Normalerweise gilt T-Online in der Welt des deutschen Internet als rechtlich nahezu unangreifbare Festung. Doch schon im Juni 1998, als T-Online noch fester Bestandteil der Telekom war, demonstrierte das Amtsgericht München unter dem Aktenzeichen AZ 272 C 25305/93 rechtskräftig, dass vermeintlich sichere Beweise nicht unbedingt Garant für einen juristischen Sieg sind. In besagtem Jahr verklagte T-Online einen Kunden auf Zahlung von 1536,90 Mark, die - so behauptete der Provider - vor allem durch einen schlüpfrigen sowie kostenpflichtigen Chat entstanden sind. Der Anschlussinhaber beharrte auf seiner Unschuld. Selbst die Zugangsprotokolle von T-Online brachten das Unternehmen im Gerichtssaal nur zeitweise auf die Gewinnerstraße.
Ein von der Verteidigung bestellter Gutachter konnte nachweisen, dass die Zugangssoftware von T-Online durch ein Trojanisches Pferd infiltriert wurde und damit der Zugriff auf das Benutzerkonto des Angeklagten durch unbefugte Dritte möglich gewesen wäre. Damit war der vermeintliche Dauer-Chatter schon aus dem Schneider. Das Amtsgericht München wies die Klage von T-Online mit der Begründung ab, dass es einem Anwender nicht möglich sei, sich vor unbekannten Viren oder Trojanischen Pferden ausreichend zu schützen. Außerdem konnte T- Online nicht zweifelsfrei nachweisen, dass der Angeklagte die besagten Chat-Räume persönlich aufgesucht hatte.
Mit dem europäischen "Cybercrime-Abkommen", an dem vor allem das Innenministerium kräftig mitwirkte, hat sich in Europa einiges geändert. Dass dieses Abkommen nach monatelangem Hin und Her überhaupt so schnell zur Realität (aber bislang von keinem einzigen Teilnehmerstaat ratifiziert) wurde, hängt in erster Linie mit den Terroranschlägen in New York und Washington am 11. September des vergangenen Jahres zusammen.
Aus dem genannten Abkommen lassen sich aber konkrete Direktiven ableiten, mit denen sowohl Unternehmer als auch Privatpersonen bei einer gerichtlichen Auseinandersetzung bessere Karten haben könnten. Ein Cyber-Einbrecher begeht beispielsweise keine strafbare Handlung, wenn er in ein ungeschütztes System eindringt, das über das Internet erreichbar ist. Wer seine Daten nicht mit entsprechenden Schutzmaßnahmen vor unbefugtem Zugriff abschirmt, kann selbst bei zweifelsfreien Beweisen zur Identität des Hackers keine strafrechtlichen Schritte in die Wege leiten. Solche ungeschützten Systeme wären etwa Web-Server oder auch freigegebene Verzeichnisse (Shares) auf einem mit dem globalen Netz verbundenen Computer. Überwindet ein Hacker die Schutzsysteme eines Netzwerkes und verschafft sich Zugang zu deren Daten, begeht er keine Straftat. Zumindest nicht bis zu dem Zeitpunkt, an dem er Informationen oder Betriebsgeheimnisse im gehackten Netz vorsätzlich ausspioniert ("Ausspähen von Daten" nach §202a StGB beziehungsweise § 7 UWG [Gesetz über den unlauteren Wettbewerb]) oder diese nachweislich verändert ("Datenveränderung" nach §303a StGB). Aber ohne konkrete Hinweise auf die Netz-Identität des Täters - wie zum Beispiel die IP-Adresse - stehen die Chancen nicht gut, den Eindringling aufzuspüren und für seine illegale Aktivitäten rechtlich zu belangen. Daher bleiben viele Schadensersatzklagen, die seitens der zuständigen Staatsanwaltschaft meistens gegen Unbekannt erhoben werden, ohne Erfolg.
Trotz aktenkundiger Fälle in Bezug auf das "Online-Recht" sind die Auslegungen der zuständigen Richter alles andere als vorhersehbar. Wenn alle im Unternehmen über die Rechtslage im Zusammenhang mit IT-Systemen informiert sind, steht der Aufzeichnung und Auswertung von internem Netzwerkverkehr zu Sicherheitszwecken sicherlich nichts im Wege. Selbst das Bundesdatenschutzgesetz, nach dem persönliche Nutzungsdaten umgehend nach Verbindungsende gelöscht werden müssen, stellt kein Problem dar, wenn die aufgezeichneten Informationen weitestgehend anonym gehalten sind. (bi)
*Volker Pampus ist Geschäftsführer von Internet Security Systems in Stuttgart.
AngeklicktBeweissicherung im Sektor Informationstechnik ist software- und beratungsintensiv, denn noch ist "digitale Rechtssicherheit" hierzulande fraglich. Es gilt auch mit den juristischen Tücken möglicher Hackerangriffe fertig zu werden. Die Justiz befindet sich bei der Be- und Verurteilung von Cyber-Unrecht im Betatest.
Software für die RechtssicherheitZur Standardausstattung sollte ein aktueller Virenscanner gehören. Diverse Gerichtshöfe haben die Gefahr durch Computerviren als "bekannte Tatsache" bezeichnet - von jedem Anwender wird erwartet, dass er sich mit probaten Mitteln vor diesen Bedrohungen schützt.
Unternehmensnetzwerke sind für gewöhnlich mindestens mit Firewalls gegen mögliche Angriffe gerüstet. Notwendige Zusatzmaßnahmen wie professionelle Intrusion Detection und Demilitarized Zones - ein vom eigentlichen Firmen-Intranet netzwerktechnisch getrennter Bereich, in dem sich häufig Web- und E-Mail-Server befinden - gehören nicht überall zum Standardprogramm. Steht eine Anzeige gegen einen Hacker ins Haus, spielt vor allem die digitale Beweissicherung in Form ausführlicher Zugriffsprotokolle eine große Rolle.
Während Angreifer von außerhalb eher schwierig zu identifizieren sind, können detaillierte Netzwerk-Logfiles bei der Jagd nach Angreifern aus den eigenen Reihen wertvolle Dienste leisten. Inzwischen gibt es von diversen Herstellern sowohl Software- als auch Hardwarelösungen für zuverlässige "Black Boxes", die Datenverkehr bis zu einen Monat lang speichern können.