Die zunehmende Digitalisierung von Wirtschaft und Gesellschaft bringt nicht nur Vorteile, sondern auch neue Gefahren mit sich. Cyberkriminalität ist längst keine Randerscheinung mehr – sie betrifft Unternehmen, Behörden und Privatpersonen gleichermaßen. In der Praxis umfasst Cybercrime eine Vielzahl von Straftatbeständen, die regelmäßig komplexe technische und rechtliche Fragen aufwerfen.
Einleitung: Was ist Cybercrime? – Begriffliche und rechtliche Einordnung
Der Begriff Cybercrime ist ebenso vielschichtig wie die Phänomene, die er beschreibt. Eine einheitliche Definition existiert bislang weder in der Gesetzgebung noch in der kriminologischen Fachliteratur. Ursprünglich verstand man unter Computerkriminalität nur vorsätzliche rechtswidrige Handlungen, die im Zusammenhang mit der elektronischen Datenverarbeitung (EDV) stehen und sich vor allem gegen Vermögenswerte richten – etwa durch Manipulation, Sabotage, Spionage oder den unerlaubten Zugriff auf EDV-Systeme. Diese Definition war jedoch zu eng gefasst, da sie etwa Datenschutzverletzungen oder mittels Computertechnik begangene klassische Straftaten nicht umfasste.
In der strafrechtlichen und polizeilichen Praxis hat sich daher zunehmend ein weiter gefasster Begriff durchgesetzt: Cybercrime bezeichnet heute alle Straftaten, bei denen informationstechnische Systeme – also Computer, Netzwerke oder das Internet – entweder Tatmittel oder Tatobjekt sind. Dabei wird zwischen Cybercrime im engeren Sinn, der sich gegen die Integrität, Vertraulichkeit und Verfügbarkeit von IT-Systemen richtet, und Cybercrime im weiteren Sinn, bei dem traditionelle Straftaten wie Betrug, Erpressung oder Urheberrechtsverletzungen lediglich ins Digitale verlagert werden, unterschieden.
Auch die Polizeibehörden haben sich diesem Wandel angepasst: Der frühere Begriff der „IuK-Kriminalität“ (Informations- und Kommunikationstechnik-Kriminalität) wurde durch die international gängige Bezeichnung „Cybercrime“ ersetzt. Diese umfasst heute sämtliche Straftaten, die sich gegen das Internet oder informationstechnische Systeme richten, sowie solche, die unter Nutzung dieser Technologien begangen werden – unabhängig davon, ob es sich um neue digitale Tatformen oder lediglich digitalisierte Varianten klassischer Kriminalität handelt.
Deliktsformen im Bereich Cybercrime – Ein Überblick
Im deutschen Strafrecht existiert keine eigenständige Systematik für Cybercrime-Delikte. Stattdessen sind die relevanten Tatbestände über das gesamte Strafgesetzbuch und Teile des Nebenstrafrechts verteilt. Die Zuordnung erfolgt dabei nicht nach technischen Kriterien, sondern nach den jeweils geschützten Rechtsgütern. Für die juristische Praxis und die Strafverfolgung hat sich daher eine funktionale Einteilung durchgesetzt, die insbesondere die durch das 2. WiKG und das 41. Strafrechtsänderungsgesetz geschaffenen oder geänderten Vorschriften berücksichtigt.
Die strafrechtlich relevanten Handlungen im Bereich der Cyberkriminalität lassen sich verschiedenen Schutzbereichen zuordnen:
Schutz der Datenvertraulichkeit: Hierzu zählen das Ausspähen (§ 202a StGB) und Abfangen von Daten (§ 202b StGB) sowie deren Vorbereitung (§ 202c StGB).
Schutz der Datenintegrität: Erfasst sind insbesondere Datenveränderung (§ 303a StGB) und Computersabotage (§ 303b StGB).
Schutz vermögensrelevanter Prozesse: Der Computerbetrug (§ 263a StGB) sowie Urkundendelikte in digitaler Form (§§ 269, 270, 274 StGB) sind hier zu nennen.
Schutz vor Datenverwertung durch Dritte: Die Datenhehlerei ist seit § 202d StGB eigenständig strafbar.
Schutz technischer Infrastruktur: Die missbräuchliche Nutzung öffentlicher Telekommunikationssysteme wird etwa durch § 265a StGB sanktioniert.
Schutz von Geschäftsgeheimnissen: Geheimnisschutz findet sich im GeschGehG (§ 23) und – historisch – im UWG (§ 17 aF).
Schutz geistigen Eigentums an Software: Die §§ 106 ff. UrhG stellen etwa das unerlaubte Kopieren von Programmen unter Strafe.
Schutz des bargeldlosen Zahlungsverkehrs: Die §§ 152a, 152b StGB richten sich gegen Fälschungen und Missbrauch in diesem Bereich.
Persönlichkeitsrechtlicher Datenschutz: Geregelt in den §§ 42, 43 BDSG sowie Art. 83 DSGVO.
Schutz der öffentlichen Ordnung im digitalen Raum: § 127 StGB sanktioniert etwa den Betrieb krimineller Handelsplattformen im Internet.
Dabei ist zu beachten, dass ein und dieselbe Handlung häufig mehrere Strafvorschriften gleichzeitig erfüllen kann. So kann etwa das unbefugte Eindringen in ein Computersystem gleichzeitig einen Verstoß gegen das Datenschutzrecht, das Geschäftsgeheimnisschutzgesetz und strafbare Datenhehlerei darstellen. Eine klare Trennung der Tatbestände ist daher oft nur im Rahmen der konkreten rechtlichen Würdigung möglich.
Zur besseren Einordnung lassen sich typische Tathandlungen bestimmten Straftatbeständen zuordnen. So fallen etwa das Eindringen in Systeme oder das Kopieren von Daten unter § 202a StGB und ggf. § 23 GeschGehG. Manipulationen von Programmen, falsche Dateneingaben oder die Nutzung gestohlener Zugangsdaten betreffen insbesondere §§ 263a, 269, 270, 303a und 303b StGB. Auch der Betrieb krimineller Plattformen, etwa im Darknet, wird inzwischen explizit unter § 127 StGB sanktioniert.
Die Entwicklung und Verbreitung von Cybercrime lässt sich regelmäßig anhand der Polizeilichen Kriminalstatistik (PKS) sowie des jährlich veröffentlichten Bundeslagebilds Cybercrime des BKA nachvollziehen. Diese Berichte geben Aufschluss über neue Erscheinungsformen, Tatmethoden und internationale Trends im Bereich digitaler Kriminalität. Ergänzend liefert auch Europol mit dem Internet Organised Crime Threat Assessment (IOCTA) regelmäßig fundierte Analysen zur Bedrohungslage durch Cyberkriminalität in Europa.
Die wichtigsten Cybercrime-Delikte im deutschen Strafrecht:
1. Computerbetrug (§ 263a StGB)
Hierbei handelt es sich um die digitale Variante des klassischen Betrugs. Der Täter manipuliert durch unbefugte Eingaben, Programme oder Datenveränderungen einen automatisierten Datenverarbeitungsvorgang – zum Beispiel durch das Ausnutzen von Softwarefehlern oder durch „Phishing“. Anders als beim klassischen Betrug tritt das Opfer oft nicht unmittelbar mit dem Täter in Kontakt.
2. Datenveränderung (§ 303a StGB)
Diese Vorschrift schützt gespeicherte Daten vor unbefugter Löschung, Unterdrückung, Unbrauchbarmachung oder Veränderung. Ein klassisches Beispiel ist das Überschreiben oder Löschen wichtiger Unternehmensdaten durch (ehemalige) Mitarbeiter oder Angreifer.
3. Computersabotage (§ 303b StGB)
Hierunter fallen Angriffe, die die Funktionsfähigkeit von Computersystemen stören – etwa durch das Einschleusen von Schadsoftware (z. B. Ransomware) oder gezielte Überlastungsangriffe (DDoS). Besonders relevant für Unternehmen, da auch die bloße Störung von Arbeitsabläufen strafbar ist.
4. Ausspähen von Daten (§ 202a StGB)
Ein Täter macht sich strafbar, wenn er sich unbefugt Zugang zu besonders gesicherten Daten verschafft – etwa durch das Umgehen von Passwörtern oder Firewalls. Das Ausspähen von Zugangsdaten ist auch dann strafbar, wenn kein weiterer Schaden entsteht.
5. Abfangen von Daten (§ 202b StGB)
Erfasst wird das heimliche Mitlesen oder Aufzeichnen von Daten während ihrer Übertragung – etwa durch sogenannte „Man-in-the-Middle“-Angriffe oder das Abfangen von WLAN-Datenströmen.
6. Vorbereitung des Ausspähens und Abfangens von Daten (§ 202c StGB)
Schon das Bereitstellen oder Verbreiten von Hacker-Tools, Passwörterlisten oder Programmen zum Auslesen von Daten kann strafbar sein, wenn dies in der Absicht geschieht, eine der vorgenannten Taten zu begehen.
7. Straftaten im Zusammenhang mit Identitätsdiebstahl und Phishing
Zwar nicht eigenständig im Gesetz geregelt, fallen viele Fälle des Identitätsdiebstahls unter andere Tatbestände wie § 263a StGB (Computerbetrug) oder § 202a StGB (Ausspähen von Daten). Hierbei geht es häufig um die missbräuchliche Verwendung fremder Daten – z. B. beim Online-Banking oder in sozialen Netzwerken.
