Rechtskonforme Erkennung, Aufklärung und Verfolgung von Botnetz-Kriminalität
Botnetze stellen ein wirkmächtiges Werkzeug zur Begehung von Cyberstraftaten dar: indem ein Angreifer zahlreiche informationstechnische Systeme mittels Schadsoftware unter seine Kontrolle bringt, stehen ihm erhebliche Ressourcen zur Verfügung, um konzertiert (weitere) Straftaten zu begehen. Die Erkennung (und Bekämpfung) von Botnetzen ist daher ein wesentliches Anliegen des Cybersicherheits- und Cyberstrafrechts, ebenso wie der betroffenen Individuen mit Blick auf die Integrität ihrer Systeme.
Die Erkennung von Botnetzen ist in erster Linie eine technische Herausforderung, die namentlich auf die Verfügbarkeit einer großen Menge an – aktuellen – Daten (z.B. über vorangehende Angriffe) angewiesen ist. Es liegt daher nahe, dass solche Daten nicht nur von den jeweiligen Betreibern von selbst erhoben, sondern auch ausgetauscht bzw. zusammengeführt werden, zumal so auch dem verteilten Charakter des Angriffs adäquat Rechnung getragen werden kann. Die Datensammlung und insbesondere auch der Datenaustausch werfen dabei naturgemäß datenschutzrechtliche und -technische Fragen auf, sofern personenbezogene Daten betroffen sind.
Im hier dargestellten Projekt gehen wir diesen Datenschutzfragestellungen in interdisziplinärer Zusammenarbeit auf den Grund. So ist zu klären, inwieweit die für die Botnetzerkennung erforderlichen Daten überhaupt Personenbezug aufweisen bzw. ob nicht Möglichkeiten denkbar sind, insbesondere im Bereich des Informationsaustausches eine ausreichende Anonymisierung der Daten zu erreichen. Insgesamt soll ein Verfahren vorgeschlagen werden, das den datenschutzrechtlichen Forderungen umfassend Rechnung trägt. Dabei loten wir auch aus, wie die praktische Umsetzung eines solchen Verfahrens in institutioneller Hinsicht aussehen könnte. So sind beispielsweise technische Lösungen denkbar, bei denen ein eingeschränkt vertrauenswürdiger Dritter in die Kommunikation eingebunden wird; wer diese Rolle übernehmen könnte und wie weit das notwendige Vertrauen in diese Institution reichen muss, ist aber im Laufe des Projekts zu klären.
Unsere Forschung findet in enger Zusammenarbeit mit einem weiteren Teilprojekt der Professur für Strafrecht und Strafverfahrensrecht von Jun.-Prof. Dr. Dominik Brodowski, LL.M. (UPenn) statt, in dem schwerpunktmäßig den sicherheits- und strafrechtlichen Aspekten der Botnetzbekämpfung nachgegangen wird.