Identitätsdiebstähle: USA wollen Strafrecht verschärfen

US-Justizminister Alberto Gonzales hat gemeinsam mit der Vorsitzenden der Bundeshandelskommission FTC (Federal Trade Commission), Deborah Platt Majoras, den Kongress in Washington aufgefordert, einen von der Identity Theft Task Force erarbeiteten Aktionsplan zum besseren Schutz vor Identitätsdiebstählen umzusetzen. Die von US-Präsident George W. Bush im Mai vergangenen Jahres eingesetzte Sonderarbeitsgruppe hatte zuvor ein 120-seitiges Strategiepapier (PDF-Datei) vorgelegt, in dem unter anderem vorgeschlagen wird, die Herstellung und Verbreitung von Spyware sowie von Keyloggern verschärft unter Strafe zu stellen. Auch sollen die Mindesthaftzeiten für bestimmte Formen des elektronischen Datenklaus sowie für Mehrfachtäter deutlich verlängert und die Schadensersatzansprüche der Opfer von Identitätsdiebstählen ausgeweitet werden.

"Im Kampf gegen Identitätsdiebstahl hat sich in den vergangenen Jahren zwar bereits einiges getan", erklärte Justizminister Gonzales bei einem Workshop der Federal Trade Commission, "aber der Präsident und die Mitarbeiter der Sonderarbeitsgruppe glauben, dass wir noch mehr zum Schutz von Bürgern, Unternehmen und staatlichen Einrichtungen tun können". Vorgeschlagen wird neben der Definition nationaler Sicherheitsstandards auch die Gründung eines National Identity Theft Law Enforcement Center, in dem alle Informationen über versuchte und erfolgte Identitätsdiebstähle sowie Täter und Tätergruppen zusammenlaufen. Den Angaben zufolge sind bandenmäßig organisierte Gruppierungen wie die Hells Angels oder MS 13 (Mara Salvatrucha) bereits in das Geschäft mit der Verwertung gestohlener Identitätsdaten eingestiegen. Zudem solle jede Staatsanwaltschaft im Land einen Koordinator für die Verfolgung von ID-Straftaten benennen.

In bereits gültigen Gesetzen zum Thema Identitätsdiebstahl hat die Task Force zahlreiche Lücken ausgemacht, die umgehend geschlossen werden sollten. So werde beispielsweise in den Gesetzen des allgemeinen und permanenten Rechts der Vereinigten Staaten (United States Code) unter den Strafrechtspunkten "Identity Theft Statute" [18 U.S.C. § 1028(a)(7)] und "Aggravated Identity Theft Statute" [18 U.S.C. § 1028A(a)] ein Identitätsdiebstahl immer in Zusammenhang mit einer natürlichen Person gesetzt. Fälle, bei denen Straftäter Dokumente oder Schecks von Unternehmen fälschen, würden von dieser Definition aber nicht gedeckt. Außerdem seien E-Mail-Diebstahl, die Verbreitung von gefälschten Wertpapieren oder auch Steuerbetrug bei den Straftatbeständen bislang nicht berücksichtigt gewesen.

Auch der Passus zur "Cyber-Erpressung" in Abschnitt "Fraud and related activity in connection with computers" [18 U.S.C. § 1030(a)(7)] ist nach Einschätzung der Task-Force-Mitglieder nicht umfassend genug formuliert. Zur Verfolgung eines strafbaren Erpressungsversuchs muss nach dieser Gesetzesvorschrift derzeit nachgewiesen werden, dass ein Täter explizit damit gedroht hat, Computer zu beschädigen, Daten zu löschen oder die Nutzung von Computern durch Denial-of-Service-Attacken zu sabotieren. Häufig würden Täter aber auch vertrauliches Material heimlich entwenden und anschließend damit drohen, die Informationen zu veröffentlichen, heißt es in dem Strategiepapier. Andere würden erst Schaden anrichten (etwa einen Computer hacken und wichtige Daten verschlüsseln) und dann Geld für die Schadensbehebung verlangen – in beiden Fällen sei die Voraussetzung "Threaten to cause damage" juristisch nicht erfüllt.

Weiter stören sich die Verfasser des Strategiepapiers an der Formulierung in Abschnitt 18 U.S.C. § 1030(a)(5), wonach Verbreiter von Schadsoftware nur dann von Bundesbehörden verfolgt werden sollen, wenn ihre Handlungen "Schäden an Computern" verursachen und den Betroffenen ein finanzieller Schaden von mindestens 5000 US-Dollar entstanden ist. Gestrichen werden soll zudem die Regelung in Abschnitt 18 U.S.C. § 1030(a)(2), der zufolge Bundesbehörden bei Datendiebstählen nur dann eingreifen dürfen, wenn die Daten über zwischenstaatliche oder internationale Netze transferiert wurden. Um als "Opfer" im Zusammenhang mit Identitätsdiebstählen zu gelten, soll nach dem Willen der Task Force künftig nicht mehr unbedingt ein monetärer Schaden nachgewiesen werden müssen. Die Regelungen der "United States Sentencing Guideline Section 2B1.1" sollen entsprechend angepasst werden.

Darüber hinaus will die Identity Theft Task Force die Verwendung der in den USA neben dem Führerschein häufig als Legitimation verlangten Sozialversicherungsnummer (Social Security Number, SSN) deutlich eingeschränkt wissen. Die Angabe der SSN – mit der sich unter anderem Bankkonten eröffnen lassen – werde sowohl im privaten als im öffentlichen Sektor viel zu häufig und oft ohne ausreichende Begründung verlangt, heißt es in dem Papier. Die landesweite Einführung von einheitlichen (elektronischen) Personaldokumenten dürfte sich allerdings noch bis zum Jahr 2013 hinziehen. Bis dahin will die Regierung die Bevölkerung – von der allein im vergangenen Jahr 73 Millionen Bürger mit dem Diebstahl sensibler persönlicher Informationen konfrontiert waren – auch mit Aktionskampagnen sensibilisieren. Im Herbst soll zunächst ein Programm der FTC starten. Thema: Täter abschrecken, Missbrauch entdecken, Daten schützen. (pmz)