Hacker, Cracker, Datenfälscher, Softwarepiraten - die elektronische Datenverarbeitung hat eine Menge neuer krimineller Karrieren ermöglicht. Wie gefährlich aber sind die High-Tech-Schurken wirklich? Sie hinterlassen kaum Spuren und sind nur schwer zu fassen. Kriminalhauptkommissar Werner Paul* erläutert wie es dazu kommt.

Über den Umfang der Computerkriminalität und über die damit verbundene Bedrohung gibt es eine Vielzahl von Mutmaßungen von den verschiedensten Stellen. Je nach Interessenslage werden Zahlen und Schadenssummen von "unbedeutend" bis "unvorstellbar genannt. Wie die Wirklichkeit aussieht weiß niemand. In keinem kriminellen Bereich dürfte die Dunkelziffer so groß sein wie hier. Bevor man sich indes auf Spekulationen einläßt, sollte man sich einmal die Zahlen der offiziellen Kriminalstatistik genau ansehen, Polizeiliche Kriminalstatistik (PKS):

Seit 1987 werden die mit dem "Zweiten Gesetz zur Bekämpfung der Wirtschaftskriminalität (2- WikG)" normierten Straftaten der Computerkriminalität in der "Polizeilichen Kriminalstatistik" erfaßt. In ihr werden all jene Delikte gezählt, die gemäß den Polizeilichen Bundesrichtlinien unter dem Summenschlüssel "8970 - Computerkriminalität" gemeldet werden. Dieser Summenschlüssel umfaßt mehrere Straftatenschlüssel:

5163: Betrug mit Karten für Geldausgabe- beziehungsweise Kassenautomaten (wird erst seit 1988 gesondert ausgewiesen, bis dahin wurde dieses Delikt unter Schlüssel 5175 als Computerbetrug gezählt);

5175: Computerbetrug (° 263 a StGB);

5430: Fälschung beweiserheblicher Daten und Täuschung im Rechtsverkehr (°° 269, 270 StGB);

6742: Datenveränderung, Computersabotage (°° 303 a, 303 b StGB);

6780: Ausspähen von Daten (° 202 a StGB);

7151: Computersoftwarepiraterie (erst seit 1. 1. 1990.

Wo bleibt die Wolle der Computerdelikte?

Die PKS-Zahlen werden jedes Jahr vom Bundesinnenministerium bekanntgegeben. Sie bilden die Aufsummierung der von den Innenministern der Länder veröffentlichten regionalen Kriminalstatistiken.

Die polizeiliche Kriminalstatistik wird als Ausgangsstatistik geführt, das heißt, es werden die von der Polizei bearbeiteten Verbrechen und Vergehen einschließlich der mit Strafe bedrohten Versuche - erfaßt. Diese Delikte werden so gezählt, wie sie von der Polizei an die Staatsanwaltschaft abgegeben werden. Basis der Klassifikation ist das Ergebnis der Ermittlungen. Es kann vorkommen, daß eine Tat beispielsweise als "Computerbetrug" (Verstoß gegen ° 263 a StGB) angezeigt wird, die Ermittlungen hingegen ergeben, daß ein "normaler" Betrug (° 263 StGB) vorliegt. In die Kriminalstatistik geht dieser Fall dann als "normaler" Betrug ein. Ob der Beschuldigte am Ende verurteilt wird und für welches Delikt, spielt nur noch für die sogenannte Verurteilten-Statistik eine Rolle, die von der Justiz geführt wird. Selbst ein Freispruch änderte nichts an der Berücksichtigung in der PKS.

Gerade bei den Delikten der Computerkriminalität treffen oft mehrere Rechtsbrüche in Tateinheit zusammen, zum Beispiel Unterschlagung (° 246 StGB) mit Fälschung beweiserheblicher Daten (° 269 StGB).

Der Fall wird dann bei dem Delikt gezählt, für das die schwerste Strafe angedroht wird. Bei gleicher Strafandrohung wird das speziellere Delikt gezählt. Das führt nicht selten dazu, daß anstelle eines Computerdeliktes eine andere Straftat gezählt wird. Allein schon dadurch ergibt sich eine gewisse Unschärfe bei der Bewertung der Computerkriminalität.

Wenn man die PKS betrachtet, vermißt man die zahlenmäßig wohl größte Gruppe der Computerdelikte, nämlich die Softwarepiraterie. Der Grund: Softwarepiraterie wurde bislang ganz woanders gezählt, nämlich unter dem gleichen Schlüssel wie die Videopiraterie. Erst ab diesem Jahr gibt es dafür einen eigenen Schlüssel. 1992, bei der Bekanntgabe der Zahlen der Kriminalstatistik von 1991, werden erstmals Aussagen über diesen Bereich der Computerkriminalität gemacht werden können. Voraussichtlich wird es dann zu dem immer wieder prognostizierten starken Anstieg der Computerkriminalität kommen.

Ähnlich problematisch liegen die Dinge bei der Computerspionage (Verrat von Betriebs- und Geschäftsgeheimnissen) und dem illegalen Technologietransfer (Verstoß gegen Bestimmungen der Cocom-Liste oder des Außenwirtschaftsgesetzes): Sie werden zwar in der PKS erfaßt, jedoch gemeinsam mit anderen Tatbeständen, so daß auch hier keine detaillierten Aussagen möglich sind.

Interessant ist die Entwicklung des Computerbetruges, der in der Diskussion oft als Kerndelikt der Computerkriminalität bezeichnet wird. Die Notwendigkeit der neuen Strafbestimmung des Computerbetruges (° 263 a StGB) wurde unter Hinweis auf spektakuläre Fälle begründet. Doch was zeigt die Kriminalstatistik? Im wesentlichen nur zwei Deliktgruppen, nämlich den Mißbrauch von Geldausgabeautomaten (GAA) und den Mißbrauch von Geldspielautomaten (GSA) - nicht unbedingt das, was man sich gemeinhin unter Computerbetrug vorstellt.

Nur ein Bruchteil der Fälle in der Statistik

Seit 1989 gibt es für die Mißbrauchsfälle an GAA in der Kriminalstatistik eine eigene Schlüsselzahl. Die Untergliederung der Kategorie "Computerbetrug" war notwendig geworden durch eine enorme Zunahme der Delikte, die vor allem auf den Mißbrauch von EC- und Kreditkarten zurückzuführen ist.

Ein Delikt wird zum Beispiel hier gezählt, wenn jemand mit einer EC-Karte unberechtigt am GAA Geld abhebt, Dies passiert relativ häufig, wenn der berechtigte Inhaber der Karte leichtsinnigerweise seine Geheimzahl (PIN-Nummer) zusammen mit der Karte verwahrt, oder sie gar mit Filzschreiber auf die Karte schreibt oder in sie einritzt.

Ebenfalls hierher gehört das Vortäuschen einer Straftat - wenn beispielsweise, was öfter mal vorkommt, der Inhaber einer Scheckkarte am GAA Geld abhebt und anschließend behauptet, das habe irgendein Unbekannter getan.

Manipulationen oder Totalfälschungen der Daten auf dem Magnetstreifen hingegen wurden bislang ausgesprochen selten gemeldet.

Wenn man die Zahl der 1990 bekanntgewordenen 3963 Delikte in Relation zu den veröffentlichten Schadenssummen der Eurocheque- und Kreditkartenfirmen betrachtet, so zeigt sich, daß offenbar nur ein Bruchteil der Delikte Eingang in die Statistik gefunden hat. Vom BdB (Bund deutscher Banken) wurde der Schaden bei den Euroscheckkarten 1988 auf 72 Millionen Mark und 1989 auf 60 Millionen Mark geschätzt. Das ist erstaunlich wenig, gemessen an den Beträgen, die damit abgehoben werden, und die Euroscheckkarte ist damit zweifelsohne das derzeit sicherste Zahlungsmedium. (Entsprechende Zahlen der Kreditkartenfirmen liegen noch nicht vor, doch es ist anzunehmen, daß dort die Schäden mindestens dieselbe Höhe erreichen.)

Da indes der durchschnittliche Schaden pro Fall vermutlich deutlich unter den 15 000 beziehungsweise 20 000 Mark liegt, die sich rein rechnerisch aus den PKS-Zahlen für 1988 und 1989 ergeben, kann gefolgert werden, daß den in der Kriminalstatistik ausgewiesenen Fällen von EC-Mißbrauch eine weit größere Zahl tatsächlicher Fälle gegenübersteht.

Wie auch in anderen Bereichen der Computerkriminalität dürfte das Dunkelfeld hier sehr groß sein.

Doch auch ohne die GAA-Betrügereien enthält die unter "Computerbetrug" aufgeführte Zahl zum größten Teil fälle, die man nicht auf den ersten Blick als Computerbetrug einordnen würde, nämlich das "Mißbräuchliche Entleeren von Geldspielautomaten". Auch diese Zahl kann nicht vollständig sein, denn an manchen Stellen ist noch strittig, ob hier ein Verstoß gegen ° 17 UWG (Geheimnisverrat beziehungsweise -verwertung) oder Computerbetrug gemäß ° 263 a StGB vorliegt. Dementsprechend wird das Delikt statistisch gezählt.

Daß die juristische Problematik selbst für die Justiz nicht einfach ist, zeigt Eberhard Etter in seinem Artikel "Neuere Rechtsprechung zu ° 263 a StGB, Versuch einer systematischen Einordnung" (Computer & Recht 8191 Seite 484). Wenn schon die rechtliche Einordnung des Computerbetruges derartige Probleme verursacht, ist anzunehmen, daß sich dies auch in der Kriminalstatistik niederschlägt.

Eine Faustformel für die Aufteilung der unter "Computerbetrug" genannten Zahl, die sich aus detaillierter Kenntnis der Fälle der Bayerischen Kriminalstatistik ergibt, lautet: 90 Prozent entfallen auf den Mißbrauch von Electronic Cash (GAA, POS), acht Prozent sind Plünderungen von Geldspielautomaten (GSA), und nur zwei Prozent macht der sonstige Computerbetrug aus. Wer hätte das bei der endlosen Diskussion um den ° 263 a StGB vermutet?

Ebenso hoch wie beim Computerbetrug ist sicher auch die Dunkelziffer im Bereich der Computersabotage. Man denke nur an den Fall der sogenannten "Aids-Diskette", die ein ziemlich bösartiges Sabotageprogramm enthielt und von der einige tausend Exemplare verschickt wurden. Offenbar hat nur ein Bruchteil davon sich in der Kriminalstatistik niedergeschlagen.

Computersabotage dürfte das wohl gefährlichste Delikt der Zukunft werden, wenn man bedenkt, wie abhängig Wirtschaft und Gesellschaft bereits heute vom einwandfreien Funktionieren ihrer DV sind. Beispiele sind der Luftverkehr und die Atomenergie. Auf die Bedeutung der Datensicherheit kann nicht eindringlich genug hingewiesen werden.

Meldedienst Computerkriminalität:

Neben der offiziellen Kriminalstatistik werden die Delikte der Computerkriminalität zusätzlich in einer internen polizeilichen Statistik, dem sogenannten "Meldedienst Computerkriminalität" gezählt. Das hat historische Gründe. Der "Meldedienst" existierte bereits vor der "Kriminalstatistik Computerkriminalität". Sein Ziel war es, Erkenntnisse über den Umfang und die Erscheinungsformen dieser neuen Art von Kriminalität zu gewinnen, bevor spezielle Strafbestimmungen gegen sie geschaffen wurden. Auch nachdem 1987 die ersten Zahlen der Kriminalstatistik vorlagen, hat man ihn beibehalten.

Von 1983 bis 1984 wurde im Meldedienst folgende Definition der Computerkriminalität verwendet:

"Computerkriminalität umfaßt:

- Computerbetrug,

- Computerspionage (Betriebsspionage/Softwarepiraterie),

- Computersabotage,

- Computermißbrauch (Zeitdiebstahl)."

Diese Formulierung erwies sich in der Praxis als ungeeignet. Deshalb wurde sie 1985 durch eine neue ersetzt. Sie lautet:

"Unter Computerkriminalität versteht man alle Sachverhalte, bei denen die EDV Tatmittel und/oder Tatobjekt ist und die den Verdacht auf eine Straftat begründen."

Diese Definition entspricht in etwa der Formulierung, die der Bonner Sicherheitsexperte Rainer von zur Mühlen schon 1973 vorschlug. Problematisch daran ist, daß sie mit zunehmender Verbreitung der Computer in nicht allzuferner Zukunft jegliche Kriminalität zur Computerkriminalität erklären wird.

Die Zahlen des Meldedienstes bis 1984 wurden 1986 veröffentlicht (Poerting, Pott: Computerkriminalität. Berichte des Kriminalistischen Instituts, Bundeskriminalamt Wiesbaden). Bereits damals zeigte sich, wie lückenhaft und unvollständig diese Meldungen sind. Daran hat sich, wie die Tabelle 3 zeigt, bis heute nichts geändert (die fehlenden Zahlen wurden bisher nicht veröffentlicht).

Die Tabelle kann dennoch zur Bewertung und Ergänzung der Zahlen der offiziellen Kriminalstatistik dienen. Sie enthält beispielsweise Aussagen zur Softwarepiraterie (in der Kriminalstatistik erst ab 1990, zum Mißbrauch von Geldspielautomaten, zum Verrat von Betriebs- und Geschäftsgeheimnissen (Verstöße gegen das UWG) sowie zum illegalen Technologietransfer (Cocom-Liste, Außenwirtschaftsgesetz).

Die zum Teil gewaltigen Differenzen zwischen den beiden Statistiken können in einem gewissen Umfang darauf zurückgeführt werden, daß in der PKS die Fälle nach den Strafnormen (°° 202a, 263 a StGB, usw.) erfaßt sind, während sie im Meldedienst nach kriminologischen Gesichtspunkten gezählt werden. Die Hauptursache liegt jedoch sicher im geringen Meldenachkommen der Polizei.

Wie stark die Zahlen des Meldedienstes von der Wirklichkeit abweichen, zeigt besonders die Softwarepiraterie. Hier wurden 1989 im Meldedienst nur 1378 Fälle gezählt, obwohl es mehrere Staatsanwaltschaften gibt, die alleine bis zu tausend Fälle im Jahr bearbeiten.

Im PC-Bereich kommen nach meiner persönlichen Schätzung auf jede lizenzierte Ausgabe etwa zehn illegale Kopien. Allerdings ist es ein Irrtum anzunehmen, private Raubkopierer wären für den größten Teil des Schadens verantwortlich: Für viele Unternehmen ist die Verwendung von Raubkopien die einfachste Form der Kostensenkung des EDV-Haushaltes. Ein Unrechtsbewußtsein fehlt in den meisten Fällen, der Softwareklau gilt weithin noch immer als Kavaliersdelikt.

Wenn man also von den Gesamtzahlen der Kriminalstatistik den "Betrug mit Karten für Geldausgabe- beziehungsweise Kassenautomaten" abzieht, bleibt kaum etwas übrig. Die aus den USA immer wieder gemeldete Welle von Computerkriminalität hat uns offenbar noch nicht erreicht.

Es könnte allerdings auch sein, daß bei uns nur das Dunkelfeld stärker wächst. Die Zahlen der Kriminalstatistik zeigen jedenfalls nur wenig von der tatsächlichen Bedrohung durch Computerkriminalität. Aus den relativ niedrigen Zahlen abzuleiten, die Bedrohung der Wirtschaft durch EDV-Mißbrauch habe abgenommen, ist sicher falsch. Tatsache ist, daß aus den verschiedensten Gründen ein großer Teil der Computerkriminalitätsdelikte an der Polizei vorbeiläuft. Ein Indiz dafür ist die Nachfrage nach DV-kundigen Privatdetektiven.

Das Hauptproblem der EDV-Sicherheit, nämlich die unzureichende Sicherheit der Systeme und der nachlässige Umgang mit sensiblen Daten, muß von der Industrie und den Anwendern selbst gelöst werden. Trotzdem sollte man das Problem bei der Polizei nicht auf die leichte Schulter nehmen. Die immer noch zu geringe Zahl der polizeilichen DV-Sachverständigen weist darauf hin.

Das Hauptproblem der Ermittlungsbehörden, und dazu gehört auch die Steuerfahndung und die Zollfahndung, liegt nicht in der Computerkriminalität im engeren Sinne (Computerbetrug, Computerspionage, Computersabotage und Softwarepiraterie), sondern in der Computerkriminalität im weiteren Sinne, den sogenannten "Computer Related Crimes" (CRC).

Dazu gehören Delikte, die von der Wirtschaftskriminalität über die Rauschgiftkriminalität zu allen möglichen Formen organisierter Kriminalität reichen.

Diese Fälle sind aus keiner Statistik erkennbar. Aus der Erfahrung weiß man jedoch, daß die EDV heute zum Beispiel im Bereich der Wirtschaftskriminalität in fast jedem dritten Fall von Bedeutung ist. Darüber gibt es leider keine statistische Aussagen. Nur diese Zahlen könnten die wirkliche Bedrohung durch Computerkriminelle deutlich machen.