Datenhehlerei - Lücke im Schweizerischen Strafgesetz?

Datenhehlerei

Lücke im Schweizerischen Strafgesetz?

Michèle Trebo
von Michèle Trebo
am 09. Juni 2022
Lesezeit: 10 Minuten

Keypoints

Diese Taten sind in Zusammenhang mit Ihren Daten strafbar.

  • Der Straftatbestand der Datenhehlerei existiert im Schweizerischen Strafgesetzbuch StGB nicht
  • Allerdings sind die Vor- und Nachtaten, die meist mit der Datenhehlerei einhergehen, strafbar
  • Dabei ist zu beachten, dass Daten nach Art. 461 ff. ZGB keine Sachen sind
  • Zu den strafbaren Vor- und Nachtaten gehören die unbefugte Datenbeschaffung (Pendant zum Diebstahl), die Datenbeschädigung (Pendant zur Sachbeschädigung) und das unbefugte Eindringen in ein Datenverarbeitungssystem (Pendant zum Hausfriedensbruch)
  • Weiter können der betrügerische Missbrauch einer Datenverarbeitungsanlage bei Vermögensverschiebung, die Erpressung oder die Nötigung (Liste nicht abschliessend) zur Anwendung kommen

Datenhehlerei ist ein Begriff der so im Schweizerischen Strafgesetzbuch StGB nicht existiert und somit keine strafrechtlichen Konsequenzen nach sich zieht. Die Vor- und Nachtaten, die meist mit der Datenhehlerei einhergehen, sind jedoch strafbar. Im Schweizerischen Strafgesetzbuch kommt im Falle eines Verkaufs von fremden Daten die Hehlerei (Art. 160 StGB) nicht zur Anwendung. Doch warum ist das so?

Daten sind keine Sachen

Die Hehlerei nach Art. 160 StGB sagt aus, dass eine Sache, von der man weiss oder annehmen muss, dass sie ein anderer durch strafbare Handlungen gegen das Vermögen erlangt hat, erwirbt, sich schenken lässt, zum Pfande nimmt, verheimlicht oder veräussern hilft, bestraft wird. Obwohl man aufgrund des Begriffs annehmen könnte, dass die Hehlerei (Art. 160 StGB) beim Verkauf von fremden Daten zur Anwendung kommt, ist diese Annahme nach Abklärungen bei Zürcher Staatsanwälten nicht korrekt. Grund dafür liefert das Schweizerische Zivilgesetzbuch ZGB. Im Sinne von Art. 641 ff. ZGB ist eine Sache ein Gegenstand, der abgrenzbar, körperlich und beherrschbar ist. Da an Daten kein Eigentumsrecht besteht, sind sie keine Sachen. Dies zieht sich vom vertrags-, straf-, datenschutz- und urheberrechtlichen bis zum lauterkeitsrechtlichen Schutz. Zu klären bleibt aber, ob dieser Schutz den Anforderungen der digitalen Gesellschaft genügt. Die Sachenrechtsbestimmungen sind für den Datenschutz aber nicht geeignet (Fröhlich, Eigentum an Daten?, 2017). Dieselbe Problematik weisen auch der Diebstahl nach Art. 139 StGB, die Sachbeschädigung nach Art. 144 StGB und der Hausfriedensbruch nach Art. 186 StGB auf. All diese Delikte setzen eine Sache voraus. Allerdings wurde mit Art. 143 StGB (unbefugte Datenbeschaffung) ein Pendant zum Diebstahl (Art. 139 StGB), mit Art. 144 bis StGB (Datenbeschädigung) ein Pendant zur Sachbeschädigung (Art. 144 StGB) und mit Art. 143 bis 184 StGB (unbefugtes Eindringen in ein Datenverarbeitungssystem) ein Pendant zum Hausfriedensbruch für die virtuelle Welt und damit für Daten geschaffen.

Anwendbare Straftatbestände

Doch obwohl die Datenhehlerei selbst nicht strafbar ist, sind viele der Vor- und Nachtaten rechtswidrig. Die unbefugte Datenbeschaffung nach Art. 143 sagt aus, dass wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, sich oder einem andern elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten beschafft, die nicht für ihn bestimmt und gegen seinen unbefugten Zugriff besonders gesichert sind, bestraft wird. Weiter kann auch das unbefugte Eindringen in ein Datenverarbeitungssystem nach Art. 143 bis 184 StGB bestraft werden. Absatz 1 beschreibt, dass wer auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt, auf Antrag bestraft wird. Absatz 2 erläutert weiter, dass wer Passwörter, Programme oder andere Daten, von denen er weiss oder annehmen muss, dass sie zur Begehung einer strafbaren Handlung gemäss Absatz 1 verwendet werden sollen, in Verkehr bringt oder zugänglich macht, bestraft wird. Eine Datenbeschädigung nach Art. 144 bis StGB liegt nach Ziffer 1 vor, wenn jemand unbefugt elektronisch oder in vergleichbarer Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht. Sie wird auf Antrag bestraft. Hat der Täter einen grossen Schaden verursacht, so wird die Tat von Amtes wegen verfolgt. Ziffer 2 führt aus, dass wer Programme, von denen er weiss oder annehmen muss, dass sie zu den in Ziffer 1 genannten Zwecken verwendet werden sollen, herstellt, einführt, in Verkehr bringt, anpreist, anbietet oder sonst wie zugänglich macht oder zu ihrer Herstellung Anleitung gibt, bestraft wird. Der betrügerische Missbrauch einer Datenverarbeitungsanlage nach Art. 147 StGB bei Vermögensverschiebung erklärt, dass wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige, unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt oder eine Vermögensverschiebung unmittelbar darnach verdeckt bestraft wird. Der betrügerische Missbrauch einer Datenverarbeitungsanlage zum Nachteil eines Angehörigen oder Familiengenossen wird nur auf Antrag verfolgt. Da in diesen Gesetzesartikeln explizit Daten gemeint sind, sind sie anwendbar. Auch die Erpressung nach Art. 156 StGB und die Nötigung nach Art. 181 StGB sind anwendbar, da sie weder Sachen noch Daten voraussetzen. Diese Liste der Nachtaten ist nicht abschliessend. Für ein besseres Verständnis wird die Sachlage anhand eines konkreten Beispiels verdeutlicht.

Beispiel – die Panzerknacker

Eine unbekannte Täterschaft, wir nennen sie die Panzerknacker, dringt in das Datenverarbeitungssystem der Firma Duck ein und entwendet dabei sensible Kundendaten. Die Panzerknacker haben sich bereits jetzt nicht nur des unbefugten Eindringens in das Datenverarbeitungssystem (Art. 143 bis 184 StGB) der Firma Duck strafbar gemacht, sondern auch der unbefugten Datenbeschaffung (Art. 143 StGB). Nun sind die Panzerknacker in Besitz der Kundendaten der Firma Duck und möchten Profit schlagen. Sie können dies auf verschiedene Arten tun. Entweder sie erpressen die Firma Duck (Erpressung nach Art. 156 StGB), indem sie mit ihr Kontakt aufnehmen und für das Zurückgeben/Löschen der Daten einen bestimmten Geldbetrag verlangen oder sie bieten die Kundendaten im Web zum Verkauf an (Möglichkeiten nicht abschliessend). Im Fallbeispiel entscheiden sich die Panzerknacker, die gestohlenen Kundendaten der Firma Duck auf einem Online-Marktplatz für geleakte Daten zum Verkauf anzubieten. Donald entdeckt das Angebot der Panzerknacker und möchte ebenfalls von diesen Daten profitieren. Er überweist den Panzerknackern Kryptowährung und erhält dafür die geleakten Daten der Firma Duck. Die Panzerknacker haben sich beim Verkauf der geleakten Daten nach Schweizerischem Strafgesetzbuch nicht strafbar gemacht. Auch Donald hat die geleakten Daten legal erworben. Da die zum Kauf angebotenen Daten nicht besonders vor Zugriff geschützt sind, greift hier auch die unbefugte Datenbeschaffung (Art. 143 StGB) nicht. Hätten sich die Panzerknacker aber dazu entschieden, die Firma Duck zu erpressen, hätten sie sich nach Art. 156 StGB strafbar gemacht.

Datenhehlerei vs. Ransomware

Die Datenhehlerei ist nicht mit Ransomware zu verwechseln. Bei Ransomware erpresst die Täterschaft Lösegeld für das Freigeben eines Computers oder der Daten, die sich darauf befinden. Dabei nutzt die Täterschaft im Gegensatz zur Datenhehlerei Schadprogramme, mit deren Hilfe sie den Zugriff auf Daten, deren Nutzung oder das ganze Computersystem verhindern kann.

Schutz vor Cyberangriffen

Egal ob als Privatperson oder Unternehmen, sich über Cyberangriffe zu informieren und sich entsprechend davor zu schützen, ist in der heutigen Zeit nicht mehr wegzudenken. Wer nicht zum Opfer werden will, sollte regelmässig den Ernstfall prüfen, um Schwachstellen zu detektieren und frühzeitig beheben zu können.

Private

Privaten wird empfohlen, den Webbrowser, das Betriebssystem und Software aktuell zu halten. Ausserdem erschweren ein Virenschutz und eine Firewall einem möglichen Angreifer das Eindringen. Allgemein sollte darauf geachtet werden, ein sicheres und für jedes Login ein separates Passwort zu wählen. Dabei kann ein Passwortmanager unterstützen. Passwörter sollten mindestens zehn Zeichen lang sein, Gross- und Kleinschreibung, Zahlen und Sonderzeichen enthalten. Zudem wird davon abgeraten, Passwörter zu wählen, die mit dem Benutzter in Verbindung stehen oder tatsächliche Wörter enthalten. Weiter kann die Sicherheit weiter erhöht werden, indem man sich wo möglich für eine Zwei-Faktor-Authentisierung entscheidet. Bevor eine Email oder deren Anhang geöffnet wird, ist es wichtig, diese auf Plausibilität und Sinnhaftigkeit zu prüfen. Auch Downloads sollten wohl überlegt sein. Zusätzlich sollte darauf geachtet werden, stets eine verschlüsselte Internetverbindung zu verwenden (HTTPS).

Unternehmen

Unternehmen wird empfohlen, das Sicherheitsmodell in regelmässigen Abständen zu überprüfen oder überprüfen zu lassen. Dabei können Security-Assessments, Penetration-Tests usw. Aufschluss über mögliche Schwachstellen geben. Wichtig ist es auch, Mitarbeiter für mögliche Cyberangriffe zu sensibilisieren und im Umgang mit der Infrastruktur zu schulen. Ein Notfallkonzept für den Ernstfall kann helfen, zeitnah richtig reagieren zu können. Weiter sind externe Backups von Daten sowie ein sicherer Datenaustausch Möglichkeiten, Cyberangriffen entgegenzuwirken.

Verhalten im Ernstfall

Wie verhalten Sie sich, wenn Sie trotz aller Vorsichtsmassnahmen angegriffen werden? Zuerst ist zu prüfen, wie hoch die Wahrscheinlichkeit ist, dass die Täterschaft tatsächlich im Besitz Ihrer Daten ist. Möglicherweise möchte sie nur an Geld kommen und die tatsächlichen Daten liegen gar nicht vor. Dabei kann beispielsweise bei der Täterschaft nach einem Beispieldatensatz gefragt werden. Sollte die Möglichkeit bestehen, dass die Täterschaft die echten Daten hat, so sollten entsprechende Massnahmen eingeleitet werden. Vom Begleichen des geforderten Geldbetrages wird abgeraten. Denn ob die Täterschaft die geleakten Daten anschliessend nicht trotzdem weiterverkauft oder löscht, ist nicht garantiert. In diesem Fall wird empfohlen, sich an Spezialisten zu wenden.

Zusammenfassung

Cyberangriffe sind weitverbreitet und kommen täglich vor. Entsprechend ist eine Thematisierung und Notfallplanung von grosser Wichtigkeit. Es kann jeden treffen und dies jederzeit. Mit einfachen Tricks kann man solchen vorbeugen und nicht nur sich, sondern auch das Unternehmen schützen. Besonders im Ernstfall sollte man richtig reagieren und gewappnet sein. Die Datenhehlerei existiert im Schweizerischen Strafgesetzbuch StGB nicht. Dennoch sind viele ihrer Vor- und Nachtaten strafbar und es können je nach Vorgehen der Täterschaft mehrere Straftatbestände erfüllt sein. Dabei können beispielsweise die unbefugte Datenbeschaffung nach Art. 143, das unbefugte Eindringen in ein Datenverarbeitungssystem nach Art. 143 bis 184 StGB oder weiterführend, die Datenbeschädigung nach Art. 144 bis StGB, der betrügerische Missbrauch einer Datenverarbeitungsanlage nach Art. 147 StGB, die Erpressung nach Art. 156 StGB oder die Nötigung nach Art. 181 StGB (Liste nicht abschliessend) zur Anwendung kommen. Sollten Sie sich nicht sicher sein, ob Sie genügend geschützt oder Opfer eines Cyberangriffes geworden sind, unterstützen wir Sie gerne.

Über die Autorin

Michèle Trebo

Michèle Trebo hat einen Bachelor in Informatik an der ZHAW abgeschlossen und war sechs Jahre lang als Polizistin, unter anderem zur Aufklärung und Auswertung von Cybercrime, tätig. Sie zeichnet sich im Bereich Forschung für kriminalistische Themen wie Darknet, Cyber Threat Intelligence, Ermittlungen und Forensik verantwortlich. (ORCID 0000-0002-6968-8785)

Links

Sie wollen die Sicherheit Ihrer Firewall prüfen?

Unsere Spezialisten kontaktieren Sie gern!

×
Von der Krise zur Chance

Von der Krise zur Chance

Michèle Trebo

Open Source Intelligence Investigation

Open Source Intelligence Investigation

Michèle Trebo

Chatbot-Scams

Chatbot-Scams

Michèle Trebo

IT-Forensik

IT-Forensik

Michèle Trebo

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv