Mit Freiheitsstrafen von bis zu fünf Jahren müssen in Zukunft Cyberkriminielle in der EU für Angriffe auf Informationssysteme von Unternehmen und Privatpersonen rechnen. Durch die Harmonisierung der einzelstaatlichen Strafvorschriften will Brüssel zudem die Zusammenarbeit von Justiz und Polizei verbessern.

Während die Cyberkriminellen bei ihren Angriffen auf IT-Infrastrukturen von Unternehmen und Behörden längst global und immer schlagkräftiger agieren, reagieren die EU-Mitgliedstaaten noch immer national im Rahmen ihres bislang nur teilweise harmonisierten Rechtsrahmens, der zudem veraltet ist. Straftaten im Rahmen von Bot-Netzen beispielsweise können durch die geltende Regelungen nicht adäquat verfolgt werden. „Angesichts der Fortentwicklung im Bereich der Cybertechnologien haben sich auch die Möglichkeiten für Kriminelle im virtuellen Raum rasend schnell erweitert. Unsere Gesetzgebung und Strafverfolgung hecheln den äußerst kreativen Straftätern, die grenzüberschreitend international agieren, hinterher“, erklärt die CSU-Europaabgeordnete Monika Hohlmeier, Mitglied im Ausschuss für bürgerliche Freiheiten, Justiz und Inneres und Berichterstatterin im Parlament für die kommende Neufassung der Richtlinie.

Nachdem Mitte Juni der Rat der Justizminister der EU den von der EU-Kommission formulierten „Vorschlag für eine Richtlinie über Angriffe auf Informationssysteme“ erörtert und positiv aufgenommen ist der Weg zur ersten Lesung im EU-Parlament damit frei. „Cyberkriminalität ist in erster Linie auf die Anfälligkeit der Systeme zurückzuführen, aber inadäquate Strafverfolgungsverfahren tragen zum Fortbestehen der Cyberkriminalität bei und verschärfen die Probleme, da diese Art von Straftaten nicht an nationalen Grenzen haltmacht“, formuliert die EU-Kommission in ihrem Entwurf.

Antwort auf die technische Weiterentwicklung
Zu den bereits geltenden Vorschriften (zum Beispiel Ahndung des rechtswidrigen Zugangs, rechtswidriger Systemeingriffe und rechtswidriger Dateneingriffe sowie der Anstiftung, der Beihilfe und des Versuchs dazu) kommen neue Komponenten hinzu:

Ahndung der Verwendung von Werkzeuge (zum Beispiel Schadsoftware, Bot-Netze oder rechtswidrig beschaffte Computerpassworte), die bei Straftaten verwendet werden;
Ahndung von Angriffen, die unter missbräuchlicher Verwendung von Identitätsdaten erfolgen;
Einführung eines Straftatbestands, der das rechtswidrige Abfangen von Computerdaten erfasst;
Verbesserung der justiziellen bzw. polizeilichen Zusammenarbeit durch rund um die Uhr besetzte Kontaktstellen.

Die Mindeststrafe wird auf zwei Jahre Haft (bei erschwerenden Umständen auf fünf) erhöht.

Strafen für WLAN-Nutzung und Tests?
Dass die EU-Kommission auch bereits den unbefugten Zugang zu einem Informationssystem ohne die Durchbrechung einer Sicherheitssperre bestrafen will, kritisiert Hohlmeier: „Es ist wenig zielführend, die Nutzung eines fremden ungesicherten WiFi-Netzes unter Strafe zu stellen und gleichzeitig den Nutzern und Eignern von Informationssystemen keine Pflichten zum Eigenschutz aufzuerlegen.“ Für sie muss auch noch deutlicher klargestellt werden, dass das Testen von Sicherheitssystemen durch darauf spezialisierte und zertifizierte Unternehmen von Strafen ausgenommen ist: „Der Richtlinientext ist hier recht undeutlich und ich halte es für äußerst kritisch, Sicherheitsfirmen, die gerade unsere Schutzsysteme stärken sollen, in einer rechtlichen Grauzone zu belassen.“

Wenn die Richtlinie in Kraft tritt, wird sie nur Rechtswirkung in der Europäischen Union haben. „Wird ein Angriff in der EU außerhalb der EU eingeleitet, werden wir nur durch weltweite Kooperation beispielsweise mit den USA, Kanada, Australien, aber auch mit asiatischen Ländern und Russland die Urheber identifizieren und verfolgen können“, betont Parlaments-Berichterstatterin Hohlmeier.

(Quelle: Der Artikel erschien in der Ausgabe 9-2011 von Business&IT)
(Foto: delater;pixelio.de)

Cyberangriffe: Kein Kavaliersdelikt - Brüssel will Strafen verschärfen