Missbräuchlicher Zugriff auf ein Computersystem: Kommentar zum Urteil Nr. 2905 von 2024

Das Urteil Nr. 2905 vom 23. Oktober 2024 liefert wichtige Klarstellungen zum Thema missbräuchlicher Zugriff auf Computer- oder Telekommunikationssysteme und befasst sich mit der Frage der notwendigen Sicherheitsmaßnahmen zu deren Schutz. Dieses Thema ist angesichts der exponentiellen Zunahme von Cyberkriminalität und des wachsenden Bedarfs an Schutz sensibler Daten besonders aktuell.

Der Sachverhalt und der rechtliche Kontext

Im vorliegenden Urteil prüfte das Gericht einen Fall, in dem der Angeklagte, D. G., beschuldigt wurde, sich unbefugt Zugang zu einem Computersystem, nämlich dem Galileo-System, verschafft zu haben, das Angehörigen der Agentur für interne Informationen und Sicherheit (AISI) vorbehalten war. Das Gericht bekräftigte, dass die Konfigurierbarkeit der Straftat nicht nur von technischen Sicherheitsmaßnahmen abhängt, sondern auch organisatorische Maßnahmen umfassen kann.

• Technische Sicherheitsmaßnahmen: Zugangskontrollen, Firewalls, Verschlüsselung.
• Organisatorische Maßnahmen: interne Vorschriften, Schulung des Personals, Zugangsverfahren.
• Entscheidung des Gerichts: Das Galileo-System war durch angemessene Maßnahmen für seinen Zweck geschützt.

Der geltend gemachte Rechtsgrundsatz

Missbräuchlicher Zugriff auf ein Computer- oder Telekommunikationssystem – Zu dessen Schutz ergriffene Sicherheitsmaßnahmen – Organisatorische Maßnahmen – Konfigurierbarkeit der Straftat – Bestehen – Sachverhalt. Für die Konfigurierbarkeit der Straftat des missbräuchlichen Zugriffs auf ein Computer- oder Telekommunikationssystem kann der Schutz des Systems auch durch organisatorische Maßnahmen erfolgen, die die Zugangsmodalitäten regeln und den Zugang ausschließlich befugten Personen für bestimmte Zwecke oder zur Erreichung von Unternehmenszielen gestatten. (In Anwendung des Grundsatzes hat das Gericht das Galileo-System, obwohl es auch für Recherchen in offenen Quellen genutzt werden konnte, als durch Sicherheitsmaßnahmen geschütztes Computer- oder Telekommunikationssystem zu Recht qualifiziert, da es Angehörigen der AISI für die Erfüllung der eigenen Zwecke der Agentur vorbehalten war).

Das Gericht bestätigte somit, dass der Schutz eines Computersystems auch durch organisatorische Maßnahmen gewährleistet werden kann. Dies ist ein entscheidender Aspekt, insbesondere für Unternehmen und Organisationen, die sensible Daten verarbeiten. Organisatorische Maßnahmen müssen klar und gut definiert sein und festlegen, wer unter welchen Umständen auf welche Informationen zugreifen darf.

Schlussfolgerungen

Das Urteil Nr. 2905 von 2024 stellt einen wichtigen Fortschritt im Verständnis der notwendigen Maßnahmen zum Schutz von Computersystemen dar. Der Oberste Kassationsgerichtshof hat klargestellt, dass es nicht ausreicht, technische Lösungen zu implementieren, sondern dass auch organisatorische Verfahren unerlässlich sind, die einen kontrollierten und sicheren Zugang gewährleisten können. Das Bewusstsein und die Schulung des Personals sind daher Schlüsselelemente zur Verhinderung des Straftatbestands des missbräuchlichen Zugriffs und machen Organisationen widerstandsfähiger gegenüber Cyberbedrohungen.