Sanktionen für Internetkriminalität

Im Kontext der digitalen Finanzlandschaft rücken auch Cyberkriminalität und entsprechende Sanktionen immer mehr in den Blickpunkt. Cyberangriffe werden nicht nur von einzelnen Kriminellen initiiert, um Finanzdelikte zu begehen, sondern können auch von staatlicher Seite für Angriffe auf andere Länder eingesetzt werden. 2020 wurde etwa der Diebstahl von Kryptowährungen in Höhe von 281 Millionen US-Dollar von einer Kryptobörse in Singapur mit der nordkoreanischen Regierung in Verbindung gebracht. Beim sogenannten „SolarWinds“-Hack im Dezember 2020, der der russischen Regierung zugeschrieben wird, kam es zum Diebstahl von Daten von 18.000 Computern der US-Regierung und privater Nutzer.

Wenn Internetkriminalität von staatlicher Seite erfolgt, stellen herkömmliche Wirtschaftssanktionen wie Handelsembargos und das Einfrieren von Vermögenswerten unter Umständen keine geeignete Reaktion dar. Stattdessen könnten die betroffenen Regierungen effektiver versuchen, Internetsanktionen zu verhängen, um derartige Aktivitäten zu verhindern und zu bestrafen.

Was sind Internetsanktionen und Strafen für Internetkriminalität?

Internetsanktionen sind in der internationalen Ordnungspolitik noch vergleichsweise neu, werden jedoch zunehmend eingesetzt, um Cyberangriffe staatlicher Akteure zu verhindern und zu bestrafen. Zu Cyberangriffen und Internetkriminalität auf staatlicher Ebene gehören Phishing und Hacking zum Zweck des Daten- oder Finanzdiebstahls, der Entwendung von geistigem Eigentum oder der Verbreitung von Fehlinformationen über soziale Netzwerke. 

Internetsanktionen funktionieren ähnlich wie herkömmliche Sanktionen und untersagen Transaktionen, Handel und Geschäftsbeziehungen mit Personen und Organisationen, die für Cyberangriffe oder bösartige Aktivitäten verantwortlich gemacht werden.  Die Umsetzung von Internetsanktionen beinhaltet einen Zurechnungsprozess, in dessen Verlauf die Regulierungsbehörden versuchen zu ermitteln, wer für den Angriff verantwortlich war. Der Zurechnungsprozess ist kompliziert: Die Behörden müssen große Mengen an technischen Beweisen wie Computercode, IP-Adressen und andere Daten untersuchen und haben gleichzeitig mit Fragen des Datenschutzes, der Anonymität und der Möglichkeit der Identitätsfälschung im Zusammenhang mit Internetkriminalität zu kämpfen. 

Sobald eine Zurechnung erfolgt ist, kann die zuständige nationale Behörde Sanktionen verhängen. Die Nichteinhaltung solcher Sanktionen kann eine Reihe von Strafen nach sich ziehen, so etwa Geld- und Haftstrafen. 

Internationale Gesetze zur Internetkriminalität

Bei der Einführung von Internetsanktionen müssen die jeweiligen Länder sicher sein, dass die von ihnen verhängten Strafen für Internetkriminalität die gewünschten Auswirkungen auf die Zielpersonen haben werden. Aus diesem Grund variieren die Regelungen von Land zu Land:

USA

Das System zur Bekämpfung der Internetkriminalität in den Vereinigten Staaten wurde 2015 eingeführt. 2016 wurden erstmals Personen sanktioniert, die versuchten, sich in die Parlamentswahlen 2016 einzumischen. Die Zielpersonen der US-amerikanischen Internetsanktionen sind in der Liste der Specially Designated Nationals and Blocked Persons (SDN-Liste) des Office of Foreign Assets Control aufgeführt. Die Liste des OFAC enthält über 100 Personen, die mit Cyber-Aktivitäten in Zusammenhang gebracht werden, u. a. mit Wahlbeeinflussung, Phishing-Betrug, Hacker- und Malware-Angriffen und anderen Arten von betrügerischen Aktivitäten. 

Die Internetsanktionen der USA richten sich gegen folgende Personenkategorien:

• Personen, die Cyberangriffe von außerhalb der USA durchführen, die eine erhebliche Gefahr für die nationale Sicherheit, die Außenpolitik oder die wirtschaftliche Stabilität darstellen 
• Personen, die versuchen, Geschäftsgeheimnisse zu kommerziellen oder finanziellen Zwecken zu nutzen 
• Personen, die einen Cyberangriff finanziell oder technologisch unterstützen oder dabei behilflich sind.
• Personen, die sich unter der Kontrolle oder unter dem Einfluss von Urhebern von Cyberangriffen befinden 

Internetsanktionen werden gegen Personen verhängt, die sich an den aufgeführten Aktivitäten beteiligen oder dies versuchen.

Europäische Union

In der EU wurden Strafen und Sanktionen gegen Internetkriminalität langsamer implementiert als in anderen Ländern: Erst im Mai 2019 führte die EU eine Regelung für Internetkriminalität ein und nahm im Juli 2020 die ersten Sanktionen vor. Die erste Runde der Internetsanktionen der EU richtete sich gegen russische, nordkoreanische und chinesische Akteure, die in Angriffe aus dem Jahr 2017 verwickelt waren. In der EU erfolgen Internetsanktionen als Reaktion auf Angriffe auf kritische soziale und wirtschaftliche Infrastrukturen und Dienste, Verteidigungs- und diplomatische Funktionen sowie Verschlusssachen der Mitgliedstaaten.

Im Rahmen der Internetsanktionen der EU werden die folgenden Personenkategorien sanktioniert:

• Personen, die sich an Internetangriffen beteiligen oder dies versuchen 
• Personen, die finanzielle, technische oder materielle Unterstützung für Internetangriffe leisten 
• Personen, die mit anderen in Verbindung stehen, die an einem Internetangriff beteiligt sind

Vereinigtes Königreich

Nach dem Brexit wurden die Internetsanktionen im Vereinigten Königreich aktualisiert und die EU-Regelung durch eine eigene autonome Regelung ersetzt, bekannt als Cyber (Sanctions) (EU Exit) Regulations 2020. Die neue Regelung für Internetsanktionen folgt weitgehend der Funktion und den Zielen der EU-Regelung, allerdings kann das Vereinigte Königreich autonom eigene Sanktionen hinzufügen, aufheben und ändern. Darüber hinaus hat das Vereinigte Königreich das Genehmigungsverfahren für sein autonomes System und das Verfahren angepasst, mit dem sanktionierte Personen ihren Status anfechten können. 

Überlegungen zu Internetsanktionen im Zusammenhang mit Covid-19

Pandemiebedingte Abschottungsmaßnahmen, die in Ländern auf der ganzen Welt umgesetzt wurden, gingen mit einer Zunahme illegaler Aktivitäten wie Betrug und Geldwäsche im Bereich der Internetkriminalität und einem vergleichbaren Anstieg von Internetangriffen einher, so etwa auch solcher, die sich gegen Regierungen und kritische nationale Infrastrukturen richteten. Neben dem aufsehenerregenden SolarWinds-Hack im Jahr 2020 wurden Anfang 2021 in ganz Europa Cyberangriffe auf Firmen und Organisationen des Gesundheitswesens gemeldet, die mit Coronaviren zu tun hatten, darunter ein Angriff nordkoreanischer Hacker auf den Impfstoffentwickler Pfizer.

Als Reaktion auf die gestiegene Bedrohung konzentrieren sich die Regierungen zunehmend auf die Umsetzung von Internetsanktionen, um illegale Aktivitäten zu verhindern und davon abzuschrecken. Die EU beispielsweise hat kürzlich ihr aktuelles Internetsanktionsprogramm bis Mai 2021 verlängert, um sicherzustellen, dass die Mitgliedstaaten weiterhin vor böswilligen Akteuren geschützt sind. 

Einhaltung von Sanktionen: Vermeidung von Strafen für Internetkriminalität

In den meisten Rechtssystemen verlangen die Bestimmungen für die Nichteinhaltung von Internetsanktionen Geld- und Gefängnisstrafen und variieren je nach Schwere des Verstoßes. Zur Einhaltung von Internetsanktionen sollten sich Banken, Finanzinstitute und andere Verpflichtete daher über die in ihrem Rechtsraum geltenden Sanktionslisten informieren. So müssen die Unternehmen ihre Kunden etwa anhand von Sanktionslisten wie der SDN-Liste des OFAC, der konsolidierten Liste der EU und der britischen Sanktionsliste überprüfen. 

Eine wirksame Überprüfung von Internetsanktionen sollte auf einem robusten KYC-Prozess (Know Your Customer) aufbauen, der als Teil eines risikobasierten AML/CFT-Programms eingesetzt wird. Konkret bedeutet dies die Umsetzung der folgenden Maßnahmen: 

• Sorgfaltspflicht gegenüber Kunden: Unternehmen müssen die Identität ihrer Kunden feststellen und überprüfen, um sie genau mit der jeweils geltenden Sanktionsliste abzugleichen. Im Zusammenhang mit Internetkriminalität kann dies die Ermittlung von IP-Adressen und digitaler Identität beinhalten. 
• Transaktionsüberwachung: Unternehmen sollten die Transaktionen ihrer Kunden auf verdächtiges Verhalten überwachen, das auf einen Versuch hinweisen könnte, Internetsanktionen zu umgehen. 
• Screening und Überwachung: Unternehmen sind angehalten, den Status ihrer Kunden als politisch exponierte Personen (PEP) und die Verwicklung ihrer Kunden in negative Berichterstattung, die sie mit Internetsanktionen in Verbindung bringen könnten, zu überwachen.

Intelligente Technologie: Angesichts der enormen Datenmengen, die für das Screening von Internetsanktionen erforderlich sind, sind Unternehmen gut beraten, geeignete intelligente Technologien – einschließlich künstlicher Intelligenz und maschineller Lernsysteme – einzusetzen, um den Aufwand für die Einhaltung der Vorschriften bewältigen zu können. Automatisierte intelligente Technologien erhöhen nicht nur die Geschwindigkeit, Effizienz und Genauigkeit des Screening-Prozesses, sondern können auch unstrukturierte Daten, die durch digitale Transaktionen generiert werden, besser verwalten und Unternehmen dabei helfen, Veränderungen im Kundenverhalten zu erkennen oder sogar zu antizipieren.

Jetzt mehr erfahren

Unser Tool zur Sanktionsprüfung gleicht tausende globale Überwachungslisten von Regierungs- und Strafverfolgungsbehörden sowie über 100 internationale und nationale Sanktionslisten ab und wird fortlaufend aktualisiert.

Weitere Informationen