Wirtschaftskriminalität: Daten sammeln in der Grauzone
Unternehmen machen mit Daten Geschäfte - meist nicht legal, aber geduldet. Wo bleiben die Kontrollen bei dieser Form der Wirtschaftskriminalität?
Eine Form der Wirtschaftskriminalität ist das meist illegale Sammeln von Daten, was vor Jahren noch „analog“ vonstatten ging: Unter dem Decknamen „HGWXX/7“ bespitzelt der Stasi-Hauptmann Gerd Wiesler den Theaterschriftsteller Georg Dreyman im Ost-Berlin der 1980er-Jahre. Hierzu wird die Wohnung Dreymans verwanzt, und Wiesler richtet eine Abhörstation auf dem Dachboden des Wohnhauses ein. Eine Menge analoger Aufwand an Mensch und Material, um den Schriftsteller rund um die Uhr zu überwachen sowie auszuhorchen. Diese fiktive Geschichte erzählt der Film „Das Leben der Anderen“. Und doch steckt in der Handlung viel Wahrheit zu den Methoden eines Staates, der sich auf Misstrauen, Überwachung, Diebstahl und Denunziantentum stützen konnte.
Dieses analoge Vorgehen, Menschen auszuspähen, zum Schweigen zu bringen oder sie letztendlich zu zerstören, verändert sich in Zeiten der Digitalisierung fundamental. Nicht zum Besseren für die Betroffenen und mit einem mehr als faden Beigeschmack für die handelnden Personen sowie Organisationen, die dahinter die Fäden ziehen
Mit dem Sammeln von Daten Geschäfte machen
Wer an Hacker denkt, dem fallen in aller Regel dunkle Machenschaften einzelner Täter im Darknet ein oder es kommen einem professionelle Gruppen und staatliche Stellen in den Sinn. Was alle mehr oder weniger eint, sind die Motive: Geld, Erpressung, Spionage und Sabotage. In diesem Reigen digitaler Ausspähung nehmen sich Einzeltäter, kriminelle Gruppen und staatliche Akteure nichts. Die einen tun es zu ihrem Wohl, die anderen zum vermeintlichen Wohl des Staates. Doch abseits dieser bekannten Ziele bringen sich seit Jahren Unternehmen in Stellung. Ihr Ansinnen liegt plump formuliert darin, mit Daten Geschäfte zu machen. Meist nicht legal, gefördert oder geduldet von der eigenen Organisation, bewegt sich manch Unternehmenshacker unter dem Deckmantel des „Data science hacking“. Dieses Treiben könnte unter der Überschrift „Wirtschaftskriminalität“ stehen. Willkommen in einer Ausspäh- und Überwachungsindustrie, scheinbar ohne Grenzen aufgrund fehlender Kontrollen. Eine Grauzone, wie geschaffen um Unternehmen und Privatpersonen zu durchleuchten – vom Bezahlverhalten über Lieferantenbeziehungen bis zu den beruflichen sowie privaten Wegen der Menschen und deren Kommunikation. Vor allem das Finanzdienstleistungsumfeld mit ihren Fintechs sowie Digitalkonzerne, Marketingunternehmen, Verfassungsschutzbehörden und wissenschaftliche Research-Einrichtungen (mit einer gewissen Nähe zu staatlichen Stellen) suchen nach den Spezialisten im Data-Science-Umfeld – weltweit.
Begehrt, umworben und das Vermeiden der Vokabel Hacking
Aufgrund zunehmender Datenbestände stehen die Fähigkeiten des Sammelns, Auswertens und Interpretierens digitaler Informationen aus unterschiedlichen Quellen hoch im Kurs. Dies macht Datenexperten mit Hacking-Skills begehrt, und ein Blick in die Jobportale genügt, um zu verstehen, was der Markt braucht. Der Staat, die Wissenschaft und Wirtschaft buhlen um die Könige der digitalen Informationen, den Datenexperten. In Stellenangeboten heißen diese kryptisch „Data Science Specialist“, „Data Engineer“, „Big Data Analyst“ oder „Computer Scientist“. Jüngst wurde beispielsweise eine Amazon-Stellenausschreibung „Intelligence Analyst“ bekannt, in der Amazons Global Security Operations (GSO) unverhohlen nach geeigneten Kandidaten aus dem militärischen oder geheimdienstlichen Umfeld sucht. Ziele der Analysen sollen unter anderem „Hass-Gruppen“, Gewerkschaften oder politische Akteure sein. Indes fehlt in den Jobbeschreibungen die Vokabel „Hacking“, und das aus gutem Grund. Denn das Hacken – sprich der Einbruch in Computer oder Computernetze (und darauf konzentrieren wir uns in diesem Beitrag) – steht in vielen Ländern unter Strafe.
Verstöße in Unternehmen und ethische Grundsätze
All diese wohlformulierten Gesetze und Beschlüsse sind in vielen Fällen wenig hilfreich. Denn wo kein Kläger, da kein Angeklagter. Der Staat als Regulativ kann nichts tun, hat er das Feld digitaler Entwicklungen so gut wie komplett in privatwirtschaftliche Hände gelegt. Damit fehlt es an Wissen, zugleich an Ressourcen, um Missstände zu erkennen und strafrechtlich zu verfolgen. Also vermeintlich leichtes Spiel für Unternehmen, die Daten Sammeln, Auswertungen sowie im großen Stil Handel mit den gewonnenen Informationen betreiben.
Hinzu komme nach Ansicht von Prof. Josef Scherer, Leiter des Internationalen Instituts für Governance, Management, Risk & Compliance (GMRC) der Hochschule Deggendorf, dass es bis dato keine Legal-Definition eines Gesetzgebers oder Gerichts mit Blick auf die teils nicht greifbaren Tätigkeitsbereiche beim Sammeln und Auswerten von Daten gäbe. Der fehlenden Definition zum Trotz sieht Scherer indes Verstöße, die mit dem Datenhacking einhergingen und sanktioniert werden müssten: „Einerseits können mit solchen gewollten oder geduldeten Hackingaktivitäten in Unternehmen Verstöße gegen das Grundgesetz und das Recht auf informationelle Selbstbestimmung einhergehen oder dem Treiben stehen Compliancevorschriften entgegen.“ Und der GMRC-Leiter fügt hinzu: „Selbst wenn ein solches Verhalten legal wäre, steht dem Ganzen ein möglicher Verstoß gegen Regelungen im Governanceumfeld, beim Corporate Social Responsibility oder dem Code of Ethics gegenüber.“ Gerade mit Blick auf Letzteres spricht beispielsweise der Chaos Computer Club (CCC) von ethischen Grundsätzen des Hackens und sieht die Grenzen dort erreicht, wo in den Daten anderer Leute herumgeschnüffelt wird. Für den CCC steht das Thema unter dem Motto: „Öffentliche Daten nützen, private Daten schützen.“ Doch darauf und auf die Selbstregulierung der Agierenden könne nach Scherers Worten nicht vertraut werden: „Das hat fast noch nie geklappt, wenn finanzielle Interessen im Spiel sind.“ Und damit wird das Datensammeln in der Grauzone und darüber hinaus wohl weitergehen – vorerst.
Wirtschaftskriminalität: Rechtliche Rahmenbedingungen bei Hacking
Hierzulande ist das Hacking unter anderem geregelt in den Unterpunkten zum Paragraf 202 des Briefgeheimnisses und zu finden in den Paragrafen 202a bis 202c (Hackerparagrafen) des Strafgesetzbuches (StGB). Demnach ist das Ausspähen und das Abfangen von Daten sowie das „Vorbereiten des Ausspähens und Abfangens von Daten“ unter Strafe gestellt. In Großbritannien ist Hacking im „Computer Misuse Act 1990“ geregelt – geändert durch den „Police and Justice Act 2006“ sowie dem „Serious Crime Act 2015“. Mit dem Computer Fraud and Abuse Act (18 U.S.C. § 1030) regeln die USA den Bereich des Computer-Hacking. Und die Europäische Union (EU) hat sich mit dem Rahmenbeschluss 2005/222/JI vom Februar 2005 über Angriffe auf Informationssysteme juristisch positioniert.
Ein Hinweis in eigener Sache: Trotz diverser Anfragen im Wirtschafts- und Wissenschaftsbereich wollten sich die jeweiligen Personen nicht zum Thema äußern. Im Grunde ist keine Antwort auch eine Antwort und zeigt, dass sich die Beteiligten nicht über die Causa möglicher Datenanalysten in der Grauzone aus dem medialen Fenster lehnen wollen.
Andreas Eicher, freier Autor
Passend zu diesem Artikel
Der langjährige Vorsitzende des Fachausschusses für Übertragungstechnik (FA-ÜNT) im BHE e.V., Ulrich Schwieger, ist verstorben.
Der Leiter der BVSW-Geschäftsstelle in München, Christian Roth, ist am 30. Oktober 2023 plötzlich und unerwartet verstorben.
Die GU-Gruppe trauert um ihren Firmeninhaber und Geschäftsführer Julius von Resch.