Hacker haben in Österreich wenig Grund zum Fürchten
Geringe Strafen und eine niedrige Aufklärungsrate: Wer in fremde Computersysteme einbricht, muss kaum mit strafrechtlichen Folgen rechnen. Unternehmen, Private und Parteien müssen sich selbst vor Angreifern schützen.
Bisher kannte man Cyberattacken auf Politiker und Prominente nur aus dem Ausland, wir erinnern uns an den Skandal, als ein 20-Jähriger Daten von Mitgliedern des Deutschen Bundestags gehackt und veröffentlicht hatte. Mit dem jüngsten mutmaßlichen Hackerangriff auf die ÖVP ist diese Art von Cybercrime nun auch in Österreich in der Öffentlichkeit angekommen. Die Rechtslage dazu ist wenig befriedigend.
Generell unterscheidet das österreichische Strafrecht bei Angriffen auf fremde Computernetzwerke deutlich, ob dadurch Menschen in ihren Vermögen, in ihrer kaufmännischen Ehre oder in ihrer Geschlechtssphäre angegriffen werden oder ob sich der Angriff gegen „bloße“Persönlichkeitsrechte ohne Berührung der Geschlechtssphäre und ohne greifbaren wirtschaftlichen Schaden für den Betroffenen richtet.
Tatsächlich werden in Österreich Angriffe gegen „bloße“Persönlichkeitsrechte und die Ehre sowohl in der analogen als auch in der digitalen Welt nur gering bestraft: „Widerrechtliche Zugriffe auf ein Computersystem“im Sinne von § 118 a StGB oder – beim Zugriff auf E-Mails und dergleichen – eine „Verletzung des Telekommunikationsgeheimnisses“im Sinne von § 119 StGB führen lediglich zu einer Strafdrohung von bis zu sechs Monaten Freiheitsstrafe oder 360 Tagessätzen Geldstrafe.
Die anschließende Veröffentlichung der widerrechtlich erlangten Daten ist gesondert nur dann strafrechtlich erfasst, wenn dadurch gleichzeitig ein anderes Delikt begangen wird. Etwas höhere Strafen (Freiheitsstrafen bis zu fünf Jahren) drohen dann, wenn durch den Angriff nicht nur Daten „abgesaugt“, sondern diese oder das angegriffene Computersystem außerdem auch noch beschädigt werden.
Zu einer strengeren Strafe kommt es erst, wenn durch den Angriff auf ein fremdes Computersystem das Opfer in seinem Vermögen geschädigt und der Täter bereichert wird; dann gelten bei entsprechender Schadenshöhe mit einer Höchstfreiheitsstrafe von zehn Jahren die gleichen Strafdrohungen wie für den „gewöhnlichen“, analog begangenen Betrug (§ 148 a StGB).
Wenn keine Daten beschädigt werden
Im österreichischen Strafrecht gilt seit über 100 Jahren: Angriffe gegen die Privatsphäre oder gegen das Interesse des Opfers auf die Wahrung eigener „Geheimnisse“werden weniger streng sanktioniert als Angriffe auf das unmittelbare Vermögen. Daher müssen die Täter, wenn ein Angriff auf einen Computer unternommen wird, bei dem weder Daten beschädigt werden, noch das Opfer „betrogen“wird, in Österreich nur mit sehr geringen Strafen rechnen.
Ein zentrales Problem bei der Verfolgung von Cybercrime ist auch der Umstand, dass Cyberkriminalität sehr oft grenzüberschreitend stattfindet, während die klassische Strafverfolgung innerhalb der Grenzen der einzelnen Staaten passiert. Durch die geringen Strafen im Bereich des bloßen „Datensammelns“ kommt es zudem dazu, dass fremde Staaten regelmäßig wenig Ambition zeigen, Rechtshilfeersuchen zu unterstützen. Das Strafrecht ist also nicht dafür geeignet, aus dem Ausland operierende Hacker vom „Sammeln von Daten“und der nachfolgenden Weitergabe abzuhalten.
Das geltende Strafrecht geht also klar an der Realität der zunehmenden Digitalisierung vorbei, hier sind der europäische wie auch der nationale Gesetzgeber gefragt!
Doch ist eine härtere Bestrafung eine wirksame Bekämpfung, und vor allem hat es eine ausreichende Präventivwirkung? In den letzten Jahren wurden knapp 20.000 Straftaten im Bereich der Internetkriminalität polizeilich verfolgt; die Aufklärungsquote liegt hier laut polizeilicher Kriminalstatistik 2018 bei beachtlichen 32,1 Prozent. Der Fokus der Polizeiarbeit liegt dabei allerdings in der Bekämpfung von Kinderpornografie oder Internetbetruges, in diesen Bereichen werden auch die größten Aufklärungserfolge erzielt. 2018 gab es 180 Verurteilungen wegen betrügerischen Datenverarbeitungsmissbrauchs und nur zwei Verurteilungen wegen widerrechtlichen Zugangs auf ein Computersystem.
Bei Angriffen, die auf eine „bloße“Datenbeschaffung gerichtet sind, trifft somit eine niedrige Strafdrohung auf eine niedrige Wahrscheinlichkeit, wegen dieses Deliktes tatsächlich verurteilt zu werden: Man wird also fast nie erwischt, und falls doch, dann passiert nichts.
Warum Zahl der Cyberattacken steigt
Wieso steigt nun die Anzahl von Cyberattacken immer weiter, und wie kann jeder Einzelne sich schützen? Generell beeinflussen strenge Gesetze und die Erwartungshaltung, dass eine Gesetzesverletzung eine entsprechende Sanktion nach sich ziehen wird, das Verhalten von Menschen. Die strengen Strafen bei Raub verbunden mit hohen Aufklärungsquoten und strengen Gerichtsurteilen schaffen somit ein Klima, in dem man bedenkenlos mit einer teuren Uhr am Handgelenk über die Wiener Kärntnerstraße spazieren kann. In gefährlichen Teilen von Großstädten, in welchen die Aufklärungsquoten sehr gering sind, kann man dieses Vertrauen nicht haben – hier muss jeder Einzelne sich selbst durch Prävention vor Schaden schützen.
Dies gilt gleichermaßen für die Datensicherheit – niedrige Strafdrohungen verbunden mit geringen Aufklärungsquoten und einer sehr geringen Zahl von Verurteilungen schaffen ein Klima, in dem die Täter wissen, dass sie staatliche Verfolgungsmaßnahmen kaum zu befürchten haben. Hier ist somit jeder Einzelne – und somit auch Parteien und Personen des öffentlichen Lebens – berufen, sich durch entsprechende Sicherheitsmaßnahmen selbst vor potenziellen Angriffen zu schützen.
MARTIN GÄRTNER ist Partner bei Scherbaum Seebacher Rechtsanwälte und Experte für Wirtschaftsstrafrecht. gaertner.martin@scherbaumseebacher.at