Computerkriminalität und Interne Revision – Prävention, Aufdeckung und Aufklärung von IT-basierter Wirtschaftskriminalität

In den vergangenen Jahren haben sich Tat- und Tätertypologien stark und rasch verändert: Täter nutzen zunehmend modernste Technik, neuartige Kriminalitätsphänomene ersetzen immer mehr klassische Deliktformen, die einzelnen Delikte werden zudem immer komplexer.

Die Interne Revision ist gefordert sicherzustellen, dass die Organisation hinreichend geschützt ist. Sie kann diese Aufgabe selbst übernehmen, überwachen, ob in der Organisation die verantwortlichen Funktionen ihren Aufgaben nachkommen oder die Aufgabe nach außen vergeben.

 

Einführung: Die Interne Revision und Computerkriminalität

Die Bandbreite der so entstandenen Deliktarten  reicht von Internetbetrug über technisch anspruchsvolle Spezialdelikte wie das Eindringen in Computersysteme bis zu Angriffen auf staatliche Infrastrukturen im Cyberterrorismus. Auf der anderen Seite sind interne Kontroll- und Überwachungseinrichtungen nicht immer auf dem neuesten Stand oder kennen sich mit derartigen Fraud-Schemata hinreichend gut aus, um vorbeugend, aufdeckend oder aufklärend ihre Organisation zu schützen.

Computerkriminalität ist heute ein Milliardengeschäft bei wenig Risiko – dafür sorgt die Anonymität des Internets. Mit der zunehmenden Nutzung des Internets wächst auch die Kriminalität auf diesem Sektor. Die Zahl der Anzeigen steigt, so auch die Zahl der (internationalen) Hacking-Delikte, letztere aber bei hoher Dunkelziffer. In Zukunft ist weiter verstärkt mit Delikten im Bereich IT-Crime zu rechnen. 

 

Begriffe

Der Begriff Kriminalität (von lat. crimen: Beschuldigung, Anklage, Schuld, Verbrechen) orientiert sich im Wesentlichen an der juristischen Definition der Straftat. Während sich die „Straftat“ eher am individuellen Verhalten misst, wird mit Kriminalität i.d.R. die Gesamtheit der Straftaten bezeichnet.

Computerkriminalität (e-crime) bezeichnet Straftaten der Wirtschaftskriminalität, in denen der Computer oder Kommunikationssysteme als Tatmittel oder als Gegenstand des deliktischen Verhaltens eine wesentliche Rolle spielt.

Nach der polizeilichen Kriminalstatistik Deutschlands zählen i.e.S. zur Computerkriminalität:

  1. Betrug mittels rechtswidrig erlangter Kreditkarten mit PIN;
  2. Computerbetrug (§ 263a StGB): Der Computerbetrug nach § 263a StGB bildet den Kern der computerspezifischen Strafbestände, die im Rahmen des 2. Gesetzes zur Bekämpfung der Wirtschaftskriminalität eingeführt wurden;
  3. Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten;
  4. Fälschung beweiserheblicher Daten, Täuschung im Rechtsverkehr bei Datenverarbeitung (§§ 269, 270 StGB);
  5. Datenveränderung, Computersabotage (§§ 303a, 303b StGB);
  6. Ausspähen von Daten (§ 202a StGB);
  7. Softwarepiraterie: Herstellen, Überlassen, Verbreiten oder Verschaffen von sog. „Hacker-Werkzeugen“, die illegalen Zwecken dienen (§ 202c StGB); sowie
  8. alle Delikte, bei denen die IT zur Planung, Vorbereitung oder Ausführung eingesetzt wird.

Internetkriminalität umfasst Straftaten, die auf dem Internet basieren oder mit Hilfe von Techniken des Internets geschehen. Cybercrime (engl. cyber: auf das Internet bezogen) bezeichnet Vergehen bzw. Verbrechen in Zusammenhang mit dem Internet. Heute wird Internet- weitgehend synonym mit Computerkriminalität verwendet.

 

Umfang der Delikte

Nach der BITKOM-Studie über Datenschutz im Internet (Erhebungszeitraum Januar 2011, 1.002 deutschsprachige Internetnutzer in Deutschland) nutzen 72 % der deutschen Privatpersonen ab 14 Jahren das Internet. Gut jeder zweite Internetnutzer hat persönliche Daten im Internet veröffentlicht, aber 2 % aller Internetnutzer verwenden keine Sicherheitsprogramme. Bei 38 % aller Nutzer wurde der Computer bereits mit  Schadprogrammen wie Viren infiziert, 6 % haben finanzielle Schäden infolge Datendiebstahl oder Schadprogramme erlitten. Bei 7 % wurden Zugangsdaten zu einer Plattform im Internet, z. B. einer Community, ausspioniert.

In Deutschland wurden 2011 wurden laut polizeilicher Kriminalstatistik fast 6 Mio. Straftaten registriert. Die Aufklärungsquote lag bei 54,7 %. Erhebungen zum Tatmittel Internet erfolgen mit einer entsprechenden Sonderkennung. Insgesamt wurden über 246.600 Fälle registriert. Die Zahl der angezeigten Fälle von Computerkriminalität ist 2011 gegenüber 2010 gestiegen. Bezeichnend ist, dass hier – entgegen dem Gesamt-trend zu einer höheren Aufklärungsquote diese gegenüber 2010 gesunken ist und nur bei 32,6 % liegt.

Eine der lästigsten und gefährlichsten Erscheinungen in der E-Mail-Kommunikation ist das Spam- und das Viren-Problem. Allein im 2. Quartal 2008 wurden weltweit täglich 150 Mrd. Spam-Mails verschickt. Sie machen weltweit über 85 % des gesamten E-Mail-Aufkommens aus. Sophos Labs, das Forschungszentrum eines europäischen Herstellers von Spam- und Virenschutz konstatiert, dass der Anteil der Spam-Mails mit infizierten Dateianhängen zwischen Juli und September 2008 im Vergleich zum vorangegangenen Quartal um das Achtfache gestiegen ist. Jede 416. E-Mail auf der Welt enthielt einen schädlichen Anhang.

72 % aller weltweit verschickten E-Mails sind Spams. Laut einer Statistik von Sophos kamen 2012 die meisten Spam-Mails aus Indien. Und obwohl laut einer amerikanischen Studie nur eines von 12,5 Millionen Spam-Mail erfolgreich ist, d.h. zu einem Kauf führt, scheint sich das Geschäft mit Spams zu rechnen.   

 

Unternehmen und das Cyber-Crime-Risiko

Unternehmen rechnen weltweit mit einem Anstieg der Cyber-Kriminalität. Hacker-Angriffe, Datendiebstahl über das Internet oder auch die gezielte Verbreitung von Viren treffen Unternehmen immer öfter und sind inzwischen in die „Top Four“ der häufigsten Wirtschaftsstraftaten weltweit aufgerückt. Das zeigt der "Global Economic Crime Survey 2011" von PwC. Häufigstes Delikt ist dabei der Diebstahl von Kunden- und Mitarbeiterdaten.

Trotz der offenbar erkannten Gefahren sind die Vorkehrungen für den Ernstfall mangelhaft: Fast die Hälfte der Unternehmen ist auf eine eventuell erforderliche kontrollierte Notfallabschaltung des IT-Systems nicht vorbereitet; knapp 60 % haben keine IKT-Strategie. Rund 60 % der Befragten bezweifeln oder glauben nicht, dass ihr Unternehmen über ausreichend interne Kapazitäten zur Aufdeckung und Verfolgung von Cyber-Straftaten verfügt.

Bei der Geschäftsführung ist das Thema oft noch nicht angekommen. 15 % der Befragten geben an, dass die Risiken der Cyber-Kriminalität auf Vorstandsebene noch gar nicht überprüft wurden. Entsprechend gering scheint auch die Vorbeugung durch Schulungen der Mitarbeiter: Über 40 Prozent der Befragten haben in den vergangenen zwölf Monaten kein Training gegen Cyber-Kriminalität erhalten; nur jedes dritte Unternehmen schult seine Mitarbeiter im Umgang mit sensiblen Daten.

Zu Teil 2