Digitaler Hausfriedensbruch

Mit dem geplanten neuen Straftatbestand des § 202e StGB „unbefugte Benutzung informationstechnischer Systeme“, auch digitaler Hausfriedensbruch genannt, soll die Möglichkeit geschaffen werden, Angriffe auf Internetseiten oder gezielte Cyberangriffe auf Kritische Infrastrukturen zu bestrafen.

Gefahr des digitalen Hausfriedensbruchs in den vergangenen Jahren deutlich gestiegen

In den letzten Jahren häuften sich Angriffe auf Internetseiten, z.B. mittels sogenannter „Distributed-denial-of-service (DDos)“-Attacken oder sogenannten „Erpressungs-Trojanern“, bei denen eine Menge Anfragen dazu führen, dass diese vorübergehend unerreichbar sind. Besonders gefährlich sind gezielte Cyberangriffe auf mit dem Internet verbundene Kritische Infrastrukturen, z.B. große Industrieanlagen, Elektrizitätswerke oder Telekommunikationsanlagen. Die Werkzeuge, mit denen Straftäter diese Handlungen begehen, sind „Botnetze“, also eine große Anzahl von mit dem Internet verbundene informationstechnische Systeme wie Computer oder Mobiltelefone, die – von ihrem rechtmäßigen Nutzer unbemerkt – mit Schadprogrammen infiltriert sind und daher einzeln oder in ihrer Gesamtheit einer fremden Kontrolle unterliegen. Große Botnetze umfassen mehrere Millionen Opferrechner.

So wird im Gesetzesentwurf des Bundesrates darauf hingewiesen: „Gegen diese Art der Infektion, kann sich auch der aufmerksame Computernutzer kaum zur Wehr setzen. Zurzeit geht man davon aus, dass bis zu 40 Prozent aller internetfähigen informationstechnischen Systeme in Deutschland mit Schadsoftware verseucht sind und damit potenzielle Bots darstellen.“

Um ein angemessenes Schutzniveau für die Vertraulichkeit und Integrität informationstechnischer Systeme zu gewährleisten, sollen die Rechtsgedanken des § 123 StGB (Hausfriedensbruch) und des § 248b StGB (Unbefugter Gebrauch eines Fahrzeugs) in die digitale Welt übertragen werden. Dafür wird ein neuer § 202e StGB geschaffen, damit soll die unbefugte Benutzung informationstechnischer Systeme unter Strafe gestellt werden. IT-Systeme sind mindestens ebenso schutzwürdig wie das Hausrecht und wie das ausschließliche Benutzungsrecht an Fahrzeugen.

Bisheriger strafrechtlicher Schutz vor digitalem Hausfriedensbruch ungenügend

Der strafrechtliche Schutz der Integrität und Vertraulichkeit von informationstechnischen Systemen wird nach geltendem Recht durch § 202a StGB (Ausspähen von Daten), § 202b StGB (Abfangen von Daten), § 303a StGB (Datenveränderung) und § 303b StGB (Computersabotage) gewährt. Dieser Schutz ist aber laut Erklärung zum neuen Gesetzesartikel lückenhaft (Drucksache 20/1530). Beispielsweise betrifft § 202a StGB nur das Ausspähen solcher Daten, die durch eine besondere Zugangssicherung geschützt sind und wenn der Täter diese überwindet. Wenn nur ein unerheblicher technischer oder zeitlicher Aufwand erforderlich ist, um die Zugangssicherung zu umgehen, gilt der Täter als straflos.

Die zunehmende Effektivität von Schadprogrammen und das Auftreten von sogenannter „fileless malware“, also Schadsoftware, die keine Veränderungen an gespeicherten Daten bewirkt, führen dazu, dass auch der Schutz durch § 303a StGB lückenhaft ist. Die Strafbarkeit nach dieser Norm setzt voraus, dass der Täter auf dem betroffenen informationstechnischen System gespeicherte Daten löscht oder verändert. Die Infiltration informationstechnischer Systeme ist heutzutage jedoch auch ohne die Veränderung von gespeicherten Daten möglich, z. B. durch sogenannte Hardwaretrojaner.

Das Bundesverfassungsgericht hat bereits 2007 in seiner wegweisenden Entscheidung zum Grundrecht auf die Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (BvR 370/07, BvR 595/07) die bestehenden Gefahren für die Bürger dargestellt. Das allgemeine Persönlichkeitsrecht umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Das Bundesverfassungsgericht formulierte damals folgende Grundsätze:

  • Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, ist verfassungsrechtlich nur zulässig, wenn tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut bestehen. Überragend wichtig sind Leib, Leben und Freiheit der Person.
  • Die heimliche Infiltration eines informationstechnischen Systems ist grundsätzlich unter den Vorbehalt richterlicher Anordnung zu stellen. Das Gesetz, das zu einem solchen Eingriff ermächtigt, muss Vorkehrungen enthalten, um den Kernbereich privater Lebensgestaltung zu schützen.

2016 und 2018 wurden Gesetzesentwürfe über die Strafbarkeit der unbefugten Benutzung von informationstechnischen Systemen erstellt, der neueste stammt vom 27.4.2022.

Lückenloser Schutz vor digitalem Hausfriedensbruch durch den geplanten neuen § 202e StG

Der neue Artikel § 202e StGB „unbefugte Benutzung informationstechnischer Systeme“ tritt am Tag nach der Verkündung in Kraft. Die wesentlichen Punkte:

  • Wer unbefugt sich oder einem Dritten den Zugang zu einem informationstechnischen System verschafft, ein solches System in Gebrauch nimmt oder einen Datenverarbeitungsvorgang oder einen informationstechnischen Ablauf beeinflusst, wird mit Geldstrafe oder Freiheitsstrafe bis zu einem Jahr bestraft, sofern die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. Die Tat ist aber nur strafbar, wenn sie geeignet ist, berechtigte Interessen eines anderen zu beeinträchtigen.
  • Mit Geldstrafe oder Freiheitsstrafe bis zu fünf Jahren wird bestraft, wer eine oben genannte Handlung gegen Entgelt oder in der Absicht, sich oder einen Dritten zu bereichern oder einen Dritten zu schädigen, begeht, sofern die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist.
  • Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Straftaten unter Nutzung von informationstechnischen Systemen verbunden hat oder in der Absicht handelt, eine Gefahr für die öffentliche Sicherheit, eine gemeingefährliche Straftat oder eine besonders schwere Straftat gegen die Umwelt herbeizuführen oder zu ermöglichen. Dann droht Freiheitsstrafe von sechs Monaten bis zu zehn Jahren.
  • Handelt der Täter in der Absicht, einen Ausfall oder eine Beeinträchtigung der Funktionsfähigkeit kritischer Infrastrukturen zu bewirken, so ist die Strafe Freiheitsstrafe von einem Jahr bis zu zehn Jahren.
  • Versuche sind strafbar.

Als informationstechnisches System gilt:

  • Ein System, das zur Verarbeitung personenbezogener Daten geeignet oder bestimmt ist oder Teil einer Einrichtung oder Anlage ist, die wirtschaftlichen, öffentlichen, wissenschaftlichen, künstlerischen, gemeinnützigen oder sportlichen Zwecken dient oder die den Bereichen Energie, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Versorgung, Haustechnik oder Haushaltstechnik angehört.
  • Als kritische Infrastruktur gilt eine Einrichtung, Anlage oder Teile davon, die den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung oder Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung ein erheblicher Versorgungsengpass oder eine Gefährdung für die öffentliche Sicherheit eintreten würde.

Mit dem neuen Gesetz kann ein lückenloser strafrechtlicher Schutz aller Systeme und die Strafbarkeit nahezu aller Angriffsarten sichergestellt werden. Die Formulierung des neuen § 202e StGB ist technikoffen. So lässt er sich leicht anwenden und Beweis- und Abgrenzungsschwierigkeiten werden vermieden. Technische Zufälle in der Konfiguration der Opfersysteme sollen zukünftig keine Rolle mehr spielen.

Schlagworte zum Thema:  Datenschutz, Compliance