Datendiebstahl
Der Begriff Datendiebstahl sowie der auch gebräuchliche Begriff Datenklau bezeichnen einen Tatbestand, bei dem sich jemand unbefugt geheime oder personenbezogene Daten beschafft.
Vorgang
Der Begriff Datendiebstahl ist in der digitalen Welt eigentlich unzutreffend, da die Daten üblicherweise gar nicht entwendet, sondern unbefugt kopiert werden. Geschieht der Datendiebstahl durch die Beeinflussung einer Datenverarbeitung, wird auch von Computerbetrug gesprochen.
Die Daten können beispielsweise aus Briefen, durch Skimming oder aus der Computerinfrastruktur entnommen werden.[1] Andere Möglichkeiten, unbemerkt an Daten zu gelangen, bestehen für Computerkriminelle durch Phishing, Vishing oder Snarfing. Oft wird einem Nutzer die Seite eines bekannten Internet-Dienstes vorgetäuscht, um illegal an die Daten zu kommen beziehungsweise Zugriff auf das entsprechende Benutzerkonto zu erlangen.
Auch Geldautomaten sind häufig und auf vielfältige Weise Ziel von Angreifern, die in den Besitz von Informationen zur Anmeldung an solchen Geräten kommen wollen, wie der Kontonummer oder der persönlichen Identifikationsnummer (PIN).[2]
Missbrauch
In vielen Fällen werden gestohlene Daten missbraucht, beispielsweise um unerlaubt Geld abzuheben, Identitäten zu fälschen oder Betriebsgeheimnisse auszunutzen. Gestohlene Daten können aber auch veröffentlicht oder den rechtspflegenden Behörden zugespielt werden, was in gewissen Fällen als eine Art "whistleblowing" aufgefasst wird.
Bekannte Datendiebstähle wurden von Bradley Manning, Edward Snowden und Hervé Falciani durchgeführt.
In manchen Fällen werden von Servern im Internet gleich mehrere Millionen Kennwörter gestohlen, um zum Beispiel E-Mail-Konten zu kompromittieren, indem diese zum Spam-Versand missbraucht werden.[3]
Gegenmaßnahmen
Es wird empfohlen, möglichst sichere Kennwörter zu verwenden, diese regelmäßig zu wechseln und für verschiedene Dienste auch verschiedene Kennwörter zu verwenden.[4]
Datenverbindungen in Funknetzen sollen mit einer gut gesicherten Verschlüsselung über ein entsprechendes Verschlüsselungsprotokoll betrieben werden.[5]
Ferner besteht bei zunehmend vielen Anwendungen, die eine Anmeldung bei Internet-Diensten erfordern, die Möglichkeit, zusätzliche Maßnahmen, wie die Zwei-Faktor-Authentifikation einzusetzen.[6]
Wenn Datendiebstahl verhindert oder zumindest vom Umfang her eingeschränkt werden soll, gelten grundsätzlich die Gebote der Datenvermeidung und Datensparsamkeit.
Rechtslage
In Deutschland
In Deutschland ist das Ausspähen von Daten gemäß § 202a Strafgesetzbuch (StGB) strafbar. In der 1986 in Kraft getretenen Fassung stellte der Gesetzgeber die unberechtigte Verschaffung von Daten als Ausspähen von Daten unter Strafe. Diese Bestimmung betrifft nur Daten, die elektronisch, magnetisch oder sonst nicht wahrnehmbar gespeichert sind. Tatbestandsvoraussetzung ist danach, dass ein Täter nicht für ihn bestimmte – und gegen den unberechtigten Zugriff besonders geschützte – Daten in seine Verfügungsgewalt gebracht hat.[7] Damit ist nicht jeder unberechtigte Zugriff auf ein Computersystem allgemein, sondern nur in Verbindung mit dem Ausspähen von Daten strafbar.
Auch das Vorbereiten der Tat ist strafbar, also zum Beispiel das Beschaffen einer entsprechenden Software.
In der Schweiz
Das Wort Datendiebstahl kommt in Medienmitteilungen vor, wohl aber nicht im Strafgesetzbuch. So hat die Bundesanwaltschaft Hervé Falciani Datendiebstahl vorgeworfen, die Anklage lautet aber „unbefugte Datenbeschaffung“ (Art. 143 Abs. 1 StGB).[8]
Einzelnachweise
- Was sind Datenmissbrauch & Datendiebstahl?, Fellowes.
- Datenklau am Geldautomaten: So schützen Sie sich, test.de, 29. September 2009, abgerufen am 22. Februar 2015
- Erneuter Datenklau: BSI warnt Internetnutzer, test.de, 7. April 2014, abgerufen am 22. Februar 2015
- Datenklau bei Ebay: Passwort ändern, test.de, 26. Juni 2014, abgerufen am 22. Februar 2015
- WLan: Unbedingt verschlüsseln, test.de, 24. Juni 2010, abgerufen am 23. Februar 2015
- Zwei-Faktor-Authentifikation: So funktioniert sie, test.de, 28. Januar 2014, abgerufen am 22. Februar 2015
- Marco Gercke/Phillip W. Brunst, Praxishandbuch Internetstrafrecht, 2009, S. 89
- Datendiebstahl bei HSBC Private Bank in Genf: Anklageerhebung, Schweizerische Bundesanwaltschaft, 11. Dezember 2014.