Aufgrund der rasant fortschreitenden Digitalisierung und dem Umstieg vieler Branchen auf digitale Infrastrukturen, die sich vorhin einer analogen Grundlage bedienten, musste sich der Gesetzgeber in den letzten 30 Jahren verstärkt mit dem Thema der Computerkriminalität auseinandersetzen. Mit dem Aufkommen des Internets und der steigenden gesellschaftlichen Verbreitung digitaler Infrastrukturen entstand ein neuer Nährboden für Kriminelle. So wurden anfangs der 90er Jahre die sogenannten Computertatbestände, mit denen man die neuartigen Cyberstraftaten zu erfassen versuchte, ins Schweizerische Strafgesetzbuch aufgenommen. Mit diesen Tatbeständen versuchte man den damaligen Gegebenheiten um die Cyberkriminalität gerecht zu werden. Aufgrund des Fortschrittes im digitalen Bereich haben jedoch auch Cyberkriminelle neue Möglichkeiten, Mittel und Methoden entwickelt, um ihre Tathandlungen zu vollenden. Deswegen wurden die Straftatbestände für digitale Delikte bis heute immer wieder revidiert. Am 23. November 2001 unterzeichnete die Schweiz, als Vertragsstaat des Europarats, die Europaratskonvention über die Cyberkriminalität. Durch diese internationale Übereinkunft sollten internationale Standards für den Kampf gegen Cyberkriminalität statuiert werden. Die Konvention trat in der Schweiz am 1. Januar 2012 in Kraft. Der schweizerische Gesetzgeber musste die Vorgaben und Ziele der Konvention in das nationale Recht implementieren. Die Schweiz musste nur wenige Anpassungen im Strafgesetzbuch und Rechtshilfegesetz vornehmen, um den Vorgaben der Konvention gerecht zu werden. Beispielsweise wurde der Straftatbestand von Art. 143bis StGB angepasst. Wie lassen sich also solche Cyberangriffe rechtlich würdigen?
Im schweizerischen Strafrecht können Cyberangriffe i.e.S. unter die Artikel 143, 143bis Abs. 1, 144bis Ziff. 1 und 179novies des Strafgesetzbuches fallen. Dadurch, dass der digitale Rechtsbereich noch spärlich erforscht und die Digitalisierung eine unter ständigem Fortschritt stehenden Materie ist, wurden die Computerstraftatbestände weit und vage formuliert.
Art. 143 StGB begründet unter dem Tatbestand der unbefugten Datenbeschaffung die Strafbarkeit für denjenigen, der mit eigener oder fremder unrechtmässigen Bereicherungsabsicht, elektronisch oder in vergleichbarer Art und Weise gespeicherte oder übermittelte Daten für sich oder einen Dritten beschafft, die nicht für ihn bestimmt und besonders gegen seinen unbefugten Zugang gesichert sind. Das geschützte Rechtsgut der Strafnorm bildet dabei einerseits zwingend das ungestörte Verfügungsrecht über Computerdaten (sog. Computerfrieden) und anderseits optional das Vermögen des Opfers.
Das Angriffsobjekt von Art. 143 StGB bilden dabei Daten. Der Begriff der Daten umfasst gemäss der herrschenden Lehre «alle Notate, die überhaupt Gegenstand menschlicher Kommunikation sein können, sofern sie in codierter Form von einer Datenverarbeitungsanlage verarbeitet, gespeichert oder übermittelt werden können.» Für die Anwendbarkeit des Straftatbestandes der unbefugten Datenbeschaffung auf Cyber-Angriffe mit Malware ist zu unterscheiden, ob der Einsatz von Malware die Zerstörung von Soft- oder Hardware, oder die Malware Daten des Opfers abschöpft und diese der Täterschaft übermittelt werden. In der ersten Konstellation werden keine Daten beschafft, wodurch der Tatbestand von Art. 143 StGB nicht erfüllt ist. Die zweite Konstellation begründet eine Strafbarkeit für die Täterschaft, da offensichtlich unbefugt Daten an die Täterschaft übertragen werden. Der Wortlaut der Strafnorm verlangt des Weiteren eine besondere Zugangssicherung. Je nach Branche und Sensitivität der Daten werden, unter Betrachtung des Einzelfalls, verschiedene Zugangssicherungen als ausreichend angesehen. Beispielsweise muss eine Bank weitergehende Massnahmen vornehmen, um Kundendaten zu schützen, als ein Fotograf, welcher Hochzeitsfotos seiner Kunden gespeichert hat. Als Zugangssicherung gelten dabei etwa Massnahmen wie Firewalls, Fingerabdruck- oder Passwort-Sicherungen. Angriffe mit Ransomware, welche auf eine Lösegelderpressung abzielen, vermögen nicht eine Strafbarkeit nach Art. 143 StGB zu begründen. Wenn die Ransomware der Täterschaft jedoch Daten überträgt, könnte der Tatbestand erfüllt sein. In beiden Konstellationen, und vor allem bei Lösegeldforderungen, könnte ebenfalls der Erpressungstatbestand des Art. 156 StGB anwendbar sein. Die Strafbarkeit von Social Engineering bestimmt sich nach den konkreten Umständen. Tatbestandsmässig sind die konkreten Umstände nur dann, wenn die Täterschaft durch Social Engineering versucht, an Passwörter zu gelangen, mit denen die Überwindung der besonderen Zugangsschranke gelingen soll. Zusammenfassend geht es bei Art. 143 StGB also um die unbefugte Abschöpfung bzw. Übertragung von Daten auf die Täterschaft (sog. Datenklau).
Art. 143bis StGB statuiert mit dem Tatbestand des unbefugten Eindringens in ein Datenverarbeitungssystem die Strafbarkeit für denjenigen, der auf dem Wege von Datenübertragungseinrichtungen unbefugterweise in ein fremdes, gegen seinen Zugriff besonders gesichertes Datenverarbeitungssystem eindringt. Das geschützte Rechtsgut bildet demnach die Privatsphäre und die Entscheidungsfreiheit des Berechtigten, welche ihm die freie Entscheidung über Einsicht und Zugang über gesicherten Datenverarbeitungsanlagen einräumen soll. Es geht hier demnach um klassisches Cyber-Hacking (vgl. https://www.teichmann-it.com/services/cyberhacking.html) – also um das klassische Eindringen in Datenverarbeitungssysteme. Das gehackte Gerät oder IT-System muss fremd und ebenfalls, gleich wie bei Art. 143 StGB, besonders gesichert sein. Zusammenfassend geht es bei Art. 143bis StGB um das Eindringen in ein fremdes, gesichertes IT-System (Cyber-Hacking). Art. 144bis StGB statuiert die Strafbarkeit für das Delikt der Datenbeschädigung. Dabei macht sich derjenige strafbar, der elektronisch oder in ähnlicher Weise gespeicherte oder übermittelte Daten verändert, löscht oder unbrauchbar macht. Die Verfügungsmacht über intakte Daten dient als geschütztes Rechtsgut für die vorliegende Strafnorm. Die Tathandlung in Form von Verändern, Löschen und Unbrauchbarmachen ist abschliessend, wobei eine gewisse Intensität der Schädigung für die Strafbarkeit vorausgesetzt wird. Weiter muss der Eingriff irreversibel und unbefugt erfolgt sein. Mittels Malware und Ransomware können Schädigungen der Hard-und Software erzeugt werden, welches den Tatbestand ohne weiteres erfüllen. Zusammenfassend erfasst der Tatbestand von Art. 144bis Ziff. 1 StGB die Datensabotage.
Art. 179novies StGB statuiert die Strafbarkeit für das Delikt der unbefugten Personendatenbeschaffung. Dabei macht sich derjenige strafbar, der in unbefugter Weise besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die nicht frei zugänglich sind, aus einer Datensammlung beschafft. Das geschützte Rechtsgut bildet dabei der Schutz der Persönlichkeit des Betroffenen. Besonders schützenswerte Personendaten bestimmen sich nach Art. 3 lit. c DSG, Persönlichkeitsprofile nach Art. 3 lit. d DSG. Die Bestimmungen beinhaltet eine konkretisierende Auflistung. Darunter fallen beispielsweise religiöse und politische Ansichten, Gesundheitsdaten, genetische und biometrische Daten, Daten über strafrechtliche Verfolgungen oder Daten über Massnahmen der sozialen Hilfe. Die Definition des Persönlichkeitsprofils wird mit dem revDSG 2023 gestrichen. Die Daten oder Persönlichkeitsprofile dürfen nicht frei zugänglich sein. Die blosse Kenntnisnahme jener genügt schon für eine Tatbestandsmässigkeit unter dem Gesichtspunkt der Beschaffung. Für die unbefugte Beschaffung besonders schützenswerter Personendaten oder Persönlichkeitsprofile bedienen sich die Cyberkriminellen vorzugsweise der Malware und Ransomware, wobei (Spear-)Fishing als Angriffs-Methoden dienen. Durch Brute Force und Social Engineering werden allfällige Zugangsschranken zu überwinden versucht. Zusammenfassend geht es hier, wie der Wortlaut von Art. 179novies StGB schon sagt, um die unbefugte Beschaffung von Personendaten.
Wie die Straftatbestände des Strafgesetzbuches in Zukunft ausgestaltet werden, muss sich am Stand der Digitalisierung und, soweit es geht, möglichst nah an aktuelle Möglichkeiten, Mittel und Methoden der Täterschaft orientieren. Gesetzgebungs- und Forschungsorganen müssen permanent den Handlungsbedarf zur Anpassung und Erlass von Strafnormen im Auge behalten, denn es muss dringend vermieden werden, dass die Schere zwischen Strafnormen und den tatsächlichen Cyberattacken zu weit aufgeht.