Der Beitrag wurde von Dr. iur. Dr. rer. pol. Fabian Teichmann in Zusammenarbeit mit Léonard Gerber verfasst und 2021 in der Fachzeitschrift «Jusletter» veröffentlicht. Die digitale Transformation durchdringt unsere Gesellschaft und eröffnet einen Weg zu einer nachhaltigen Wirtschaft. Dies wird auch als vierte industrielle Revolution bezeichnet und hat Auswirkungen auf das tägliche Leben der Bürger. Die Kommunikation erfolgt über E-Mails oder WhatsApp-Nachrichten, Treffen mit Freunden finden auf Facebook oder über Zoom statt, Fotos und Videos werden auf Instagram veröffentlicht, Handel wird über Online-Plattformen betrieben und Zahlungen erfolgen über Online-Banking. Allerdings sind seit der Entwicklung der Informationstechnologie viele betrügerische Verhaltensweisen aufgetreten, von denen einige in den Bereich des Computerstrafrechts fallen. Die Schwierigkeit der strafrechtlichen Einordnung dieser Verhaltensweisen liegt in der gleichzeitigen Begehung mehrerer Straftaten in Form eines Idealkonkurses. Dies betrifft Straftaten, die über das Internet begangen werden, wie zum Beispiel Ransomware, Identitätsdiebstahl, Hacking, Verbreitung von Malware, DDoS-Angriffe, Cyber-Betrug, Straftaten im Zusammenhang mit Cybersex, unlauterer Wettbewerb im Cyberspace und Phishing. Der Europarat hat das Übereinkommen von Budapest über Computerkriminalität verabschiedet, das am 23. November 2001 abgeschlossen wurde und das erste internationale Übereinkommen zur Bekämpfung von Computerkriminalität darstellt. Interessanterweise umfassen die 65 Vertragsstaaten im Jahr 2021 auch Nichtmitgliedstaaten des Europarats, die das Übereinkommen ratifiziert haben, wie die Vereinigten Staaten, Japan, Australien oder Kanada. Das Übereinkommen und seine Vertragsstaaten erkennen somit die Notwendigkeit an, weltweit gegen Computerkriminalität vorzugehen, die über die begrenzte Zuständigkeit einer einzigen Gerichtsbarkeit hinausgehen kann. Das Übereinkommen hat hauptsächlich zum Ziel, die Vertragsstaaten zu einer gemeinsamen Kriminalpolitik zu verpflichten, um die Gesellschaft vor Kriminalität im Cyberspace durch die Verabschiedung von Gesetzen und eine Stärkung der internationalen Zusammenarbeit zu schützen. Das schweizerische Strafrecht erfasste bereits einen Grossteil der Straftaten, die im Zusammenhang mit der Cyberkriminalität stehen. Die Cyberkriminalität kann in zwei Kategorien unterteilt werden. Die erste Kategorie umfasst Straftaten gegen Internetinfrastrukturen wie Computer, Konnektivität, Programme oder allgemein die IT-Unterstützung der Opfer. Beispiele hierfür sind Hacking, DDoS-Angriffe, das Teilen von Malware (Viren, Trojaner usw.). Die zweite Kategorie umfasst Straftaten, die über das Internet begangen werden, wie z. B. rassistische Diskriminierung, Verletzung des Urheberrechts, unlauterer Wettbewerb oder Phishing. Straftaten im Zusammenhang mit dem Internet haben auch eine transnationale Dimension, da sie nicht auf eine einzige Rechtsordnung beschränkt sind. Das schweizerische Strafrecht sanktioniert solche missbräuchlichen Verhaltensweisen nur punktuell. Phishing kann mehrere Straftaten des schweizerischen Strafrechts in Form eines Idealkonkurses beinhalten. Phishing ist eine betrügerische Technik, bei der persönliche Informationen, meist im Zusammenhang mit Bankgeschäften, erschlichen werden, um Vermögensdelikte und Identitätsdiebstahl zu begehen. Art. 143bis des schweizerischen Strafgesetzbuchs (StGB) ist die Rechtsnorm des schweizerischen Strafrechts, die das Hacking, d.h. den unbefugten Zugriff auf ein Computersystem, bestraft. Erstens schützt diese Norm Computersysteme, die anderen gehören und speziell vor unbefugten Eingriffen geschützt sind. Computersysteme umfassen Computer, Mobiltelefone, Digitalkameras sowie alle Datenaufbereitungseinrichtungen. Es gilt nicht für den Eingriff in Datenträger wie USB-Sticks, CDs, DVDs oder Disketten, es sei denn, sie sind mit einem geschützten Computersystem verbunden. Die Daten selbst werden nicht durch Art. 143bis StGB geschützt, sondern durch Art. 143 StGB, der den Diebstahl von Daten strafbar macht. Um festzustellen, ob ein Computersystem speziell geschützt ist, muss die Absicht der zugriffsberechtigten Person untersucht werden, um zu verhindern, dass Dritte auf ihre Daten zugreifen oder den Zugriff beschränken. Dieses Kriterium ist erfüllt, wenn beispielsweise IT-Schutzmassnahmen wie Antivirensoftware, Zugangscode oder Passwort, Verschlüsselung oder biometrischer Schlüssel verwendet werden, jedoch nicht, wenn nur physische Barrieren zum Schutz des Computersystems vorhanden sind, z.B. ein verschlossener Raum oder ein versiegelter Schrank. Zweitens schützt die Norm vor unbefugtem Zugriff mittels eines Datenübertragungsgeräts. Die Straftat ist erfüllt, sobald der Täter die erste Zugangssperre, wie z.B. den Code, das Passwort oder den biometrischen Schlüssel des geschützten Computersystems, überwindet.
Zum Autor: Fabian Teichmann ist Rechtsanwalt in der Schweiz, Notar in St. Gallen, europäischer Rechtsanwalt in Liechtenstein sowie Unternehmensberater auf internationaler Ebene. Darüber hinaus ist er als Lehrbeauftragter an verschiedenen Universitäten im In- und Ausland tätig.
Mehr zu diesem Thema finden Sie in Teichmann, F. & Gerber, L. (2021). Cybercriminalité en Suisse: Le phishing. Jusletter. 27. Mai 2021. https://doi.org/10.38023/9312a9a4-1c0e-4225-b305-c06305b59df4.