Digitalisierung beschert viele Vorteile – auch für Kriminelle. Sie agieren grenzen­los, hebeln die Regeln unserer historisch vor allem durch Grenzen definierten Welt gnadenlos aus. Die Gesetzgebung ist gefordert – national wie international.

© shutterstock.com/1066363880

Die Digitalisierung verändert die Gesell­schaft, unser Leben. Mehr als wir haben Kriminelle gelernt, die Vorteile der Digitalisierung für ihre
Zwecke zu nutzen. Geldwäsche, Betrug, illegaler Handel, Datendiebstahl und Erpressung bis hin zur Manipulation von Meinungen, Wahlen und Regierungen: Straftaten erfahren im Cyberspace eine neue Dimension. Der Handlungsraum ist quasi unbegrenzt, die Anonymität eine Eigenheit des Arbeitsraums Internet. Das macht den Cyberspace zum perfekten Tatort. Cybertäter hinterlassen, wenn überhaupt, höchst volatile Spuren und die Grenzen, die jenen gesetzt sind, die sie verfolgen und aufzuspüren versuchen, dienen ihnen als willkommene Deckung.

Grosse Herausforderungen für die Strafverfolgung

Entsprechend stark gefordert sind die Strafverfolgungsbehörden. Deren Streben nach Identifikation und Lokalisierung von Cybertätern ist eine Sisyphusarbeit. Tatorte liegen im Ausland, Datenspuren lagern irgendwo – oft genug in einer anonymen Cloud. Die zu ihrer Sicherung nötigen Rechts- und Amtshilfeverfahren sind komplex und langwierig, zumal längst nicht alle Staaten Hand zur Hilfestellung reichen. Nicht zuletzt dann, wenn von ihnen selbst beauftragte oder zumindest gebilligte Angriffe (state-sponsored Cybercrime) untersucht werden sollen.
Doch selbst wenn Rechtshilfe gewährt wird, ist die Strafverfolgung kompliziert. Die involvierten Staaten führen parallele Verfahren und einzig das Land, von dem aus die Täterschaft vorging, hat die volle Gerichtsbarkeit. Der Koordinationsaufwand durch Europol und Eurojust ist entsprechend hoch.

Hinzu kommt: Die Digitalisierung eilt den Rechtswissenschaften stets weit voraus. Kein Staat und keine Behörde, kein Gericht und kein Cyberpolizist kann den Takt und die Richtung der Entwicklung, die oft genug wilde Haken schlägt, vorgeben, vorhersehen oder beeinflussen. Doch was man nicht steuern kann, kann man nicht kontrollieren. Schlimmer noch spielt genau die ungeheure Dynamik der Entwicklung den Cyberangreifern in die Hände: Neue Sicherheitslücken entstehen schneller, als alte geschlossen werden können, und die Verfolgung der Täter gleicht dem Kampf gegen eine Hydra, die zuschlägt und dann hinter Grenzen verschwindet, welche nationale Strafverfolgungsbehörden zu überwinden nicht imstande sind.

Ohne Transnationalität ist der Kampf nicht zu gewinnen

Hilfreich in diesem Zusammenhang wäre ein sicherer und praxisfähiger Verfügungs- und Schutzrahmen internationalen digitalen Rechts – mit klaren Inhalten und weltweiter Durchsetzungsmacht. Doch wie gemächlich die internationalen Mühlen des Rechts mahlen, zeigt das Übereinkommen über Cyberkriminalität (CCC). Dieses wurde um die Millenniumswende erarbeitet und verpflichtet – als erstes internationales Übereinkommen zur Bekämpfung von Computer- und Internetkriminalität überhaupt – die Vertragsstaaten, ihre Gesetzgebung den Herausforderungen neuer Informationstechnologien anzupassen. Als es von der Schweiz unterzeichnet wurde, am 23. November 2001, waren heute Volljährige kaum geboren. Ratifiziert wurde es erst, als die Millenniumskinder ihren letzten einstelligen Geburtstag feierten (18.06.2010). In Kraft gesetzt wurde es letztlich am 1. Januar 2012.

Komplexität der Zuständigkeiten

Doch nicht nur im transnationalen Kontext hapert es. Auch auf nationaler Ebene sind viele Rechtsfragen ungelöst. Das zeigt exemplarisch der im Januar 2019 publik gewordene Fall eines Bundesangestellten des Aussendepartementes (EDA) in Italien, welcher Nacktbilder von Kindern sowie Bilder sexueller Handlungen mit Kindern auf die Server des Bundesamts für Informatik und Telekommunikation (BIT) geladen hatte. Die US-amerikanische Homeland Security kam ihm auf die Schliche, informierte im April 2018 das Fedpol. Dessen Kommissariat Cybercrime erstellte eine Verdachtsmeldung, übergab seine Ermittlungsergebnisse Ende Juni 2018 der Kantonspolizei Bern und forderte diese auf, das Material vom Server zu sichern und den Bundesangestellten zu überprüfen. Doch die Kapo Bern verweigerte den Auftrag. Ihre Begründung: Der EDA-Mitarbeiter sei in Italien stationiert, weshalb die italienischen Ermittler zuständig seien.

Nach monatelangem Hickhack zwischen dem Fedpol und der Bundesanwaltschaft einerseits und den Behörden des Kantons Bern andererseits musste das Bundesstrafgericht über die Zuständigkeit befinden. Dieses entschied, die Strafbehörden des Kantons Bern seien berechtigt und verpflichtet, die vorgeworfenen strafbaren Handlungen zu verfolgen und zu beurteilen. Doch Christoph Scheurer, stellvertretender Generalstaatsanwalt des Kantons Bern, befand, ungeachtet des Urteils bedürfe es weiterer Zuständigkeitsabklärungen zwischen der regionalen Staatsanwaltschaft Bern-Mittelland und der kantonalen Staatsanwaltschaft für besondere Aufgaben. Erst dann könnten die Vorwürfe geprüft und erste Ermittlungsschritte vorgenommen werden. Dies ist bis Anfang 2019 nicht geschehen ...

Rechtsunsicherheit lähmt das System

Man kann sich ob solcher Vorkommnisse echauffieren. Nüchtern betrachtet indes zeigt der Fall vor allem eines: Die Rechtsunsicherheit im Zusammenhang mit Internetkriminalität und Cybercrime hat unzählige Facetten und birgt zahllose Fall­stricke – nicht zuletzt im Hinblick auf die Polizeiarbeit.

Zwar arbeiten die Polizeien im In- und Ausland derzeit an ihrer digitalen Kompetenz, die sie befähigen soll, die Möglichkeiten und Spielräume der Digitalisierung ebenso konsequent für ihre Zwecke zu nutzen, wie es Cyberkriminelle tun. Stichworte dazu sind Bodycams oder Drohnen, Predictive Policing, Netzwerkforensik oder Targeted Profiling. Doch damit die neuen Kompetenzen überhaupt genutzt werden dürfen, muss zuerst deren Rechtsstaatlichkeit geprüft werden. Das dauert – auch wenn sich der gesetzgeberische Konkretisierungsbedarf meist weniger um das «Ob», sondern vor allem um das «Wie», «Wann» und «Falls ja, wie weit» dreht, also im Wesentlichen um die Grundsätze von Wirksamkeit und Verhältnismässigkeit.

Zu oft wird dabei versucht, Rezepte der analogen Geschichte auf die digitale Welt von heute zu übertragen. Das aber greift zu kurz, wie ein Blick auf Kryptowährungen zeigt. Diese werden zwar längst von diversen Staaten als offizielle Zahlungsmittel anerkannt und von Millionen Anwendern auf unzähligen Internetportalen weltweit genutzt. Doch anders als «echte» Währungen entziehen sie sich der Geldpolitik. Der Grund auch hier: Rechtsunsicherheiten des digitalen Zeitalters.

So sind etwa Bitcoins kein «E-Geld» im Sinne des E-Geldgesetzes von 2010 – weil sie keinen eindeutigen Emittenten besitzen. Entsprechend werden sie weder von einer Regierung noch von einer Zentralbank oder der Finanzmarktaufsicht reguliert. Auch untersteht ihr Handel keiner Konzessionspflicht: Wer ein auf dem Handel mit Kryptowährung beruhendes Geschäftsmodell betreibt – wie auch immer dieses gelagert sein mag –, benötigt keine Gewerbeberechtigung.

Die Kontrolle über eine Kryptowährung obliegt somit einzig der zugrunde liegenden Blockchain-Technologie, und ihr Wechselkurs zu realen Währungen wird nur durch Angebot und Nachfrage (oder Manipulation) bestimmt. Da wundert es nicht, dass Kryptowährungen bei illegalem Handel, Geldwäsche oder bei der Finanzierung organisierter Kriminalität und Terrorismus eine wesentliche Rolle spielen. Das wird sich so lange nicht ändern, bis die internationalen Bankenaufsichtsbehörden und die Gesetzgeber weltweit endlich die längst überfälligen regulatorischen Schritte einleiten und einen verbindlichen Rechtsrahmen für Kryptowährungen schaffen.

Das allerdings dürfte noch lange auf sich warten lassen – wenn es überhaupt je geschehen wird. Derzeit jedenfalls fokussiert der Gesetzgeber weniger darauf, digitale Rechtssicherheit zu erzeugen, als auf die persönliche Verpflichtung zur Schadensprävention. Das nationale Datenschutzgesetz und die EU-Datenschutzgrundverordnung (DSGVO) zwingen Unternehmen und Institutionen, «geeignete technische und organisatorische Massnahmen zum Schutz vor Datendiebstahl» zu treffen. Dabei werden heute auch Einzelpersonen, namentlich Manager und Betriebsinhaber, sowie alle Betreiber «kritischer Infrastrukturen» mit besonderer Bedeutung für das Allgemeinwesen in die Pflicht genommen.

Klingt gut, ist aber wenig effizient. 2016 gab es alleine in Europa 4000 Ransomware-Attacken pro Tag. 2017 waren 80 Prozent der europäischen Unternehmen von einem Cybersecurity-Vorfall betroffen. Dennoch haben laut aktuellen Erhebungen der EU nahezu 70 Prozent der Unternehmen nur ein elementares oder gar kein Verständnis für ihre Verwundbarkeit durch Cyberbedrohungen. In der von KMU dominierten Schweiz sieht es nicht besser aus. Das wissen auch die Angreifer – und sie werden die Schwäche von Staat und Wirtschaft konsequent weiter ausnutzen.

Der Gesetzgeber muss adäquat reagieren

Angesichts dieser alarmierenden Fakten muss der Gesetzgeber mehr tun, als die Wirtschaft in die Pflicht zu nehmen. Doch die Politik ist unsicher in ihrer Reaktion auf die digitalen Bedrohungen – und hält sich zurück. Das ist insofern verständlich, als viele Phänomene – etwa (Daten-)/Diebstahl und Erpressung – schon in der analogen Welt gesetzlich verboten sind, weshalb es keines neuen gesetzlichen Verbots bedarf, nur weil an und für sich bekannte Phänomene nun digital verübt werden. Aber es braucht dennoch Rechtssicherheit bezüglich digitaler Kriminalität und vor allem einen verlässlichen (ordnungs-)rechtlichen Rahmen, der es den Strafverfolgungsbehörden ermöglicht, den Kriminellen im Cyberraum mit allen zur Verfügung stehenden Mitteln wirkungsvoll entgegenzutreten.