Digitalisierung beschert viele Vorteile – auch für Kriminelle. Sie agieren grenzen­los, hebeln die Regeln unserer historisch vor allem durch Grenzen definierten Welt gnadenlos aus. Die Gesetzgebung ist gefordert – national wie international.

© shutterstock.com/1066363880

Die Digitalisierung verändert die Gesell­schaft, unser Leben. Mehr als wir haben Kriminelle gelernt, die Vorteile der Digitalisierung für ihre
Zwecke zu nutzen. Geldwäsche, Betrug, illegaler Handel, Datendiebstahl und Erpressung bis hin zur Manipulation von Meinungen, Wahlen und Regierungen: Straftaten erfahren im Cyberspace eine neue Dimension. Der Handlungsraum ist quasi unbegrenzt, die Anonymität eine Eigenheit des Arbeitsraums Internet. Das macht den Cyberspace zum perfekten Tatort. Cybertäter hinterlassen, wenn überhaupt, höchst volatile Spuren und die Grenzen, die jenen gesetzt sind, die sie verfolgen und aufzuspüren versuchen, dienen ihnen als willkommene Deckung.

Grosse Herausforderungen für die Strafverfolgung

Entsprechend stark gefordert sind die Strafverfolgungsbehörden. Deren Streben nach Identifikation und Lokalisierung von Cybertätern ist eine Sisyphusarbeit. Tatorte liegen im Ausland, Datenspuren lagern irgendwo – oft genug in einer anonymen Cloud. Die zu ihrer Sicherung nötigen Rechts- und Amtshilfeverfahren sind komplex und langwierig, zumal längst nicht alle Staaten Hand zur Hilfestellung reichen. Nicht zuletzt dann, wenn von ihnen selbst beauftragte oder zumindest gebilligte Angriffe (state-sponsored Cybercrime) untersucht werden sollen.
Doch selbst wenn Rechtshilfe gewährt wird, ist die Strafverfolgung kompliziert. Die involvierten Staaten führen parallele Verfahren und einzig das Land, von dem aus die Täterschaft vorging, hat die volle Gerichtsbarkeit. Der Koordinationsaufwand durch Europol und Eurojust ist entsprechend hoch.

Hinzu kommt: Die Digitalisierung eilt den Rechtswissenschaften stets weit voraus. Kein Staat und keine Behörde, kein Gericht und kein Cyberpolizist kann den Takt und die Richtung der Entwicklung, die oft genug wilde Haken schlägt, vorgeben, vorhersehen oder beeinflussen. Doch was man nicht steuern kann, kann man nicht kontrollieren. Schlimmer noch spielt genau die ungeheure Dynamik der Entwicklung den Cyberangreifern in die Hände: Neue Sicherheitslücken entstehen schneller, als alte geschlossen werden können, und die Verfolgung der Täter gleicht dem Kampf gegen eine Hydra, die zuschlägt und dann hinter Grenzen verschwindet, welche nationale Strafverfolgungsbehörden zu überwinden nicht imstande sind.

Ohne Transnationalität ist der Kampf nicht zu gewinnen

Hilfreich in diesem Zusammenhang wäre ein sicherer und praxisfähiger Verfügungs- und Schutzrahmen internationalen digitalen Rechts – mit klaren Inhalten und weltweiter Durchsetzungsmacht. Doch wie gemächlich die internationalen Mühlen des Rechts mahlen, zeigt das Übereinkommen über Cyberkriminalität (CCC). Dieses wurde um die Millenniumswende erarbeitet und verpflichtet – als erstes internationales Übereinkommen zur Bekämpfung von Computer- und Internetkriminalität überhaupt – die Vertragsstaaten, ihre Gesetzgebung den Herausforderungen neuer Informationstechnologien anzupassen. Als es von der Schweiz unterzeichnet wurde, am 23. November 2001, waren heute Volljährige kaum geboren. Ratifiziert wurde es erst, als die Millenniumskinder ihren letzten einstelligen Geburtstag feierten (18.06.2010). In Kraft gesetzt wurde es letztlich am 1. Januar 2012.

Komplexität der Zuständigkeiten

Doch nicht nur im transnationalen Kontext hapert es. Auch auf nationaler Ebene sind viele Rechtsfragen ungelöst. Das zeigt exemplarisch der im Januar 2019 publik gewordene Fall eines Bundesangestellten des Aussendepartementes (EDA) in Italien, welcher Nacktbilder von Kindern sowie Bilder sexueller Handlungen mit Kindern auf die Server des Bundesamts für Informatik und Telekommunikation (BIT) geladen hatte. Die US-amerikanische Homeland Security kam ihm auf die Schliche, informierte im April 2018 das Fedpol. Dessen Kommissariat Cybercrime erstellte eine Verdachtsmeldung, übergab seine Ermittlungsergebnisse Ende Juni 2018 der Kantonspolizei Bern und forderte diese auf, das Material vom Server zu sichern und den Bundesangestellten zu überprüfen. Doch die Kapo Bern verweigerte den Auftrag. Ihre Begründung: Der EDA-Mitarbeiter sei in Italien stationiert, weshalb die italienischen Ermittler zuständig seien.

Nach monatelangem Hickhack zwischen dem Fedpol und der Bundesanwaltschaft einerseits und den Behörden des Kantons Bern andererseits musste das Bundesstrafgericht über die Zuständigkeit befinden. Dieses entschied, die Strafbehörden des Kantons Bern seien berechtigt und verpflichtet, die vorgeworfenen strafbaren Handlungen zu verfolgen und zu beurteilen. Doch Christoph Scheurer, stellvertretender Generalstaatsanwalt des Kantons Bern, befand, ungeachtet des Urteils bedürfe es weiterer Zuständigkeitsabklärungen zwischen der regionalen Staatsanwaltschaft Bern-Mittelland und der kantonalen Staatsanwaltschaft für besondere Aufgaben. Erst dann könnten die Vorwürfe geprüft und erste Ermittlungsschritte vorgenommen werden. Dies ist bis Anfang 2019 nicht geschehen ...

Rechtsunsicherheit lähmt das System

Man kann sich ob solcher Vorkommnisse echauffieren. Nüchtern betrachtet indes zeigt der Fall vor allem eines: Die Rechtsunsicherheit im Zusammenhang mit Internetkriminalität und Cybercrime hat unzählige Facetten und birgt zahllose Fall­stricke – nicht zuletzt im Hinblick auf die Polizeiarbeit.

Zwar arbeiten die Polizeien im In- und Ausland derzeit an ihrer digitalen Kompetenz, die sie befähigen soll, die Möglichkeiten und Spielräume der Digitalisierung ebenso konsequent für ihre Zwecke zu nutzen, wie es Cyberkriminelle tun. Stichworte dazu sind Bodycams oder Drohnen, Predictive Policing, Netzwerkforensik oder Targeted Profiling. Doch damit die neuen Kompetenzen überhaupt genutzt werden dürfen, muss zuerst deren Rechtsstaatlichkeit geprüft werden. Das dauert – auch wenn sich der gesetzgeberische Konkretisierungsbedarf meist weniger um das «Ob», sondern vor allem um das «Wie», «Wann» und «Falls ja, wie weit» dreht, also im Wesentlichen um die Grundsätze von Wirksamkeit und Verhältnismässigkeit.

Zu oft wird dabei versucht, Rezepte der analogen Geschichte auf die digitale Welt von heute zu übertragen. Das aber greift zu kurz, wie ein Blick auf Kryptowährungen zeigt. Diese werden zwar längst von diversen Staaten als offizielle Zahlungsmittel anerkannt und von Millionen Anwendern auf unzähligen Internetportalen weltweit genutzt. Doch anders als «echte» Währungen entziehen sie sich der Geldpolitik. Der Grund auch hier: Rechtsunsicherheiten des digitalen Zeitalters.

So sind etwa Bitcoins kein «E-Geld» im Sinne des E-Geldgesetzes von 2010 – weil sie keinen eindeutigen Emittenten besitzen. Entsprechend werden sie weder von einer Regierung noch von einer Zentralbank oder der Finanzmarktaufsicht reguliert. Auch untersteht ihr Handel keiner Konzessionspflicht: Wer ein auf dem Handel mit Kryptowährung beruhendes Geschäftsmodell betreibt – wie auch immer dieses gelagert sein mag –, benötigt keine Gewerbeberechtigung.

Die Kontrolle über eine Kryptowährung obliegt somit einzig der zugrunde liegenden Blockchain-Technologie, und ihr Wechselkurs zu realen Währungen wird nur durch Angebot und Nachfrage (oder Manipulation) bestimmt. Da wundert es nicht, dass Kryptowährungen bei illegalem Handel, Geldwäsche oder bei der Finanzierung organisierter Kriminalität und Terrorismus eine wesentliche Rolle spielen. Das wird sich so lange nicht ändern, bis die internationalen Bankenaufsichtsbehörden und die Gesetzgeber weltweit endlich die längst überfälligen regulatorischen Schritte einleiten und einen verbindlichen Rechtsrahmen für Kryptowährungen schaffen.

Das allerdings dürfte noch lange auf sich warten lassen – wenn es überhaupt je geschehen wird. Derzeit jedenfalls fokussiert der Gesetzgeber weniger darauf, digitale Rechtssicherheit zu erzeugen, als auf die persönliche Verpflichtung zur Schadensprävention. Das nationale Datenschutzgesetz und die EU-Datenschutzgrundverordnung (DSGVO) zwingen Unternehmen und Institutionen, «geeignete technische und organisatorische Massnahmen zum Schutz vor Datendiebstahl» zu treffen. Dabei werden heute auch Einzelpersonen, namentlich Manager und Betriebsinhaber, sowie alle Betreiber «kritischer Infrastrukturen» mit besonderer Bedeutung für das Allgemeinwesen in die Pflicht genommen.

Klingt gut, ist aber wenig effizient. 2016 gab es alleine in Europa 4000 Ransomware-Attacken pro Tag. 2017 waren 80 Prozent der europäischen Unternehmen von einem Cybersecurity-Vorfall betroffen. Dennoch haben laut aktuellen Erhebungen der EU nahezu 70 Prozent der Unternehmen nur ein elementares oder gar kein Verständnis für ihre Verwundbarkeit durch Cyberbedrohungen. In der von KMU dominierten Schweiz sieht es nicht besser aus. Das wissen auch die Angreifer – und sie werden die Schwäche von Staat und Wirtschaft konsequent weiter ausnutzen.

Der Gesetzgeber muss adäquat reagieren

Angesichts dieser alarmierenden Fakten muss der Gesetzgeber mehr tun, als die Wirtschaft in die Pflicht zu nehmen. Doch die Politik ist unsicher in ihrer Reaktion auf die digitalen Bedrohungen – und hält sich zurück. Das ist insofern verständlich, als viele Phänomene – etwa (Daten-)/Diebstahl und Erpressung – schon in der analogen Welt gesetzlich verboten sind, weshalb es keines neuen gesetzlichen Verbots bedarf, nur weil an und für sich bekannte Phänomene nun digital verübt werden. Aber es braucht dennoch Rechtssicherheit bezüglich digitaler Kriminalität und vor allem einen verlässlichen (ordnungs-)rechtlichen Rahmen, der es den Strafverfolgungsbehörden ermöglicht, den Kriminellen im Cyberraum mit allen zur Verfügung stehenden Mitteln wirkungsvoll entgegenzutreten.

 

Überwachung digitaler Kommunikationskanäle

Die ewige Frage nach dem Bundestrojaner

Wie Kryptowährungen bietet auch die internetbasierte Kommunikation enormen Spielraum für Straftäter. Die für jedermann zugänglichen digitalen Kommunikationstools entziehen sich den Strafverfolgungsbehörden weitgehend. Zwar ist unbestritten, dass es möglich sein muss, im Bedarfsfall digitale Kommunikation überwachen zu können. Doch das «Wie», «Wann» und «Wie weit» sind Bestandteile einer teils heftig geführten, vorwiegend juristisch motivierten Diskussion. Insbesondere im Hinblick auf das «Knacken» verschlüsselt übermittelter Nachrichten, also die Installation einer «Schnüffelsoftware» durch Hacking des anvisierten Zielgeräts.

In der Schweiz ist der Einsatz von Staatstrojanern seit Inkrafttreten des revidierten Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) am 1. März 2018 offiziell erlaubt. Zwischenzeitlich hat die Schweiz unter Federführung des Fedpol auch einen entsprechenden «Staatstrojaner» beschafft und in die Testphase überführt. Zum Hersteller der Software, deren Funktionsumfang und den Kosten hüllen sich das Fedpol, aber auch der Bund ebenso in Schweigen wie über die Angabe eines Datums, ab welchem der Bundestrojaner tatsächlich in Dienst gestellt wird.

Ende 2018 haben die EU-Botschafter einen Rechtsakt zur Cybersicherheit gebilligt. Dieser sieht vor, eine ständige EU-Agentur für Cybersicherheit zu schaffen und eine EU-weite Zertifizierung für Cybersecurity zu lancieren. Die von der EU für das Jahr 2017 erhobenen Statistiken zur Häufigkeit und den Auswirkungen von Cybercrime haben Brüssel aufgeschreckt. Laut Erhebungen hat sich die Zahl der...
Am 3. und 4. April 2019 findet in Bern zum zwölften Mal der Schweizer Polizei-Informatik-Kongress (SPIK) statt. Die Organisatoren erwarten erneut einen grossen Zulauf. Wir haben mit Daniel Hänni, Initiant und Leiter des Kongresses, über die Gründe für das ungebrochen hohe Interesse gesprochen. Herr Hänni, Sie sind der geistige Vater des Schweizer Polizei-Informatik-Kongresses (SPIK), haben...
Der Schweizer Polizei-Informatik-Kongress (SPIK) zielt auf Austausch und Vernetzung. Bisweilen werden dort aber auch klare Forderungen geäussert, die Anlass geben, die Dinge anzupacken. Das zeigt sich beispielhaft am Programm Harmonisierung Polizeiinformatik (HPi). Neun Jahre sind ins Land gezogen, seit der Berner Regierungspräsident und Polizeidirektor Hans-Jürg Käser im Rahmen seiner...
Digitalisierung beschert viele Vorteile – auch für Kriminelle. Sie agieren grenzen­los, hebeln die Regeln unserer historisch vor allem durch Grenzen definierten Welt gnadenlos aus. Die Gesetzgebung ist gefordert – national wie international. Die Digitalisierung verändert die Gesell­schaft, unser Leben. Mehr als wir haben Kriminelle gelernt, die Vorteile der Digitalisierung für ihre Zwecke zu...
Liechtenstein verfügt seit Ende 2018 über eine eigene Rettungshelikopterbasis. Die AP3 Luftrettung hat dort am 19. Dezember den Helikopter «Christoph Liechtenstein» in Dienst gestellt. Dieser steht seither während 24 Stunden täglich für Einsätze bereit. Mit der neuen Basis im liechtensteinischen Balzers weitet die AP3 Luftrettung ihr Einsatzgebiet auf Liechtenstein aus – und verstärkt so gezielt...
Der Rettungsdienst und die Feuerwehr von Schutz & Rettung Zürich haben 2018 gesamthaft 43’551 Einsätze geleistet. Die Einsatzleitzentrale nahm über die Notrufnummern 144 und 118 insgesamt 134’034 Anrufe aus den angeschlossenen Kantonen Zürich, Schaffhausen, Schwyz und Zug entgegen. Der Rettungsdienst von Schutz & Rettung Zürich rückte vergangenes Jahr 37’952 Mal aus. 28’141 Einsätze (74 %)...
Ob als Notärztin, Rettungssanitäterin, Krankenschwester, Polizeibeamtin oder Feuerwehrfrau – die bald 60 Jahre alte Amerikanerin Barbara Millicent Roberts alias Barbie macht bei jeder Blaulichtorganisation eine gute Figur. Mit eingeschaltetem Blaulicht fährt der Krankenwagen zur Unfallstelle. Am Einsatzort übernimmt die Notärztin die Erstversorgung des Patienten. Eine Rettungssanitäterin hilft...
«Biwak#23 – Die weisse Gefahr: Umgang mit Lawinen in der Schweiz» lautet der Titel einer aktuellen Ausstellung im Alpinen Museum der Schweiz. Diese dauert noch bis 21. April 2019 und hat es in sich. Kaum ein Land hat den Lawinenschutz so weit entwickelt wie die Schweiz. Die Ausstellung «Biwak#23 – Die weisse Gefahr: Umgang mit Lawinen in der Schweiz» im Alpinen Museum der Schweiz in Bern gibt...
Zum Jahresstart 2019 hat die Rega 50 Prozent der Anteile am Schweizer Institut für Rettungsmedizin SIRMED, einer Tochtergesellschaft der Schweizer Paraplegiker-Stiftung, übernommen. Durch die gleich beteiligte Kooperation der beiden grössten Gönnerorganisationen der Schweiz sollen im Bereich der Aus-, Fort- und Weiter­bildung in der Notfall- und Rettungsmedizin Synergien genutzt und neue...
Diese Webseite nutzt Cookies & Analytics. Wenn Sie weiter auf dieser Seite bleiben, stimmen Sie unseren Datenschutzbestimmungen zu.
Weitere Informationen Ok