Hacker löscht 900 iPhones und iPads: 18 Monate Haft
In Großbritannien wurde kürzlich ein Hacker zu einer 18-monatigen Haftstrafe verurteilt. Der Angreifer soll im Jahre 2014 iPhones und iPads von über 900 Mitarbeitern des weltweit fünftgrößten Versicherers Aviva gelöscht und anschließend den Verwaltungsserver für die mobilen Geräte des Unternehmens zurückgesetzt haben.
Der Verurteilte war ein ehemaliger Mitgründer der Sicherheitsfirma Esselar, welche für die IT-Sicherheit von Aviva zuständig war. In der Verhandlung stellte sich heraus, dass er wegen verschiedener Unstimmigkeiten mit seinen Kollegen das Unternehmen 2013 verließ und sich mit seinem Angriff rächen wollte – mit Erfolg: Das Versicherungsunternehmen kündigte den IT-Vertrag mit einem Jahresvolumen von ca. 80.000 Pfund mit der Sicherheitsfirma. Der Folgeschaden wurde während der Verhandlung auf über 500.000 Pfund beziffert.
Obwohl Aviva kurz nach dem Angriff mitteilte, dass von der Löschung keine wichtigen Business-Daten betroffen gewesen seien und alle Daten wiederhergestellt hätten werden können, verurteilte nun das Crown Court Guildford bei London den Angeklagten zu einer Haftstrafe von 18 Monaten.
Auch in Deutschland hätte der Angreifer mit weitreichender Strafverfolgung zu rechnen gehabt. Spätestens seit den durch das „41. Strafrechtsänderungsgesetz zur Bekämpfung der Computerkriminalität“ vom 11.08.2007 geänderten Straftatbeständen des Ausspähens von Daten (§ 202a StGB), der Datenveränderung (§ 303a StGB) und der Computersabotage (§ 303b StGB), sind auch hierzulande die Strafbarkeiten an das Fortschreiten der elektronischen Datenverarbeitung angepasst worden.
§ 202a Abs.1 StGB regelt hierbei den unbefugten Zugang zu Daten, die für einen selbst nicht bestimmt und gegen den unberechtigten Zugang geschützt sind. Daten sind gemäß Abs. 2 solche, die elektronisch oder magnetisch gespeichert und übermittelt werden. Entscheidend ist, dass von den eigentlichen Daten keine Kenntnis erlangt werden muss, allein der sich verschaffte Zugang zu für einen selbst unberechtigten Daten reicht für eine Strafbarkeit aus. Das Gesetz sieht hier eine Geldstrafe oder eine Freiheitsstrafe von bis zu drei Jahren vor.
§ 303a StGB stellt das rechtswidrige Löschen, Unterdrücken, Unbrauchbarmachen oder Verändern von Daten unter Strafe. „Gelöscht“ im Sinne des Gesetzes sind hierbei Daten jedoch nur, wenn sie dauerhaft unerkenntlich gemacht werden. Wie der Mitteilung Avivas jedoch zu entnehmen ist, konnten alle Daten wiederhergestellt werden. Einschlägig wäre hier somit vielmehr die „Unterdrückung“, „Unbrauchbarmachung“ und/oder „Veränderung“. In einem solchen Fall ist auch hier eine Geldstrafe oder eine Freiheitsstrafe von bis zu zwei Jahren vom Gesetzgeber vorgesehen.
§ 303b Abs. 1 StGB regelt die wesentliche Störung der Datenverarbeitung durch die Beschädigung und/oder Unbrauchbarmachung von Daten. Erschwerend könnte gem. Abs. 2 hinzukommen, dass es sich bei den gelöschten Daten um Inhalte von wesentlicher Bedeutung handelt. In einem solchen Fall könnte sich das Strafmaß auf bis zu fünf Jahre Haftstrafe erhöhen.
