account-compromise
Unbefugte Übernahme von Benutzerkonten durch Dritte zur missbräuchlichen Nutzung im Namen des rechtmäßigen Inhabers
Account-Compromise bezeichnet die unbefugte Übernahme eines Benutzerkontos durch einen Angreifer, der sich Zugang zu Anmeldedaten verschafft oder technische Schwachstellen ausnutzt, um im Namen des rechtmäßigen Kontoinhabers zu handeln. Das kompromittierte Konto wird dadurch zum Werkzeug für weitere Straftaten wie Datendiebstahl, Verbreitung von Schadsoftware, Phishing-Kampagnen oder Identitätsdelikte.
Im internationalen Strafrecht existiert kein eigenständiger Tatbestand für Account-Compromise. Das Phänomen ist vielmehr als technisches Mittel zur Begehung anderer Delikte relevant, etwa wenn durch die Kontoübernahme Straftaten nach dem Römischen Statut ermöglicht werden. Die Policy on Cyber-enabled Crimes des Internationalen Strafgerichtshofs erkennt an, dass digitale Mittel bei der Verwirklichung völkerrechtlicher Verbrechen eine Rolle spielen können, ohne dass Account-Compromise selbst eine eigenständige völkerstrafrechtliche Kategorie bildet.
In nationalen Rechtsordnungen wird Account-Compromise über bestehende Straftatbestände erfasst. Im US-amerikanischen Recht ist insbesondere der Computer Fraud and Abuse Act einschlägig, der den unbefugten Zugriff auf Computersysteme und damit auch auf Benutzerkonten unter Strafe stellt. Die Strafbarkeit knüpft dabei an die unbefugte Zugriffserlangung und die nachfolgende missbräuchliche Nutzung an.
Die praktische Bedeutung von Account-Compromise liegt in seiner Funktion als Einstieg für komplexere Angriffsketten. Kompromittierte Konten genießen häufig das Vertrauen anderer Nutzer und Systeme, wodurch sich Angreifer Zugang zu weiteren Ressourcen verschaffen und ihre Aktivitäten verschleiern können. Die forensische Aufklärung wird dadurch erschwert, dass legitime Anmeldedaten verwendet werden und die Handlungen zunächst als autorisiert erscheinen.
