EU-Abgeordnete für scharfes Vorgehen gegen Hacker und Cyber-Angreifer

Der federführende Innenausschuss des EU-Parlaments hat am Dienstag mit großer Mehrheit einen Richtlinienentwurf der EU-Kommission über Angriffe auf Informationssysteme befürwortet. 50 Abgeordnete stimmten unter anderem dafür, Hacker-Attacken künftig EU-weit empfindlich zu bestrafen, drei enthielten sich bei einer Gegenstimme. Kriminalisiert werden soll auch, sogenannte Hackerwerkzeuge zu produzieren und zu verkaufen, mit denen sich Cyber-Angriffe ausführen oder automatisch Passwörter herausfinden lassen.

"Wir haben es zunehmend mit schwer kriminellen Angriffen zu tun, die mitunter sogar im Rahmen des organisierten Verbrechens durchgeführt werden", begrüßte die parlamentarische Berichterstatterin, Monika Hohlmeier, von der konservativen Europäischen Volkspartei (EVP) die Entscheidung der Innenpolitiker. Für Unternehmen, private Nutzer und die öffentliche Seite entstehe dabei jährlich ein finanzieller Schaden in Milliardenhöhe, meinte die CSU-Politikerin.

Laut einer Mitteilung des EU-Parlaments sollen die Höchststrafen mindestens zwei und in Fällen mit "erschwerenden Umständen" fünf Jahre betragen. Zu Letzteren sollen etwa Botnetz-Attacken sowie Angriffe mit erheblichen Schäden wie System- oder Netzausfällen, finanziellen Kosten oder dem Verlust von Finanzdaten zählen. Eine Netzkennung durch IP-Spoofing vorzutäuschen wird ebenfalls als erschwerender Faktor gerechnet und soll mit einer Höchststrafe von mindestens drei Jahren geahndet werden. Für Attacken auf kritische Infrastrukturen wie IT-Systeme von Kraftwerken oder Verkehrsnetzen sind auch höhere Strafmaße vorgesehen.

Hohlmeier versicherte, dass "leichte Fälle, bei denen kein Schaden entsteht, hingegen bewusst von den Strafen dieser Richtlinie ausgenommen werden sollen". Dies sei wichtig, um "oftmals jugendlich unüberlegte Hacker nicht zu kriminalisieren". Darüber hinaus hätten sich die Volksvertreter darauf geeinigt, IT-Anbieter künftig stärker in die Pflicht zu nehmen. "Kein Autobauer darf es sich leisten, einen Wagen ohne Sicherheitsgurte in den Verkehr zu schicken", führte die Berichterstatterin aus. Wenn er dies doch tue, müsse er für möglichen Schaden haften. Diese Regeln würden jetzt auch auf die virtuelle Welt übertragen. Der Ausschuss verlange, dass Unternehmen ihre IT-Systeme besser vor Angriffen schützen und bei Missachtung von Mindestsicherheitsstandards auch sanktioniert werden könnten.

Die Richtlinie, die an die Stelle eines bisherigen Rahmenbeschlusses des EU-Rates treten soll, setzt auf eine verbesserte Zusammenarbeit bei der Bekämpfung von Cyberkriminalität in der EU. Demnach sollen Behörden untereinander sowie öffentliche und private Stellen stärker kooperieren. Die Kommission hat dazu gerade vorgeschlagen, bei Europol ein Cybercrime-Zentrum einzurichten. Der Entwurf soll nun in Gesprächen zwischen dem Parlament, dem EU-Rat und der Kommission bis zum Sommer beschlussreif gemacht werden.

In Deutschland existiert bereits seit 2011 ein nationales Cyber-Abwehrzentrum. 2007 traten die verschärften "Hackerparagraphen" in Kraft, mit denen die Vorbereitung einer Straftat durch Herstellung, Beschaffung, Verkauf, Überlassung, Verbreitung oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden können. Bei Computersabotage drohen schon maximal zehn Jahre Gefängnis. (Stefan Krempl) / (anw)