EU geht schärfer gegen Hacker vor

Der EU-Rat hat am heutigen Donnerstag einen umstrittenen EU-Rahmenbeschluss über Angriffe auf Informationssysteme offiziell verabschiedet. Ziel der Gesetzgebung ist es, Cracker und Angreifer auf vernetzte Computersysteme besser bekämpfen zu können. Dazu werden EU-weit erstmals strafrechtliche Mindeststandards auf dem Gebiet der Cyberkriminalität geschaffen. Verboten werden Handlungen wie das unerlaubte Eindringen in Computersysteme -- "Hacking" im Wortlaut des Beschlusses --, das Verbreiten von Viren oder Angriffe auf Online-Dienste etwa durch Denial-of-Service-Attacken. Kritikern zufolge schießt das Papier aber über das Ziel hinaus. Es wird befürchtet, dass auch legitime Sicherheitstester kriminalisiert werden könnten.

Konkret unter Strafe gestellt werden sollen "der vorsätzliche und unbefugte Zugang zu einem Informationssystem" oder einem Teil davon, die "unbefugte vorsätzliche schwere Behinderung oder Störung des Betriebs eines Informationssystems" sowie "das unbefugte vorsätzliche Löschen, Beschädigen, Verstümmeln, Verändern, Unterdrücken oder Unzugänglichmachen von Computerdaten". Auch die Anstiftung oder Beihilfe zur Begehung solcher Straftat soll verboten werden. Zur Abschreckung sind Freiheitsstrafen bis zu drei Jahren vorzusehen, bei der Verbindung mit einer kriminellen Vereinigung oder bei besonders schweren Schäden bis zu fünf Jahren. Außerdem vereinbaren die Mitgliedsstaaten einen verbesserten Informationsaustausch über Straftaten im Zusammenhang mit Hacker-Attacken.

Von den Strafen ausgenommen werden sollen "leichte Fälle". Ein von der EU-Kommission 2002 in ihrem ursprünglichen Vorschlag vorgesehenes Privileg für Security-Experten, im Rahmen von Sicherheitstests nicht belangt zu werden, hat der EU-Rat allerdings gestrichen. Als "unbefugt" gilt ein Zugang oder Eingriff stattdessen nun immer, wenn er "vom Eigentümer oder einem anderen Rechtsinhaber des Systems oder eines Teils des Systems nicht gestattet wurde oder nach den einzelstaatlichen Rechtsvorschriften nicht zulässig ist." Unter "Informationssystem" verstehen die Cybercrime-Bekämpfer eine "Vorrichtung oder eine Gruppe miteinander verbundener oder zusammenhängender Vorrichtungen, die einzeln oder zu mehreren auf der Grundlage eines Programms die automatische Verarbeitung von Computerdaten durchführen". Ebenfalls darunter fallen die dabei "zum Zwecke des Betriebs, der Nutzung, des Schutzes und der Pflege gespeicherten, verarbeiteten oder übertragenen Computerdaten".

Bundesjustizministerin Brigitte Zypries, die den mehrere Jahre hinausgezögerten Beschluss auf einem Treffen der EU-Justiz- und Innenminister mit absegnete, sieht in der bevorstehenden Angleichung der einzelstaatlichen Strafvorschriften "einen wichtigen Schritt im Kampf gegen die Cyberkriminalität." Strafverfolgungs- und Justizbehörden in allen Mitgliedstaaten hätten bald bessere Möglichkeiten, effektiv gegen Online-Ganoven vorzugehen. Andy Müller-Maguhn, Sprecher des Chaos Computer Clubs (CCC) hatte das Vorhaben dagegen schon früh als "gefährlichen Populismus" gebrandmarkt. Systeme würden nicht durch die Einführung von Gefängnisstrafen für Hacker sicherer, sondern allein durch die Verminderung technischer Schwachstellen. Dass das Papier jetzt doch noch verabschiedet wurde, begründen die Minister unter anderem mit der wachsenden "Besorgnis über das Potenzial an Terroranschlägen auf Informationssysteme".

Für Deutschland sieht Zypries bei der Umsetzung des Rahmenbeschlusses, welche die Mitgliedsstaaten bis 2007 erfüllen müssen, nur begrenzten Änderungsbedarf an der hiesigen Rechtslage. Dies gelte auch für die nicht weniger umstrittenen Cybercrime-Konvention des Europarates, an dessen Ratifizierung die Bundesregierung ebenfalls noch sitzt. Anpassungsbedarf besteht laut dem Justizministerium aber etwa bei den klassischen "Hackerparagraphen" 202a und 303a im Strafgesetzbuch (StGB), in denen es insbesondere um das "Ausspähen von Daten" und "Computersabotage" geht. So müsse beispielsweise klargestellt werden, "dass auch der bloße Zugang zu einem Computersystem unter Verletzung von Sicherheitsmaßnahmen strafbewehrt ist, wenn dies unbefugt geschieht." Ferner würden künftig auch private Computersysteme vor Eingriffen geschützt. Mit einem ersten Gesetzesentwurf wird nach den Brüsseler Verzögerungen nun im Frühjahr gerechnet. (Stefan Krempl) / (thl)