Die Zahl der Hackerangriffe nimmt seit Jahren zu – und mit ihr die finanziellen Schäden für Unternehmen und öffentliche Institutionen. Allein in den USA sollen die durch Cyberkriminalität verursachten Kosten jährlich 6,8 Milliarden Euro betragen, weltweit sind es sogar mehr als 300 Milliarden Euro. Grund dafür ist auch die zunehmende Professionalisierung und Kommerzialisierung der Branche. "Ransomware as a Service", also mietbare Schadsoftware, ist zu einem eigenen Geschäftsmodell geworden. Nur selten treffen Angriffe ein spezifisches Ziel, da im Fokus der Akteure vor allem der Profit liegt.

Dem gegenüber steht die Tatsache, dass selbst kleine und mittelständische Unternehmen heutzutage kaum noch ohne ein eigenes IT-System auskommen – häufig aber wenig über die notwendigen Sicherheitsvorkehrungen wissen, wie DER STANDARD berichtete. Strafverfolgungsbehörden ist es außerdem nur selten möglich, erfolgreich Tätergruppen aufzuspüren und zur Rechenschaft zu ziehen. Ganz davon abgesehen, dass jeder Mensch zum Opfer von Straftaten im Internet werden kann.

Cybercrime Convention

An einer Verbesserung des Status quo wird schon gearbeitet, unter anderem auf Ebene der Vereinten Nationen. In Wien und New York wird aktuell die sogenannte Cybercrime Convention verhandelt. Ein grenzüberschreitendes Regelwerk zur "Bekämpfung der Nutzung von Informations- und Kommunikationstechnologien für kriminelle Zwecke", wie es auf der Website der UN heißt. Beschlossene Maßnahmen müssten teilnehmende Staaten im Falle einer Einigung in nationales Recht gießen.

Laut der österreichischen Grundrechtsorganisation Epicenter Works werde mit der Konvention demnach "ein globaler Standard für Internetkriminalität und deren Verfolgung geschaffen". Betroffen sind von dieser aber keinesfalls nur Hackerangriffe. Neben Terrorismus und Extremismus finde man auch "klassische Cybercrime-Tatbestände" wie den illegalen Zugriff auf Computersysteme, das illegale Abgreifen von Daten und den Missbrauch oder die Störung von Computersystemen im Rohentwurf des Abkommens.

Allumfassend

Das ist allerdings nicht alles. Epicenter hebt in seinem Blogbeitrag hervor, dass der Entwurf auch klassische Straftaten aufliste, solange diese "mithilfe eines Computers durchgeführt werden". Darunter beispielsweise "computerbezogener Diebstahl, Betrug und Fälschungen oder die unerlaubte Verwendung elektronischer Zahlungsmittel". Sogar dem Schutz vor sexuellem Missbrauch von Kindern und Datenschutzverletzungen würden sich die Vereinten Nationen widmen – obwohl es bestehende oder in Arbeit befindliche Gesetzes gibt, die sich mit genau diesen Themen befassen.

Dieses sehr umfangreiche Maßnahmenpaket trifft nicht nur auf Zustimmung, sondern auf ebenso viel Kritik von Datenschützern. Das konkrete Problem sei laut Epicenter, dass manche Staaten "teils hochgradig invasive Instrumente vorgeschlagen" hätten, die in den Rohentwurf aufgenommen wurden. Dabei seien ebendiese "durch viele höchstgerichtliche Entscheidungen als menschenrechts- und verfassungswidrig anerkannt" worden. Am zentralsten sei laut Epicenter Works allerdings die angestrebte Erleichterung von grenzüberschreitender Strafverfolgung. Das Ziel sei also, "die Datenzugriffsmöglichkeiten für Strafverfolgungsbehörden durch weltweite Interoperabilität massiv" auszuweiten.

Rückkehr der Vorratsdatenspeicherung

Eine Reihe neuer Befugnisse soll den Ermittlerinnen außerdem die Arbeit erleichtern. Diese, so die die Datenschutzorganisation, würden aber zumindest "teilweise die Grundrechte aller Bürger:innen gefährden". Geplant sei nämlich die Einführung eines Systems für den Quick Freeze von Daten, sollten diese von Behörden angefragt werden. Aber auch eine Form der Vorratsdatenspeicherung. Zur Erinnerung: Frühere Versuche, eine pauschale Speicherung von Internet- und Telefonverbindungsdaten einzuführen, sind bereits vor dem Europäischen Gerichtshof abgeblitzt.

Neben den genannten finden sich im derzeit verhandelten Entwurf eine Vielzahl weiterer Maßnahmen. Welche von ihnen es in die finale Fassung der Cybercrime Convention schaffen werden, ist noch unsicher. Die Verhandlungen dauern an und sollen erst im Jänner 2024 abgeschlossen werden. Epicenter Works warnt allerdings schon jetzt, dass der UN-Vertrag "potenziell ein hohes Risiko durch eine global ausgeweitete staatliche Überwachung und hochgradig invasive Ermittlungsinstrumente" darstelle. (mick, 21.1.2023)