Datenhehlerei - Der verbotene Umgang mit gestohlenen Daten

Datenhehlerei

Der verbotene Umgang mit gestohlenen Daten

Michèle Trebo
von Michèle Trebo
am 09. Juni 2022
Lesezeit: 7 Minuten

Keypoints

So gehen Sie mit Datenhehlerei um

  • Der Straftatbestand der Datenhehlerei existiert im Schweizerischen Strafgesetzbuch StGB nicht explizit
  • Allerdings gibt es einige Gesetzesartikel, die im Falle einer Datenhehlerei zur Anwendung kommen können
  • Dazu gehört beispielsweise der Diebstahl nach Art. 139 StGB
  • Weiter kann auch das unbefugte Eindringen in ein Datenverarbeitungssystem nach Art. 143 bis 182 StGB zur Anwendung kommen
  • Auch die Erpressung nach Art. 156 StGB kann relevant sein
  • Und letztendlich auch die Hehlerei nach Art. 160 StGB

Datenhehlerei ist ein Begriff der so im Schweizerischen Strafgesetzbuch StGB nicht explizit existiert, aber dennoch strafbar ist. Die Hehlerei nach Art. 160 StGB sagt aus, dass eine Sache – in diesem Fall Daten -, von denen man weiss oder annehmen muss, dass sie ein anderer durch strafbare Handlungen gegen das Vermögen erlangt hat, erwirbt, sich schenken lässt, zum Pfande nimmt, verheimlicht oder veräussern hilft, mit einer Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft wird. Handelt die Täterschaft gewerbsmässig, so wird sie mit einer Freiheitsstrafe von bis zu zehn Jahren oder einer Geldstrafe nicht unter 90 Tagessätzen bestraft. Doch was bedeutet das genau?

Bevor es überhaupt zur Datenhehlerei kommen kann, müssen die Daten vorgängig durch eine strafbare Handlung gegen das Vermögen erlangt worden sein. Dabei wird oft unbefugt in ein Datenverarbeitungssystem eingedrungen, sowie das Art. 143 bis 182 StGB unter Strafe stellt. Dabei dringt beispielsweise eine unbekannte Täterschaft, wir nennen sie die Panzerknacker, in das Datenverarbeitungssystem der Firma Duck ein und entwendet sensible Kundendaten. Nicht nur das unbefugte Eindringen in das Datenverarbeitungssystem, sondern auch das Entwenden der Daten (Diebstahls nach Art. 139 StGB) erfüllen bereits Straftatbestände.

Wie funktioniert die Datenhehlerei?

Nun sind die Panzerknacker in Besitz der Kundendaten der Firma Duck und möchten damit Geld verdienen. Sie können dies auf zwei Arten tun. Entweder sie erpressen die Firma Duck (Erpressung nach Art. 156 StGB), indem sie mit ihr Kontakt aufnehmen und für das Zurückgeben/Löschen der Daten einen bestimmten Geldbetrag verlangen oder sie bieten die Kundendaten im Web zum Verkauf an. Die Hehler, in diesem Fall die Panzerknacker, werden nach der Strafandrohung der Vortat bestraft, wenn diese milder ist. Ist die Vortat ein Antragsdelikt, so wird die Hehlerei nur verfolgt, wenn ein Antrag auf Strafverfolgung der Vortat vorliegt (Hehlerei nach Art. 160 StGB). Im Fallbeispiel entscheiden sich die Panzerknacker, die gestohlenen Kundendaten der Firma Duck auf einem Online-Marktplatz für geleakte Daten zum Verkauf anzubieten. Donald entdeckt das Angebot der Panzerknacker und möchte ebenfalls von diesen Daten profitieren. Er überweist den Panzerknackern Kryptowährung und erhält dafür die geleakten Daten der Firma Duck. Bereits durch den Kauf dieser Daten hat sich Donald der Hehlerei nach Art. 160 StGB strafbar gemacht. Würde er die Daten verkaufen, wäre auch das strafbar.

Datenhehlerei vs. Ransomware

Die Datenhehlerei ist nicht mit Ransomware zu verwechseln. Bei Ransomware erpresst die Täterschaft Lösegeld für das Freigeben eines Computers oder der Daten, die sich darauf befinden. Dabei nutzt die Täterschaft im Gegensatz zur Datenhehlerei Schadprogramme, mit deren Hilfe sie den Zugriff auf Daten, deren Nutzung oder das ganze Computersystem verhindern kann.

Schutz vor Cyberangriffen

Egal ob als Privatperson oder Unternehmen, sich über Cyberangriffe zu informieren und sich entsprechend davor zu schützen, ist in der heutigen Zeit nicht mehr wegzudenken. Wer nicht zum Opfer werden will, sollte regelmässig den Ernstfall prüfen, um Schwachstellen zu detektieren und frühzeitig beheben zu können.

Private

Privaten wird empfohlen, den Webbrowser, das Betriebssystem und Software aktuell zu halten. Ausserdem erschwert ein Virenschutz und eine Firewall einem möglichen Angreifer das Eindringen. Allgemein sollte darauf geachtet werden, ein sicheres und für jedes Log-in ein separates Passwort zu wählen. Dabei kann ein Passwortmanager unterstützen. Passwörter sollten mindestens zehn Zeichen lang sein, Gross- und Kleinschreibung, Zahlen und Sonderzeichen enthalten. Zudem wird davon abgeraten, Passwörter zu wählen, die mit dem Benutzter in Verbindung stehen oder tatsächliche Wörter enthalten. Weiter kann die Sicherheit bez. Log-in verbessert werden, indem man sich wo möglich für eine Zwei-Faktor-Authentisierung entscheidet. Bevor eine Email oder dessen Anhang geöffnet wird, ist es wichtig, sich zu überlegen, was dahinterstecken könnte. Auch Downloads sollten wohl überlegt sein. Zusätzlich sollte darauf geachtet werden, stets eine verschlüsselte Internetverbindung zu verwenden (HTTPS).

Unternehmen

Unternehmen wird empfohlen, das Sicherheitsmodell in regelmässigen Abständen zu überprüfen oder überprüfen zu lassen. Dabei können Security-Assessments, Penetration-Tests usw. Aufschluss über mögliche Schwachstellen geben. Wichtig ist es auch, Mitarbeiterinnen und Mitarbeiter auf mögliche Cyberangriffe zu sensibilisieren und den Umgang mit der Infrastruktur zu schulen. Ein Notfallkonzept für den Ernstfall kann helfen, zeitnah richtig reagieren zu können. Weiter sind externe Daten-Back-ups sowie ein sicherer Datenaustausch Möglichkeiten, Cyberangriffen entgegenzuwirken.

Verhalten im Ernstfall

Wie verhalten Sie sich, wenn Sie trotz aller Vorsichtsmassnahmen Opfer von Datenhehlerei werden? Zuerst ist zu prüfen, wie hoch die Wahrscheinlichkeit ist, dass die Täterschaft tatsächlich in Besitz Ihrer Daten ist. Möglicherweise möchte sie nur an Geld kommen und die tatsächlichen Daten liegen gar nicht vor. Dabei kann beispielsweise bei der Täterschaft nach einem Beispieldatensatz gefragt werden. Sollte die Möglichkeit bestehen, dass die Täterschaft die echten Daten hat, so sollten entsprechende Massnahmen eingeleiten werden. Vom Begleichen des geforderten Geldbetrages wird abgeraten. Denn ob die Täterschaft die geleakten Daten anschliessend nicht weiterverkauft oder löscht, ist nicht garantiert. In diesem Fall wird empfohlen, sich an Spezialisten zu wenden.

Zusammenfassung

Cyberangriffe sind mittlerweile Alltag und sollten nicht ausser Acht gelassen werden. Mit einfachen Tricks kann man solchen vorbeugen und nicht nur sich, sondern auch das Unternehmen schützen. Besonders im Ernstfall wie der Datenhehlerei sollte man richtig reagieren und gewappnet sein. Die Datenhehlerei existiert nicht explizit im Schweizerischen Strafgesetzbuch StGB. Dennoch ist sie strafbar und es können mehrere Straftatbestände erfüllt sein. Dabei können beispielsweise der Diebstahl nach Art. 139 StGB, das unbefugte Eindringen in ein Datenverarbeitungssystem nach Art. 143 bis 182 StGB, die Erpressung nach Art. 156 StGB sowie die Hehlerei nach Art. 160 StGB zur Anwendung kommen. Sollten Sie sich nicht sicher sein, ob Sie genügend geschützt sind oder Opfer eines Cyberangriffes geworden sein, unterstützen wir Sie gerne.

Über die Autorin

Michèle Trebo

Michèle Trebo hat einen Bachelor in Informatik an der ZHAW abgeschlossen und war sechs Jahre lang als Polizistin, unter anderem zur Aufklärung und Auswertung von Cybercrime, tätig. Sie zeichnet sich im Bereich Forschung für kriminalistische Themen wie Darknet, Cyber Threat Intelligence, Ermittlungen und Forensik verantwortlich. (ORCID 0000-0002-6968-8785)

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Russland-Ukraine-Konflikt

Russland-Ukraine-Konflikt

Michèle Trebo

Cyber-Terrorismus

Cyber-Terrorismus

Michèle Trebo

Siegelung im Strafprozess

Siegelung im Strafprozess

Michèle Trebo

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv