UN-Übereinkommen zur Bekämpfung von Cyberkriminalität verabschiedet (2024)

Am 8. August 2024 haben die Vereinten Nationen nach intensiven Verhandlungen den Text für ein neues, globales Übereinkommen zur Bekämpfung von Cyberkriminalität verabschiedet. Dieses Abkommen markiert einen bedeutenden und damit auch durchaus kritischen Schritt in der internationalen Zusammenarbeit gegen kriminelle Aktivitäten im digitalen Raum.

Das nunmehr neu gefasste UN-Übereinkommen zur Bekämpfung von Cyberkriminalität regelt im Kern die internationale Zusammenarbeit zur Verhinderung und Verfolgung von Straftaten, die mithilfe von Informations- und Kommunikationstechnologien begangen werden.

Es zielt darauf ab, Straftaten wie illegale Zugriffe auf IT-Systeme, Dateninterferenzen, die Verbreitung von schädlicher Software, Identitätsdiebstahl, Kinderpornografie, und andere Formen von Cyberkriminalität zu verhindern und zu bestrafen. Weiterhin – und hier liegen ganz besondere Gefahren – fördert es den Austausch von elektronischen Beweismitteln und stärkt die internationale Zusammenarbeit bei Ermittlungen, einschließlich der gegenseitigen Rechtshilfe und Auslieferung. Das Übereinkommen legt großen Wert auf den Schutz von Opfern und auf Maßnahmen zur Beschlagnahme und Einziehung von Vermögenswerten, die durch Cyberkriminalität erlangt wurden.

Ziel und Inhalt des Abkommens

Das neue Übereinkommen zielt darauf ab, typische Formen der Cyberkriminalität zu bekämpfen, die in den letzten Jahren stark zugenommen haben. Dazu gehören Verbrechen wie Geldwäsche, sexueller Missbrauch von Kindern im Internet sowie der Diebstahl und Verkauf von privaten Daten und Passwörtern. Diese Verbrechen müssen jedoch eine gewisse Schwere aufweisen, um unter das Abkommen zu fallen – nämlich solche, die in den nationalen Gesetzen der Mitgliedstaaten mit einer Mindeststrafe von vier Jahren Haft belegt sind.

Das Übereinkommen konzentriert sich dabei bewusst nicht auf staatlich sanktionierte Cyberangriffe oder Aktivitäten wie die berüchtigten Trollfabriken, da kein Staat zugeben würde, solche Aktivitäten zu unterstützen. Stattdessen liegt der Fokus auf kriminellen Aktivitäten, die sich vor allem gegen Individuen und Organisationen richten und grenzüberschreitend agieren.

Verbesserung der internationalen Zusammenarbeit

Ein zentraler Aspekt des Übereinkommens ist die verstärkte internationale Zusammenarbeit. Länder, die bisher nicht über die notwendigen technischen Mittel oder das Know-how verfügten, um Cyberkriminalität effektiv zu bekämpfen, sollen durch größere und besser ausgestattete Staaten unterstützt werden. Ein Beispiel hierfür sind kleine Karibikstaaten, die oft als Rückzugsorte für Cyberkriminelle dienen, da sie über begrenzte Ressourcen verfügen, um solche Straftaten zu verfolgen. Durch das Abkommen erhalten diese Staaten nun das Recht auf Unterstützung durch den Datenaustausch und andere Formen der Amtshilfe.

Diese Unterstützung ist besonders wichtig, da europäische Staaten bereits auf Grundlage der Budapest-Konvention, die als Goldstandard im Kampf gegen Cyberkriminalität gilt, zusammenarbeiten. Das neue UN-Übereinkommen baut auf diesen Standards auf und soll sicherstellen, dass auch Länder außerhalb Europas ähnliche Unterstützung erhalten können.


Wie sieht die Zusammenarbeit aus?

Die Zusammenarbeit bei den Ermittlungen im Rahmen des neuen UN-Übereinkommens zur Bekämpfung von Cyberkriminalität basiert auf umfangreichen Mechanismen zur gegenseitigen Unterstützung, insbesondere in Form von Beweiserhebungen, Datenzugriffen und der Durchsetzung von Maßnahmen wie Beschlagnahme und Auslieferung. Diese Zusammenarbeit soll den Austausch von Informationen und Beweismitteln zwischen den Staaten erleichtern, um grenzüberschreitende Cyberkriminalität effektiv zu bekämpfen.

Mechanismen der Zusammenarbeit

Das Übereinkommen enthält Bestimmungen, die den Staaten vorschreiben, einander bei der Ermittlung und Verfolgung von Cyberstraftaten umfassend zu unterstützen. Dazu gehören:

  1. Anordnung zur Herausgabe von Daten: Staaten sind verpflichtet, auf Anfragen anderer Staaten hin Daten zu sichern und herauszugeben, die für Ermittlungen relevant sein könnten.
  2. Durchführung von Ermittlungen: Staaten können auf Anfrage Ermittlungen durchführen oder deren Ergebnisse teilen, wenn diese in Verbindung mit Cyberkriminalität stehen.
  3. Rechtshilfe und Auslieferung: Die Vertragsstaaten verpflichten sich zur gegenseitigen Rechtshilfe und können verpflichtet werden, Personen, die verdächtigt werden, Cyberkriminalität begangen zu haben, auszuliefern, sofern dies mit dem nationalen Recht vereinbar ist.

Kritische Würdigung: Gefahren der Zusammenarbeit mit autoritären Staaten

Die Gefahr, dass freiheitliche Staaten durch diese Bestimmungen gezwungen sein könnten, Informationen an autoritäre Staaten wie Russland weiterzugeben, ist ein bedeutendes Problem. Es gibt mehrere kritische Punkte, die hierbei zu bedenken sind:

  1. Missbrauch von Daten: Autoritäre Staaten könnten die durch internationale Zusammenarbeit erlangten Daten missbrauchen, um politische Gegner, Menschenrechtsaktivisten oder Journalisten zu verfolgen. Dies ist besonders kritisch, da viele dieser Staaten Gesetze nutzen, um legitime politische oder journalistische Aktivitäten als kriminell zu klassifizieren.
  2. Fehlender Schutzmechanismus: Zwar betont das Übereinkommen, dass alle Maßnahmen im Einklang mit den Menschenrechten und dem internationalen Recht stehen müssen, jedoch fehlen konkrete Mechanismen, um sicherzustellen, dass diese Rechte tatsächlich gewahrt bleiben. In der Praxis könnte dies bedeuten, dass Staaten gezwungen sind, Anfragen zu erfüllen, ohne sicherzustellen, dass die weitergegebenen Informationen nicht zu repressiven Zwecken verwendet werden.
  3. Risiko der Repressalien: Wenn Informationen über Dissidenten oder andere gefährdete Personen an autoritäre Staaten übermittelt werden, besteht ein erhebliches Risiko für deren Sicherheit und Freiheit. Diese Gefahr wird verstärkt, wenn man bedenkt, dass solche Staaten oft ein breites Spektrum an Aktivitäten als „kriminell“ einstufen, die in demokratischen Staaten als Ausübung grundlegender Rechte betrachtet würden.

Realistisches Risiko im Kontext der Konvention

Das Übereinkommen sieht einige Schutzmaßnahmen vor, wie etwa die Bedingung, dass die Zusammenarbeit nur unter Berücksichtigung der Menschenrechte erfolgen darf. Allerdings sind diese Schutzmaßnahmen nicht immer präzise genug formuliert, um Missbrauch effektiv zu verhindern. Das Übereinkommen lässt den Staaten gewisse Spielräume in der Interpretation und Anwendung, was dazu führen könnte, dass freiheitliche Staaten gezwungen werden, Informationen an autoritäre Regime weiterzugeben, wenn keine eindeutigen Verstöße gegen Menschenrechte nachgewiesen werden können.

Ein weiteres realistisches Risiko besteht in der potenziellen politischen und diplomatischen Druckausübung, durch die autoritäre Staaten versuchen könnten, die Zusammenarbeit auch dann zu erzwingen, wenn Bedenken hinsichtlich des Missbrauchs bestehen. In solchen Fällen könnte der politische Wille, die internationalen Verpflichtungen zu erfüllen, die Bedenken über mögliche Menschenrechtsverletzungen überwiegen.

Die Bedenken hinsichtlich eines möglichen Missbrauchs des Abkommens zur Unterdrückung politischer Opposition und zur Überwachung von Bürgern sind nicht von der Hand zu weisen. Autoritäre Staaten könnten versuchen, die im Abkommen vorgesehenen Überwachungsbefugnisse zu nutzen, um ihre Macht zu festigen und abweichende Meinungen zu unterdrücken. Dies könnte zu einer Verschärfung der Repressionen gegen Journalisten, Menschenrechtsaktivisten und andere gefährdete Gruppen führen.

Insgesamt ist das Risiko real, dass Informationen in die falschen Hände geraten und für Repressionen genutzt werden. Daher ist es entscheidend, dass freiheitliche Staaten nicht nur auf die Einhaltung der formalen Bedingungen des Übereinkommens bestehen, sondern auch sicherstellen, dass ihre Zusammenarbeit nur unter strikten Bedingungen erfolgt, die den Schutz der Menschenrechte garantieren.


Kontroversen und Kritik

Trotz der Fortschritte gibt es erhebliche Bedenken hinsichtlich des Übereinkommens. Ein wesentlicher Kritikpunkt ist die potenzielle Gefahr, dass das Abkommen als Instrument zur staatlichen Überwachung missbraucht werden könnte. Besonders autoritäre Staaten könnten versuchen, die weitreichenden Bestimmungen des Übereinkommens zu nutzen, um oppositionelle Stimmen, Journalisten und marginalisierte Gruppen zu verfolgen.

Kritiker befürchten, dass die im Abkommen vorgesehenen Maßnahmen, wie der Zugriff auf personenbezogene Daten und die Echtzeiterfassung von Kommunikationsinhalten, in die Hände von Regierungen gelangen könnten, die diese Instrumente für Repressionen und Menschenrechtsverletzungen einsetzen. Diese Bedenken werden durch die Tatsache verstärkt, dass das Abkommen ursprünglich von Staaten wie Russland und China initiiert wurde, die für ihren restriktiven Umgang mit politischer Opposition bekannt sind.

Zwar wurden im Laufe der Verhandlungen zusätzliche Schutzmaßnahmen für die Menschenrechte in den Vertragstext aufgenommen, doch bleibt die Sorge bestehen, dass diese Schutzmechanismen nicht ausreichen könnten, um Missbrauch durch autoritäre Regime zu verhindern. Insbesondere zivilgesellschaftliche Organisationen und Technologieunternehmen haben wiederholt auf die Risiken hingewiesen, die dieses Abkommen für die digitale Freiheit und die Privatsphäre der Bürger weltweit mit sich bringen könnte.


Kritik des UN-Menschenrechtsbeauftragten

Die Kritik des UN-Menschenrechtsbeauftragten am neuen UN-Übereinkommen zur Bekämpfung von Cyberkriminalität ist umfassend und konzentriert sich auf mehrere wesentliche Punkte:

  • Fehlende Berücksichtigung der Menschenrechte: Der Menschenrechtsbeauftragte betont, dass das Übereinkommen zwar Verweise auf Menschenrechte enthält, diese jedoch nicht ausreichend stark verankert sind, um Missbrauch zu verhindern. Er weist darauf hin, dass viele Bestimmungen des Übereinkommens hinter den internationalen Menschenrechtsstandards zurückbleiben. Dies sei besonders besorgniserregend, da bestehende Cyberkriminalitätsgesetze in einigen Ländern bereits dazu verwendet werden, die Meinungsfreiheit einzuschränken, Dissidenten ins Visier zu nehmen und die Privatsphäre sowie Anonymität von Kommunikationsmitteln unangemessen zu beeinträchtigen.
  • Übermäßig breiter Anwendungsbereich: Eine der Hauptkritiken betrifft den breiten und vagen Anwendungsbereich des Übereinkommens. Der Menschenrechtsbeauftragte warnt, dass die weit gefasste Definition von Cyberkriminalität und die unklare Formulierung der Straftatbestände dazu führen könnten, dass das Übereinkommen missbraucht wird, um legitime Handlungen zu kriminalisieren. Dies betrifft insbesondere den möglichen Missbrauch von Bestimmungen zur Bekämpfung von „Hassrede“, „Extremismus“ und „Terrorismus“, die unter Umständen für die Verfolgung von Oppositionellen oder die Einschränkung der Meinungsfreiheit genutzt werden könnten.
  • Mangelnde Schutzvorkehrungen bei internationalen Kooperationen: Der Bericht hebt auch hervor, dass die Bestimmungen zur internationalen Zusammenarbeit im Bereich der Strafverfolgung möglicherweise zu Menschenrechtsverletzungen führen könnten. Es fehlen klare Bedingungen und Schutzmaßnahmen, die sicherstellen, dass solche Kooperationen nicht zur Verfolgung von politischen Straftaten oder zur Unterdrückung von Menschenrechtsverteidigern missbraucht werden. Insbesondere wird gefordert, dass eine Zusammenarbeit verweigert werden kann, wenn der Verdacht besteht, dass dies zu Menschenrechtsverletzungen führen könnte.
  • Unzureichende Garantien für den Schutz der Privatsphäre: Ein weiterer kritischer Punkt ist das Fehlen robuster Regelungen zum Schutz der Privatsphäre. Der Menschenrechtsbeauftragte kritisiert, dass das Übereinkommen staatlichen Akteuren weitreichende Befugnisse zur Überwachung und Sammlung von Daten einräumt, ohne dabei ausreichende gerichtliche Kontrolle und Schutzmechanismen vorzusehen. Dies könnte zu einem massiven Eingriff in die Privatsphäre der Menschen führen und würde staatliche Überwachung auf eine Weise legitimieren, die dem Schutz der Menschenrechte zuwiderläuft.

Die Kritik des UN-Menschenrechtsbeauftragten macht deutlich, dass das Übereinkommen zwar wichtige Schritte zur Bekämpfung von Cyberkriminalität unternimmt, jedoch gleichzeitig erhebliche Risiken für die Menschenrechte birgt. Ohne stärkere Schutzmaßnahmen und eine klare Ausrichtung an internationalen Menschenrechtsstandards könnte das Übereinkommen leicht zu einem Instrument der staatlichen Unterdrückung und Überwachung werden, anstatt die globale Sicherheit zu fördern.

Ziehen Sie eine Nummer: Wer steht an, um Wahlen zu beeinflussen?

Zu den bedeutsamsten internationalen Akteuren, die versuchen, Wahlen in Europa zu beeinflussen, gehören vor allem staatliche Akteure aus Russland, China und Iran. Diese Länder setzen verschiedene Taktiken ein, um ihre geopolitischen Interessen zu fördern und die Stabilität der europäischen Demokratien zu untergraben.

Neben den im Folgenden benannten Hauptakteuren gibt es auch andere Länder und nichtstaatliche Akteure, die versuchen, Wahlen in Europa zu beeinflussen. Dazu gehören beispielsweise Gruppen, die im Auftrag von Regierungen oder aus eigenem Interesse handeln, um bestimmte politische Agenden voranzutreiben. Diese Akteure nutzen eine Vielzahl von Methoden, darunter Cyberangriffe, Desinformation, wirtschaftlichen Druck und diplomatische Manöver, um ihre Ziele zu erreichen. Die Europäische Union und ihre Mitgliedstaaten stehen vor der Herausforderung, diese Bedrohungen zu erkennen und abzuwehren, um die Integrität ihrer demokratischen Prozesse zu schützen.

Russland

Russland ist bekannt für seine umfangreichen Desinformationskampagnen und Cyberangriffe, die darauf abzielen, das Vertrauen in demokratische Prozesse zu schwächen. Zu den bekanntesten Beispielen gehört die Beeinflussung der US-Wahlen 2016 sowie die Versuche, die Brexit-Abstimmung zu beeinflussen. Russische Akteure nutzen häufig Social-Media-Plattformen, um falsche Informationen zu verbreiten und gesellschaftliche Spaltungen zu vertiefen.

China

China setzt zunehmend auf Cyberangriffe und Desinformationskampagnen, um seinen Einfluss in Europa auszubauen. Chinesische Hackergruppen sind dafür bekannt, Wirtschaftsspionage zu betreiben und sensible Informationen zu stehlen, die dann genutzt werden können, um politische Entscheidungen zu beeinflussen. Zudem versucht China, durch die Verbreitung von pro-chinesischen Narrativen in den Medien die öffentliche Meinung in Europa zu manipulieren.

Iran

Iranische Akteure nutzen ebenfalls Desinformationskampagnen und Cyberangriffe, um ihre geopolitischen Ziele zu verfolgen. Diese Kampagnen zielen oft darauf ab, die Politik der USA und ihrer Verbündeten in Europa zu destabilisieren. Iranische Hackergruppen greifen dabei auf ähnliche Techniken zurück wie ihre russischen und chinesischen Gegenstücke.

Nordkorea

Nordkorea ist ein weiterer internationaler Akteur, der versucht, durch Cyberaktivitäten Einfluss auf Wahlen und politische Prozesse weltweit zu nehmen, einschließlich in Europa. Während Nordkorea im Vergleich zu Russland, China und Iran weniger im Fokus steht, gibt es dennoch bedeutende Aktivitäten, die von nordkoreanischen Akteuren ausgehen. Nordkorea nutzt auch Desinformation, um seine geopolitischen Ziele zu fördern und politische Unruhen zu schüren. Während es weniger dokumentierte Fälle von direkter Wahlbeeinflussung durch Nordkorea gibt, nutzt das Regime dennoch Cyberoperationen, um politischen Druck auszuüben und seine Interessen zu wahren, etwa durch Veröffentlichung von kompromittierenden Informationen über politische Kandidaten oder die Verbreitung von Propaganda.

IT-Sicherheit bedroht durch neue UN-Cybercrime-Konvention?

Auch Sicherheitsforscher hatten sich zu Wort gemeldet: Die Sicherheitsforscher, die ihre Bedenken bezüglich des vorgeschlagenen UN-Übereinkommens zur Bekämpfung von Cyberkriminalität äußern, sehen erhebliche Risiken für ihre Arbeit und für die allgemeine Cybersicherheit:

Gefahr der Kriminalisierung legitimer Sicherheitsforschung: Ein Hauptanliegen der Sicherheitsforscher ist, dass das Übereinkommen ihre Arbeit, die auf die Entdeckung und Meldung von Sicherheitslücken abzielt, kriminalisieren könnte. Insbesondere die Artikel 6 bis 10 des Entwurfs betreffen verschiedene Aspekte der illegalen Zugriffe, Abfangen und Störungen von Daten und Computersystemen. Diese Artikel könnten, wenn sie nicht präzise formuliert werden, dazu führen, dass gutgläubige Sicherheitsforscher, die Systeme testen und Schwachstellen aufdecken, strafrechtlich verfolgt werden, obwohl ihre Absicht darin besteht, die Sicherheit zu erhöhen und die Öffentlichkeit auf Cyberbedrohungen aufmerksam zu machen​.
Unklare Definitionen und fehlende Schutzmaßnahmen: Die Forscher kritisieren weiter, dass die Begriffe „unbefugter Zugang“ und „ohne Recht“ im Entwurf unklar definiert sind. Ohne klare Unterscheidung zwischen böswilligem Hacking und gutgläubiger Sicherheitsforschung könnten die gleichen Gesetze, die zur Bekämpfung von Cyberkriminalität gedacht sind, auf Forscher angewendet werden, die eigentlich zur Verbesserung der Cybersicherheit beitragen. Es fehlen klare Schutzmaßnahmen, die sicherstellen, dass gutgläubige Forscher nicht strafrechtlich verfolgt werden.
Auswirkungen auf die globale Cybersicherheit: Die Sicherheitsforscher warnen davor, dass die Kriminalisierung ihrer Arbeit letztlich die allgemeine Cybersicherheit schwächen könnte. Ihre Forschung ist oft global ausgerichtet und dient dem Schutz der Infrastruktur und der Nutzer weltweit. Wenn die Forscher durch rechtliche Unsicherheiten abgeschreckt werden, könnte dies dazu führen, dass wichtige Sicherheitslücken unentdeckt bleiben, was Cyberkriminellen mehr Raum für Angriffe bietet.
Mehrfachverfolgung: Ein weiteres Problem, das angesprochen wird, betrifft die Möglichkeit, dass Sicherheitsforscher in mehreren Ländern gleichzeitig strafrechtlich verfolgt werden könnten, wenn sie Schwachstellen aufdecken und veröffentlichen. Die derzeitige Formulierung des Artikels 22, der sich mit der Gerichtsbarkeit befasst, könnte zu einer solchen Mehrfachverfolgung führen, was die Arbeit der Forscher erheblich behindern würde​.

Die Bedenken hinsichtlich eines möglichen Missbrauchs des Abkommens zur Unterdrückung politischer Opposition und zur Überwachung von Bürgern sind nicht von der Hand zu weisen.

Rechtsanwalt Jens Ferner

Weiterer kritischer Ausblick

Das UN-Übereinkommen zur Bekämpfung von Cyberkriminalität stellt zweifellos einen bedeutenden Fortschritt in der internationalen Rechtsentwicklung dar. Dennoch bleibt die Zukunft der globalen Cybersicherheit in vielerlei Hinsicht ungewiss. Es ist fraglich, ob das Abkommen tatsächlich die beabsichtigten Verbesserungen in der Bekämpfung von Cyberkriminalität bringen wird, ohne dabei die Menschenrechte zu gefährden.

In Anbetracht dieser Risiken wird die tatsächliche Umsetzung des Abkommens entscheidend sein. Es wird darauf ankommen, ob die internationalen Mechanismen zur Wahrung der Menschenrechte stark genug sind, um Missbrauch zu verhindern, und ob die internationale Gemeinschaft bereit ist, Regierungen zur Rechenschaft zu ziehen, die das Abkommen für repressive Zwecke einsetzen. Die kommenden Jahre werden zeigen, ob das UN-Übereinkommen zur Bekämpfung von Cyberkriminalität ein wirksames Instrument im Kampf gegen digitale Kriminalität sein wird oder ob es die Tür für neue Formen der staatlichen Überwachung und Unterdrückung öffnet.

Rechtsanwalt Jens Ferner (IT-Fachanwalt & Strafverteidiger)

Veröffentlicht von

Rechtsanwalt Jens Ferner (IT-Fachanwalt & Strafverteidiger)

Rechtsanwalt, Fachanwalt für Strafrecht & IT-Recht mit einem Faible für Cybercrime, IT-Forensik, Cybersecurity und digitale Beweismittel.