JUVE: Wie reagiert die Industrie auf die Zentral- und Ansprechstelle Cybercrime?
Elisabeth Auchter-Mainz: Wir begegnen häufig zwei falschen Annahmen. Zum einen, dass die Staatsanwaltschaft im Falle eines Cyberangriffs die Schuldigen sowieso nicht findet. Zum anderen, dass die Behörden im Haus nicht nur den Schaden in den Blick nehmen, sondern auch alles andere. Diese Missverständnisse halten Unternehmen häufig davon ab, uns überhaupt erst einzuschalten.
Was tun Sie, um diese Vorurteile aus dem Weg zu räumen?
Markus Hartmann: Je eher die Unternehmen wissen, wie sie sich im Fall eines Cyberangriffs zu verhalten haben, desto erfolgreicher können wir als Strafverfolger agieren. Die einfachsten Fragen, etwa wer erstattet die Anzeige und wen ruft er an, sind im Krisenfall oft nicht geklärt. In einer solchen Situation verantwortlich zu handeln heißt, sich vorher mit den Fragen beschäftigt zu haben. Denn nur dann läuft so ein Krisenszenario reibungslos ab. Für einen solchen Krisenplan arbeiten wir auch präventiv mit der Wirtschaft zusammen. Ich kann deswegen nur appellieren: Jedes Unternehmen sollte einen Cyberkrisenplan aufstellen – und Teil dieses Plans muss sein, möglichst schnell die Strafverfolgungsbehörden mit einzubeziehen.
Gibt es besondere Schwachstellen bei betroffenen Unternehmen?
Auchter-Mainz: Viele Unternehmen machen gar nichts oder haben sehr veraltete IT-Sicherheitssysteme, die sie nicht nachrüsten. Daraus resultiert ein ganzer Strauß an Schwachstellen. Insbesondere kleinere und mittelgroße Unternehmen investieren nicht in moderne Sicherheitssysteme. Aber die Einsparung an der IT von heute ist die Insolvenz von morgen. Die Erkenntnis, dass IT angreifbar und ihre Sicherheit kein statischer Zustand ist, sondern ständig neu auf den Prüfstand muss, wäre bereits ein großer Gewinn. In der Praxis gibt es da noch große Defizite. Denn der Stellenwert der IT-Sicherheit ist in den Unternehmenskulturen noch sehr gering.
Die IT-Sicherheit ist technisch kompliziert. Wenn dann noch rechtliche Aspekte hinzukommen, fehlt es oft an Spezialisten. Wie wurden die Staatsanwälte der ZAC dafür geschult?
Hartmann: Im Grunde ist die Aufgabe eines Staatsanwalts auch auf diesem Gebiet zunächst immer noch eine juristische. Dabei ist es natürlich auch erforderlich, entsprechende IT-Kenntnisse mitzubringen. Bei der ZAC arbeiten jedoch keine studierten Informatiker. In dieser Hinsicht kann man unsere Staatsanwälte vielleicht mit einem Gutteil der Hacker vergleichen, denn auch wir haben uns vieles selbst angeeignet und lernen ständig im Job hinzu. Letztendlich sind alle Mitarbeiter der ZAC entsprechend technisch sehr affin. Zudem stellen wir vermehrt fest, dass junge Kollegen zu uns kommen, die gezielt in diesem Bereich arbeiten wollen. Das Thema Cyberkriminalität war in der Vergangenheit nicht immer so attraktiv.
Ist das deutsche Strafrecht auf die digitale Welt eingestellt?
Hartmann: Als spezialisierte Staatsanwaltschaft ist es eine unserer zentralen Aufgaben, die strafprozessualen Eingriffsbefugnisse juristisch an die Gegebenheiten des digitalen Zeitalters anzupassen. Dabei ist es erstaunlich, wie viele sich dahingehend adaptieren lassen.
Haben Sie diesbezüglich Forderungen an den Gesetzgeber?
Hartmann: Aus der praktischen Notwendigkeit gibt es den sehr abstrakt geregelten Bereich des Datenzugriffsrechts, welcher eine Konkretisierung verdient. Zum Beispiel, welche Datenzugriffs- oder Ermittlungsmöglichkeiten dem Strafverfolger zustehen. Die Frage, was wir als Strafverfolger tun sollen und dürfen, um Straftaten aufzuarbeiten, wird man differenzierter als bisher beantworten müssen.
Das Gespräch führte Anika Verfürth.
Das vollständige Interview lesen Sie in der aktuellen Ausgabe des JUVE Rechtsmarkt 01/2017.
