zurück zum Artikel

Das Aufdecken von Schwachstellen im Netz könnte durch die Änderung des Rahmenbeschlusses der EU-Kommission zu Angriffen auf IT-Systeme kriminalisiert werden.

Geht es nach dem Willen des Rats der Europäischen Union [1], drohen Sicherheitsprüfern im IT-Bereich und gutwilligen Hackern bald dieselben Strafen wie Cyberterroristen. In einer Stellungnahme zum umstrittenen Rahmenbeschluss der EU-Kommission zu Angriffen auf Informationssysteme [2], die heise online vorliegt, plädiert die Vertretung der EU-Mitgliedstaaten in Brüssel für eine gravierende Verschärfung des Kommissionsvorschlags. Auf Druck von Ländern wie Frankreich, Portugal, Großbritannien, Griechenland und Spanien wurde aus einem der Kernparagraphen der Vorlage, dem Artikel 3, das Privileg für Security-Experten zum freien Testen von Systemen gestrichen.

Übrig blieb allein die Formulierung: "Mitgliedsstaaten sollen mit Hilfe der notwendigen Maßnahmen sicherstellen, dass der absichtliche, nicht erlaubte, ganz oder teilweise erfolgende Zugang zu Informationssystemen strafrechtlich verfolgt werden kann." Die Definition von "Informationssystem" ist dabei denkbar weit gefasst und bezieht sich auf "Computersysteme und elektronische Kommunikationsnetzwerke sowie die durch sie bereitgehaltenen, verarbeiteten, empfangenen oder übertragenen Daten." "Nicht erlaubt" wird -- kaum stärker eingrenzend -- näher erläutert als "nicht durch den Besitzer oder Rechteinhaber des Systems autorisierter Zugang". Deutschland, Österreich und Italien wandten sich zwar gegen die Neufassung, konnten sich mit ihrem Votum allerdings nicht durchsetzen.

Experten fürchten nun, dass die Sicherheit des Netzes durch die verschärfte Klausel beeinträchtigt werden könnte. So wirft das Ratspapier, das in der zweiten Novemberhälfte in Brüssel weiter verhandelt wird, etwa die Frage auf, ob das Aufdecken von Schwachstellen selbst dann strafrechtlich relevant würde, wenn Systemadministratoren keine oder nur äußerst unzureichende Schutzvorkehrungen getroffen haben. Eine klare Festlegung des Gesetzgebers erscheint hier vor allem angesichts der sich in letzter Zeit häufenden Fälle notwendig, in denen findige Nutzer mit Cracker-, Einbruchs- und Diebstahlvorwürfen konfrontiert werden. So wurde jüngst etwa der Nachrichtenagentur Reuters vorgeworfen [3], sich durch die Eingabe einer noch nicht verlinkten Webadresse unrechtmäßiger Weise in den Besitz börsenrelevanter Informationen gebracht zu haben. Die Online-Versicherung HUK24 rief die Polizei, als Datenschutzexperten auf ähnliche Weise einer umfangreichen, vollkommen ungesichert im Web vorgehaltenen Kundenliste auf die Spur kamen [4]. Nun drohen paradoxerweise nicht der nachlässigen Firma, sondern den Aufdeckern der klaffenden Lücke strafrechtliche und berufliche Konsequenzen.

In seinen Vorüberlegungen zur Änderung des Rahmenbeschlusses schreibt der Rat zwar, dass eine "Überkriminalisierung vermieden" werden müsse. Kleinere Vorfälle sollten nicht tragisch genommen werden. "Autorisierte Personen wie legitime private oder geschäftliche Nutzer, Manager, Controller und Netzwerkbetreiber" sollten genauso wenig ins Visier der Ermittler geraten wie "Personen innerhalb der Firma oder Externen, denen die Erlaubnis zum Testen der Sicherheit eines Systems gegeben wurde". Doch die gute Absicht der Verfasser des Papiers wird durch die dann folgenden Artikel weitgehend ad absurdum geführt.

Lebenslange Haftstrafen, wie sie das US-Repräsentantenhaus für böswillige Angreifer in besonders schweren Fällen befürwortet [5], sieht der EU-Rat zwar bislang nicht vor. Auf das Eindringen in Informationssysteme sollen mit ein bis zwei Jahren Gefängnis aber dennoch recht empfindliche Bußen stehen. Zusätzlich oder alternativ sollen die Mitgliedsstaaten Geldstrafen implementieren. Auf das Cracken oder Stören von IT-Systemen im Rahmen einer kriminellen Organisation oder in Fällen, in denen ein Angriff auf kritische nationale Infrastrukturen zielte oder substanziellen ökonomischen oder physischen Schaden anrichtete, stehen laut Plan des Rats mindestens zwei bis fünf Jahre Gefängnis. EU-Ländern soll es zudem überlassen bleiben, noch schärfere Strafen zu verhängen. Als Umsetzungsfrist für die strafrechtlichen Vorgaben ist weiterhin der 31.12.2003 im Gespräch. (Stefan Krempl) / (jk [6])

URL dieses Artikels:
https://www.heise.de/-70571

Links in diesem Artikel:
[1] http://ue.eu.int/de/main.htm
[2] http://www.heise.de/tp/deutsch/inhalt/te/12448/1.html
[3] https://www.heise.de/news/Reuters-bestreitet-Eindringen-in-Firmen-Rechner-Update-69527.html
[4] https://www.heise.de/news/Versicherungsgruppe-HUK-Coburg-legte-Kundendaten-offen-ins-Netz-Update-69973.html
[5] https://www.heise.de/news/Neuer-Anlauf-Lebenslange-Haftstrafen-fuer-Cybercrime-70459.html
[6] mailto:jk@heise.de

Copyright © 2002 Heise Medien