Höhere Strafen für Domainhacking und Handel mit Passwörtern

Seit Jahren nehmen die Angriffe auf Mailaccounts, Unternehmenswebseiten und Regierungsdomains zu. Es scheint, als ob die Domain-Hacker allen IT Spezialisten immer einen Schritt voraus wären und Strafen nicht fürchten.

Um den Handel mit Passwörtern sowie die Domainkriminalität in Deutschland einzudämmen, hat jetzt die Bundesregierung einen größeren Strafrahmen für Domainübergriffe beschlossen. Grundlage war der Entwurf eines Gesetzes zur Bekämpfung von Korruption. Der Gesetzesentwurf wird jetzt das aktuelle Gesetzgebungsverfahren durchlaufen, in dem weitergehende Änderungen beschlossen werden könnten. Es steht aber außer Frage, dass das höhere Strafmaß für das Ausspähen von persönlichen Daten, Firmeninterna und Domains mit deutlich höheren Strafen als bisher belegt wird.

Welche Strafen drohen den Domain-Kriminellen?
Der Gesetzentwurf beschäftigt sich mit der Bekämpfung der Korruption und aber auch der Bestrafung von Cyberkriminalität. Kernpunkt ist der § 202c StGB unter dem Titel „Vorbereiten des Ausspähens und Abfangens von Daten“, der die § 202a STGB und 202b StGB zusammenfasst und bereits die Vorbereitung der Tat unter Strafe stellt. Hier wird das Strafmaß von bisher einem Jahr Freiheitsstrafe auf zwei Jahre verdoppelt.

Für Domain-Besitzer ist vor allem der § 202c Abs.1 Nr.2 StGB interessant, der die Hacker-Tools behandelt. Unter Strafe gestellt sind Domain-Hacking-Tools, die zur Vorbereitung und Durchführung von Straftaten (nach den Hautparagrafen § 202a StGB und § 202b StGB) geschrieben und verwendet werden.

Domain-Tools, die für andere Zwecke geschrieben und erst in der Folge zu kriminellen Zwecken verwendet werden, sind bisher von diesem Gesetzentwurf ausgeschlossen. Kritikern geht dieser Gesetzentwurf nicht weit genug, denn freie System-Test-Tools oder professionelle Programme für Domain-Tests fallen in eine Grauzone, die nicht ausreichend definiert ist.

Bundesregierung folgt EU Richtlinie gegen Domain-Kriminalität
Mit der Überarbeitung geltenden Rechtes und des Strafmaßes will und muss die Bundesregierung den Empfehlungen der Richtlinie 2013/40/EU folgen, in der das europäische Parlament die Angleichung des Strafrechts aller EU Staaten für „Angriffe auf Informationssysteme“ fordert. Das Parlament will eine einheitliche Festlegung des Strafbestands und Strafmaßes erreichen und fordert eine deutlich verbesserte Zusammenarbeit zwischen spezialisierten Behörden, wie Europol, nationalen Spezialeinheiten für Domain-Cyberkriminalität, Eurojust und der ENISA.

Dem Europäischen Parlament ist die wachsende Bedrohung durch Cyberkriminalität sehr bewusst und deshalb wurde am 12. August diese Richtlinie verabschiedet, die in der Folge alle 27 EU-Mitgliedsstaaten umsetzen sollten. Wie weit es zu einer engeren Zusammenarbeit im Bereich Domainsicherheit kommt, bleibt allerdings dahingestellt, weil gerade die größeren Sicherheitsdienste und staatlichen Sicherheitsorgane Informationen her schleppend austauschen und längst nicht alle EU Staaten diese wichtige Richtlinie umsetzen.

Um die wachsende Bedrohung von Domainübergriffen einzudämmen, wird den Regierungen allerdings kaum eine andere Maßnahme bleiben, als die Abschreckung der kriminellen Domain-Hackerbanden durch schärfere Sanktionen und deutlich höhere Freiheitsstrafen. Ob sich diese weltweiten Netze von Cyberkriminellen allerdings davon abschrecken lassen, ist allerdings sehr fraglich.

Wolfgang Wild Domainsmalltalk