Aktuell: Hacken und die Strafbarkeit

Aus aktuellem Anlass und einer Diskussion mit meinen Jugendlichen zum Thema Hacken möchte ich das Thema der letzten Tage einmal aufgreifen. Es geht um das Thema “Hacken”, welches wird zunächst einmal genauer geleuchten müssen. Wie meinen Kursteilnehmern versprochen, werde ich großteils auf Paragraphen verzichten. 

Hacken – Was ist “hacken”?

Unter “Hacken” versteht man das Eindringen in eigene oder fremde Systeme ohne Einwilligung des Betroffenen mittels Überwindung von Sicherungsmethoden

Es gibt verschiedenste Methoden (z.B. Brute-Force, DDOS, Social Engineering) die im Zusammenhang mit einem Angriff auf ein System gesehen werden können. Dazu kommen verschiedenste Angriffsvektoren, die genutzt werden können, um Sicherheitsmechanismen zu überwinden.

Eindringen und verbreiten privater Daten 

Wer so, wie im aktuellen Fall, in den höchstpersönlichen Lebensbereich eingreift ohne dass eine Einwilligung des Betroffenen vorliegt oder auch nur hilft oder an der Verbreitung durch Überwindung von Sicherheitssystemen mitwirkt haftet hierfür. 

Es ist straf- und zivilrechtlich unzulässig.

Eine Strafbarkeit könnte beim “Hacken” nach folgenden Paragraphen des Strafgesetzbuches geahndet werden:

  • Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen (§ 201a StGB)
    (bis zu 2 Jahren Freiheitsstrafe oder Geldstrafe)
  • Verletzung der Vertraulichkeit des Wortes (§ 201 StGB)
    ( Abs. 1 bis zu 3 Jahren Freiheitsstrafe oder Geldstrafe /
    Abs. 3: Amtsträger (bis zu 5 Jahren Freiheitsstrafe oder Geldstrafe)
  • Verletzung des Briefgeheimnisses (§ 202 StGB)
    (bis zu 1 Jahren Freiheitsstrafe oder Geldstrafe)
  • Ausspähen von Daten (§ 202a StGB)
    (bis zu 3 Jahren Freiheitsstrafe oder Geldstrafe)
  • Abfangen von Daten (§ 202b StGB)
    (bis zu 2 Jahren Freiheitsstrafe oder Geldstrafe)
  • Vorbereiten des Ausspähens und Abfangens von Daten (§ 202c StGB)
    (bis zu 2 Jahren Freiheitsstrafe oder Geldstrafe)
  • Datenhehlerei (§ 202d)
    (bis zu 3 Jahren Freiheitsstrafe oder Geldstrafe)
  • Verletzung von Privatgeheimnissen (§ 203)
    (bis zu 1 Jahren Freiheitsstrafe oder Geldstrafe / Abs. 6 2 Jahre oder Geldstrafe)
  • Verletzung des Post- und Fernmeldegeheimnisses (§ 206)
    (bis zu 5 Jahren Freiheitsstrafe oder Geldstrafe)
  • Straftatbestände der Computersabotage (§ 303b StGB)
    (bis zu 3 Jahren Freiheitsstrafe oder Geldstrafe / Abs. 2 5 Jahre oder Geldstrafe / Abs. 4 6 Monate bis 10 Jahre)

Jeweils nach Tateinheit oder Tatmehrheit, hierbei kommt es auf den genauen Sachverhalt an.

Aber genau dies schauen wir uns einmal genauer an. Bei den aktuell veröffentlichten Daten handelt es sich um private Emails, private Fotos, Kommunikation (z.B. Messenger wie WhatsApp) oder auch Dokumente und Informationen, die nicht für die Veröffentlichung gedacht waren. Es war nicht der Wille der an der Kommunikation beteiligten Personen, dass diese Daten öffentlich gemacht werden. Diese betreffen die Intimsphäre der Betroffenen.  

Grundsatz: Private Daten dürfen nur mit Einwilligung des Betreffenden veröffentlicht werden. 

Eine Veröffentlichung stellt einen Eingriff in das Allgemeine Persönlichkeitsrecht dar. Ein Rechtsfertigungstatbestand könnte nur vorliegen, um sich zu exkulpieren, wenn es z.B. ein öffentliches Interesse an diesen Informationen oder die Pressefreiheit überwiegt. Hierbei muss eine Abwägung der entgegenstehenden Rechte/Interessen vorliegen, die von einem Gericht überprüft werden kann.

Verbreiten von Links zu Inhalten?

Die Veröffentlichung der Datensätze ist rechtswidrig. Wenn jemand diese Inhalte verlinkt oder teilt (z.B. Retweet), stellt dies ebenfalls eine rechtswidrige Handlung dar. Die Betroffenen können ebenfalls Löschung und Unterlassen fordern und Strafanzeige stellen. 

Grundsatz:
jede Verbreitung: z.B. das Teilen, Retweeten, Screenshots machen + teilen oder sonstiges teilen ist rechtswidrig! Es löst zivilrechtliche und strafrechtliche Ansprüche gegen euch aus. 

Meldung des “Hacks” bei der zuständigen Datenschutzbehörde

Ein Blick in die DSGVO in Art. 33 bringt die Lösung. Ein Datendiebstahl muss innerhalb von 72 Stunden den Betroffenen gemeldet werden und auch den zuständigen Datenschutzbehörden (z.B. Landesdatenschutz NRW). Die 72 Stunden müssen nicht konkret eingehalten werden, wenn die Daten verschlüsselt waren, dies lag hier nicht vor. 

 

Was kann man gegen einen Hackerangriff tun?

Folgende Maßnahmen könnt ihr machen:

  • Zivilrecht
    • Löschung (gegen Verursacher und gegen Plattformbetreiber bis hin zu Suchmaschine)
    • Unterlassen
    • strafbewehrte Unterlassenserklärung
    • Schadensersatz (Geldentschädigung)
  • Strafrecht
    • Strafanzeige bei der Polizei / StA (siehe oben)

Top 10 Hinweise zum Schutz gegen Hacking

  1. Alle Systeme regelmäßig updaten und Sicherheitsupdates machen
  2. Verschlüsselung nutzen (Festplatte, E-Mail)
  3. Multifaktor-Authentifizierung für seine Accounts aktivieren
  4. Passwörter: komplex, alle 14 Tage wechseln, nie doppelt verwenden
  5. Gesunder Menschenverstand (z.B. bei Phishingmails)
  6. crypto Messenger nutzen wie Signal oder Wire
  7. Berechtigungen der Apps einschränken aufs Nötigste 
  8. Datensparsamkeit (Daten löschen oder offline auf verschlüsselter externer Festplatte speichern)
  9. TOR- Browser oder ähnliche Werkzeuge zur Verschleierung der IP Adresse verwenden
  10. AD-Blocker nutzen, Cookies regelmäßig löschen, https Webseiten nutzen

 

Interessante Links zum Thema

Hinweise vom BSI
https://www.bsi.bund.de/DE/Presse/Kurzmeldungen/Meldungen/Empfehlungen_zum_Schutz_vor_Datendiebstahl_06012019.html

Prüfung, ob eure Daten schon mal betroffen waren?
https://sec.hpi.uni-potsdam.de/ilc/search?lang=de

Interessante Frage: digitale Mündigkeit?
https://community.beck.de/2019/01/06/brauchen-wir-ein-neues-zeitalter-digitaler-muendigkeit-gedanken-und-ueberlegungen-zum-advents-datenleak