Nach einer aktuellen Studie, welche das Deutsche Institut für Wirtschaftsforschung (DIW Berlin) gemeinsam mit dem Brandenburgischen Institut für Gesellschaft und Sicherheit (BIGS) 2015 vorgestellt hat, ist in Deutschland jährlich von ca. 14,7 Mio. Internetstraftaten und einem Gesamtschaden von ca. 3,4 Mrd. Euro auszugehen. Auch das „Bundeslagebild Cyberkriminalität“ des Bundeskriminalamts von 2014 betont, dass die Intensität dieser „transnationalen Kriminalität“ weiter zunimmt. Die bisher in der polizeilichen Kriminalstatistik lediglich registrierten 49.925 Straftaten lassen daher keine belastbaren Aussagen zur tatsächlichen Bedrohungslage zu und stehen einer sehr großen Dunkelziffer gegenüber.
Die Gründe für diese Diskrepanz sind mannigfaltig. So werden beispielsweise viele Fälle von Cybercrime von den Opfern entweder gar nicht bemerkt oder bewusst verschwiegen, um beispielsweise die Reputation betroffener Unternehmen nicht zu gefährden. Doch selbst wenn es zu mehr Offenheit käme, sollten sich Betroffene nicht auf das Strafrecht als wirksames Mittel im Kampf gegen Cybercrime verlassen. Zum einen findet das deutsche Strafrecht in vielen Fällen keine Anwendung, zum anderen ist die Identifizierung der Täter und damit die Aufklärung der Straftaten äußerst schwierig. Und selbst wenn es tatsächlich zu einer Verurteilung kommt, sind die Betriebs- oder Geschäftsgeheimnisse im Zweifel noch immer im Netz. Anders als bei einem herkömmlichen Diebstahl erhalten die Opfer nicht die gestohlene Sache zurück und erlangen damit wieder den tatsächlichen Gewahrsam. Die Übergabe einer Festplatte oder die Versicherung des Täters, alle Daten gelöscht zu haben, können dem Opfer lediglich das Gefühl vermitteln, wieder „Herr der Daten“ zu sein. Wahrscheinlicher ist es jedoch, dass die Daten längst von Dritten auf einschlägigen Plattformen gehandelt werden.
Trotz Verurteilung der Täter ist daher nicht auszuschließen, dass Betroffene zu einem späteren Zeitpunkt von Dritten zum Beispiel mit der Veröffentlichung ihrer Daten erpresst werden. Dieses Folgeproblem wird nicht durch die im Strafrecht leider viel zu oft und vorschnell geforderte Einführung neuer Straftatbestände begegnet werden können. Auch die Erhöhung des Strafrahmens hat aufgrund der geringen Aufklärungsquote vermutlich keinen Abschreckungseffekt auf potenzielle Täter.
Eine wirksame Bekämpfung von Cyberkriminalität stützt sich damit nicht (nur) auf die Strafverfolgung, sondern vielmehr auf eine wirksame Prävention. Wie in allen technischen Bereichen gibt es auch hier keine hundertprozentige Sicherheit. Daher können Unternehmen durch beispielsweise Mitarbeiterschulungen, technische Schutzmaßnahmen sowie durch die Etablierung eines Krisenstabs und Maßnahmenkatalogs für den Fall eines Cyberangriffs, nur eine bestmögliche Vorsorge treffen. Wer immer noch glaubt, Opfer von Cyberangriffen können nur internationale Unternehmen, Prominente oder der Bundestag sein, verkennt nicht nur das tatsächliche Bedrohungs- und Gefährdungspotential, sondern offenbar auch den Wert der eigenen Daten für die Täter. Die zunehmende Vernetzung von zum Beispiel Fahrzeugen oder sonstigen Endgeräten im Rahmen der Entwicklung zum „Internet der Dinge“ bieten Cyberkriminellen immer neue „lukrative“ Möglichkeiten. Die Abkehr vom technologischen Fortschritt und der Rückgriff auf Schreibmaschine und Aktenordner im Keller bieten hier wohl den besten Schutz, sind allerdings realitätsfremd wie die Brieftaube als Ersatz für Emails.
Was also tun? Es gibt keine pauschale Lösung. Und selbstverständlich können kleinere Firmen schon aus wirtschaftlichen Gründen nicht die gleichen technischen Schutzmaßnahmen implementieren wie große und international tätige.
In einer Einzelfallbetrachtung ist festzulegen, welche Maßnahmen unter Berücksichtigung des angestrebten Schutzzwecks angemessen sind. Auch die Art der von einem Unter-nehmen verarbeiteten Daten muss Berücksichtigung finden. Geht es um besonders sensible Daten, ist unbedingt ein höherer Sicherheitsstandard zu gewährleisten. Zusätzlich sind immer auch die einschlägigen gesetzlichen Vorgaben (z.B. Bundesdatenschutzgesetz, IT-Sicherheitsgesetz oder Telemediengesetz) zu beachten. Neben technischen sollten Unternehmen auch organisatorische Maßnahmen ergreifen und ein „Präventionsteam Cybercrime“ etablieren, das das bestehende Konzept gegen Cyberangriffe bewertet und vor allem ständig anpasst. Im Schadensfall fungiert es als Krisenteam und kann schnell und effizient handeln. Dem „Präventionsteam Cybercrime“ angehören sollte neben der Geschäftsführung insbesondere der Leiter der IT-Abteilung, der betriebliche Datenschutzbeauftragte, ein mit dem Sachgebiet vertrauter Jurist und ein Experte zu Öffentlichkeitsarbeit und Krisenkommunikation. Präventiv muss regelmäßig folgendes betrachtet werden:
- Prüfung der Datenverarbeitungsprozesse sowie der technischen und organisatorischen Maßnahmen auf Gesetzeskonformität,
- Identifizierung und Minimierung besonders riskanter Sachverhalte (z.B. die Nutzung privater Geräte für dienstliche Zwecke, Nutzung von externen Datenträgern)
- Anpassung und Schulung der IT-Richtlinien für alle Mitarbeiter,
- Prüfung der Notwendigkeit eines Versicherungsschutzes,
- Etablierung eines Krisenstabes und Maßnahmenkatalogs für den Fall eines Cyberangriffs,
- Kontinuierliche Auswertung aller informell oder öffentlich bekannt gewordenen Schadensfälle im Sinne einer „lernenden Organisation“
Im Falle eines Cyberangriffs hat der Krisenstab neben IT-technischen Maßnahmen ein umfangreiches Szenario abzuarbeiten:
- Beachtung gesetzlicher und vertraglicher Informationspflichten (z.B. ggü. Betroffenen oder der Aufsichtsbehörde): Werden die gesetzlichen Pflichten nicht oder nur unzureichend beachtet, drohen dem Unternehmen nicht nur die Schäden aus der Cyberattacke, sondern zudem vermeidbare Bußgelder oder gar zivilrechtliche Forderungen und Strafverfahren,
- Prüfung und Abwehr von Schadenersatzansprüchen betroffener Personen,
- Prüfung und Durchsetzung von Schadenersatzansprüchen gegen einen Vertragspartner wegen einer Vertragsverletzung,
- Stellung einer Strafanzeige,
- Prüfung und Durchsetzung von Schadenersatzansprüchen gegen den Täter,
- Geltendmachung des Versicherungsschadens
- Abstimmung der Öffentlichkeitsarbeit.
Das Bedrohungs- und Gefährdungspotenzial im Bereich Cybercrime ist bereits sehr hoch und wird unter Berücksichtigung der Nutzung und Verbreitung neuer technischer Entwicklungen noch deutlich zunehmen. Da dies ein neues und schnell wachsendes Feld ist werden wir zukünftig mit neuen Sachverhalten in hohem Tempo konfrontiert werden. Wer weiterhin wichtige Präventionsmaßnahmen nicht oder nur rudimentär berücksichtigt, verkennt sowohl die Qualität und Quantität krimineller Aktivitäten wie auch das Potenzial des eigenen Schadens.