringen in und die Verfremdung von gegenerischen Webseiten, mag noch eine milde Form von Gewalt sein. Seitens der Kriminellen und der Hacktivisten werden immer häufiger auch DDoS-Angriffe und "Übernahmen" (Bot- und Ramsonware, Onlinebanking-Trojaner) ausgeführt. Seitens der "echten" Cyberkriminellen steht auch dabei der Gewinn im Vordergrund, wobei ihr Vorgehen immer weniger Rücksicht auf die Integrität der angegriffenen Technik nimmt. Auch hier ist eine zunehmende Gewaltbereitschaft zu erkennen, die sich zunächst auf die Gewalt gegen Sachen konzentriert. Bestimmte Erscheinungsformen der Cybercrime im weiteren Sinne sind in sich selber gewaltförmig. Das gilt besonders für die Missbräuche bei der Herstellung von Kinderpornographie, für Teile der Pornographie ("Submission") und beim Mitfilmen und Veröffentlichen von Gewaltexzessen ( Bullying, Slapping, Snuffing). Die These, Cyberkriminalität sei keine Gewaltkriminalität und nicht mit dieser vergleichbar, stimmt nur für den großen Bereich der Cybercrime, der sich auf Betrügereien beschränkt (einschließlich Urkundenfälschungen, Datenklau und verwandte Delikte). Schon jetzt sind kleinere Bereiche der Cybercrime von Gewalt und Drohungen mit ihr durchdrungen. Je kommerzieller auch die Cybercrime wird, desto stärker wird sich auch in ihr gewaltförmiges Handeln ausdehnen. |
||
Aus folgendem Grund: Von den mehr oder weniger kriminellen Akteuren wird der Cyberspace als weitgehend geschützter Raum angesehen, in dem sich bislang Polizei und andere Ordnungshüter kaum bemerkbar gemacht haben. Sanktionen waren eher von anderen privaten Protagonisten zu erwarten als von der Strafverfolgung oder dem Gerichtsvollzieher. Die vermeintliche Anonymität und die Nutzung von Fantasie-Identitäten verstärken das noch. Unter diesen Voraussetzungen führt ein logischer Weg zu weniger Hemmungen beim Einsatz von Gewalt, je größer der Gewinn zu erwarten ist. Diese Tendenz könnte dann abbrechen oder sich anderweitig kanalisieren, wenn sich Gegenmacht etabliert. Im Privaten haben das HB Gary Federal mit aggressiven Maßnahmen zur Recherche und Manipulationen in sozialen Netzen und professionelle Abmahner im Zusammenhang mit dem Filesharing und der Durchforstung des Internets nach Grafiken mit mandatierten Verwertungsansprüchen gezeigt. Auch die Strafverfolgung steigt den kriminellen Szenen verstärkt hinterher. Das hat zunächst den Effekt, dass die Unbedarften und weniger Versierten nach ihren Regelverstößen empfindlich am Geldbeutel getroffen werden, und das wird ein Wehklagen in der alten Tradition hervor rufen, dass die Kleinen bestraft und die Großen laufen gelassen würden. Einerseits ist dieser Effekt abschreckend für die Einsteiger, die bislang ein gefahrloses Spielfeld erwarten. Sie werden erschreckt und der Nachahmungseffekt wird gebremst. Andererseits muss signalisiert werden, dass auch die "Großen" in Bedrängnis geraten. Man mag vom FBI oder von Microsoft halten, was man will: Mit ihren spektakulären Aktionen gegen Spam-Schleudern, bedenkenlosen Hostern und Botnetzen haben sie genau dieses Signal gesetzt. Kriminelle Profis werden sich deshalb tiefer verstecken und stärker tarnen; das lässt sich nicht vermeiden. Dadurch werden aber auch ihre Aufwände immer größer. Wenn bisher mit wenig Aufwand großer Gewinn eingefahren werden konnte (Spam, billige Malware), wird mit höherem Aufwand der Gewinn proportional geringer: Hoher Aufwand, verhaltener Gewinn. Wo die Beutesicherung bislang vielleicht ein Drittel oder gar die Hälfte des Gewinns verschlungen hat und das locker zu verkraften war, dürften die Kosten für die Beutesicherung unter Verfolgungsdruck proportional steigen und der gemäßigte Gewinn noch einmal kleiner werden. Das wird Gelegenheitskriminelle, Hasardeure und Hehler (Absatzhelfer im weitem Sinne) ausbremsen, weil ihr finanzielles und persönliches Risiko zu groß wird, nicht aber die echten Profis im kriminellen Geschäft. Auch sie bekommen Schwierigkeiten, weil sie nicht nur höhere Aufwände zur Beutesicherung einsetzen müssen, sondern ihnen auch die Rekruten wegbrechen. Damit setzt eine Kostenspirale ein, der nur mit strikter Organisationsbindung und Struktur entgegen gewirkt werden kann. Der Gewinn lässt sich nur halten, wenn möglichst wenige an ihm mitverdienen. Deshalb müssen die Einsatz- und Absatzwege optimiert werden und das führt auch dazu, dass das Geschäftsfeld für die kriminellen Mitverdiener austrocknet. Ein Teil von ihnen hat die Chance, einen Platz im neuen Behemoth zu finden, die meisten hingegen nicht. Die unter Verfolgungsdruck verbleibenden kriminellen Strukturen sind wahrscheinlich erheblich gefährlicher und noch mehr abgeschottet als heute. Der Sumpf drum herum ist dann aber weitgehend ausgetrocknet und die Konturen der kriminellen Strukturen werden deutlicher und gezielter angreifbar. Diese spekulativen Überlegungen zeigen vor Allem, dass die Bekämpfung der Cybercrime nachhaltig sein muss, wenn es um die strenge Reaktion auf sie geht, und strategisch, um ihre Entwicklungen zu durchkreuzen. Dazu bedarf es keiner Sprechblasen (politische Bekenntnisse), sondern vor Allem engagiertes Personal, das seine Aufgaben nicht nur verkörpert (verinnerlicht hat), sondern auch von behördlichen Frustrationen freigestellt ist (Bewegungskosten, Überstundenausgleich, Fortbildung, flexibler Urlaub) und Aufstiegschancen hat (ja, ich träume weiter). |
|||
Auch die abschließende These, die Cyberkriminalität weise praktisch keine Fälle schwerster Kriminalität auf, begegnet durchgreifenden Bedenken. Serienbetrügereien im Onlinehandel dürften grundsätzlich auch gewerbsmäßig und in der Absicht begangen werden, durch die fortgesetzte Begehung von Betrug eine große Zahl von Menschen in die Gefahr des Verlustes von Vermögenswerten zu bringen. Das sind gleich zwei Qualifikationsmerkmale, die den Betrug ( § 263 StGB) und den Computerbetrug ( § 263a StGB) zu besonders schweren Fällen machen und damit zu schwerer Kriminalität ( § 263 Abs. 3 Nr. 1, Nr. 2 2. Alt. StGB), die im Einzelfall mit Freiheitsstrafe zwischen 6 Monaten und 10 Jahren bedroht sind. "Betrieb" ist eine unabhängig von der Rechtsform auf Dauer angelegte, organisatorische Einheit von Personen und Sachmitteln unter einheitlicher Leitung mit dem arbeitstechnischen, nicht notwendig gewinnorientierten Zweck, bestimmte Leistungen materieller oder immaterieller Art zu erzeugen oder zur Verfügung zu stellen. Das umfasst auch kleine Internet-Cafés, Power-Seller im Internethandel und Nebenerwerbs-Dienstleister, so dass damit zu rechnen ist, dass sich jede groß angelegte Ramsonware-Verbreitung auch gegen eine Datenverarbeitung richtet, die für einen fremden Betrieb von wesentlicher Bedeutung ist ( § 303b Abs. 2 StGB), also eine schwere Computersabotage ist. Wenn der oder die Täter auch noch gewerbsmäßig handeln, wird daraus ein besonders schwerer Fall der schweren Computersabotage ( § 303b Abs. 4 Nr. 2 StGB), für den ebenfalls 6 Monate bis zu 10 Jahre Freiheitsstrafe drohen. Auch das ist schwere Kriminalität. Die Beispiele für schwere Kriminalität ließen sich im Zusammnhang mit dem Betrieb von Botnetzen und dem Einsatz von Onlinebanking-Trojanern fortsetzen. |
|||
|
Auch die Beschränkung der Cyberkriminellen auf Innentäter, Hacker und Script Kiddies ist etwas verkürzt. Es grenzt die langfristig aufgestellten Schurkenprovider, Betreiber von Botnetzen und Malwarefabriken aus. Der Hacktivismus, der mit Anonymous seit Ende 2010 deutliche Beispiele gesetzt hatte, bleibt unbetrachtet.
Für ihn und die Subkulturen in den kriminellen Boards stimmt sicherlich,
dass die Arbeitsteilung eher feingliedrig und dynamisch ist und damit
andere Strukturen aufweisen als die, die von der herkömmlichen
organisierten Kriminalität gewohnt sind. Ich spreche insoweit von
kommunizierenden Schwärmen tatgeneigter Täter, die sich zu immer
wieder neuen arbeitsteiligen Projekten zusammen finden und die im
Internet genau so verbreitet sind wie unter verschiedenen Ethnien. Aber
auch in solchen Schwärmen bilden sich "Verdichtungen" von Leuten, die
kontinuierlich zusammen arbeiten und dadurch auch eine Bande bilden
können (Operation Groups, arbeitsteilige Fachleute). Wenn sie zugleich geschäftsähnliche Strukturen entwickeln oder Gewalt und
Einschüchterung zum Erreichen ihrer Ziele einsetzen, dann handelt es
sich durchaus um Organisierte Kriminalität |
||
|
Der Grundsatz stimmt, dass die Nachverfolgung der Finanzströme einer der wichtigsten Ansätze für die Strafverfolgung ist. Durch die Verbreitung von Vouchers ( Graue Bezahlsysteme), (anonymen) Kreditkarten auf Guthabenbasis ( Beutesicherung) und Bitcoins ( gefährliches Spielgeld) kann die kriminelle Wertschöpfungskette verschleiert oder sogar unkenntlich gemacht werden. Das gilt auch, wenn in die Kette Spielkasinos im Internet, proprietäre Verrechnungssysteme (Onlinespiele) oder Formen der Hawala eingesetzt werden. Über die einschlägigen Normen wegen der Strafbarkeit von Finanzagenten herrscht jetzt wieder etwas Unsicherheit. Mehrere Jahre lang wurde die leichtfertige Geldwäsche ( § 261 Abs. 1 Var. 4, Abs. 2 Nr. 5, Abs. 5 StGB) favorisiert. Das hat der BGH unlängst in Frage gestellt, weil sich jedenfalls der Finanzagent, dem beim Phishing die Beute als Erster überwiesen wird, an dem Computerbetrug ( § 263a StGB) als Gehilfe beteiligt (Tatbestandsmerkmal des Vermögenszuwachses). Wegen der nachfolgenden Finanzagenten spricht der BGH jetzt von Begünstigung ( § 257 StGB) und nicht von Geldwäsche.
strafrechtliche Haftung von Finanzagenten beim Phishing, 28.04.2012; |
||
|
Die vorsichtige Formulierung, dass bereits jetzt fast jedes strafwürdige Verhalten mindestens einem Straftatbestand unterfällt, ist zutreffend. Meine Ausarbeitungen zum Skimming und zum IuK-Strafrecht zeigen aber, dass dazu manchmal ziemlich "um die Ecke" argumentiert werden muss. Dass gilt etwa für die missglückten Rückverweise von den §§ 303a Abs. 3, 303b Abs. 5 StGB auf den Hackerparagraphen ( § 202c StGB), die unglückliche Beschränkung auf "Computerprogramme" in § 263a Abs. 3 StGB, die fehlende "Eingabe" beim Ausspähen von Daten ( § 202a Abs. 1, Abs. 2 StGB) und die unklare Erfassung von Skimminggeräten im § 149 Abs. 1 Nr. 1 StGB. In vielen Fällen unterliegen kriminelle Handlungen zwar der Strafbarkeit, sind aber der Bagatellkriminalität zugewiesen (zum Beispiel § 202c StGB). Der besonders schwere Fall der schweren Computersabotage ( § 303b Abs. 4 StGB) wird von § 100a Abs. StGB nicht als Katalogstraftat anerkannt ( Straftatenkatalog), obwohl er die formellen Voraussetzungen allemal erfüllt, und der Funkschutz ist von vornherein unvollständig. Wegen einzelner Vorschriften könnte man tatsächlich daran denken, die Strafrahmen zu erhöhen, um das gesamte System zu harmonisieren. Den Autoren ist jedoch darin recht zu geben, dass höhere Strafdrohungen als solche keine deutlichen Abschreckungswirkungen haben werden. Diese lässt sich nur durch nachhaltige Strafverfolgung erreichen.
Zu einfach
gestrickt ist die These, dass das Potential offener Ermittlungsmethoden
noch unzureichend genutzt werde. Die ersten Erfahrungen zeigen, dass auf
den Einzelfall angepasst immer eine breitere Palette von Methoden eingesetzt
werden muss, wobei ich einen gewissen Schwerpunkt bei der E-Mail-Beschlagnahme
und der klassischen Durchsuchung sehe. |
||
Fazit | |||
|
Die beiden Autoren sind im Universitätsbetrieb anerkannt und haben eine beachtliche Materialsammlung erstellt. Sie haben es verdient, beachtet und hinterfragt zu werden. Meine Anmerkungen zeigen die unterschiedlichen Ansätze und Wege, die wir verfolgen und gegangen sind. Während ich mich zunächst analytisch mit der Cybercrime befasst habe, kommen Brodowski und Freiling aus dem juristischen Wissenschaftsbetrieb und nähern sich genau von der anderen Seite dem Thema, also theoretisch. Dazu habe ich zunächst nur im Zusammenhang mit dem Skimming und dann nach langem Vorlauf im Herbst 2011 im großen Rahmen den Mut gehabt, indem ich über das IuK-Strafrecht schrieb. Beide Herangehensweisen haben ihre Vor- und Nachteile. Die wissenschaftlich-theoretische zwingt zu systematischer Präzision und blendet möglicherweise vorschnell bestimmte Erscheinungsformen oder Formenwechsel aus. Meine an der Praxis orientierten, kriminalistischen Betrachtungen können schnell dazu führen, sich zu verzetteln. Sie haben aber den Vorteil, die konkreten Erscheinungsformen zu sezieren und an den Fallgruppen orientierte Lösungen zu entwickeln. Während die akademische Perspektive Schwierigkeiten damit hat, auf die kriminellen Phänomene und ihre Varianten zu reagieren, hat die praktische Mühe damit, die grundsätzlichen und generellen Strukturen des IuK-Strafrechts zu entwickeln. Die Spannung und Chance liegt in der
Konfrontation beider Methoden, die dem Leser überlassen bleibt. |
Cyberfahnder | |
© Dieter Kochheim, 11.03.2018 |