Sicherheit in einer offenen und digitalen Gesellschaft

Lage – Herausforderungen – mit einem Bericht zur 64. Herbsttagung des Bundeskriminalamtes

4 Straf- und Strafprozessrecht müssen Schritt halten!

Der Frage, wie das deutsche Straf- und Strafprozessrecht weiterentwickelt werden muss, um mit den Entwicklungen im Cyberraum Schritt halten zu können, widmete sich der Stellvertretende Leiter der Strafrechtsabteilung beim Hessischen Ministerium der Justiz, Rainer Franosch. Aus seiner Sicht seien insbesondere die folgenden vier Merkmale des digitalen Wandels für das Straf- und Strafprozessrecht von Bedeutung:

• Unkörperlichkeit,
• Allgegenwärtigkeit,
• Vernetzung und
• Grenzenlosigkeit.

Im Rahmen seines prononcierten Redebeitrages stellte er sowohl den Ist-Stand und damit eine Reihe von Regelungslücken als auch Handlungsoptionen des Gesetzgerbers dar. Beispielhaft seien seine Ausführungen zu aktuellen Cybercrime-Erscheinungsformen und den lückenhaften Schutz vor diesen im Kernstrafrecht kurz dargestellt:
Zunächst bezog sich Franosch auf eine Entscheidung des BVerfG aus dem Jahr 2008¹¹. Darin heißt es: „Der Einzelne kann […] Zugriffe zum Teil gar nicht wahrnehmen, jedenfalls aber nur begrenzt abwehren. Informationstechnische Systeme haben mittlerweile einen derart hohen Komplexitätsgrad erreicht, dass ein wirkungsvoller sozialer oder technischer Selbstschutz erhebliche Schwierigkeiten aufwerfen und zumindest den durchschnittlichen Nutzer überfordern kann. Ein technischer Selbstschutz kann zudem mit einem hohen Aufwand oder mit Funktionseinbußen des geschützten Systems verbunden sein. Viele Selbstschutz-möglichkeiten – etwa die Verschlüsselung oder die Verschleierung sensibler Daten – werden überdies weitgehend wirkungslos, wenn Dritten die Infiltration des Systems, auf dem die Daten abgelegt worden sind, einmal gelungen ist. Schließlich kann angesichts der Geschwindigkeit der informationstechnischen Entwicklung nicht zuverlässig prognostiziert werden, welche Möglichkeiten dem Nutzer in Zukunft verbleiben, sich technisch selbst zu schützen.“ Fransoch leitete daraus die Forderung ab, dass das Strafrecht den lückenlosen Schutz auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme sicherzustellen habe. Dieser Schutz werde im Kernstrafrecht derzeit im Wesentlichen durch die §§ 202a (Ausspähen von Daten), 303a (Datenveränderung) und 303b (Computersabotage) StGB gewährt: Das geschehe allerdings nur lückenhaft. So betreffe § 202a StGB nur das Ausspähen solcher Daten, die durch eine besondere Zugangssicherung geschützt sind. Zudem greife diese Norm nur dann, wenn der Täter unter Überwindung der Zugangssicherung handele. Datenausleitung über voreingebaute Hardwarebauteile sei von § 202a StGB jedoch nicht erfasst, da von Anfang an keine Zugangssicherung gegeben sei. Aktuelle Modi Operandi von Cybercrime-Delikten wie z.B. der Einsatz von Hardwaretrojanern oder von vorinstallierter Malware sowie die unbefugte Benutzung von Computern mittels Java-Script zum Erzeugen von Kryptowährungseinheiten würden durch die bestehenden Strafnormen nur unvollständig erfasst.
Auch mit aus seiner Sicht dringend gebotenen Gesetzesänderungen im Bereich des Strafprozessrechts setzte sich der Redner auseinander. Dabei forderte er insbesondere, den Straftatenkatalog des § 100a Abs. 2 StPO um – überwiegend noch zu schaffende – qualifizierte Begehungsweisen der §§ 202a, 202b, 202c, 202d und 303a, 303b StGB zu erweitern.
Nicht zuletzt verwies Franosch darauf, dass im Zusammenhang mit der Problematik der Flüchtigkeit von Daten die Vorgaben von Art. 16 (Umgehende Sicherung gespeicherter Computerdaten) und 17 (Umgehende Sicherung und teilweise Weitergabe von Verkehrsdaten) der Cybercrime Convention¹² zur umgehenden Sicherung von Computerdaten umzusetzen sei und das Instrument einer Sicherungsanordnung in der Strafprozessordnung verankert werden müsse.

5 Perspektiven unterschiedlicher Akteure auf das Themenfeld IT-Sicherheit in einer Gesellschaft

Diese Perspektiven beleuchteten auch weitere Referenten. Zu ihnen gehörten die Exekutivdirektorin von EUROPOL, Catherine De Bolle, der Leiter der Abteilung Zentrales Informationsmanagement des BKA, Jürgen Ebner sowie für externe Partner der Vorstand für Datenschutz, Recht und Compliance bei der Deutschen Telekom AG, Dr. Thomas Kremer, Stephan Micklitz, Director of Enginieering Google Germany gmbH und der Präsident des BSI, Arne Schönbohm.

6 Der Mensch wird auch im digitalen Zeitalter die Basis für den Erfolg bleiben“¹³

6.1 Die VUCA-Welt

Digitalisierung bedeutet Veränderung; Veränderung in einem bisher nicht gekannten Ausmaß und mit rasanter Geschwindigkeit. Die Redner im letzten Teil der Tagungsabfolge setzten sich insbesondere mit dem Managen von Veränderungsprozessen und dem Faktor Mensch¹⁴ auseinander.
Der Organisations- und Managementberater Dr. Klaus Doppler kennzeichnete zu Beginn seiner Ausführungen die aktuelle Entwicklung mit dem Begriff der sog. VUCA-Welt. Diese sei geprägt durch die Faktoren

• volatility (Volatilität), d.h. Instabilität, Flüchtigkeit,
• uncertainty (Unsicherheit),
• complexity (Komplexität) und
• ambiguity (Ambiguität), also Mehr- bzw. Doppeldeutigkeit.

Alle Menschen seien mit nicht kalkulierbaren Entwicklungen, ob technologischer, wirtschaftlicher, gesellschaftlicher und/oder politischer Natur, konfrontiert. Das Gelingen von Veränderungsprozessen sei von erfolgskritischen Faktoren abhängig, die Absolventen polizeilicher Studiengänge aus der Befassung mit Projektmanagement durchaus bekannt sein dürften:

• Abklären bzw. Festlegen der Ziele
• Ganzheitliche Projektarchitektur
• Beteiligung der Betroffenen
• Widerstands- und Konfliktmanagement
• Von der einseitigen Information zur echten Kommunikation im Dialog
• Emotionale Wetterkarte parallel zur sachlichen Entwicklung.