Der Versuch ist strafbar

Vor Gericht und auf hoher See mag vieles „relativ“ sein, beim Datenklau indes ist die Konsequenz klar: Geld- oder Haftstrafe.

Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt sind, unter Überwindung der Zugangssicherung verschafft, wird mit einer Freiheitsstrafe bis zu drei Jahren oder mit einer Geldstrafe bedacht. Das steht im Gesetz und Anwalt Peter Ruwe aus Lemgo würde diesen Satz mit Leichtigkeit aus dem Kopf zitieren können. Ruwe: „Es kommt allerdings auch darauf an, ob die Daten gesichert waren.“
Die durchschnittliche Anzahl von sogenannten Ransomware-Angriffen stieg in den vergangenen Jahren weiter an. Mittlerweile werden in Deutschland jede Woche mehr als 1.200 Organisationen und Firmen das Opfer einer Attacke. Die Probleme gehen indes weit über eine Lösegeld-Erpressung hinaus. Ruwe: „Wenn die IT lahmgelegt wurde und die Buchhaltung keinen Jahresabschluss mehr erstellen kann, der beispielsweise bei einer GmbH fristgerecht veröffentlicht werden muss, drohen dem Unternehmen womöglich noch Verspätungs- und Säumniszuschläge durch die Finanzbehörden und Ordnungsgelder wegen verspäteter Veröffentlichung des Jahresabschlusses.“ Damit wäre eine geschädigte Firma quasi doppelt „gelackmeiert“. Der Anwalt verdeutlicht, dass Geschäftsführer in der Regel für bestimmte Sicherheitsvorkehrungen in einem Unternehmen zu sorgen haben. Geht die Finanzbehörde von einem fahrlässigen Verhalten aus, hat man neben dem Problem mit den Erpressern somit auch schlechte Karten beim Amt. Die Straftatbestände sind rechtlich vielfältig, reichen von der Sabotage über Erpressung bis zum Stalking. Wer zudem noch Waren und Dienstleistungen im Namen anderer bestellt, begeht einen Identitätsdiebstahl. Dann geben sich womöglich Hackerangriffe auf eine Firma und Delikte in Verbindung mit dem Online-Banking die Klinke in die Hand. Hierbei, so Ruwe, könne es eben nicht nur Firmen, sondern auch Einzelpersonen treffen. In der Kanzlei von Peter Ruwe erinnert sich der Anwalt an einen ersten Fall im Jahr 2015. Ruwe: „Damals wurden mithilfe von aufgespielten Programmen Daten bei einem Mandanten verschlüsselt.“
Zu einer spektakulären Lösegeldübergabe am späten Abend in einer alten Industriebrache wie in einem amerikanischen Krimi kam es allerdings nicht. Ruwe räumt en passant mit den Fernseh- und Kinoklischees auf, wenn er sagt: „Ich würde für einen Mandanten niemals einen Geldkoffer zwischen Lage und Detmold aus dem Zug werfen.“ Ganz Jurist von der Pike auf, rät der Anwalt, die Polizei einzuschalten und eine Anzeige zu erstatten. Ruwe: „Auch, wenn die Aufklärungsquoten noch bescheiden sind und Schadensersatz sicher unrealistisch ist. Denn solvent dürften diese Täter nicht sein.“ Ob ein gezahltes Lösegeld am Ende des Jahres vom Finanzamt als Abschreibung anerkannt wird, steht übrigens auf einem anderen Blatt. Ruwe: „Grundsätzlich wäre die Lösegeldzahlung zwar betrieblich veranlasst. Den Betriebsausgabenabzug wird es jedoch regelmäßig nicht geben, da der Empfänger des Lösegeldes nicht benannt werden kann. Bei Lösegeldzahlungen gibt es ja keine Quittung.“

Wenn ein Täter sich die Daten, die ein anderer ausgespäht hat, verschafft oder sie weiterverbreitet, kann – bei Bereicherungsabsicht – auch Datenhehlerei vorliegen (nach Paragraf 202 d StGB). Ferner steht im StGB 253 zur Erpressung im O-Ton: Wer einen Menschen rechtswidrig mit Gewalt oder durch Drohung mit einem empfindlichen Übel zu einer Handlung, Duldung oder Unterlassung nötigt und dadurch dem Vermögen des Genötigten oder eines anderen Nachteil zufügt, um sich oder einen Dritten zu Unrecht zu bereichern, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. Nur am Rande: Schon der Versuch ist strafbar.