Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Das Computerstrafrecht

Veröffentlicht von:Sandra Davidsen Geändert vor über 5 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Das Computerstrafrecht"—  Präsentation transkript:

1 Das Computerstrafrecht
SE Informatik und Recht Jörg Pohle Referenden: Karolina Mileszko und Martin Werner das ist meine Partnerin Karolina und ich heiße Martin Wir werden uns heute mit dem Thema „Das Comupterstrafrecht“ befassen

2 Agenda Motivation – Warum gibt es das Computerstrafrecht?
Die wichtigsten Paragraphen und ihre Bedeutung Fallbeispiele und Gerichtsentscheidungen Weiterführende Statistiken Zu allererst werden wir kurz etwas dazu sagen, warum es überhaupt spezielle Computerstrafrechts Paragraphen gibt Dann werden wir die wichtigsten Paragraphen im einzelnen vorstellen und uns an einer Interpretation versuchen danach werden wir 2 Beispiele für Comupterstraftaten vorstellen und jeweils eine Gerichtsverhandlung dazu präsentieren Zum Abschluss wollen wir noch ein paar allgemeine Statistiken vorstellen

3 Warum gibt es Computerstrafrecht?
Gründe für Computerstrafrecht Im Grundgesetz Artikel 103 wird bestimmt, dass eine Handlung nicht bestraft werden kann, wenn ihre Strafbarkeit im Gesetz nicht erfasst ist Dem Gesetz früher kein Begriff der Daten, Datenverarbeitung, etc. bekannt war, so dass lange Zeit Computerverbrecher unbestraft geblieben sind Aber: Computerstrafrecht ist kein scharf abgrenzbarer Bereich, sondern weist viele Überschneidungen mit anderen straf- rechtlichen Gesetzen auf

4 Agenda Motivation – Warum gibt es das Computerstrafrecht?
Die wichtigsten Paragraphen und ihre Bedeutung Fallbeispiele und Gerichtsentscheidungen Weiterführende Statistiken Kommen wir nun zu den wichtigsten Paragraphen des Computerstrafrechts

5 § 202a – Ausspähen von Daten
Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. (2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden. Geschichte und Entstehung Am fand eine Sachverständigenanhörung vor dem Rechtsausschuss des Bundestages statt, in der die Frage aufkam: Ob es strafrechtlich relevant ist, wenn jemand in ein Datenverarbeitungssystem eindringt Ulrich Sieber gab damals den Anstoß für die Verfassung des Gesetzestextes und dessen Inhalt Der Gesetzestext wurde 1986 mit dem 2. Gesetz zur Bekämpfung der Wirtschafts- kriminalität (WiKG) in den Besonderen Teil des Strafgesetzbuches eingefügt Der Grundgedanke entstammt dem § 202 (Briefgeheimnis) und § 203 (Privatgeheimnis) Der § 202a ist im Prinzip der Kern des Computerstrafrechts Ich werde kurz etwas zu der Geschichte und der Entstehung des § sagen Ihr könnt euch in der Zeit den Gesetzestext durchlesen Auf der nächsten Folie gehe ich dann noch etwas genauer auf den inhalt ein Der § 202a ist schon relativ früh ins Stgb aufgenommen wurden Und zwar fand am eine Sachverständigenanhörung vor dem Rechtsausschuss des Bundestags statt, wo man zu der frage kam, ob es strafrechtlich relevant ist, wenn jemand in ein DV system eindringt Einer der beiden Sachverständigen war Ullrich Sieber, welcher damals den Anstoss gab und auch einen ersten Entwurf des Gesetzes entwickelte 1986 wurde das Gesetz dann im Zuge des 2. Gesetzes zur Bekämpfung der Wirtschaftskriminalität in den Besonderen Teil des Stgbs eingefügt Damals wollte man also eher die großen Firmen vor Wirtschaftsspionage schützen, da das Internet für Privatanwender noch keine Rolle gespielt hat Der Grundgedanke entstammt den § 202 (briefgeheimnis) und 203 (privatgeheimnis) und überträgt dies auf den Computer und die Daten

6 § 202a – Ausspähen von Daten
Bedeutung und Interpretation Was sind Daten im Sinne des Gesetzes? Zeichen- und Symbolabfolgen die durch ein festes Regelwerk sprachlich interpretiert werden können Speichern umfasst das unveränderliche Bestehen bleiben dieser Zeichenfolgen Übermitteln umfasst eine Zielgerichtete Weiterleitung der Daten von A nach B Was ist eine „besondere Sicherung“? Eine Sicherung liegt dann vor, wenn die Daten nicht öffentlich zugänglich sind und der Zugang zu den Daten durch geeignete Vorkehrungen erschwert wird Das Überwinden einer Zugangshürde ist Vorraussetzung für die Verwirklichung des Tatbestandes Wer ist (nicht) berechtigt auf die Daten zuzugreifen? Derjenige der die Verfügungsbefugnis über die Daten hat, entscheidet wer befugt ist auf die Daten zuzugreifen Alle anderen sind unbefugt Die Verfügungsbefugnis erhält derjenige, der die Daten „erschaffen“ hat Damit der Inhalt des Gesetzes klarer wird, möchte ich kurz ein Paar Begriffe erläutern Im Text taucht der begriff „Daten“ auf Wie sind Daten aber im Sinne des Gesetzes definiert? Daten sind Zeichen- oder Symbolabfolgen, die durch ein festes Regelwerk sprachlich interpretiert werden können Speichern umfasst dabei das unveränderliche Bestehenbleiben der Zeichenfolgen Unter Übermitteln versteht man eine Zielgerichtete Weiterleitung der Daten von einem Ort A zu einem Ort B Was muss ich tun damit die Daten besonders gesichert sind? Die Daten sind dann besonders gesichert, wenn die Daten nicht öffentlich zugänglich sind und wenn geeignete Vorkehrungen getroffen wurden, die den Zugang erschweren Dabei spielt dass Überwinden einer Zugangshürde die entscheidende Rolle um, den Tatbestand zu verwirklichen Wer zählt nun aber zu den Menschen die berechtigt sind auf die Daten zuzugreifen und wer ist nicht berechtigt? Grundsätzlich entscheidet derjenige der die Verfügungsberechtigung über die Daten hat, wer berechtigt darauf zugreifen darf und wer nicht Alle die er nicht autorisiert sind auch nicht berechtigt darauf zuzugreifen Die Verfügungsberechtigung erhält immer derjenige der die Daten erschaffen hat Die Verfügungsberechtigung ist auf andere Personen übertragbar Zusammenfassend kann man sagen, dass man sich nach § 202a strafbar macht, wenn man unberechtigter Weise auf Daten die besonders gesichert sind zugreift Versucht man auf ungesicherte Daten zuzugreifen so ist dies nach § 202a nicht strafbar Beispiele für Straftaten die unter dieses Gesetz fallen sind: die Ausnutzung von Exploits und Trapdoors, der Zugriff auf die Daten mittels Trojaner oder Viren, das Sniffing von verschlüsselten Paketen und WarDriving sofern man dabei in verschlüsselte WLANs eindringt Fallbeispiele die unter dieses Gesetz fallen: Ausnutzung von Exploits oder Trapdoors um in ein System zu gelangen Trojaner und Viren die in Systeme eindringen und Informationen sammeln Sniffing und WarDriving um Informationen während der Übertragung abzufangen

7 „ „ § 202b – Abfangen von Daten
Wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft, wenn die Tat nicht in anderen Vorschriften mit schwererer Strafe bedroht ist. Geschichte und Bedeutung Dieser Teil des Gesetzes wurde am 07. August 2007 zusammen mit § 202c im Rahmen des 41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität hinzugefügt Es wird hier konkret das „Abhören“ der Daten während der Übertragung unter Strafe gestellt Die Verschlüsselung der Daten ist hier die einzige Möglichkeit die Übertragung „besonders zu sichern“ (i.S.d. § 202a Abs. 1) Das Abfangen ungesicherter Pakete ist nicht strafbar Ebenso wie das Abfangen von gesicherten Paketen, solange ich nicht versuche die Verschlüsselung zu umgehen bzw. knacken § 202b beschäftigt sich insbesondere mit dem Abfangen von Daten bei der Übermittlung Das Gesetz ist noch relativ neu und wurde am 07. August 2007 zusammen mit dem $ 202c im Rahmen des 41. Strafrechtsänderungsgesetzes zur Bekämpfung der Computerkriminalität dem STGB hinzugefügt Es stellt insbesondere das Sniffing von verschlüsselten Paketen und das anschließende Dekodieren unter Strafe Das Verschlüsseln der Pakete ist die einzige Möglichkeit um bei der Übertragung die Daten „besonders zu sichern“ wie es § 202a vorschreibt Das Abfangen ungesicherter Pakete ist nicht strafbar Das gilt auch für verschlüsselte Pakete die anschließend nicht entschlüsselt werden

8 § 202c – Vorbereiten des Ausspähens und Abfangens von Daten
(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er 1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder 2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) § 149 Abs. 2 und 3 gilt entsprechend. Geschichte und Bedeutung Der sog. „Hackerparagraph“ wurde ebenfalls zusammen mit § 202b dem Gesetz hinzugefügt Er stellt die Anfertigung, die Verbreitung und den Besitz von sog. Hackingtools und das Knacken und Weitergeben von Passwörtern etc. unter Strafe Es fehlt eine genauere Definition der „Computerprogramme“ Bislang fallen selbst Tools unter diesen Begriff, die dem Zweck dienen, Sicherheitslücken aufzuzeigen Deswegen gilt er als der kontroverseste und umstrittenste Teil des § 202 § 202c befasst sich mit der Vorbereitung eines Angriffes auf ein EDV System Er wird auch als „Hackerparagraph“ bezeichnet, denn er stellt das Herstellen und den Besitz von Hackingtools und das Knacken und Weitergeben von Passwörtern oder Sicherheitscodes unter strafe Das größte Problem dieses §, ist dass der Begriff Computerprogramme sehr allgemein ist und somit auch Tools darunter fallen, die von Admins benutzt werden, um Sicherheitslücken durch gezielte Angriffe aufzudecken Deshalb gilt er als umstrittenster und kontroversester Teil des Computerstrafrechts Auf Grund der unzureichend genauen Begriffsbezeichnung wird die Forderung nach einer Eingrenzung des Begriffes „Computerprogramme“ immer lauter

9 § 263a – Computerbetrug Wer in der Absicht, sich oder einem Dritten einen rechtswidrigen Vermögensvorteil zu verschaffen, das Vermögen eines anderen dadurch beschädigt, daß er das Ergebnis eines Datenverarbeitungsvorgangs durch unrichtige Gestaltung des Programms, durch Verwendung unrichtiger oder unvollständiger Daten, durch unbefugte Verwendung von Daten oder sonst durch unbefugte Einwirkung auf den Ablauf beeinflußt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. § 263 Abs. 2 bis 7 gilt entsprechend. Wer eine Straftat nach Absatz 1 vorbereitet, indem er Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, feilhält, verwahrt oder einem anderen überlässt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. In den Fällen des Absatzes 3 gilt § 149 Abs. 2 und 3 entsprechend. Geschichte und Entstehung Ebenfalls Bestandteil des 2. Gesetzes zur Bekämpfung der Wirtschaftskriminalität (WiKG) Eingefügt im Zweiundzwanzigsten Abschnitt „Betrug und Untreue“ des StGBs

10 § 263a – Computerbetrug Bedeutung und Interpretation
§ 263a StGB stellt ein Vermögensdelikt dar, d.h. es schutz das Individualvermögen Dritter Datenbegriff ist weiter als in § 202a StGB zu fassen Der Versuch ist strafbar wegen der Anlehnung an § 263 StGB Besonderheiten Die Tat zum Lasten eines Familienangehörigen oder Hausgenossen bzw. geringen Vermögensschaden wird nur auf Antrag verfolgt Mediendelikte, die unter dieses Gesetz fallen: Tathandlung: unrichtige Programmgestaltung Ein Bankmitarbeiter manipuliert ein Buchungsprogramm so, dass immer ein Teil der Abbuchungen bei ihm auf dem Konto landet Dialer, die bewusst installiert werden, aber alle DFÜ Verbindungen des Nutzers heimlich und ungewollt ändern Tathandlung: Verwendung unrichtiger oder unvollständiger Daten Das Geld wird am Bankautomaten mit Hilfe einer manipulierten EC-Karte abehoben Tathandlung: Unbefugte Verwendung von Daten Das Geld wird gegen Willen des Kontoinhabers mit dessen PIN/TAN abgehoben Tathandlung: Unbefugte Einwirkung auf den Ablauf Leerspielen eines Automaten unter der Verwendung eines rechtswiedig erlangten Programms, das den Ablauf des Spiels berechnen lässt

11 § 269 – Fälschung beweiserheblicher Daten
Wer zur Täuschung im Rechtsverkehr beweiserhebliche Daten so speichert oder verändert, daß bei ihrer Wahrnehmung eine unechte oder verfälschte Urkunde vorliegen würde, oder derart gespeicherte oder veränderte Daten gebraucht, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. Der Versuch ist strafbar. § 267 Abs. 3 und 4 gilt entsprechend. Geschichte und Entstehung Dieser Paragraph trat zusammen mit den Paragraphen 202a im Jahr 1986 im Rahmen des WiKG in Kraft Er bezweckt den Schutz des Rechts- und Beweisverkehrs, wenn dabei auf beweiserhebliche Daten zurückgegriffen werden muss Es soll nicht die Richtigkeit des Inhaltes der Daten gewährleistet werden, sondern nur die Echtheit der Daten Grundlage für § 269 ist der Paragraph 267, welcher die Fälschung von Urkunden unter Strafe stellt Der § 269 befasst sich im wesentlichen mit Urkundenfälschungen im Computerbereich Er wurde zusammen mit dem § 202a im Jahr 1986 in das StGB eingefügt Er dient dem Schutz des Beweis- und Rechtsverkehrs, wenn dabei auf beweiserhebliche Daten zugegriffen werden muss Also im wesentlichem dem Schutz von elektronischen Beweismitteln Zu den Begriffsklärungen komme ich gleich Dabei bezieht er sich nicht auf die Richtigkeit der Daten, sondern nur auf deren Echtheit bzw. dass sie nicht verändert wurden Als Basis für den § 269 ist der § 267 anzusehen, welcher allg. Urkundenfälschung unter Strafe stellt

12 § 269 – Fälschung beweiserheblicher Daten
Bedeutung und Interpretation Was sind beweiserhebliche Daten im Sinne des Gesetzes? Daten sind beweiserheblich wenn sie für das Rechtsleben relevant sind und als Beweismittel dienen können (z.B. IP – Adressen, Kundendaten, Kontostände, etc.) Was ist eine Urkunde i.S.d. Strafrechts? Eine Urkunde ist ein schriftliche Gedankenäußerung Es muss der Aussteller erkennbar sein und sie muss als Beweismittel gelten können Was umfasst das Verändern von Daten? Verändern umfasst hier das Manipulieren der Daten, sodass sich bei Verwendung dieser, eine unechte Urkunde ergeben könnte Was umfasst das Gebrauchen der Daten? Von „gebrauchen“ der Daten spricht man dann, wenn der Täter das Opfer von den manipulierten Daten in Kenntnis setzt und ihm somit die falschen Daten als Echte vorlegt Was sind denn beweiserhebliche Daten? Beweiserhebliche Daten sind solche, die für das Rechtsleben relevant sind und als Beweismittel dienen können Dazu zählen unter anderem: IP-adressen, Kundendaten, Kontostände und so weiter Was ist denn überhaupt eine Urkunde? Eine Urkunde ist eine schriftliche Gedankenäußerung, auf der erkennbar sein muss, wer der Aussteller der Urkunde ist Außerdem muss sie als Beweismittel dienen können Was umfasst nun das Verändern der Daten? Verändern bedeutet hier, das Manipulieren der Daten, sodass wenn man sie verwendet eine unechte Urkunde entstehen könnte Also kurz gesagt umfasst es das Manipulieren von Beweismitteln Wenn ich dem zu Täuschendem nun die manipulierten Daten vorlege und ihm somit versuche die falschen Daten als Echte unterzujubeln dann spricht man von „gebrauchen“ der Daten Phishing wäre nun ein Beispiel dass nach diesem Gesetz strafbar ist Auf Phishing werde ich später noch genauer eingehen IP-Spoofing, also das manipulieren der eigenen IP-Adresse, gehört ebenfalls zu den Beispielen die laut § 269 strafbar sind Ähnlich verhält es sich mit EC- und Telefonkarten Missbrauch Fallbeispiele die unter dieses Gesetz fallen: Phishing und IP - Spoofing EC- und Telefonkarten - Missbrauch

13 „ „ § 303a – Datenveränderung
Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. (2) Der Versuch ist strafbar. Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend. Geschichte und Entstehung „Heute tritt das "Zweite Gesetz zur Bekämpfung der Wirtschaftskriminalität" in Kraft: Ab sofort kein Pardon mehr für Computer-Täter“ - Titel eines Artikels in „Computerwoche“ vom (*) Eingeführt als Bestandteil des 2. Gesetzes zur Bekämpfung der Wirtschaftskriminalität (WiKG) Letzte Änderung zum 11. August 2007 (**) * **

14 § 303a – Datenveränderung Bedeutung und Interpretation
Das Paragraph § 303a gewährt die unversehrte Verwendbarkeit von Daten: Erfasst im siebenundzwanzigsten Abschnitt des StGB - “Sachbeschädigung“ Verfügungsberechtigung bzw. Nutzungserlaubnis schließen den Tatbestand aus Es ist egal, ob die Daten gegen unbefugten Zugang gesichert sind, da im Gegenteil zu § 202a kein Geheimnisschutzdelikt Besonderheiten: Wird nur auf Antrag oder im Falle von besonderem öffentlichem Interesse verfolgt Das Verändern von unerlaubt kopierten Daten wird nach h.M. von § 303a StGB nicht erfasst Mediendelikte, die unter dieses Gesetz fallen: DoS / DDoS-Angriffe, die zu Datenverlust führen Trojaner und Viren, die Daten löschen oder überschreiben Spam als Mittel eines gezielten Angriffs, der zu Datenverlust durch Überlastung führt

15 „ „ § 303b – Computersabotage
Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er eine Tat nach § 303a Abs. 1 begeht, Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe. (3) Der Versuch ist strafbar. In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter einen Vermögensverlust großen Ausmaßes herbeiführt, gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat, durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt. (5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

16 § 303b – Computersabotage Geschichte, Bedeutung und Interpretation
§ 303b StGB trat gemeinsam mit § 303a StGB im Jahre 1986 in Kraft und wurde ebenfalls zuletzt zum 11. August 2007 geändert Es gewährt Privatpersonen, Wirtschaft und Verwaltung ungestörten Ablauf ihrer Datenverarbeitung Von entscheidender Bedeutung ist die tatsächlich erlittene Beeinträchtigung Schwammigkeit einiger Begriffe wie „Datenverarbeitung“ oder „wesentliche Bedeutung“ führt zum Zweifel an Bestimmtheit des Tatbestands – enge Auslegung der Tatbestandsmerkmale wird gefordert „Bei Privatpersonen als Geschädigte wird darauf abzustellen sein, ob die Datenverarbeitungsanlage für die Lebensgestaltung der Privatperson eine zentrale Funktion einnimmt. So wird eine Datenverarbeitung im Rahmen einer Erwerbstätigkeit, einer schriftstellerischen, wissenschaftlichen oder künstlerischen Tätigkeit regelmäßig als wesentlich einzustufen sein, nicht aber jeglicher Kommunikationsvorgang im privaten Bereich oder etwa Computerspiele.“ (*) Besonderheiten Wird nur auf Antrag oder im Falle besonderer öffentlicher Interesse verfolgt § 303b Abs. 1 Nr. 1 StGB verdrängt § 303a StGB Mediendelikte, die unter dieses Gesetz fallen: DoS / DDoS-Angriffe, die zur Störung der DV führen Trojaner und Viren, die zusätzliche Störung der DV verursachen Hacking – wie oben *

17 Gesetze mit indirektem Bezug
Eine Auswahl weiterer Gesetze und eine kurze Erläuterung § 130 Volksverhetzung Dient der öffentlichen Sicherheit, dem friedlichen Zusammenleben und den Rechten der Betroffenen § 131 Gewaltdarstellung Stellt die Verbreitung und den Besitz von Gewaltverherrlichenden Schriften unter Strafe § 184 Verbreitung pornographischer Schriften Stellt das Zugänglichmachen von pornographischer Schriften an Personen unter 18 Jahren unter Strafe § 185 Beleidigung Stellt das Beleidigen einer Person unter Strafe § 201a Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen Die Anfertigung und Verbreitung von Aufnahmen von Personen, die nicht fotografiert werden wollen, ist strafbar Das Computerstrafrecht umfasst die Paragraphen die wir soeben vorgestellt haben Sie haben alle eins gemeinsam: sie ergänzen das bestehende StGB um Regelungen, die notwendig wurden, als der Computer und das Internet in Erscheinung traten Natürlich sind die meisten „normalen“ Gesetze auch im Internet gültig, ohne dass man dafür extra Computerparagraphen entwerfen müsste Zu diesen „normalen“ Straftaten zählen unter anderem Volksverhetzung, Verherrlichung von Gewalt, Zugänglichmachen pornographischer Schriften an Minderjährige, Beleidigung von Personen oder Verletzung des Lebensbereiches durch Bildaufnahmen Die „normalen“ Gesetze haben also auch im Internet bestand und die Computerparagraphen wurden nur eingeführt, da es Lücken im Gesetz gab, die nicht durch die anderen Gesetze abgedeckt wurden Viele bestehende Gesetze können auch auf das Internet und den Computer angewendet werden. Deshalb sind hierfür keine gesonderten Gesetze notwendig.

18 Agenda Motivation – Warum gibt es das Computerstrafrecht?
Die wichtigsten Paragraphen und ihre Bedeutung Fallbeispiele und Gerichtsentscheidungen Weiterführende Statistiken Als nächstes werden wir 2 Beispiele für Straftaten die unter das Computerstrafrecht fallen vorstellen und jeweils eine Gerichtsentscheidung dazu präsentieren

19 Was ist und wie funktioniert DoS / DDoS ?
DoS – Denial of Service oder auf Deutsch „Dienstverweigerung“ ist ein Angriff auf einen Server in einem Datennetz mit dem Ziel, eine oder mehrere seiner Dienste arbeitsunfähig zu machen DDoS – Distributed Denial of Service oder „verteilte Dienstblockade“ ist ein DoS Angriff, der koordiniert von einer größeren Anzahl der Systeme aus erfolgt Botnets sind Gruppen von Software-Bots, die ohne Wissen der Inhaber auf Computern installiert und vor den Betreibern für ihre Zwecke genutzt werden Kurzes Filmmaterial von BBC zum besseren Verständnis Visualisierung eines DDoS-Angriffes

20 DoS / DDoS in Zahlen und Fakten
Die erste bedeutende DoS Attacke fand im Jahr 1988 mithilfe des Morris-Wurms statt. Es wurden ca Rechner lahm gelegt ( damalig ca. 10 % des weltweiten Netzes) Andere größere bzw. bekannte DDoS-Angriffe: Im Februar 2000 wurden solche große Internet- dienste wie eBay, Yahoo oder CNN lahm gelegt Ende Januar 2005 fiel der Server von Heinz- Heise - Verlag nach einem DDoS - Angriff für zwei Tage aus. April / Mai 2007 wurden die Server der estnischen Regierung und von Unternehmen in Estland attackiert. Es handelte sich um den schwersten DDoS Angriff gegen ein Land. In Deutschland gab es im Jahre 2008 n.A. von Bochumer Antivirus Software „G Data“ 10 % aller Botnet-Rechner (*) (Spitzposition weltweit) Das israelischen Sicherheitsunternehmen „Finjan“ entdeckte im April 2009 die bislang größte Botnetz.Nach Angaben der Firma sollten 1,9 Millionen Rechnern inifiziert werden. Die meisten gekaperten Rechner hätten IE als Standard-Browser benutzt. Sie wären außerdem über 77 Länder verteilt: davon 45 % in USA und in Deutschland nur 4 %. (**,***) * details/article/35-deutschland-ist-weltmeister-g.html ** benutzen-meist-IE html ***

21 Strafbarkeit der DoS-Angriffe
Beispiel von Online-Demo gegen Lufthansa Tatbeschreibung: Betreiber „A“ einer Seite mit politischen Inhalten rief auf Ihrer Homepage zu einer „Online-Demo“ gegen gegen das Abschiebegeschäft der Lufthansa auf – durch sehr große Besucheranzahl wurde die Webseite von Lufthansa gesperrt (20. Juni 2001). Dem Unternehmen entsteht ein Schaden von €. Gerichtsurteile: 1. AG Frankfurt/Main erklärt den „A“ für schuldig einer Nötigung nach § 111 StGB 2. OLG Frankfurt a. Main hebt das 1. Urteil auf Folgende Paragraphen fanden letztendlich keine Anwendung: § 303 a – da keine Datenveränderung o. Unterdrückung vorlag § 303 b – da in der alten Fassung nur die Anknüpfung an § 303 a oder Hardwarebeschädigung § 240 u. § 111 StGB – keine Nötigung u. keine Drohung ( Mausklick kann nicht als Gewalt erfasst werden) Nach der Änderung des § 303 b StGB wurden die Online-Demos strafbar (bzw. DDoS Angriffe)

22 Phishing: Definition und Rechtslage
Was ist Phishing? Wann / Warum ist Phishing strafbar? erste dokumentierte Phishing-Versuch fand am 2. Januar 1996 Phishing leitet sich aus dem Wort „fishing“ und „harvesting“ ab Phishing ist der Versuch über gefälschte Internetadressen an sensible Daten einer Person zu gelangen Es wird oft dazu verwendet, um an Bankkontodaten oder andere Nutzerkontodaten zu gelangen Dazu wird oft eine täuschend echt wirkende verschickt, die den Empfänger auf- fordert sich mit seinen Zugangsdaten auf der Seite, auf die der integrierte Link verweist, einzuloggen Typisch hierfür ist die Nachahmung einer real existierenden Webseite, um den Nutzer in Sicherheit zu wiegen und ihn dazu zu bewegen an die Echtheit der Seite zu glauben Dabei speichert der Täter die eingegebenen Daten um später selbst Transaktionen damit ausführen zu können Das reine Abgreifen der Daten ist nur dann strafbar, nach § 202a, wenn z.B. ein Trojaner verwendet wird, um Sicherheitsmechanismen zu umgehen Wenn die versandte oder die erzeugte Webseite die Merkmale einer Urkunde hat, dann fällt die Nachahmung einer vorhandenen Webseite unter § 269 „Fälschung beweiserheblicher Daten“ und ist somit strafbar Außerdem muss der Inhalt der / Webseite das Vertragsverhältnis zwischen beiden Parteien berühren (z.B. das Opfer auffordern eine TAN einzugeben) Als zweites Beispiel soll das sog. Phishing dienen Der Begriff Phishing leitet sich aus den englischen Wörtern „fishing“ und „harvesting“ ab Der erste dokumentierte Phishingfall fand am 2. Januar 1996 statt Der Zweck des Phishing besteht darin, das Opfer dazu zu bewegen dem Täter seine Bank- oder Kontodaten mitzuteilen, damit der Täter diese dazu verwenden kann um sich einen wirtschaftlichen Vorteil zu erschleichen Dazu wird häufig eine an das Opfer versandt, welche so aussieht als käme sie direkt von der Bank oder einer dem Opfer bekannten Institution In dieser wird das Opfer aufgefordert seine Logindaten auf der Webseite einzugeben, auf die der mitgelieferte Link verweist Der Link verweist dabei z.B. auf eine echt anmutende Bankseite, sodass das Opfer kein Verdacht schöpft Hat der Täter erst einmal die Daten abgegriffen, führt er damit Transaktionen aus um sich selbst zu bereichern Inwiefern ist Phishing nun strafbar? Wenn das Opfer seine Kontodaten „freiwillig“ auf der Phishing Seite eingibt, dann ist das Abfangen der Daten nach § 202a nur dann strafbar wenn der Täter dafür z.B. einen Trojaner einsetzt und somit eine Zugangshürde (die Firewall des Opfers) überwindet Das reine abgreifen der Daten ist demnach nicht strafbar Allerdings ist es durchaus strafbar, eine existierende Webseite nachzuahmen um so das Opfer zu täuschen Denn dann handelt es sich um eine Form der Urkundenfälschung nach § 269 Dazu muss die Webseite allerdings alle Merkmale einer Urkunde aufweisen und der Inhalt der oder der Webseite muss das Vertragsverhältnis des Kunden und der Bank berühren Hat der Täter die Daten abgegriffen und verwendet diese, zudem um sich selbst einen wirtschaftlichen Vorteil zu verschaffen, dann ist dies auch nach § 263a strafbar Die unbefugte Nutzung der erschlichenen Zugangsdaten um sich einen Vermögensvorteil zu verschaffen ist nach § 263a „Computerbetrug“ strafbar

23 Phishing: Merkmale einer Phishingmail
Hier seht ihr mal wie man erkennt ob es sich um eine Phishingmail handelt oder nicht Aufpassen muss man wenn z.B. eine persönliche Anrede und Kundennummer fehlt Außerdem kann man die Echtheit des Links überprüfen, indem man wenn man die Maus darüber hält in die Statusleiste des Browser schaut, wo normalerweise die echte Zieladresse steht Man sollte sich auch vor Augen halten, dass keine Bank jemals von ihren Kunden verlangen wird, sich mit ihren Daten auf einer Webseite auf die der mitgelieferte link verweist einzuloggen Auch grammatikalische Fehler oder Formatierungsfehler sind ein Indiz für eine gefälschte

24 Phishing: Bekannte Gerichtsentscheidungen
Urteil: Banken haften für Schäden die durch Phishing entstehen Urteil vom des Amtsgerichts WIiesloch (Aktenzeichen 4 C 57/08) Tathergang: Die Ehefrau eines Online - Bankkunden wollte von zu Hause eine Überweisung tätigen Sie gab die PIN und die TAN Nummern ein Der Bildschirm flackerte kurz; sie glaubte an einen technischen Defekt und fuhr fort Ein auf dem System (trotz Einsatz einer Antiviren-Software) befindlicher Trojaner sendete die Daten an den Täter, welcher € von dem Konto für einen Kauf bei Ebay verwendete (Man-in-the-middle-attack oder auch Keylogging genannt) Daraufhin verklagte das Ehepaar die Bank auf Schadensersatz Das Urteil: Die Bank muss dem Kläger (das Ehepaar) 5188,32 € plus 5% Zinsen zahlen Die Kosten des Verfahrens gehen zu lasten des Angeklagten (die Bank) Die Begründung: Der Kunde hatte nicht die Absicht die € zu überweisen Die Sorgfaltspflicht wurde nicht verletzt, denn der Kunde sicherte seinen Computer angemessen Die Bank versucht durch das Onlinebanking Kosten zu sparen und haftet somit für Folgen die daraus entstehen Die Sicherheitshinweise auf der Homepage der Bank sind kein Vertragsgegenstand und somit ist der Kunde nicht verpflichtet dem Folge zu leisten Nun möchte ich noch kurz ein relativ aktuelles Urteil zum Thema Phishing vorstellen Es handelt sich hier nicht um ein Strafverfahren, sondern um einen Zivilprozess Das Ergebnis dürfte aber für alle hier die Onlinebanking betreiben interessanter sein, als „Hacker XY wurde für 5 Jahre weggesperrt“ Es handelt sich hier um ein Urteil des Amtsgerichts Wilesloch vom Was war geschehen? Die Ehefrau eines Online – Bankingkunden wollte von zu Hause eine Überweisung tätigen Sie gab ihre Logindaten und danach die für die Transaktion nötige TAN Nummern ein Der Bildschirm flackerte kurz auf und sie dachte an einen technischen Defekt Sie fuhr fort nach dem das flackern verschwand Auf Ihrem System befand sich allerdings ein Trojaner, welche die Eingaben der Frau aufzeichnete und an den Täter sendete Es handelt sich hier also um eine Variante des Phishings, ohne dass dabei eine versendet wurde oder eine gefälschte Seite zum Einsatz kam Der Täter verwendete die erschlichenen Informationen um eine € Bestellung bei Ebay aufzugeben Das Ehepaar verklagte daraufhin die Bank auf Schadensersatz, da sie keine Überweisung in dieser Größenordnung getätigt hatten Das Gericht entschied, dass die Bank dem Ehepaar 5188,32 € plus 5% Zinsen als Schadensersatz zahlen muss Außerdem gehen die Verfahrenskosten zu lasten der Bank Das Gericht begründete die Entscheidung damit, dass die Ehefrau diese vom Täter veranlasste Transaktion nicht ausführen wollte und diese nicht autorisiert hat Zudem hat das Ehepaar ihre Sorgfaltspflicht nicht verletzt, denn ihr Computer war durch ein Antivirenprogramm geschützt Die Bank versucht zudem die Kunden dazu zu veranlassen ihre Transaktionen via Online-Banking zu machen, da die Bank dadurch Kosten einspart D.h. es war eigentlich eine Wettbewerbsorientierte Entscheidung der Bank und deshalb muss die Bank auch die volle Verantwortung dafür tragen Die auf der Homepage befindlichen Sicherheitshinweise sind kein Vertragsgegenstand, sondern nur Empfehlungen, die nicht unbedingt befolgt werden müssen

25 Agenda Motivation – Warum gibt es das Computerstrafrecht?
Die wichtigsten Paragraphen und ihre Bedeutung Fallbeispiele und Gerichtsentscheidungen Weiterführende Statistiken Im letzten Teil unseres Vortrages wollen wir noch kurz ein paar Statistiken über Computerstraftaten vorstellen und einen Ausblick für die Entwicklung des Computerstrafrechts geben

26 Computerkriminalität in Berlin (2008)
Quelle:

27 Computerkriminalität in der BRD (2007)
Quelle:

28 Vielen Dank für Ihr Interesse!

29 Quellen http://www.computerwoche.de/heftarchiv/1986/31/1165416/)

Herunterladen ppt "Das Computerstrafrecht"

Ähnliche Präsentationen

Von Florian Wirths und Fabian Janik

Von Florian Wirths und Fabian Janik
E-Mail.

.
7.3. Viren, Würmer, Trojaner Mail von der Nachbarin

7.3. Viren, Würmer, Trojaner Mail von der Nachbarin
Passwörter.

Passwörter.
3; 2; 1 MEINS! Allgemein Oder doch nicht??? wie funktioniert „ebay“???

3; 2; 1 MEINS! Allgemein Oder doch nicht??? wie funktioniert „ebay“???
Haftungsfragen bei Debit - Kartenzahlungsvorgängen

Haftungsfragen bei Debit - Kartenzahlungsvorgängen
Sicher durchs Internet

Sicher durchs Internet
Stalking bei Sorgerechtsstreitigkeiten1 Hans-Georg W. Voß

Stalking bei Sorgerechtsstreitigkeiten1 Hans-Georg W. Voß
Viren Würmer und Trojaner

Viren Würmer und Trojaner
SOFTWARE Was ist eine Lizenz? Wozu dienen Lizenzen?

SOFTWARE Was ist eine Lizenz? Wozu dienen Lizenzen?
ECDL M8 IT - Security.

ECDL M8 IT - Security.
Spionage auf dem PC - wie wehre ich mich dagegen

Spionage auf dem PC - wie wehre ich mich dagegen
Wie nutzt man das Internet sicher?. Verschicken von E-Mails Attachments nur, wenn notwendig Text nicht nur in die angehängte Datei Nur dann HTML-Mails,

Wie nutzt man das Internet sicher?. Verschicken von s Attachments nur, wenn notwendig Text nicht nur in die angehängte Datei Nur dann HTML-Mails,
Elektronische Kontoführung

Elektronische Kontoführung
Sicherheit im Internet& Datenschutz

Sicherheit im Internet& Datenschutz
News Aktuelles aus Politik, Wirtschaft und Recht09/2008 © Verlag Fuchs AG E-Banking 1.Zu welchen Finanzinstituten hatten die Opfer Bankverbindungen? Fragen/Aufgaben.

News Aktuelles aus Politik, Wirtschaft und Recht09/2008 © Verlag Fuchs AG E-Banking 1.Zu welchen Finanzinstituten hatten die Opfer Bankverbindungen? Fragen/Aufgaben.
Hacker-Angriff 1. Lückentext

Hacker-Angriff 1. Lückentext
Von Patrik, Yannik, Marc und Luca

Von Patrik, Yannik, Marc und Luca
Phishing.

Phishing.
Die Welt der Informatik

Die Welt der Informatik

Ähnliche Präsentationen

Google-Anzeigen