Cybercrime

Die Welt der Computerkriminalität

Inhalt

Cambridge Analytica & Facebook: Eine strafrechtliche Perspektive

Durch die Enthüllungen um die Analyse-Firma „Cambridge Analytica“ gerät der Facebook-Konzern zunehmend unter Druck. Es geht um die Nutzerdaten von bis zu 50 Millionen Facebook-Konten. Nach Medienberichten sollen diese von einem Psychologieprofessor zunächst mit Zustimmung von Facebook erhoben worden sein, später jedoch ohne Zustimmung an Cambridge Analytica weitergegeben worden sein. Diese wiederum sollen die Daten zur Beeinflussung des amerikanischen Präsidentschaftswahlkampf genutzt worden sein. Aus strafrechtlicher Perspektive ist zumindest die zweite Übermittlung der Daten ohne Zustimmung von Facebook nach deutschem Recht (das hier jedoch keine Anwendung finden wird) strafbar: Nach § 28 Abs. 5 BDSG hätte der Professor die übermittelten Daten nur zu dem Zweck (hier: Forschung) verwenden dürfen, zu dem sie ihm übermittelt wurden. Ein Verstoß gegen § 28 Abs. 5 BDSG ist über § 43 Abs. 2 Nr. 5 BDSG zunächst bußgeldbewehrt. Handelt der Täter vorsätzlich und gegen Entgelt oder in der Absicht sich oder einen Dritten zu bereichern, ist das Verhalten nach § 44 Abs. 1 BDSG sogar strafbar. Zumindest das Vorliegen einer Drittbereicherungsabsicht (Cambridge Analytica ist ein gewinnorientiertes Unternehmen) lag mit hoher Wahrscheinlichkeit vor.

CR

Software soll Hatespeech automatisch erkennnen

Vor Kurzem wurde bekannt, dass Wissenschaftler aus Hildesheim und Antwerpen ein Programm entwickelt haben, das deutschsprachige Hatespeech (also hetzerische Posts und Kommentare in sozialen Netzwerken) automatisch erkennt. Eingesetzt werden könnte das Programm etwa, um den Löschungspflichten der Betreiber der sozialen Netzwerke nach dem Netzwerkdurchsetzungsgesetz nachzukommen.

Aus juristischer Perspektive ist das jedoch höchst problematisch. Die Frage, ob ein Post oder Kommentar noch von der Meinungsfreiheit gedeckt ist oder nicht, kann nur durch eine komplexe juristische Abwägung beantwortet werden. Die Kriterien dieser Abwägung differieren auch je nach nationaler Grundrechtsordnung. Abgesehen davon also, dass die Programmierer für jede Rechtsordnung ein eigenes Programm schreiben müssten, erscheint sehr zweifelhaft, ob Algorithmen in der Lage sind, komplexe Wertungsfragen zu lösen. Ohnehin ist an den neuen Löschungspflichten des Netzwerkdurchsetzungsgesetzes problematisch, dass die Abwägungsaufgabe, die bislang von Gerichten mit ausgebildeten Juristinnen und Juristen vorbehalten war, nunmehr durch die Mitarbeiter der Betreiber der sozialen Netzwerke vorgenommen werden muss und dass auch noch innerhalb sehr kurzer Fristen – insbesondere, wenn man die Menge an zu bearbeitenden Beschwerden bedenkt. Der Einsatz einer Software hilft hier zwar bei der Bewältigung der großen Anfragenmenge, der Meinungsfreiheit tut er jedoch nicht gut.

CR

Erfahrungsbericht über das Planspiel StPO auf der IT-SA 2017

Maximilian Reymann, Student an der FAU im Fachbereich Informatik, berichtet am morgigen Donnerstag, 12.10. um 10:25 im MesseCampus auf der IT-SA 2017 in Nürnberg (NCC Mitte, Foyer Brüssel) über seine Erfahrungen als „IT-Sachverständiger“ im Planspiel StPO, dass der Lehrstuhl von Professor Safferling gemeinsam mit dem Lehrstuhl von Professor Freiling einmal jährlich veranstaltet. Bei dem Planspiel schlüpfen Studierende der Rechtswissenschaft in die Rollen von Gericht, Staatsanwaltschaft und Verteidigung und müssen einen fiktiven Strafrechts-Fall von Beginn des Ermittlungsverfahrens bis zum Urteil in der Hauptverhandlung durchspielen. Die Studierenden der Informatik beteiligen sich als Sachverständige der IT-Forensik und/oder Berater der einzelnen Prozessbeteiligten. Einen Bericht und ein Video der diesjährigen Veranstaltung (produziert von FAU-TV) finden sie hier.

WannaCry – der bislang „erfolgreichste“ Cryptolocker

Bislang hatte man Cryptolocker (also Trojaner, die Dateien auf dem infizierten System verschlüsseln) und die Erpressung von Lösegeld (zumeist in Bitcoin) zur Entschlüsselung der verschlüsselten Daten eher als kriminelles „Randphänomen“ gesehen. Dies dürfte sich seit dem Wochenende geändert haben. Ein Cryptolocker namens „WannaCry“ hat die bislang größte Verschlüsselungsattacke gestartet. Betroffen waren Systeme weltweit. Besonders brisant war dabei, dass gesellschaftliche relevante Systeme im großem Umfang betroffen waren. So führte die Infizierung von Rechnern des britischen National Health Service zu chaotischen Zuständen in britischen Krankenhäusern. Auch internationale Unternehmen aus der Automobil-, Transport- und Telekommunikationsbranche meldeten zahlreiche Infektionen. Die Besitzer der infizierten Systeme werden dabei erpresst: Den Schlüssel zur Entschlüsselung ihrer Daten erhalten sie von den Erpressern nur, wenn sie eine bestimmte Summe in Bitcoins bezahlen.

Technisch gesehen weist WannaCry eine Besonderheit auf: Anders als bisher kursierende Cryptolocker ist WannaCry nicht (nur) auf eine Verbreitung per E-Mail (und damit auf menschliche Mithilfe) angewiesen. Der Verschlüsselungstrojaner breitet sich nach der Infektion eines Systems selbständig auf andere vom infizierten System erreichbare Systeme aus und infiziert auch diese. Er nutzt hierfür eine Sicherheitslücke im Betriebssystem Windows, die bei älteren und nicht mehr automatisch mit Updates versorgten Versionen vorhanden ist (Besitzer solcher Versionen sollten sich also unbedingt den von Microsoft bereits zur Verfügung gestellten Patch herunterladen).

Zwischenzeitlich haben Sicherheitsforscher zwar einen Mechanismus entdeckt (und genutzt), der die Verbreitung von WannaCry hemmt. Jedoch besteht natürlich die Gefahr einer weiteren Angriffswelle mit einer „verbesserten“ Version, welche von dem gefundenen Mechanismus nicht mehr beeinträchtigt wird.

Quelle und weiterführende Informationen mit regelmäßigen Updates: heise.de

Die Infektion eines Systems mit einem Cryptolocker erfüllt (im Regelfall) gleich mehrere Straftatbestände des StGB: Da sich er Trojaner Zugriff auf die Daten des infizierten Systems verschafft liegt § 202a StGB (Ausspähen von Daten) vor. Durch die Verschlüsselung der Daten und das Weiterverbreiten unter Nutzung des Systems werden außerdem Daten auf dem infizierten System verändert und damit der Tatbestand der Datenveränderung (§ 303a StGB) erfüllt. Wird dabei eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist (z.B. die der Erwerbstätigkeit dient oder wie im vorliegenden Fall Produktionsanlagen oder Dienstleistungssysteme steuert) gestört, liegt auch § 303b StGB (Computersabotage) vor. Bereits die Herstellung des Cryptolockers steht gem. § 202c StGB (Vorbereiten des Ausspähens von Daten) unter Strafe. Die Erpressung von Bitcoins als „Lösegeld“ wird als Erpressung nach § 253 StGB erfasst. Hierbei wird regelmäßig auch ein besonders schwerer Fall vorliegen, da die Täter gewerbsmäßig (also mit der Absicht, sich durch die Wiederholung ihrer Tat eine fortlaufende Einkunftsquelle zu verschaffen) und als Mitglieder eine Bande (mindestens drei Täter, die sich zur Begehung entsprechender Taten verbunden haben) handeln. Das deutsche Strafgesetzbuch ist also ausreichend zur Bekämpfung solcher Straftaten gewappnet.

Oftmals schwierig gestalten sich dagegen die Ermittlungen des oder der Täter. Da die Zahlungen in Bitcoins erfolgen, ist eine Nachverfolgung der Zahlungsströme zwar möglich, jedoch werden „Konten“ (Bitcoin-Adressen) im Bitcoin-System unter Pseudonymen betrieben, so dass es für die Strafverfolger schwierig ist, die hinter den Adressen stehenden Personen zu identifizieren. Oft haben die Täter auch weitere Maßnahmen zur Verschleierung ihrer Identität und der Verwischung ihrer digitalen Spuren getroffen (z.B. Nutzung von Anonymisierungssoftware). Schließlich operieren die Täter nicht selten aus dem Ausland heraus, was die Strafverfolgung durch deutsche Behörden weiter erschwert.

CR

Felix Freiling und Christian Rückert nehmen Stellung zu Live-Stream-Funktion von Facebook

Kurzmitteilung

Auf meedia.de ist ein kritischer Artikel zur Live-Übertragung von (Gewalt-)Verbrechen über die neue Live-Stream-Funktion von Facebook erschienen. Professor Felix Freiling und Dr. Christian Rückert von der FAU haben darin zu wirtschaftlichen und (straf-)rechtlichen Fragen Stellung genommen. Der Artikel geht dabei auch auf den Entwurf des Netzdurchsetzungsgesetzes ein, den das Bundesministerium der Justiz und für Verbraucherschutz vor kurzem vorgestellt hat.

Vortrag zu Darknet, Bitcoins und Underground Economy am 23.3.2017

Am Donnerstag, 23.03.2017 hält Dr. Christian Rückert an der Volkshochschule Erlangen einen Vortrag zum Thema „Darknet, Bitcoins und Underground Economy“. Beginn ist um 19 Uhr in der Friedrichstraße 19 in Erlangen. Der Eintritt ist frei.

Das „Darknet“ und die sogenannte „Underground Economy“ sind als neue Internetphänomene derzeit in aller Munde. Dabei ist das „Darknet“ zunächst gar nicht so düster und gefährlich wie es sein Name vermuten lässt. Es gibt gute und nachvollziehbare Gründe für Internetnutzer, an der Verschleierung ihrer IP-Adresse interessiert zu sein. So ist das „Darknet“ ein unschätzbares Werkzeug im internationalen Kampf um Presse- und Meinungsfreiheit gegen totalitäre Regime. Allerdings ist die Identitätsverschleierung – insbesondere unter zusätzlicher Nutzung virtueller Kryptowährungen als Zahlungsmittel – auch für kriminelle Akteure attraktiv. Die (vermeintliche) Anonymität in der „Underground Economy“ stellt die Strafverfolgungsbehörden vor neue Herausforderungen. Es stellt sich daher die Frage, wie eine effektive Strafverfolgung krimineller Darknetnutzer gewährleistet werden kann, ohne das legitime Interesse an und Recht auf Anonymität der legalen Nutzer zu stark einzuschränken.

 

Safer Internet Day 2017 – Cybermobbing

Heute ist Safer Internet Day. In Deutschland liegt der Schwerpunkt auf dem Thema „Cybermobbing“. Gerade Jugendliche werden im Netz immer häufiger das Opfer von Belästigungen, Bedrohungen und Beleidigungen. Die Folgen reichen von sozialer Ausgrenzung bis hin zu ernsten psychologischen Problemen und Suizidversuchen. Beim „Cybermobbing“ schlägt sich auch (einmal mehr) die durch den virtuellen Raum veränderte Kommunikationskultur nieder. Die vermeintliche Anonymität im Netz und das Fehlen einer unmittelbaren Reaktionsmöglichkeit des Opfers befeuern die Problematik. Oft fehlt den häufig jungen Tätern auch jedes Unrechtsbewusstsein.

Strafrechtlich ist das Verhalten – je nach konkreter Ausgestaltung – als Beleidigung, Verleumdung, Üble Nachrede oder Nachstellung strafbar. Bei Veröffentlichung diffamierender Bilder kommt außerdem eine Verletzung des höchstpersönlichen Lebensbereichs und Strafvorschriften nach dem Kunsturhebergesetz in Betracht. Bei fremdenfeindlichem Hintergrund ist außerdem an die Volksverhetzung, Verwendung verfassungsfeindlicher Symbole etc. zu denken. Wird das Opfer bedroht, kann dies als Nötigung oder Bedrohung strafrechtlich verfolgt werden.

Für Betroffene hat die Polizeiliche Kriminalprävention der Länder und des Bundes eine hilfreiche Internetseite eingerichtet.

CR

Professor Safferling zur Strafbarkeit von Fakenews und Socialmediabots

Kurzmitteilung

Das FAU-Format „Nachgefragt“ bringt in seiner neuesten Ausgabe ein Interview mit Prof. Dr. Christoph Safferling von der Friedrich-Alexander-Universität Erlangen-Nürnberg. Thematisiert wurde die strafrechtliche Relevanz zweier aktueller Internet-Phänomene: Fakenews und Socialmediabots.

Das Interview kann hier nachgelesen werden.

YouTube Video des Forums IT-Recht zum Thema „Darknet“

Link

Seit heute ist das YouTube-Video des Forums IT-Recht des Instituts für Rechtsinformatik der Universität Hannover online.

Die Diskussionsrunde war mit Dirk Büchner (Bundeskriminalamt), Dr. Benjamin Krause (Generalstaatsanwaltschaft Frankfurt, Zentralstelle zur Bekämpfung der Internetkriminalität), Daniel Moßbrucker (Reporter ohne Grenzen), Linus Neumann (ChaosComputerClub) und Christian Rückert (Lehrstuhl für Strafrecht, Strafprozessrecht, Internationales Strafrecht und Völkerrecht, FAU) besetzt. Die Expertenrunde diskutierte Nutzen und Gefahren des Darknets und virtueller Währungen.

CR