EU-Parlament beschließt härtere Strafen für Cyber-Angriffe
Mit großer Mehrheit hat das Parlament den Richtlinienentwurf der EU-Kommission über Angriffe auf Informationssysteme verabschiedet.
Mit 541 zu 91 Stimmen bei 9 Enthaltungen hat das EU-Parlament am Donnerstag dem Richtlinienentwurf der EU-Kommission über Angriffe auf Informationssysteme zugestimmt. Er sieht unter anderem bei illegalem Zugriff auf vernetzte Geräte wie Server, bei rechtswidriger Beeinträchtigung von Systemen sowie unerlaubtem Abhören nicht-öffentlicher Datenübertragungen Höchststrafen von mindestens zwei und in schweren Fällen von mindestens fünf Jahren Haft vor. Als Straftatbestand zählt auch, absichtlich Tatwerkzeuge herzustellen und zu vertreiben, mit denen diese Straftaten begangen werden können. Der Richtlinienentwurf muss noch vom EU-Rat angenommen werden. Die Mitgliedsländer haben dann zwei Jahre Zeit, ihn in ihr nationales Recht umzusetzen.
Ein Strafe von mindestens drei Jahren Haft ist vorgesehen, wenn Botnetze verwendet werden, um beispielsweise eine "bedeutende Anzahl von Computern" fernzusteuern, indem diese mit Schadsoftware infiziert werden. Angriffe auf "kritische Infrastrukturen" wie Kraftwerke, Verkehrsnetze und Regierungsnetzwerke können zu einer fünfjährigen Gefängnisstrafe führen. Das gleiche gilt, wenn ein Angriff von einer kriminellen Vereinigung durchgeführt wurde oder wenn er schwere Schäden verursacht.
Die EU-Länder müssen eine "operative nationale Kontaktstelle" einrichten, um innerhalb von maximal acht Stunden auf dringende Bitten um Hilfe im Fall von Cyberangriffen zu reagieren. So soll die polizeiliche Zusammenarbeit effektiver werden. Unternehmen sollen für eine Straftat verantwortlich gemacht werden können, die zu ihren Gunsten verübt wurde, zum Beispiel wenn sie einen Hacker einstellen, der auf die Datenbank eines Konkurrenten zugreifen soll. Solche Unternehmen könnten von öffentlichen Zuwendungen ausgeschlossen werden. Nicht erfasst werden sollen etwa von einer Firma oder Behörde in Auftrag gegebene Härtetests für eigene Netzwerke oder andere unautorisierte Zugriffe auf IT-Systeme in "nicht-krimineller Absicht". (anw)