"Strafrecht in Deutschland hinkt hinterher"
Kriminelle stehlen Identitäten im Internet, doch in Deutschland ist das bislang kein Straftatbestand. Bei der Strafverfolgung seien uns sogar Entwicklungsländer voraus, sagt der Rechtsexperte Marco Gercke.
Nana Brink: Es ist wohl nicht übertrieben zu sagen: Der Datenklau im Internet hat eine neue Dimension erreicht. Russische Hacker haben bis zu 1,2 Milliarden Passwörter erbeutet, neben Passwörtern sollen die Onlinekriminellen auch dazugehörige Benutzernamen erbeutet haben. Eine amerikanische IT-Sicherheitsfirma hat diesen Diebstahl jetzt entdeckt, ungekannten Ausmaßes. Dabei seien über 500 Millionen verschiedene E-Mail-Adressen betroffen. Von welchen Nutzern und Onlinediensten die Daten geklaut worden sind, das ist bislang noch völlig unklar. Professor Marco Gercke leitet das Institut für Medienstrafrecht. Guten Morgen, Herr Gercke!
Marco Gercke: Guten Morgen!
"Mit Daten lässt sich sehr viel Geld verdienen"
Brink: Warum werden Zugangsdaten geklaut?
Gercke: Da gibt es sehr unterschiedliche Gründe, es kommt immer darauf an, wozu diese Zugangsdaten Zugang bieten. Häufig wird das zur Versendung von Spam benutzt. Das bedeutet, wenn es Tätern gelingt, Zugangsdaten zu einem E-Mail-Account zu bekommen, dann können sie darüber Spams versenden. Es gibt aber auch noch andere Fälle immer wieder in der Diskussion. Man kann über solche Zugangsdaten, wenn man sie beispielsweise zu Amazon oder einem anderen großen Versandhandel hat, könnte man Waren bestellen, oder man kann diese Zugangsdaten nutzen, wenn man seine eigenen Zugangsdaten nicht angeben möchte, beispielsweise beim Zugang zu illegalen Inhalten wie Kinderpornografie. Parallel fanden ja jetzt gerade Ermittlungen statt, wo Leute in einem Forum sich angemeldet haben und dort Informationen über Kinderpornografie ausgetauscht haben – auch dazu könnten natürlich fremde Zugangsdaten genutzt werden.
Brink: Moment, hab ich das jetzt richtig verstanden? Das heißt, mit meinem E-Mail-Account, wäre er denn auch geklaut, könnten die sozusagen auf meinetwegen pornografische Seiten gehen, von denen ich gar nichts weiß?
Gercke: Korrekt. Das bedeutet, wenn dort dann eine Spur hinterlassen wird, dann führt die Spur zu einer anderen Person und nicht zu der Person, die die Inhalte abgerufen hat.
Brink: Kann man mit so was Geld verdienen?
Gercke: Ja, auf mehreren Seiten. Also die Ansammlung von solchen Daten spricht dafür, dass es da eine Gruppe von Kriminellen gibt, die diese Inhalte professionell vermarkten. Das bedeutet, die können jetzt genauso, wie die Zeitungen auf diese 1,2 Milliarden angesprungen sind, können sie ihre potenziellen Käufer damit begeistern, dass sie eine sehr große Datenbank haben, und die können sie entweder einzeln verkaufen oder in kleinen Teilen oder in größeren Zahlen. Damit lässt sich sehr, sehr viel Geld verdienen.
"Die Aussage ist kühn, dass es sich um russische Täter handelt"
Brink: Aber müssen sozusagen diejenigen, die das dann kaufen, nicht misstrauisch werden? Wie funktioniert denn dann dieser Handel? Also wenn jemand kommt und sagt, ich hab da so'n tolles Paket, 1,2 Milliarden oder 500 Millionen, da stutzt man doch.
Gercke: Also ich wage zu bezweifeln, dass Sie die auf dem normalen Markt überhaupt angeboten bekämen, sondern die Leute, die diese Daten haben wollen, gehen ganz bewusst in bestimmte Foren, in denen die verkauft werden. Ich finde deshalb auch die Aussage kühn, dass es sich um russische Täter handelt. Normalerweise würde man vermutlich sagen, dass es russischsprachige Täter sind, da sie sich auf russischsprachigen Internetseiten befinden, und dort findet man dann halt illegale Dinge. Das bedeutet, keiner geht da mit der Erwartung hin, ich bekomme jetzt legale Daten, sondern es geht hier ganz bewusst um Foren, in denen illegale Daten ausgetauscht werden.
Brink: Wer sucht denn in solchen Foren nach Daten?
Gercke: Zum Beispiel die Betreiber von Spamdiensten, die immer größere Probleme haben, ihre Nachrichten zu versenden, weil die Spamerkennung immer besser wird und sie ständig neue, frische E-Mail-Adressen brauchen, die sich noch nicht auf diesen Spamlisten befinden.
Brink: Was sind denn so Spams, gibt's da Beispiele, können Sie Beispiele nennen?
Gercke: Also was Spam angeht, ja. Es geht um den Vertrieb von Waren und Dienstleistungen über das Internet, meist illegaler Natur, die den Leuten massenhaft angeboten werden. Das bedeutet, das sind diese E-Mails, die man immer wieder in den E-Mail-Accounts findet von Viagra über illegale Inhalte. Und diese Spam-E-Mails werden übrigens auch dazu genutzt, Schadsoftware zu verbreiten. Ja, das sind Dinge, die voraussetzen, dass es den Tätern, die die Spam-E-Mails versenden, gelingt, den Spamschutz zu überwinden. Das ist halt besonders interessant für die Kunden, die dort ihre Produkte platzieren, und dazu braucht man immer wieder neue E-Mail-Adressen, weil die nach kurzer Zeit auf Spamlisten gesetzt werden und dann nicht mehr ihren Empfänger erreichen.
Hinter Warnungen könnte Marketingkampagne einer US-Sicherheitsfirma stecken
Brink: Die Sicherheitsfirma, die das jetzt entdeckt hat, warnte ja vor dem Ausmaß des Datenklaus, Zitat: "Solange Ihre Daten irgendwo im World Wide Web sind, können Sie betroffen sein." Ist das so?
Gercke: Na ja, also wenn man sich mal den Text dieser Firma anschaut, dann hört sich das doch sehr nach einer Marketingkampagne an. Wir haben das in der Vergangenheit schon mal gesehen, da war das Sicherheitsunternehmen Mandiant, das mit einem Bericht an die Presse ging, chinesische Hacker hätten die US-Regierung angegriffen und man hätte das zu chinesischen Hackern zurückverfolgen können. Der Marktwert des Unternehmens ist erheblich gestiegen, und es wurde dann gekauft. Hier ist es so, dass wenn man sich den Text anguckt, dass sie erst darüber berichten, wie schlimm alles ist, dass 1,2, sie sprechen sogar von 4,5 Milliarden Datensätzen, aber 1,2 wirklich individuelle, und sagen danach: Aber Sie brauchen sich keine Sorgen zu machen, Sie können unseren Dienst nutzen, Sie können sich da im Moment kostenlos registrieren. Der wird wahrscheinlich kostenpflichtig sein, wenn der Dienst dann erst mal in 60 Tagen angeboten wird.
Brink: Ist er auch, also kann man auch ...
Gercke: Da muss man unheimlich vorsichtig sein. Also die Zahl 1,2 Milliarden überrascht mich jetzt nicht wirklich, denn es war auch vorher schon bekannt, dass wir da sehr große Datenbanken haben. Die deutschen Behörden haben ja mal von 16 Millionen beziehungsweise 12 Millionen gesprochen, und es ist bekannt, dass das ja nicht die einzigen Datenbanken sind. Die Sicherheitsfirma sagt selber, dass die Täter wohl angefangen haben, diese Datenbanken von unterschiedlichen Anbietern zu kombinieren. Insofern, 1,2 Milliarden ist jetzt nicht so wirklich überraschend.
Deutsche Justiz stellt Handel mit Identitäten nicht unter Strafe
Brink: Fakt ist aber ja, dass es diesen Datenklau gibt, egal wie man jetzt also diesen Fall auch beurteilt, bleibt ja die Frage, wie kann man sich gegen diesen Datenklau wehren oder auch, was tut die deutsche Justiz dagegen?
Gercke: Na ja, der Einzelne kann sich dagegen selten wehren. Er kann natürlich etwas vorsichtiger mit seinen Zugangsdaten umgehen, wo er sie angibt. Es sieht so aus, als ob das Zugangsdaten waren, die den Zugang zu bestimmten Internetseiten ermöglichten. Wenn man die große Zahl der betroffenen Internetseiten sieht, dann kann es auch sein, dass es viele kleine Internetseiten waren, wo man sich einfach mit Benutzername und Passwort registriert. Die Unternehmen können versuchen, ihre Daten zu schützen, aber da muss man sagen, hier scheint es eine Sicherheitslücke gegeben zu haben, wo man den Unternehmen vielleicht gar keinen Vorwurf machen kann, weil sie eine Sicherheitstechnik eingesetzt haben im guten Glauben, dass es auch so funktioniert. Und es stellt sich heraus, sie hat eine Schwachstelle, genauso wie unsere Betriebssysteme gelegentlich Schwachstellen haben. Und was die deutsche Justiz machen könnte, ist, wenn sie das ernst nehmen würde, den Kampf gegen diesen Identitätsdiebstahl und den Handel mit Identitäten und sagen würde, das ist ein großes Problem, dann würde sie es unter Strafe stellen. Wir stellen auch ganz andere, viel kleinere ...
Brink: Tut sie aber nicht, nicht?
Gercke: Nee, das tut sie nicht. Also die UN hat bereits vor vielen Jahren Empfehlungen rausgegeben, dass die Länder die Internetkriminalität oder auch Identitätsdiebstahl als Teil der Internetkriminalität kriminalisieren sollen. Viele Länder haben das auch umgesetzt, auch Entwicklungsländer, und das betrifft unter anderem dann auch die Kriminalisierung des Handels mit solchen Identitäten – Deutschland hat es nicht gemacht. Es gibt einen Entwurf des Landes Hessen, der im Bundesrat bereits einmal diskutiert wurde, der es unter Strafe stellen sollte, der dann wieder aus dem Programm genommen wurde und jetzt wieder diskutiert wird. Aber wir hinken da deutlich hinterher, was das Strafrecht angeht.
Brink: Professor Marco Gercke, Leiter des Instituts für Medienstrafrecht. Danke für das Gespräch!
Gercke: Bitte sehr!
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Deutschlandradio Kultur macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.