Goldeneye, Locky und Co.: Was das Recht sagt

Die aktuell laufende Welle mit Verschlüsselungstrojanern zielt vor allem auf kleinere und mittelständische Firmen. Unser Rechtsexperte erklärt, was Unternehmer wissen müssen.

Dieser Artikel gehört zum Themen-Special Cyber-Attacken auf Handwerksbetriebe

Sie heißen "Locky" oder "Goldeneye": Die Namen klingen nett, hinter ihnen verbergen sich aber gefährliche Viren, die das IT-System eines Unternehmens hart treffen und ihm dadurch auch finanziell schwer schaden können. Immer wieder geschieht das Hacken von Rechnern mittels Trojanern, auch Malware genannt: Als nützliches Programm getarnt, werden sie vom Nutzer unwissend heruntergeladen und schädigen dann den Computer. Mit solchen Trojanern erfasst der Täter persönliche Daten und Zugangsberechtigungen. Dadurch kann er die Identität des Opfers stehlen, was es ihm ermöglicht, Bank-Konten zu hacken oder auf Social-Media-Plattformen zuzugreifen. "Wer einen Trojaner einschleust, der sich auf einem fremden Rechner installiert, begeht in der Regel die Straftat der Ausspähung von Daten nach Paragraf 202 a Strafgesetzbuch. Und zwar unabhängig davon, ob der Täter im Ausland sitzt", erklärt Rechtsanwalt Dennis Eichwald aus Düsseldorf.

Noch gefährlicher sind Verschlüsselungstrojaner, auch Ransomware oder Krypto-Trojaner genannt. Sie werden von Kriminellen dazu genutzt, sich finanziell zu bereichern. Diese Programme sperren die infizierten Geräte der Opfer. Die Freigabe erfolgt erst nach der Zahlung eines Lösegeldes. Bekannte aktuelle Beispiele sind die Verschlüsselungstrojaner "Locky" oder "Goldeneye". Letzterer befiel Ende 2016 viele Unternehmen, weil sie die täuschend echt gefälschte Email eines vermeintlichen Job-Bewerbers öffneten. "Lösegeld mittels eines Verschlüsselungstrojaners zu fordern, erfüllt den Straftatbestand der – jedenfalls versuchten – Erpressung nach Paragraf 253 Strafgesetzbuch. Je nachdem, was der Trojaner mit dem IT-System macht, ergibt sich weiter eine Strafbarkeit wegen Datenveränderung oder Computersabotage, Paragrafen 303 a oder 303 b Strafgesetzbuch", weiß Eichwald.

Gezielte Attacken auf Server kleiner Betriebe

Wer denkt, dass sein Unternehmen zu klein und daher uninteressant für solche Attacken ist, irrt sich. "Es gibt Verschlüsselungstrojaner, die es gezielt auf die Server-Systeme kleiner Betriebe abgesehen haben, zum Beispiel Malware namens SynoLocker bei NAS-Systemen von Synology", warnt der IT-Anwalt. Das Bundesamt für Sicherheit in der Informationstechnik rät allen Betroffenen, kein Lösegeld zu zahlen. Zumal keinerlei Gewähr dafür besteht, auf die Daten nach Zahlung des Lösegeldes auch tatsächlich wieder zugreifen zu können. Eichwald: "Zivilrechtlich hat das Opfer Anspruch auf Rückzahlung seines Lösegelds und auf Schadensersatz. Aber so gut wie nie kommt man an die Täter heran, deshalb kann man die Ansprüche nicht durchsetzen. Von der rechtlichen Seite her hat man so gut wie keine Handhabe. Daher ist Prävention ganz wichtig." Opfer von Cyberattacken sollten sich umgehend an die Polizei wenden und im Zweifel einen Anwalt zu Rate ziehen.

Gehackte Betriebe haften nicht

Es gibt unterschiedliche Trojaner mit verschiedener Wirkungsweise. Manchmal trifft Banken eine Mitschuld, wenn sie ihr IT-Sicherheitssystem nicht hinreichend geschützt oder das Online-Banking-System ungenügend technisch aktualisiert haben. "Einschlägig ist dies insbesondere bei Verwendung überkommener TAN-Verfahren", warnt der IT-Rechtler. "Dann können die Banken für Schäden ihrer Kunden mit zur Verantwortung gezogen werden."

Neuerdings gibt es auch sogenannte Rücküberweisungs-Trojaner: Dem Kunden wird dabei über eine manipulierte Seite ein falscher Kontostand vorgegaukelt mit einer angeblichen fehlgeleiteten Überweisung. Dann wird er – vermeintlich durch die Bank – aufgefordert, diese falsche Überweisung zurück zu überweisen. "In diesem Fall haftet die Bank nicht, weil der Fehler nicht in ihrem Verantwortungsbereich lag und der Kunde eine ordnungsgemäße, authentifizierte Überweisung gemacht hat", klärt der Experte auf. 

Muss denn der gehackte Betrieb dafür einstehen, wenn ein Dritter geschädigt wird? Der Jurist kann beruhigen: "Abgesehen von Banken ist mir kein Fall bekannt, bei dem ein Unternehmen für die Schädigung Dritter durch Malware haften musste."

 

Hintergrund: Computer- oder Cyberkriminalität hat in der letzten Zeit rasant zugenommen. Ein Beispiel sind Phishing-Mails, die dazu dienen, sensible Personendaten zu erhalten. Das Infizieren und Manipulieren von Computersystemen durch Viren und Schadsoftware ist ebenso eine gängige Praxis. Tückisch sind auch Botnetze, also mehrere infizierte Geräte, die vom Angreifer aus der Ferne kontrolliert werden.

Service: Die Handwerkskammer Düsseldorf bietet ihren Mitgliedsbetrieben regelmäßig Infoveranstaltungen zum Thema Digitialisierung.