US-Experten fordern härtere Strafen für Identitätsklau

Härtere Strafen für den Missbrauch persönlicher Daten, insbesondere Identitätsdiebstahl, forderten Experten bei einer Anhörung des Senats-Unterausschusses Verbrechen, Terrorismus und innere Sicherheit. Fast einhellig forderten die Vertreter des US-Justizministeriums der Business Software Alliance (BSA) und der Bürgerrechtsorganisation Electronic Privacy Information Center (EPIC) weitere Verschärfungen gegenüber dem Gesetzentwurf des Privacy and Cybercrime Enforcement Act (H.R. 4175). Inbesondere empfahl der Vertreter des Justizministeriums, die Bagatellgrenzen abzusenken oder abzuschaffen. BSA-Präsident Robert Holleyman regte an, den Aufbau von Botnetzen zu kriminalisieren.

Auch wer durch den unberechtigten Zugriff auf persönliche Daten weniger als 5000 US-Dollar Schaden verursacht, soll künftig zur Rechenschaft gezogen werden, forderte Andrew Lourie, Behördenleiter bei der Criminal Division des US-Justizministeriums. Wer unter diesem Wert liegt oder weniger als zehn Rechner angegriffen hat, soll wegen einer Ordnungswidrigkeit zur Rechenschaft gezogen werden. Auch die Aneignung einer Unternehmensidentität solle in das Gesetz aufgenommen werden, damit könne Phishing klar als Delikt aufgenommen werden. Auf die Frage des Ausschussvorsitzenden, ob man mehr Täter fangen könne, wenn man mehr finanzielle Mittel zur Verfügung gestellt bekomme, mochte Lourie aber keine Antwort geben. Auch müsse die Grenze von 10.000 herabgesenkt werden, ab der ein unberechtigter Zugriff auf Kundendaten in einem Unternehmen als "erheblich" eingestuft werden müsse.

BSA-Präsident Robert Holleyman forderte eine "klare Definition, was ein erheblicher Datenverlust ist", unterstützte aber gleichzeitig, dass den Unternehmen zur Auflage gemacht werde, die zuständigen Behörden zu informieren. Die Federal Trade Commission (FTC) betreibt aktuell 15 Verfahren, in denen sie gegen Unternehmen vorgeht, die Kunden nicht von einer Kompromittierung ihrer Daten informiert habe.

Der mangelnde Überblick über das tatsächliche Ausmaß des Problems behindere den Gesetzgeber und die Strafverfolger, warnte Lillie Coney vom EPIC. Die Dunkelziffer beim Klau persönlicher Daten abseits spektakulärer Fälle sei vermutlich hoch. Schon jetzt geht man von 216 Millionen Betroffenen aus, sagte Coney. Ein Vertreter des Secret Service berichtete (PDF-Datei) von 4300 Ermittlungen im Bereich Identitätsdiebstahl durch seine Behörde im Jahr 2007. Die Betroffenen seien dabei um rund 690 Millionen US-Dollar geprellt worden.

Während sie den Gesetzesvorschlag als "guten Start" begrüßte, warnte Coney auch vor zusätzlichen Gefahren durch die wachsende Zahl von biometrischen Daten und Verhaltensprofilen. Biometrische Daten sind als sensible persönliche Daten im Gesetzentwurf bereits aufgenommen. In der schriftlichen Stellungnahme (PDF-Datei) zur Anhörung weist das EPIC schließlich auch auf die Problematik der so genannten Information Fusion Center hin, in denen Privatwirtschaft und öffentliche Hand im Dienst des Antiterrorkampfes Daten gezielt austauschen und abgleichen. (Monika Ermert) / (anw)