Ausspähen von Daten gem. § 202a StGB: Straftaten durch Cyberangriffe weiter auf dem Vormarsch

Mit der ab Oktober auch in Deutschland gültigen NIS2-Richtlinie und den dringlichen Warnungen deutscher Sicherheitsexperten rückt das Thema Cyberkriminalität immer stärker in den Fokus. Unternehmen müssen jetzt handeln, um sich wirksam gegen Cyberattacken nach § 202a zu verteidigen. Aktuelle Studien zeigen: Mehr als jedes zweite deutsche Unternehmen ist bereits Opfer solcher Angriffe geworden.

Besonders alarmierend ist der Datendiebstahl. Dieser wird rechtlich als „Ausspähen von Daten“ nach § 202a des Strafgesetzbuchs (StGB) bezeichnet und kann mit bis zu drei Jahren Freiheitsentzug oder Geldbußen bestraft werden. Aber was passiert genau bei solchen Attacken?

§ 202a StGB Ausspähen von Daten – Was besagt das Gesetz

Im Internet geben Nutzende an vielen Stellen persönliche Daten preis, etwa in Onlineshops. Dies birgt jedoch das Risiko, dass sensible Daten gestohlen werden. Das Strafgesetzbuch (StGB) regelt diesen Datendiebstahl sowie Datenklau in §202a „Ausspähen von Daten” und definiert die Strafe.

Das bedeutet: Wer unbefugt gesicherte, nicht für ihn bestimmte Daten beschafft, kann mit bis zu drei Jahren Haft oder einer Geldstrafe bestraft werden. Das gilt auch für den Versuch des Ausspähens von Daten. Die Daten müssen elektronisch oder auf eine andere, nicht direkt wahrnehmbare Weise gespeichert sein, zum Beispiel über Bildschirme und auf elektronischen Speichermedien. Direkt wahrnehmbare Daten auf Datenkarten aus Papier fallen nicht darunter. Der Inhalt der Daten spielt für die Strafbarkeit keine Rolle.

Unterliegt das Ausspähen von Daten einer Verjährung?

Ja, Vergehen nach § 202a StGB unterliegen der Verjährung. Die Verjährungsfrist richtet sich nach dem möglichen Strafmaß, das für das Vergehen verhängt werden kann. Für das Ausspähen von Daten sind das eine Geldstrafe oder Freiheitsstrafe von bis zu drei Jahren.

Nach § 78 Absatz 3 StGB beträgt die Verjährungsfrist fünf Jahre. Das bedeutet, dass Straftaten nach § 202a StGB nach fünf Jahren verjähren, wenn innerhalb dieser Zeit keine strafrechtliche Verfolgung eingeleitet wird. Geldstrafen unterliegen dem Ordnungswidrigkeitengesetz. Die Verjährung ist abhängig von der Höhe des Geldbetrags.

Beispiele für das Ausspähen von Daten

Es gibt verschiedene Arten von Datenausspähungen, die unter den § 202a StGB fallen undCyberangriffen, die verheerende Folgen haben können.

1. Ransomware-Angriffe: Organisierte Hackergruppen hacken Accounts, verschlüsseln Unternehmensdaten und fordern hohe Lösegelder. Ein Hackerangriff fällt unter das StGB und ist sind keine Seltenheit. Solch ein § 202a StGB Fall kannund können den Betrieb oder die Produktion von Unternehmen komplett lahmlegen.
2. Phishing: Angreifer versuchen, über gefälschte Nachrichten Zugangsdaten zu stehlen. Dieses Ausspähen von beispielsweise Kundendaten geschieht meist per E-Mail oder Handy-Nachrichten. Die Daten nutzen sie dann für Identitätsdiebstahl oder etwa zur Manipulation von Aktienkursen.
3. Ungewollte Datenleaks: Oft sind es menschliche Fehler, die zu Datenverlusten führen. Trotz Schulungen und Sensibilisierung geschehen Fehler, die Angreifern Tür und Tor öffnen.

Datenausspähung: Spezifische Attacken und Fälle nach § 202a StGB

In den letzten Jahren wurden einige spezifische Fallbeispiele beobachtet, die gemäß § 202a StGB unter Strafe stehen. Das reicht von Vorfällen in Unternehmen bis zu privaten Vorfällen.

• Die LinkedIn-Falle: Neue Stellenprofile auf LinkedIn können Angreifern helfen, gezielte Phishing-Angriffe durchzuführen. Opfer werden damit von vermeintlichen Vorgesetzten per SMS oder Mail aufgefordert, sensible Daten preiszugeben. Diese Art des Angriffs fällt unter das „Ausspähen von Daten“ gemäß § 202a StGB. 
• Der Bild-Fehler: Fotos, auf denen sensible Informationen im Hintergrund zu sehen sind, werden oft leichtfertig in sozialen Netzwerken geteilt. Auch dies kann als Beispiel für einen Cybercrime nach § 202a StGB betrachtet werden. Das Passwort am Bildschirm, die Unternehmenszahlen auf dem Screen, Daten als Ausdruck an der Wand – alles auf Facebook, Instagram und Co.
• Die private Sicherheitslücke: Home-Office und Remote-Arbeit erhöhen die Gefahr, dass Angreifer unsichere private Computer ausspähen. Das sind klassische Beispiele gemäß § 202a StGB, bei denen sensible Unternehmensdaten ausgespäht werden können, weil die Sicherheitsvorkehrungen eines Unternehmens nicht mehr greifen.
• Der Brillen-Verrat: Sogar Reflexionen in Brillengläsern während Videokonferenzen können ausgenutzt werden, um Daten zu stehlen. Solche Szenarien zeigen eindrucksvoll, wie raffiniert das „Ausspähen von Daten“ nach § 202a StGB sein kann. Forscher haben nachgewiesen, dass dazu bereits eine herkömmliche 720p-Webcam und eine geeignete Software ausreichen.

Die Folgen von Datenleaks und ausgespähten Daten

Die Folgen von Angriffen nach § 202a können verheerend sein: Von finanziellen Verlusten, die bis zum Ruin eines Unternehmens führen können, bis hin zu einem beschädigten Ruf, wenn vertrauliche Daten veröffentlicht werden. Daher ist es essenziell, dass Unternehmen ihre Daten schützen und wachsam bleiben.

Digitale Daten schützen und Datenleaks verhindern

Angesichts der wachsenden Bedrohungen durch Cyberkriminalität sollten Unternehmen auf ein zukunftsfähiges Informationssicherheitsmanagementsystem (ISMS) setzen. Ein ISMS umfasst zahlreiche Bausteine für mehr Informationssicherheit, darunter:

• Kontinuierliche Beratung durch zertifizierte Experten
• Vorbereitung auf Zertifizierungen wie TISAX oder die ISO 27001
• Schulungen von Angestellten
• Erstellung von ISMS-Leitlinien und Richtlinien

Selbst wenn ein Unternehmen bereits Opfer einer Attacke nach §202a geworden ist, kann ein externer Dienstleister bei der Bewältigung und Wiederherstellung unterstützen.