Von Datenschützern kommt Kritik.

Eine Einschätzung von Steffen Friis, VIPRE Security Group.

 

Die Vereinten Nationen arbeiten bekanntermaßen an einem ersten globalen Abkommen in Sachen Cyberkriminalität. Die 4. Runde der Anhörung wurde Ende der letzten Woche abgeschlossen. Der Schwerpunkt lag auf möglichen »staatlichen Reaktion auf Cyberkriminalität« und dem koordinierten Austausch von Informationen. Ziel war es, unterschiedliche Arten von Cyberverbrechen zu klassifizieren, zu kategorisieren und eine einheitliche internationale Antwort zu definieren. Eine international geregelte, juristisch gestützte Reaktion scheint angesichts der eskalierenden Cyberkriminalität das Gebot der Stunde zu sein.

 

Die wichtigsten Inhalte und ihre praktische Relevanz

Der UN-Vertrag enthält eine Reihe von Bestimmungen, die zur besseren Bekämpfung der Cyberkriminalität und zum Schutz von Bürgern wie Unternehmen dienen sollen:

 

• Bestimmte Arten von Cybervorfällen werden als kriminell eingestuft: Hier werden verschiedene Arten von Cyberkriminalität als solche definiert, darunter der illegale Zugang/Zugriff, illegales Abhören, Daten- und Systemstörungen sowie der Missbrauch von Geräten. Die Nationen, die den Vertrag ratifiziert haben, sind anschließend gefordert, solche Aktivitäten in der nationalen Gesetzgebung unter Strafe zu stellen.
• Der Vertrag sieht vor, dass die jeweiligen Länder für die Cyberstraftaten zuständig sind, die in ihrem Hoheitsgebiet begangen werden, sowie für solche, die außerhalb ihres Hoheitsgebiets begangen werden, aber eigene Staatsangehörige betreffen oder Schäden an den jeweiligen Computersystemen verursachen. Weiterhin ist hinsichtlich der Ermittlung und der Strafverfolgung gegenseitige Rechtshilfe vorgesehen. Dies verpflichtet die Länder, sich gegenseitig zu unterstützen, beispielsweise durch die Bereitstellung von Beweismitteln oder die Zustellung anhängiger Gerichtsverfahren an Verdächtige. Das soll vor allem in grenzüberschreitenden Fällen helfen.
• Der Vertrag soll zudem die gegenseitige Auslieferung von Verdächtigen erleichtern. Im Klartext heißt das, die Länder sind verpflichtet, Verdächtige an Länder auszuliefern, die ebenfalls dem Vertrag beigetreten sind. Das Ganze gilt vorbehaltlich der üblichen Auslieferungsanforderungen und der Möglichkeit, die Aufbewahrung von Daten anzuordnen, etwa um die Vernichtung potenzieller Beweismittel zu verhindern.

 

Der Vertrag könnte Unternehmen in mehrfacher Hinsicht unterstützen. Schließlich bietet er einen länderübergreifenden Rahmen, um Cyberkriminalität zu bekämpfen, einschließlich der gegenseitigen Unterstützung bei Ermittlungen und Strafverfolgung. Im besten Falle werden Cyberkriminelle für ihre Handlungen eher zur Rechenschaft gezogen und die Schäden minimiert.

Dass Daten zukünftig als Beweismittel aufbewahrt und Cyberkriminelle ausgeliefert werden können, soll kriminelle Aktivitäten im Cyberspace grundsätzlich erschweren. Dazu kommt eine gemeinsame Definition dessen, was als Cyberkriminalität gilt. Neben dem gegenseitigem Rechtshilfeabkommen auch das ein Baustein, der die Zusammenarbeit zwischen den Ländern erleichtern soll.

Die meisten Firmen sind in mehreren Ländern unternehmerisch tätig. Die können sich nun gegenseitig bei der Untersuchung und Verfolgung von Cyberkriminalität unterstützen. Zusätzlich bietet der Vertrag einen Rahmen für die engere Zusammenarbeit zwischen öffentlichem und dem privatem Sektor. Hier werden Hürden beseitigt, Informationen auszutauschen und bewährte Verfahren zu übernehmen.

 

Zuvor müssen die Länder den Vertrag allerdings noch ratifizieren und ihn nationale Gesetze gießen.

Man kann also davon ausgehen, dass die regionale Umsetzung von Land zu Land unterschiedlich ausgestaltet werden wird. Im Idealfall werden die Aktivitäten von Cyberkriminellen so zügiger aufgedeckt und untersucht sowie in mehreren Ländern strafrechtlich verfolgt, wenn die Straftaten grenzüberschreitend begangen wurden. Die Möglichkeit zur gegenseitigen Auslieferung und Datenaufbewahrung als Beweismittel vor Gericht wird das Leben von Cyberkriminellen zusätzlich erschweren.

 

Kritik kommt nicht nur von Datenschützern

Die Zahl der Hackerangriffe nimmt seit Jahren zu, und es entsteht immenser finanzieller Schaden.

Grund dafür ist unter anderem die zunehmende Professionalisierung und Kommerzialisierung der Branche. Ransomware-as-a-Service ist zu einem lukrativen Geschäftsmodell geworden. Dem gegenüber steht die Tatsache, dass selbst kleine und mittelständische Unternehmen heute massiv in Cybersicherheit investieren müssen, aber nicht selten an der Komplexität existierender Lösungen scheitern.

Strafverfolgungsbehörden gelingen wesentliche Schläge gegen die (organisierte) Cyberkriminalität. Dennoch werden immer mehr Unternehmen, Organisationen und Nutzer Opfer von irgendeiner Form von Onlinekriminalität. In diesem Licht betrachtet, gibt das UN-Abkommen positive Impulse.

 

Was die Umsetzung anbelangt, kommt nicht nur von Datenschützern zum Teil harsche Kritik und die betrifft zentrale Bereiche.

 

1. Datenschutz: Da ist zunächst der Bereich des Datenschutzes im engeren Sinne. Kritiker argumentieren, dass die Vertragsbestimmungen zur Vorratsdatenspeicherung und der Rechtshilfe dazu genutzt werden könnten, ohne ausreichende rechtliche Garantien auf personenbezogene Daten zuzugreifen und die Datenschutzgesetze zu umgehen.
2. Souveränität: Experten gehen davon aus, dass die Vertragsbestimmungen über Gerichtsbarkeit, Rechtshilfe und Auslieferung die Souveränität der Länder verletzen und dazu dienen könnten, innerstaatliche Gesetze zu umgehen.
3. Umsetzung: Wie der Vertrag in der Praxis umgesetzt werden soll, wirft etliche Fragen auf. Nicht zuletzt, wie man sicherstellen will, dass die einzelnen Länder den Vertrag tatsächlich erfüllen.
4. Beteiligung: Der Vertrag ist zwar von über 50 Ländern ratifiziert worden. Führende Nationen wie die Vereinigten Staaten, China und Russland fehlen allerdings auf der Liste. Das wird den Ermittlungs- und Strafverfolgungsanstrengungen natürliche Grenzen setzen.
5. Flexibilität: Experten haben begründete Zweifel, dass der Vertrag flexibel genug ist, um mit der sich rasch wandelnden Cyberkriminalität und dem technologischen Fortschritt mitzuhalten.

 

Ob das Abkommen dennoch wenigstens in Teilen erfolgreich sein wird, hängt von unterschiedlichen Faktoren ab, unter anderem von der Zahl und dem Einfluss der Länder, die den Vertrag ratifiziert haben.

Es wird eine nicht unwesentliche Rolle spielen, ob und inwieweit es gelingt, Fälle erfolgreich strafrechtlich zu verfolgen und die Kriminalitätsrate tatsächlich zu senken.

 

Im Idealfall sollte ein Vertrag eine Reihe von Schlüsselmerkmalen berücksichtigen. Dazu zählt eine klare Definition verschiedener Formen von Cyberkriminalität wie z. B. Hacking, Identitätsdiebstahl und Cyberspionage. Zusätzlich sollte es einen starken rechtlichen Rahmen für die Ermittlung, Strafverfolgung und Sanktionierung von Cyberkriminellen geben ebenso wie für den Schutz der Opfer.

Gleichzeitig sollte ein Abkommen wie dieses solide Bestimmungen zum Datenschutz und zur Wahrung der Privatsphäre enthalten – insbesondere, was den Schutz personenbezogener Daten anbelangt. Gleichzeitig sollte das Abkommen so transparent wie möglich sein und die Rechenschaftspflichten gewährleisten. Das betrifft die Umsetzung als solche, würde aber auch sicherstellen, dass die Bürger*innen über die Bestimmungen des Abkommens und seine Umsetzung informiert sind.

Ein internationales Abkommen zur Cyberkriminalität muss Rechte und Freiheiten der Bürger*innen schützen und gleichzeitig Cyberkriminalität wirksam und effizient bekämpfen.

Damit sämtliche Interessengruppen und Nationen an Bord sind, sollte ein Abkommen anpassungsfähig und integrativ sein sowie aktuelle und zukünftige Herausforderungen unter einen Hut bringen. Keine leichte Aufgabe.

 

Wie weit reichen Abkommen wie das der Vereinten Nationen?

Angesichts dessen, in welchem Tempo sich Technologie entwickelt und vor welchen Herausforderungen wir stehen, wird der Erfolg eines Abkommens wie dem der UN zwangsläufig limitiert sein.

Schlüsselnationen entziehen sich der Beteiligung, und insgesamt ist das Abkommen zu starr, um der dynamischen Natur von Cybersicherheit, Datenschutz und Cyberkriminalität gerecht zu werden. Ganz zu schweigen von der länderübergreifenden Durchsetzung. Schon allein deshalb, weil das Abkommen in unterschiedliche nationale Gesetzgebungen gegossen werden muss. Dies wird es erschweren, Cyberkriminelle tatsächlich zur Rechenschaft zu ziehen. Und das ist ja schließlich eines der erklärten Ziele.

Zu guter Letzt: Cyberkriminalität wird von Tag zu Tag komplexer. Eine Folge ist, dass es beispielsweise immer problematischer wird, den Ursprung von Cyberangriffen zurückzuverfolgen und bestimmten Personen oder Organisationen zuzuordnen.

Alles in allem ist die UN-Konvention ein wichtiges internationales Instrument zur Bekämpfung der Cyberkriminalität. Aber sie hat ihre Grenzen und wird kaum ausreichen, die aktuellen und zukünftigen Herausforderungen zu bewältigen. Es ist deshalb zentral, weitere internationale Abkommen, nationale Gesetze und Vorschriften sowie öffentlich-private Partnerschaften für mehr Cybersicherheit und den Kampf gegen Cyberkriminalität stärker als bisher zu nutzen.