Hacker-Jagd in der Europäischen Union

Kommission legt Rahmenbeschluss "über Angriffe auf Informationssysteme" vor

Die EU-Kommission hat einen Vorschlag für einen Rahmenbeschluss des Rates über Angriffe auf Informationssysteme vorgelegt, der eine EU-weite Angleichung der Strafrechtsvorschriften im Zusammenhang mit Angriffen auf Informationssysteme vorsieht. Damit will man eine "abschreckende Wirkung auf potenzielle Angreifer" erzielen. Der Beschluss soll spätestens bis zum 31. Dezember 2003 in Kraft treten.

Hacking drohe zu einer Erscheinungsform organisierter Kriminalität zu werden, schreibt die Kommission. Hacker können künftig per Europäischem Haftbefehl gesucht und nach einheitlichen Strafen verurteilt werden - auch wenn sie Angriffe auf die IT-Systeme außerhalb der EU unternommen haben.

Als Beispiele für organisiertes Hacking führt die Kommission die brasilianischen Silver Lords und die pakistanische Gforce auf, die versuchen, Geld von ihren Opfern zu erpressen, indem sie ihnen spezialisierte Unterstützung anbieten, nachdem sie in ihre Informationssysteme eingedrungen sind. Auch habe es "raffinierte und organisierte" Angriffe auf geistiges Eigentum gegeben wie auch Versuche, erhebliche Summen im Rahmen von Bankdienstleistungen zu stehlen. Vor allem geht es der Europäischen Kommission um den Schutz kritischer Infrastrukturen wie etwa Krankenhaussysteme oder Kontrollsysteme im Luftverkehr, wo Störungen Leben kosten können.

Der Strafkatalog

Die EU-Mitgliedstaaten sollen laut Rahmenbeschluss folgende drei Angriffsformen einheitlich behandeln: Hacking, Denial-of-Service-Attacken und Viren. Der unberechtigte Zugang zu Informationssystemen beispielsweise durch "Hacking" soll künftig unter Strafe gestellt werden. Ob dafür nun Insider-Informationen, "Brute-Force"-Angriffe oder Passwörter abgefangen werden, spielt keine Rolle.

Falls Systeme über keinen entsprechenden Schutz verfügen, soll das Eindringen "zur Abschreckung" auch bestraft werden. Doch der Angriff muss mit der Absicht erfolgen, "einen Schaden oder einen wirtschaftlichen Vorteil zu bewirken". Unternehmen oder Behörden können dann verantwortlich gemacht werden, wenn "mangelnde Überwachung oder Kontrolle" durch eine Person die Straftat überhaupt erst ermöglicht hat - und sie von ihr profitieren.

Auch die Störung von Informationssystemen beispielsweise durch "Denial of Service"-Angriffe, die Web-Server oder Anbieter von Internetdiensten (ISP) mit automatisch erzeugten Nachrichten überlasten, gehört zum Strafkatalog. Laut Studien entstanden dadurch bereits Sachschaden in Höhe von mehreren hundert Millionen Euro. Ebenfalls geahndet wird bösartige Software, die Daten verändert oder zerstört. Darunter fallen Viren, "Trojanische Pferde" oder "Würmer".

Selbst "Anstiftung, Beihilfe und Versuch" sollen künftig geahndet werden können. Fraglich ist, ob ein Wurmopfer, von dessen Rechner aus weitere Würmer versandt wird, "Beihilfe" leistet. Auch Port-Scans, die manche Anbieter zur Ermittlung von Betriebssystem-Statistiken durchführen, könnten als "Versuch" gewertet werden.

Ob Geldstrafen oder Freiheitsstrafen verhängt werden, hängt von der Schwere der Straftat ab. Bagatelldelikte sollen jedenfalls nicht unter Strafe gestellt werden. Verlangt werden in schweren Fällen Freiheitsstrafen von mindestens einem Jahr. Bei "kriminellen Vereinigungen" sind es mindestens vier Jahre, ebenso bei "erheblichen" Schäden. Schwere Fälle können dann auch per Europäischem Haftbefehl und entsprechenden Auslieferungsverfahren behandelt werden. Falls ein Angriff keinen Schaden oder wirtschaftlichen Vorteil bewirkt, ist er kein schwerer Fall.

Nicht betroffen ist die Überwachung des Fernmeldeverkehrs sowie die Täuschung beziehungsweise Irreführung des Benutzers, da dies bereits von Richtlinien geregelt wird. Auch Verstöße gegen das geistige Eigentum sollen nicht strafrechtlich geahndet werden.

Das Ende einer Reise

Mit dem Rahmenbeschluss kommen langjährige Vorbereitungen zu einem Ende. Er setzt unter anderem die Schlussfolgerungen des Gipfeltreffens des Europäischen Rats in Tampere im Oktober 1999 um. In die Richtung der "organisierten Kriminalität" rückte das Thema mit der Empfehlung 7 der Strategie 2000 der Europäischen Union zur Prävention und Bekämpfung der organisierten Kriminalität, die vom Rat der Justiz- und Innenminister im Mai 2000 angenommen wurde und von der Kommission nach den Terroranschlägen vom 11. September im Oktober 2001 aufgegriffen aufgegriffen wurde.

Doch auch das Cybercrime-Abkommen des Europarates, das im November 2001 formell angenommen und zur Unterzeichnung aufgelegt wurde, wird damit in der EU eingeführt (Europarat verabschiedet Cybercrime-Abkommen). Die Kommission hierzu: "In Bezug auf derartige Straftaten verfolgt der vorliegende Rahmenbeschluss das gleiche Konzept wie das Übereinkommen des Europarates." Datenschützer hatten bis zuletzt das Übereinkommen kritisiert, da Belange der Rechtstaatlichkeit strafrechtlicher Ermittlungen wie auch datenschutzrechtlicher Standards zu kurz gekommen seien (Fette Bugs im Cybercrime-Abkommen).

http://www.heise.de/tp/artikel/12/12448/1.html