IT-Strafrecht und Hacks: Jede neue Angriffsmethode stellt das Strafrecht auf die Probe

Im Gespräch mit Dr. Eren Basar

Matti Müller: Im Rahmen des 9. Deutschen IT-Rechtstages halten Sie einen Vortrag zu dem Thema „Das Mandat im IT-Strafrecht“. Sie arbeiten als Anwalt im Bereich des Strafrechts und besitzen die Zertifizierung CIPP/E (Certified Information Privacy Professional/Europe). Was macht das Zusammenspiel von Strafrecht und IT-Recht für Sie persönlich so interessant?

Dr. Eren Basar: Im Strafrecht stehen die Beschuldigten häufig mit dem Rücken an der Wand. Wenn sie mit ihrem Fall zu mir kommen, sind sie fast immer schon mit der gesamten Macht der Ermittlungsbehörden konfrontiert. Da bleibt dann oftmals wenig Raum für Differenzierungen, es geht direkt in die Offensive.
Das IT-Recht dagegen lebt von Differenzierungen. Für die rechtliche Einordnung kommt es so gut wie immer darauf an, nicht nur die rechtlichen Aspekte, sondern auch den technischen Vorgang richtig zu verstehen. Kleinigkeiten können einen großen Unterschied machen.
Außerdem treffen hier zwei sehr unterschiedliche Rechtsgebiete aufeinander: das eher schwerfällige Strafrecht, das die Vergangenheit bewertet, und das IT-Recht, das aufgrund der rasanten technischen Entwicklungen den Moment und die Zukunft gestalten soll.

Matti Müller: Wann haben Sie sich dazu entschieden, im Bereich des IT-Rechts zu arbeiten? Und wie kam es dazu?

Dr. Eren Basar: Auf die Idee, mich an dieser Schnittstelle des Strafrechts zu spezialisieren, hat mich ehrlich gesagt mein Mentor gebracht, der der Auffassung war (und ist), dass die Zukunft der anwaltlichen Beratung im Wirtschaftsstrafrecht in der Kombination mit sogenannten Nebengebieten liegt. Schon die ersten Fälle, damals noch in überschaubarer Anzahl, machten deutlich, dass viele Fragen rechtlich ungeklärt waren und die Technik das Recht viel schneller herausforderte, als der Gesetzgeber Schritt halten konnte. Die Beratung im IT-Strafrecht erforderte daher zum Teil besonders kreative Ansätze – das hat mir gut gefallen.

Matti Müller: Welche Delikte sind im Bereich des IT-Strafrechts besonders relevant? Welche Entwicklungen in der Praxis sind hier erkennbar und worin sind sie begründet?

Dr. Eren Basar: In der Ermittlungsarbeit sicherlich Computersabotage (§ 303b StGB) und das Ausspähen von Daten (§ 202a StGB) wegen der Verfolgung von Cyberakttacken bzw. Hacks. Ich würde sagen, dass der Straftatbestand der Datenveränderung (§303a StGB) ebenfalls wichtig ist, wenngleich dessen Bedeutung dadurch etwas zurückbleibt, dass in vielen Fällen offenbleibt, wem die Daten eigentlich gehören. Im Alltag der Unternehmen nimmt § 23 Geschäftsgeheimnisgesetz (früher 17 UWG) eine unverändert wichtige Rolle ein, nicht zuletzt, weil die Reform 2019 zum Schutz von Know-how „angemessene Geheimhaltungsmaßnahmen“ fordert, die auch im Bereich der technischen Zugangssicherung liegen können.
Zunehmend wird aus meiner Sicht auch die strafbare Verwendung personenbezogener Daten eine stärkere Rolle spielen. Momentan steht § 42 BDSG allerdings nicht im Vordergrund, weil er durch das Bußgeldrecht sozusagen verdrängt wird. Das hängt allerdings damit zusammen, dass die Strafvorschrift nur wenigen bekannt und zudem auch noch ein absolutes Antragsdelikt ist. Ich gehe davon aus, dass das auf Dauer nicht so bleiben wird. Vorschläge zur Reform wurden bereits in der letzten Wahlperiode diskutiert.

Matti Müller: Was sind Aspekte des IT-Strafrechts in der anwaltlichen Praxis, durch die sich dieses Rechtsgebiet von anderen Rechtsgebieten unterscheidet?

Dr. Eren Basar: Es ist sicherlich kein Gebiet, in dem man sich auf seiner eigenen mentalen Festplatte ausruhen kann. Man sollte jedenfalls nicht glauben, dass man nach einer bestimmten Zeit alle Fallkonstellationen gesehen hat. Jeder von mir beratene Fall hatte bislang etwas Neues.

Matti Müller: Das IT-Strafrecht ist sicherlich von seiner Aktualität geprägt. Inwiefern haben aktuelle technische Entwicklungen einen Bezug auf Entwicklungen im Bereich des IT-Strafrechts? Und können Sie uns einige Beispiele geben?

Dr. Eren Basar: Das Strafrecht ist nach seinem klassischen Verständnis immer ein reaktives Instrument, das aufgrund seiner Eingriffsintensität als schärfstes Schwert des Staates verfassungsrechtlich verbürgten Grundsätzen unterliegt, wie u. a. das aus dem Bestimmtheitsgrundsatz resultierende Analogieverbot. Darin liegt für ein dynamisches Gebiet wie das IT-Recht ein Problem: Technikoffenheit – wie sie z. B. in der DSGVO angelegt ist – ist vor diesem Hintergrund nur eingeschränkt erreichbar.
Ein Beispiel: Der nun schon zum dritten Mal angestoßene Debatte über die Einführung eines neuen Straftatbestands des digitalen Hausfriedensbruchs (§ 202e StGB) liegt ein BGH-Beschluss zugrunde, in dem eine Beschuldigte freigesprochen wurde, weil die Ermittler die genauen Umstände der Infiltration in das System nicht nachweisen konnten. Für die Strafbarkeit nach § 202a StGB reicht die Infiltration für sich genommen nämlich nicht. Der Fall konnte daher nicht mit einer Analogie geschlossen werden. So gesehen stellt jede (neue) Angriffsmethode das Strafrecht auf die Probe. Und jede neue technische Entwicklung fordert das IT-Strafrecht heraus.

Matti Müller: Inwiefern ist das deutsche Rechtssystem ausreichend ausgestaltet, um auch neue Probleme des IT-Strafrechts lückenlos zu erfassen? Auch dahingehend betrachtet, dass in einer globalisierten Welt sicherlich oftmals das Problem der grenzüberschreitenden Tatbegehung hinzukommt.

Dr. Eren Basar: Das Strafrecht wird – jedenfalls in freien Gesellschaften – immer nur fragmentarisch sein können. Das Steuerungspotential des Strafrechts liegt in der Abschreckungswirkung. Das funktioniert aber nur, wenn die Regeln klar definiert sind. Eine lückenlose Erfassung aller Probleme im Strafrecht halte ich für gar nicht erstrebenswert.

Richtig ist aber, dass das IT-Strafrecht reformiert werden muss, um eine ausreichende Basis für die mit dem Strafrecht verbundene Abschreckungswirkung entfalten zu können. Es ist jedenfalls auffällig, dass das Strafrecht dem Schutz der IT weniger Gewicht beimisst als anderen Bereichen. So fehlt es bei den Straftatbeständen fast durchgängig an sogenannten Regelbeispielen, die für besonders gefährliche Varianten höhere Strafrahmen vorsehen. Bei § 42 BDSG wäre eine Überführung ins Kernstrafrecht angezeigt.

Hinsichtlich der Tatortbegehung ist das IT-Strafrecht gar nicht so schlecht aufgestellt, wie es allgemein angenommen wird. Der Gesetzgeber hat hierzu 2020 auch nachgebessert. Problematischer ist hier die Rechtsdurchsetzung bei Tätern, die im außereuropäischen Ausland leben. Das ist aber kein spezifisches Problem des IT-Strafrechts.

Matti Müller: Im Zuge des Krieges, den Russland gegen die Ukraine führt, ist auch eine Gefahr hinsichtlich des Cyberhackings entstanden. Welche Rolle spielt das IT-Strafrecht, um solchen Gefahren von außerhalb entgegenzuwirken?

Dr. Eren Basar: Das Strafrecht kann aus meiner Sicht generell nur wenig zur Gefahrenabwehr beitragen. Das, was wir uns seit der Aufklärung vom Strafrecht erhoffen, nämlich Prävention durch Abschreckung, dürfte in Kriegssituationen leerlaufen. Keine Strafnorm wird dazu führen, den Angriff eines anderen Staates abzuwehren.

Hinsichtlich der Cyberattacken steht aktuell die Debatte um die sogenannten „Hackbacks“ im Raum, darunter versteht man einen digitalen Gegenangriff für den Fall einer Cyberattacke, in dem der Angreifer selbst angegriffen wird. Die Diskussion über „Hackbacks“ wird allerdings schon seit 2017 geführt. Auslöser waren Cyberangriffe auf Datennetze des Bundes. Auch wenn das Grundanliegen verständlich ist, ist für mich zweifelhaft, ob die Regelung solcher Eingriffsbefugnisse sinnvoll ist. Immerhin würde der Staat die Befugnis erhalten die IT–Integrität vermeintlicher Angreifer zu destabilisieren.

Als Strafverteidiger weiß ich, dass auch gut gemeinte staatliche Ermittlungsarbeit nicht unbedingt zum richtigen Ergebnis führen muss.

Die rechtliche Implementierung von „Hackbacks“ im Generellen wird nicht zur Stärkung der privaten IT-Sicherheit führen. Insofern bleibe ich skeptisch.

Matti Müller: Vielen Dank für das Interview.