EU-Rat beschließt härtere Strafen für Cyber-Kriminelle
Der EU-Ministerrat hat als letztes Gesetzgebungsorgan der Europäischen Union nun ebenso den Richtlinienentwurf gegen Angriffe auf Informationssysteme abgesegnet, der Anfang Juni bereits das Parlament in Straßburg passieren konnte. Deutschland hat einen thematisch ähnlichen „Hackerpararaphen“ bereits seit 2007.
Auf das unerlaubte Eindringen in fremde Computersysteme und die Verbreitung von sogenannten “Hackertools” sollen künftig EU-weit Strafen von mindestens zwei bis mindestens fünf Jahren stehen. Nach der jetzt verabschiedeten Richtlinie (PDF) stehen auf den illegalen Zugriff auf Computersysteme oder das unerlaubte Abhören nicht-öffentlicher Datenübertragungen Höchststrafen von mindestens zwei und in schweren Fällen von mindestens fünf Jahren Haft. Bestraft wird auch, wer Hackertools herstellt, verkauft oder weitergibt. Das Betreiben von Botnetzen wird mit mindestens drei Jahren Haft bestraft, die Strafe erhöht sich auf mindestens fünf Jahre, wenn wichtige Infrastruktur wie Atomkraftwerke, Energieunternehmen, Verkehrsnetze oder staatliche Netzwerke angegriffen werden.
Die schwedische EU-Innenkommissarin Cecilia Malmström begrüßte die endgültige Verabschiedung der Regeln, da sie nach ihrer Ansicht sowohl Europas Verteidigungsbereitschaft gegen Cyber-Angriffe erhöht als auch das Vertrauen der Bürger in das Internet wieder stärkt. Auch werde der EU-weite Austausch über solche Vorfälle intensiviert.
Die jetzt verabschiedete Richtlinie, die trotz heftiger Kritik angenommen wurde, muss nun innerhalb von zwei Jahren von den Mitgliedsstaaten in nationale Gesetzgebung umgesetzt werden. Die Kritik richtet sich einerseits gegen die Richtlinie als solches, da sie nichts an der laxen Haltung zur Sicherheit in Unternehmen und Behörden ändere. Nach Meinung der Kritiker müssen auch Unternehmen im Falle eines Cyber-Angriffs für unzureichende Sicherheit in Regress genommen werden können.
Ein weiterer Kritikpunkt ist, dass wohlmeinende Hacker, die auf Schwachstellen aufmerksam machen, weiter kriminalisiert werden. Immer wieder sehen sich Sicherheitsforscher, nachdem sie eine Sicherheitslücke vergeblich mehrfach an die Betroffenen gemeldet haben, genötigt, die Lücke selbst auszunutzen, um über die Öffentlichkeit Druck auszuüben. Solche Hacks würden vermutlich zukünftig abnehmen und somit zu weniger anstatt zu mehr Sicherheit führen. Zudem würden solche Lücken zukünftig öfter in dunklen Kanälen landen und so noch mehr Schaden anrichten.
Auch in Deutschland gab es im Jahr 2007 vergeblich Widerstand gegen den sogenannten Hackerparagraphen, der offiziell „Vorbereiten des Ausspähens und Abfangens von Daten“ heißt. Der Chaos Computer Club kommentierte damals: „Dieser Gesetzentwurf wird nicht gegen Computerkriminalität helfen. Stattdessen werden der IT-Sicherheitsbranche dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen. Die Vorstellungen des Gesetzgebers zeugen von einer ausgeprägten Unkenntnis der technischen Vorgehensweisen. Testangriffe zum Auffinden von Sicherheitslöchern sind für die IT-Sicherheit wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, Crashtests zu verbieten“.