Netzpolitik
06.06.2013

EU: Einheitliche Strafen für Computer-Angriffe

Eine mit dem europäischen Ministerrat ausgehandelte Strafrechts-Richtlinie zu „Angriffen auf Informationssysteme“ hat heute den Innenausschuss des Europäischen Parlaments passiert. Ziel der Richtlinie, über die noch im Plenum abgestimmt werden muss, sind EU-weite, vereinheitlichte Strafen für Cyberangriffe. Kritiker sprechen von einer einseitigen Kriminalisierung von Hackerangriffen aller Art.

In der Richtlinie (PDF), die einheitliche und dadurch vielerorts auch verschärfte Strafen für Angriffe auf IT-Systeme vorsieht, soll im Juli vom Plenum des EU-Parlaments abgesegnet werden. Die Gesetzesrichtlinie, die nach Verabschiedung innerhalb von zwei Jahren in allen Mitgliedstaaten umgesetzt werden muss, sei eine Gegenmaßnahme, um der steigenden Gefahr von Cyberangriffen auf kritische IT-Infrastruktur innerhalb der EU entgegenzuwirken.

EU sieht sich bedroht
Angriffe auf Informationssysteme – insbesondere Angriffe im Zusammenhang mit der organisierten Kriminalität – werden in der Europäischen Union und weltweit zunehmend zu einer Bedrohung, und es wächst die Besorgnis über mögliche Terroranschläge oder politisch motivierte Angriffe auf Informationssysteme, die Teil der kritischen Infrastruktur der Mitgliedstaaten und der Europäischen Union sind“, heißt es in der Begründung, warum eine Richtlinie notwendig werde.

Kritik an der Verabschiedung kam unmittelbar danach von den Grünen im Europäischen Parlament, die gegen die Richtlinie gestimmt hatten. "Leider hat die Mehrheit im Europäischen Parlament heute einseitig die Kriminalisierung von Hackerangriffen vorangetrieben ohne dabei dringend gebotene Differenzierungen bei der Strafbarkeit sowie relevante Forderungen für echte IT-Sicherheit aufzunehmen“, teilte Jan Philipp Albrecht, innen- und justizpolitischer Sprecher der Grünen im Europäischen Parlament mit.

Keine Verantwortung für Hersteller
Besonders  kritisiert wird, das Hard- und Softwarehersteller auch weiterhin nicht für schwere Produktmängel und selbst verschuldete Sicherheitslücken haften müssen und statt dessen „tüftelnde Jugendliche oder Hersteller von Test-Software zur IT-Sicherheit kriminalisiert werden“, wie Albrecht ausführt. Als besonders enttäuschend wertet Albrecht, dass das Mitbenutzen eines offenen WLAN-Hotspots oder unautorisiertes Einloggen auf einem offen zugänglichen Server nun immer noch als „Angriff“ im strafrechtlichen Sinne gewertet werden könne.

Auch Netzpolitik.org spricht von kontraproduktiven Maßnahmen, etwa was das Verbot von sogenannten Hackertools betrifft. Damit könnten nun weiterhin Menschen verklagt werden, die Datenlecks überhaupt erst aufdecken. „An der Ursache des Problems ändert die Richtlinie nichts: dass Angriffe auf IT-Systeme nicht nur möglich, sondern oft der schlampigen Entwicklung und Wartung der Systeme geschuldet sind.“