IT-Sicherheit im Homeoffice – 7 Praktische Tipps

IT-Sicherheit im Homeoffice – 7 Praktische Tipps

Angetrieben durch die Corona-Krise nimmt der Trend zum Homeoffice stetig zu. Viele Arbeitnehmer arbeiten zum größten Teil – oder sogar ausschließlich – vom privaten Arbeitsplatz zu Hause. Im Homeoffice prallen Privat- und Arbeitsleben aufeinander, was ein Risiko für die IT-Sicherheit bedeutet. Unternehmen sehen sich daher zunehmend mit einer neuen Herausforderung konfrontiert: Der Gewährleistung von IT-Sicherheit im Homeoffice.

Cyber-Angriffe als Bedrohungsrisiko auch im Homeoffice

Cyber-Angriffe auf Unternehmen haben in den letzten Jahren merklich zugenommen. Laut der Cyber-Security-Studie 2020[1] gaben 78 Prozent der befragten Unternehmen an, im laufenden Jahr attackiert worden zu sein. Von 2018 bis 2019 betrug der durch Cyber-Angriffe verursachte Schaden mehr als 100 Milliarden Euro pro Jahr. Verglichen mit den Jahren 2016 und 2017 kam es sogar zu einer Verdopplung der Schadenssumme[2].

Cyber-Angriffe sind vielfältig und können nicht nur unangenehm sein, sondern auch zu erheblichen Vermögensschäden und Reputationsverlusten führen. Folgende Fallkonstellationen sollen der Verdeutlichung dienen:

  • Mit DDoS (Distributed-Denial-of-Service) Attacken werden Systeme gezielt überlastet, um Dienste oder Server zeitweise lahmzulegen. Ein durch eine DDoS-Attacke verursachter temporärer Ausfall eines Onlineshops oder einer Website kann innerhalb weniger Tag zu hohen Umsatzeinbußen führen.
  • Wenn Schadsoftware, wie bspw. Dateisysteme verschlüsselnde Ransomware, eindringt und die IT-Systeme eines Unternehmens lahmlegt, kann dies zu Produktionsausfällen und sogar zu einer kompletten Handlungsunfähigkeit des Unternehmens führen.
  • ATP-Angriffe, bei denen Angreifer über einen längeren Zeitraum gezielt Daten ausspionieren, können zu einem Verlust sensibler Daten oder Geschäftsgeheimnissen führen und dadurch irreversible Schäden verursachen.
  • Beim CEO-Fraud werden Mitarbeiter durch gezielte Video-Calls und E-Mails, bei denen sich der Angreifer als Führungskraft des Unternehmens ausgibt, veranlasst, große Geldbeträge zu überweisen. Diese Methode des sog. Social Engineerings ist zwar technisch anspruchslos, aber weit verbreitet.
  • Beim Phishing versuchen Cyber-Kriminelle mithilfe von gefälschten Webseiten, E-Mails oder Kurznachrichten an sensible Informationen oder Zugriffsdaten zu kommen.

Die Nichteinhaltung angemessener Sicherheitsmaßnahmen erhöht die Gefahr, Opfer eines Cyber-Angriffs zu werden. Dies gilt nicht nur im Büro, sondern auch im Homeoffice.

Optimaler Schutz nur mittels verschlüsselter VPN-Verbindung und MFA

 Bestmöglicher Schutz kann nur gewährleistet werden, wenn das Unternehmen die für das Arbeiten im Homeoffice notwendige Infrastruktur bereitstellt. Hierzu gehört neben der Zurverfügungstellung von sicheren Endgeräten (z.B. Firmen-Laptop oder Diensthandy) auch der geschützte Zugriff auf das Firmennetz via verschlüsselter VPN-Verbindung (Virtual-Private-Network). Dabei erfolgt der Verbindungsaufbau zu einer abgeschotteten Arbeitsumgebung (Terminal-Server oder Virtual-Desktop). Um eine VPN Verbindung aufzubauen, muss eine entsprechende Softwarelösung auf dem Endgerät installiert und eingerichtet werden. In der Regel gibt es vom Unternehmen hierfür Richtlinien und standardisiert genutzte Software.

Idealerweise wird die Verbindung erst dann aufgebaut, wenn sich der Mitarbeiter zuvor mittels einer MFA (Multi-Faktor-Authentifizierung) erfolgreich legitimiert hat. Hierzu ist neben der Eingabe von Login-Daten auch die Freigabe durch einen Hardware-Token (elektronisches Gerät zur Erzeugung eines Einmalpassworts) oder eine Smartphone-App erforderlich. Ist die Verbindung zum Unternehmensnetzwerk einmal aufgebaut, genießt der Mitarbeiter dank Firewall und Echtzeitüberwachung den gleichen Schutz, wie an seinem Arbeitsplatz im Büro. Das technische Konzept wird mittels einer Sicherheitsrichtline ergänzt, die das Unternehmen zur Verfügung stellen sollte. Diese sollte regeln, welche Informationen (auf Papier und auf IT-Systemen) aus dem Unternehmen transportiert und im Homeoffice bearbeitet werden dürfen, wer hierzu befugt ist und welche Sicherheitsvorkehrungen zu treffen sind.

7 praktische Tipps zur Verbesserung der IT-Sicherheit im Homeoffice

Insbesondere aus Kostengründen wird es vielen Betrieben jedoch nicht möglich sein, das beschriebene Konzept umsetzen zu können. Kommen im Homeoffice private Rechner zum Einsatz, besteht ein grundlegendes Sicherheitsrisiko, da der durchschnittliche PC-Anwender nicht über die erforderlichen Kenntnisse verfügt, um ausreichende IT-Sicherheitsmaßnahmen umsetzen zu können.

Mitarbeiter, die ihre privaten Rechner zu Arbeitszwecken nutzen, sind jedoch für die Sicherheit ihrer Geräte verantwortlich und mithin einem Haftungsrisiko ausgesetzt. Grundsätzlich sollte daher jeder Arbeitgeber, der seine Mitarbeiter auf privaten Endgeräten arbeiten lässt, erforderliche Sicherheitsmaßnahmen finanziell und organisatorisch unterstützen.

Nachfolgend werden 7 einfache und leicht umzusetzende Tipps aufgezeigt, wie die IT-Sicherheit am heimischen PC verbessert werden kann:

1. Hard- und Software auf dem neusten Stand halten

Zu einer soliden Arbeitsumgebung gehört, dass ausschließlich Software verwendet wird, die auf dem aktuellsten Stand ist. Nichts macht es Angreifern leichter, als unbekannte Schwachstellen im Programmcode (sog. Zero-Day-Exploits) zu nutzen, um Zugriff auf das Endgerät und damit auf Firmendaten zu bekommen. Notwendig ist es, stets die neuesten Software-Aktualisierungen zu installieren. Das Installieren von Updates und Patches betrifft jedoch nicht nur das Betriebssystem, sondern auch die verwendeten Software Programme, die Gerätetreiber der Hardware sowie den WLAN-Router.

2. Trennung von privaten und geschäftlichen Daten

Die private und geschäftliche Nutzung eines Geräts birgt ein großes Gefahrenpotenzial. Es ist daher empfehlenswert, die beiden Bereiche so gut es geht zu trennen. Die beste Möglichkeit stellt dabei die Nutzung von sogenannten Containern dar. Dabei handelt es sich um Anwendungen, die einen geschützten Bereich auf dem Endgerät abtrennen. Nur innerhalb dieses Containers ist ein Zugriff auf Unternehmensdaten möglich.

Steht keine Container-Software zur Verfügung, so kann eine Trennung der Daten zumindest über separate Benutzerkonten erfolgen. Wird der private Computer für die Arbeit im Homeoffice genutzt, dann sollte hierfür ein separates Konto erstellt werden. Hierdurch können private von geschäftlichen Daten getrennt werden. Das Arbeitskonto sollte selbstverständlich mit einem eigenen Passwort versehen werden.

Was den Zugriff auf das E-Mail-Postfach angeht, sollte dieser via Exchange-Client oder Webmail erfolgen, damit E-Mails nicht auf dem privaten Rechner gespeichert werden.

3. Nutzung aktueller Sicherheitssoftware

Sicherheitsprogramme, die nicht nur vor Computerviren schützen, sondern auch einen Phishing-Schutz und eine Firewall bieten, gibt es bereits für kleines Geld. Virenschutz ist nicht nur empfehlenswert, sondern fast schon obligatorisch. Der Befall des PCs im Homeoffice durch Malware kann sich schnell im gesamten Firmennetzwerk ausbreiten und erhebliche Schäden verursachen.

4. Verschlüsselung der Festplatte sowie portabler Speichermedien

Ein weiterer Tipp besteht darin, die Festplatte des Geräts und externe Speichermedien – wie USB-Sticks, Speicherkarten oder mobile Festplatten – zu verschlüsseln. Hierdurch kann auch im Homeoffice gewährleistet werden, dass Daten geschützt bleiben. Dieser Schutz hilft insbesondere dann, wenn das Notebook oder das Speichermedium verloren geht. Die Verschlüsselung des Datenspeichers ist meist mit den vorhandenen Mittelns des Betriebssystems möglich und verursacht keine zusätzlichen Kosten.

5. Sicheres Ablegen von Daten und regelmäßige Erstellung von Backups

Sofern das Unternehmen über ein Firmennetzwerk verfügt, sollte der Zugriff vom Homeoffice über eine verschlüsselte VPN-Verbindung erfolgen. Dateien sollten dabei nur auf dem Firmenserver bzw. der Firmendatenbank abgelegt werden. Regelmäßige Backups seitens des Arbeitgebers sind selbstverständlich Pflicht.

Wenn kein Firmennetzwerk vorhanden ist, müssen Daten lokal gespeichert werden. Damit es nicht zu einem Datenverlust kommt, sollten auch in der heimischen Umgebung Datensicherungen erstellt werden. Dies erfolgt am einfachsten mittels einer Backup-Software, welche die Datensicherung auch gleich verschlüsselt. Sofern häufiger größere Datenmengen im Heimnetzwerk gesichert werden müssen, sollte der Erwerb eines unabhängigen Dateienservers (sog. NAS = Network Attached Storage) erwogen werden.

Grundsätzlich sollte darauf verzichtet werden, Dokumente auf USB-Sticks und externen Platten zwischen Büro und Homeoffice hin- und herzutragen. Eine Alternative zum Datentransport kommt Cloud-Speicher in Frage. Zahlreiche Dienstleister bieten entsprechende Lösungen für Firmen an. Bei der Auswahl des passenden Anbieters sollte unbedingt auf DSGVO-Konformität sowie Ende-zu-Ende-Verschlüsselung geachtet werden.

6. Sicherheitsmaßnahmen bei Video-Chats

Video-Chats können von Cyber-Kriminellen genutzt werden, um sensible Unternehmensdaten auszuspähen. Hinter einem Videochat-Teilnehmer ohne aktivierte Kamera könnte auch ein Angreifer stecken. Sollte ein Verdacht bestehen, empfiehlt es sich, den Teilnehmer zunächst aufzufordern, die Kamera zu aktivieren. Auch kann das Meeting neu gestartet werden. Im Zweifel sollte telefonisch nachgefragt werden.

Die Teilnahme an Video-Chats von zu Hause ist zudem mit der Einsicht in die Privatsphäre verbunden. Dieses Risiko kann mit der Nutzung eines virtuellen Hintergrunds oder spezieller Kameraausrichtungen jedoch verringert werden.

7. Homeoffice-Richtline und Notfallplan

Um den Cyber-Bedrohungen im Homeoffice effektiv zu begegnen, empfiehlt es sich, Mitarbeiter für das Thema zu sensibilisieren. Diese müssen die Gefahren kennen, die mit der Telearbeit verbunden sind. Hier kann bereits ein einfaches Merkblatt helfen, welches über mögliche Risiken informiert und Auskunft darüber gibt, welche Sicherheitsmaßnehmen zu treffen sind.

Auch im Homeoffice kann es zu Pannen und technischen Schwierigkeiten kommen. Es ist daher ratsam, auch aus der Ferne stets mit den Administratoren des Unternehmens oder dem externen IT-Dienstleister in Verbindung zu bleiben.

Damit es im Ernstfall (Datenverlust, Geräteverlust oder Cyberangriff) nicht zu einem unnötigen Zeitverlust kommt, sollte ein Notfallplan bereitstehen, der Verhaltensvorgaben und eine Liste mit den Kontaktdaten der wichtigsten Ansprechpartner beinhaltet.

 

[1] https://www.computerwoche.de/a/die-it-sicherheit-braucht-eine-neuorientierung,3549665

[2] https://www.telefonkonferenz.de/blog/rekordschaeden-durch-cyberangriffe-2019/

Posted by Dr. Mathias A. Grzesiek in Cybersecurity, Datenschutz, IT-Compliance, Praxistipps
Computergenerierte kinderpornographische Schriften zur Umgehung der Keuschheitsprobe?

Computergenerierte kinderpornographische Schriften zur Umgehung der Keuschheitsprobe?

Straf- und Ermittlungsverfahren im Bereich kinderpornographischer Inhalte sind stets ein über den reinen Unwertgehalt der Tat hinausgehendes hochsensibles Thema, das eine rechtliche Auseinandersetzung oft zusätzlich politisch aufbläht. Die Offenbarung eines Kinderporno-Rings im nordrhein-westfälischen Bergisch-Gladbach dürfte schwerlich unbemerkt an einem vorbeigegangen sein, zumal laut ersten Aussagen der Ermittlungen das vielleicht nur den Stamm, und nicht die Wurzeln darstellt.

Kurz vorab: (Kinderpornographische) Schriften werden im Gesetz nicht definiert. Bei Schriften (vgl. § 11 Abs. 3 StGB) handelt es sich um eine Zusammenstellung von Zeichen, die durch Augen oder Tastsinn wahrnehmbar sind und Gedankeninhalte verkörpern.[1] Ihnen gleichgestellt sind Ton- und Bildträger, Datenspeicher, Abbildungen und andere Darstellungen in denjenigen Vorschriften, die auf diesen Absatz verweisen. In § 184b Abs. 1 Nr. 1 StGB findet sich, dass dieser erweiterte Schriftenbegriff auch bei der Verbreitung, dem Erwerb und dem Besitz kinderpornographischer Schriften gilt, womit sämtliche Arten von Bildern, Tonträgern oder Videoaufnahmen (-zeichnungen) erfasst sind.

Ein Blick in die Zahlen der Polizeilichen Kriminalstatistik zeigt, dass Fälle der Verbreitung von „pornographischen Schriften im Internet“ immer häufiger werden. Die Zahl stieg von 7.421 Fällen im Jahr 2018 auf insgesamt 10.662 im Jahr 2019. Verbreitung, Erwerb, Besitz und Herstellung kinderpornographischer Schriften stieg von 7.449 auf 12.262 Fälle. Das rechtspolitische Bedürfnis einer Verschärfung der Strafen für solche „Kinderporno-Onlinebörsen“ ist also statistisch gesehen nachvollziehbar. [2]

Der politische Diskurs fordert zunehmend härtere Strafe, schaut man sich nur die Vorhaben von Justizministerin Lamprecht an[3] , die eine Mindeststrafe von einem Jahr Haft für Kindesmissbrauch oder Besitz von kinderpornographischem Material fordert. Durch den Besitz solchen Materials „mache man sich mitschuldig“. Der Schutz der ungestörten sexuellen Entwicklung von Kindern sei ein besonders hohes Gut betonte der Gesetzgeber auch in seinem ersten Entwurf zur Änderung des Strafgesetzbuches zur Versuchsstrafbarkeit von Cybergrooming. [4]

Kritiker wollen hierbei nicht außer Acht lassen, dass die verfügbaren Strafrahmen unseres Strafgesetzbuches nicht gering sind. Oft scheitere es daran, dass sich Ermittlungen im Sande verlaufen, nicht ausreichend Beweismaterial sichergestellt wurde, bei dem keine sinnvolle Verknüpfung zu den jeweiligen Tätern hergestellt wird und traurigerweise Behörden oftmals maßlos überfordert sind. Allein Dimensionen wie die aktuellen Enthüllungen von mutmaßlich 30.000 Verdächtigen im Missbrauchsfall Bergisch-Gladbach zeigen, dass ein erheblicher Arbeitsaufwand auf die ermittelnden Behörden zukommt.

Gesetzesänderungen

Der einschlägige § 184b Abs. 5 des Strafgesetzbuches (StGB) wurde zum März 2020[5] um S. 2 mit folgendem Inhalt ergänzt:

„Absatz 1 Nummer 1 und 4 gilt nicht für dienstliche Handlungen im Rahmen von strafrechtlichen Ermittlungsverfahren, wenn

  1. die Handlung sich auf eine kinderpornographische Schrift bezieht, die kein tatsächliches Geschehen wiedergibt und auch nicht unter Verwendung einer Bildaufnahme eines Kindes oder Jugendlichen hergestellt worden ist, und
  2. die Aufklärung des Sachverhalts auf andere Weise aussichtslos oder wesentlich erschwert wäre.“

Da es sich vorliegend nicht um Alternativen handelt („und“) wird deutlich, dass der Einsatz von computergeneriertem kinderpornographischen Material ultima ratio bleiben soll und muss. Befürworter dieses Gesetzesentwurfs versprechen sich hiervon, dass „die Effizienz der polizeilichen Ermittlungstätigkeit gesteigert“ wird. [6] Hauptproblem ist nämlich oft, dass sowohl Zugang als auch Verbleiben in solchen Foren eine sog. Keuschheitsprobe erfordert, d.h. Mitglieder müssen, um Vertrauen zu gewinnen, selbst kinderpornographische Schriften hochladen, womit sie sich strafbar machen würden. Dasselbe galt bisher für Ermittler.[7]

Im Rahmen der Diskussion um die Vorverlagerung der Versuchsstrafbarkeit bei Cybergrooming wurden auch Aspekte von Online-Tauschplattformen und deren erschwerten Zugriffsmöglichkeiten erörtert. Mithilfe dieser Ermittlungsmaßnahmen soll dazu beigetragen werden „den Markt für kinderpornographische Schriften auszutrocknen“. Der Gesetzesentwurf sprach sich bei der Abwägung zwischen rechtsstaatlichen Anforderungen einerseits und der „drängenden Aufgabe der Bekämpfung von Kinderpornographie andererseits“ zugunsten von letzterer aus. Rechtstaatlichen Anforderungen sei dahingehend genügt worden, dass wie oben bereits erwähnt der Einsatz solchen Materials stets ultima ratio bleiben soll. Darüber hinaus wurden durch die Schaffung des neuen § 110d StPO solche Ermittlungsmaßnahmen grundsätzlich unter einem Richtervorbehalt gestellt.[8]

Technische Grundlagen

Wer sich nun fragt, inwiefern bei der Herstellung computergenerierter Bilder nicht doch auch echte Aufnahmen von Kindern und Jugendlichen verwendet werden, sei beruhigt: Der Gesetzesentwurf betont nochmal, dass für die unmittelbare Herstellung solcher Schriften keine Bildaufnahmen verwendet werden dürfen, „auf denen ein Kind oder ein Jugendlicher abgebildet ist“. Somit sind Fotocollagen oder verfremdete Bilder nicht zulässig.[9]

Ein künstliches neuronales Netzwerk wird mit Beispielbildern „gefüttert“ und angewiesen, den abgebildeten Inhalt nachzuahmen. In einem zweiten separaten Netzwerk wird geschaut, wie ähnlich diese generierten Bilder sind. Sieht das Bild nicht ähnlich genug aus, so muss das erste Netzwerk ein neues Bild generieren. Man „trainiert“ sprichwörtlich ein Netzwerk dazu, realistische Bilder zu erzeugen, bis das zweite Netzwerk keine Unterschiede mehr dahingehend erkennt, ob es sich um ein echtes oder um ein Fake-Foto handelt. Der „Trainingsvorgang“ selbst ist daher noch kein Herstellen, sondern nur zeitlich vorverlagert. Die eingespeisten Trainingsbilder selbst sind kein Bestandteil der dann vollständig künstlich erzeugten Aufnahmen.[10]

Fazit

Höhere Strafandrohungen allein sind kein geeignetes Mittel, um Delinquenz verhindern oder sogar bekämpfen zu können. Zielführender ist es, die Effektivität von Ermittlungsmaßnahmen zu steigern, um das Entdeckungsrisiko potenzieller Straftäter zu erhöhen. Vor diesem Hintergrund sind die Gesetzesänderungen zu begrüßen.

Trotzdem bleiben Fragen offen, inwiefern nicht dadurch letztlich nur noch mehr kinderpornographische Schriften in Umlauf gebracht werden. Hier ließe sich entgegenhalten, dass die Schriften letztlich nur ultima ratio sein sollen und von keiner Überflutung der Server gesprochen werden kann. Der Anwendungsbereich soll stark eingegrenzt werden, um nur ermittelnden Personen ein effizientes Mittel zur Bekämpfung der Verbreitung kinderpornographischer Schriften an die Hand geben zu können.

Es soll festgehalten werden, dass durch diese Gesetzesänderung mit hoher Wahrscheinlichkeit eine „Schadensverlagerung“ stattfinden kann. Damit ist gemeint, dass mit einer konsequenten Infiltrierung solcher Netzwerke diese schneller „ausgetrocknet“ werden können, bevor „frisches“ Material seinen Weg in das Netzwerk findet. Bereits so ließen sich mittelbar der Rechtsgüterschutz hinsichtlich Kindes-Opfern reduzieren und gleichzeitig Täter schneller aufspüren. Darüber hinaus würde man zusätzlich zögernden Usern per Zufall (das Material ist als solches nicht erkennbar) zu diesen Schriften greifen lassen und nicht zum echten Material. Eine Intensivierung der Rechtsgutsverletzung eines geschädigten Opfers unterbliebe insofern auch.[11]

Fußnoten

[1] Fischer StGB, 67. Auflage 2020, § 11 Rn. 34.

[2] Polizeiliche Kriminalstatistik, Jahrbuch 2019, Band 1, Fälle, Aufklärung, Schaden [aufgerufen am 07.07.2020].

[3]https://www.faz.net/aktuell/politik/inland/lambrecht-will-kindesmissbrauch-schaerfer-bestrafen-16840973.html (aufgerufen am 01.07.2020).

[4] Vgl. BT-Drs. 19/13836, S. 8.

[5] https://dip21.bundestag.de/dip21/btd/19/165/1916543.pdf (aufgerufen am 02.07.2020).

[6] Vgl. BT-Drs. 19/16543, S. 10.

[7] Vgl. BT-Drs. 19/16543, S. 8 f.; BT-Drs. 19/13836 S. 10.

[8] Vgl. BT-Drs. 19/13836, S. 15; BT-Drs. 19/16543 S. 10; BeckOK StGB/Ziegler, § 184b Rn. 20a-d.

[9] Vgl. BT-Drs. 19/16543, S. 11; BeckOK StGB/Ziegler, § 184b Rn. 20b.

[10] Vgl. BT-Drs. 19/16543, S. 11.

[11] Vgl. BT-Drs. 19/13836, S. 16.

Posted by Kevin Klingelhöfer in Cybercrime, Darknet
Dürfen Gefangene in der JVA Laptops nutzen?

Dürfen Gefangene in der JVA Laptops nutzen?

Nach landläufiger Ansicht sollen Häftlinge in der Justizvollzugsanstalt von der Außenwelt abgeschnitten werden und über ihre Tat nachdenken.

Aber ist diese Annahme richtig? Umfasst eine Haftstrafe tatsächlich eine ausnahmslose Vorenthaltung von Medien? Dies ist mit Nichten der Fall.

In Art. 5 Abs. 1 GG heißt es: „Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten.“ Der Zugang zu Medien ist folglich das Grundgesetz geschützt. Das Recht findet auch in den Strafvollzugsgesetzen der Länder seine einfachgesetzliche Ausprägung. In Hessen[1], Nordrhein-Westfalen[2] und Bayern[3] ist der Zugang zu Medien des Hör- und Rundfunks grundsätzlich gestattet und dort jeweils unter dem Titel Freizeit gelistet. In Nordrhein-Westfalen[4] können sogar „sonstige Geräte“ zulässig sein, sofern es mit keinem erhöhten Kontroll- und Sicherheitsaufwand verbunden ist. Auch Inhaftierte soll damit Zugriff auf Medien ermöglicht werden. Jedoch wird das Recht nicht schrankenlos gewährt, denn die Sicherheit und Ordnung der Vollzugsanstalt darf hierunter nicht leiden.

Wie ist der Fall zu bewerten, wenn ein Häftling einen Laptop nutzen möchte, um sich für die Hauptverhandlung vorzubereiten? Haben Häftlinge dann einen Anspruch auf die Nutzung eines Laptops im Strafvollzug? Dieser letzten Frage nahm sich das Bundesverfassungsgericht im Jahr 2019 für eine Verfassungsbeschwerde eines Strafgefangenen aus Bayern an (BVerfG, 27.3.2019 -2 BvR 2268/18, RDV 2019, 190 ).

Das bayerische Strafvollzugsgesetz sieht den Konsum von Medien in § 72 Abs. 1 BayStVollzG grundsätzlich vor, wenn sie der Fortbildung oder Freizeitbeschäftigung dienen. Dort heißt es:

„Gefangene dürfen in angemessenem Umfang Bücher und andere Gegenstände zur Fortbildung oder zur Freizeitbeschäftigung besitzen.“

Hiervon lässt das Gesetz in Absatz 2 aber Einschränkungen zu, denn selbstredend kann nicht jedes Medium in einer Haftanstalt uneingeschränkt zugelassen werden. Wie in Absatz 2 Nr. 2 BayStVollzG aufgeführt wird, sind solche Gegenstände zwar grundsätzlich erlaubt, mit Ausnahme davon aber,

„[…] wenn der Besitz, die Überlassung oder die Benutzung des Gegenstands die Erfüllung des Behandlungsauftrags oder die Sicherheit oder Ordnung der Anstalt gefährden; eine solche liege in der Regel bei elektronischen Unterhaltungsmedien vor.“

Für das Bundesverfassungsgericht reiche eine abstrakte Eignung des Gegenstandes aus, um hiervon sicherheits- oder ordnungsgefährdende Verwendungen zu erwarten, sollte der Kontrollaufwand der JVA damit in nicht zumutbarer Weise erhöht werden (Rn. 4). Mit dem zweiten Halbsatz in § 72 Abs. 2 Nr. 2 BayStVollzG hatte auch das Landgericht Regensburg den Anspruch des Strafgefangenen abgelehnt. Auf einem Laptop ließen sich im Datenspeicher des Geräts in Form von Textinhalten Details und „Erkenntnisse über Fluchtwege, verbotene Außenkontakte, Aufstellungen über die Abgabe von Betäubungsmitteln an Mitgefangene und andere verbotene Beziehungen zwischen den Gefangenen [eingegeben werden können]“ festhalten, die sowohl bei der Nutzung von Anstaltscomputern, als auch bei privaten Laptops potenziell unkontrolliert unter Strafgefangenen ausgetauscht werden könnten (Rn. 6).

Zwar stellen besondere Gründe in der Person des Gefangenen einen Grund dafür dar, wieso dem „Interesse am Besitz“ höheres Gewicht zugemessen werden kann, jedoch sind auch hier die Grundsätze der Verhältnismäßigkeit einzuhalten. Der erhöhte Kontrollaufwand ließe sich beispielsweise dann rechtfertigen, sofern der Strafgefangene ein komplexes Verfahren erwartet, sei letztlich aber kein „so außergewöhnliches Interesse“, dass es rechtfertige, dass an die Kontrolle eines Einzelnen höhere Anforderungen gestellt werden, als an diejenige von sämtlichen Strafgegangenen (Rn. 9).

Interessant dürfte auch die Anmerkung sein, dass der „Grundsatz der Waffengleichheit in gerichtlichen Verfahren nicht das Recht auf eine gleichwertige technische Ausstattung oder auf den Zugang zu einem Computer“ enthalte (Rn. 10). Zwar sieht das Gericht den generellen Vortrag des Strafgefangenen, der den prägenden Charakter moderner elektronischer Datenverarbeitung sowohl für das gesellschaftliche Leben, als auch unter Resozialisierungsgedanken für das Interesse an einem Zugang zu Computern anführt, „bedenkenswert“, hält ihn aber nicht geeignet allein deshalb legitime Sicherheitsbedenken auszuklammern, um einen verfassungsrechtlichen Anspruch auf Zugang „neuerer“ Medien im Strafvollzug zu gewähren (Rn. 11).

Letztlich stellt das Bundesverfassungsgericht mit Hinweis auf eine Entscheidung des EGMR (Kalda v. Estonia v. 19.01.2016 – 17429/10) noch fest, dass dieser den Internetzugang eines Strafgefangenen im Lichte der „gesteigerte[n] Bedeutung der neuen Medien im heutigen Alltag betont“, jedoch auch hier keine Pflicht der jeweiligen Vertragsstaaten besteht, Strafgefangenen den Internetzugang mithilfe neuer Medien zu ermöglichen (Rn. 12).

Der Strafgefangene hatte es laut Bundesverfassungsgericht auch versäumt darzutun, wieso ihm die angebotene elektronische Schreibmaschine nicht genüge, da diese bereits eine Erleichterung bei der Anfertigung von Schriftsätzen bedeutet (Rn. 9).

Anmerkung zum Beitrag: „Das Internet und Medienstrafrecht 2019/2020“ von RA Timo Handel und wiss. Mitarbeiterin Theresa Rieth, erschienen in „Kommunikation & Recht“, Juni 2020, S. 409 – 417

Diese beschriebene Entscheidung des BVerfG sprechen Handel und Rieth in ihrem Beitrag „Das Internet und Medienstrafrecht 2019/2020“, erschienen in „Kommunikation & Recht“, Juni 2020, S. 409 – 417 u.a. an. In dem Beitrag führen die Autoren in strukturierter Weise durch aktuelle Entwicklungen des Internet- und Medienstrafrechts. Hierbei geben sie in prägnanter Weise ein Überblick über relevante Gesetzgebungsänderung und -vorhaben (I.). Weiter führt der Beitrag dann zwei relevante Bußgeldentscheidungen aus dem Jahr 2019 auf (II.), um abschließend mehrere Entscheidungen vorzustellen, die verstärkt im Fokus der juristischen Presseschau standen und bis heute stehen (III.). Hier werden vor allem die Künast-Beschlüsse ausführlich dargestellt (S. 413). Aber auch höchstrichterliche Rechtsprechung zu Themen wie „Meinungsfreiheit und historische Vergleiche mit nationalsozialistischer Praxis“ (BVerfGE v. 14.06.2019 – 1 BvR 2433/17) oder dem Begriff des „Besitzes“ im Rahmen kinder- und jugendpornographischer Computerdateien (BVerwGE v. 11.09.2019 – 2 WD 26.18) finden in dem Beitrag Erwähnung.

Stellungnahme

Die Jahre 2019 und 2020 hielten viele Neuerungen im Bereich des Internet- und Medienstrafrechts bereit: Hate Speech, Kinderpornographie („Cybergrooming“) und der verstärkte Schutz von Geschäftsgeheimnissen sind nur einige Themen, die zum Schwerpunkt juristischer Aufsätze oder Gesetzesvorhaben wurden und Fortschritte gemacht haben. Mittlerweile ist es also erlaubt, als „Sondermüll, der entsorgt werden soll“ oder „Drecks Fotze“ bezeichnet zu werden. Oder doch nicht?[5] Das Internet ist zu einem El Dorado für öffentlichen „Meinungsaustausch“ geworden. Aber fernab jeglicher Polemik sind zahlreiche Gesetzesänderung, Rechtsprechungsentwicklungen und aufsehenerregende Verwaltungsentscheidungen ergangen, die das künftige Internet- und Medienstrafrecht wie eine Osmose diffundieren werden. Diese künftigen Änderungen sind zu begrüßen. So sollten die technischen Neuerungen, die das Internet und soziale Medien uns bieten, stets kritisch betrachtet werden, damit nicht wie im Mittelalter ein [digitaler] Pranger 2.0 ohne Konsequenzen vor unserer Nase stattfinden kann. Die gesetzgeberischen Neuerungen sind auch im Rahmen eines „Zuckerbrot und Peitsche“ Prinzips zu sehen. Wenngleich feststeht, dass das Internet in seiner Grenzenlosigkeit faktisch zwar unbegrenzte Möglichkeiten bietet, so sind rechtlich hieran angemessene Beschränkungen zu knüpfen, um auch der Durchsetzung grundrechtlicher Garantien Herr zu werden.

Die eingangs dargestellte Entscheidung dürfte wohl ein Wegweiser für die Rechte von Strafgefangenen bezüglich deren Verwendung von Computern sein. Aus Verteidigersicht bleibt jedoch kritisch zu hinterfragen, in welchem Umfang Abstriche bei der Nutzung moderner Medien dem Resozialisierungsgedanken zuwiderlaufen können, wenn der EGMR sogar betont, dass der Internetzugang für Strafgefangene aufgrund der neuen Medien eine gesteigerte Bedeutung erfährt.

Fußnoten

[1] § 30 Abs. 3 des Hessischen Strafvollzugsgesetzes (HStVollzG).

[2] § 51 des Gesetzes zur Regelung des Vollzuges der Freiheitsstrafe in Nordrhein-Westfalen (StVollzG NRW).

[3] § 72 Abs. 1 des Bayerischen Strafvollzugsgesetzes (BayStVollzG).

[4] § 51 des Gesetzes zur Regelung des Vollzuges der Freiheitsstrafe in Nordrhein-Westfalen (StVollzG NRW).

[5] Das LG Berlin hat mit Beschluss vom 21.01.2020 – 27 AR 17/19 seine Entscheidung geändert und den Bezeichnungen „Schlampe“, „Drecks Fotze” oder „Drecksau“ den Charakter einer Formalbeleidigung beigemessen.

Posted by Kevin Klingelhöfer in IT-Strafrecht, Literaturempfehlung, Rechtsprechung