Brüssel will Strafen für Hacker und Cyber-Angriffe verschärfen

Der Innenausschuss des EU-Parlaments hat am Donnerstag mit großer Mehrheit einen Richtlinienentwurf über Angriffe auf Informationssysteme abgesegnet. Der Entwurf, für den 36 Abgeordnete bei 8 Gegenstimmen von Grünen und Linken votierten, sieht bei illegalem Zugriff auf vernetzte Geräte wie Server, bei rechtswidriger Beeinträchtigung von Systemen sowie unerlaubtem Abhören nicht-öffentlicher Datenübertragungen Strafen von mindestens zwei und in schweren Fällen von mindestens fünf Jahren Haft vor.

Dabei ist auch strafbar, Hackerwerkzeuge zu verkaufen, zu beschaffen und zu verbreiten, mit denen sich Cyber-Angriffe ausführen oder automatisch Passwörter herausfinden lassen. Entscheidend soll dabei die Absicht sein, dass die Programme auch dafür benutzt werden, Straftaten auszuführen. Die Mitgliedsstaaten müssten künftig sicherstellen, dass neben der Beihilfe auch schon das Anstiften zu und Versuche von Hackerdelikten kriminalisiert sind und bestraft werden können.

Zu den erschwerenden Umständen, die bei vollem Strafmaß mindestens fünf Jahre Haft nach sich ziehen sollen, zählen unter anderem Botnetz-Attacken, Angriffe mit erheblichen Schäden wie System- oder Netzausfällen sowie der Missbrauch personenbezogener Informationen. Für Attacken auf kritische Infrastrukturen wie IT-Systeme von Kraftwerken sind ebenfalls die höchsten Strafmaße vorgesehen. Eine Netzkennung durch IP-Spoofing vorzutäuschen wird auch als erschwerender Faktor gerechnet und soll mit einer Höchststrafe von mindestens drei Jahren geahndet werden.

Bei leichten Fällen, in denen kein Schaden entsteht, soll der Sanktionskatalog nicht greifen. Die Definition der Ausnahmen wird den Mitgliedsstaaten vorbehalten. Diese werden überdies verpflichtet, rund um die Uhr besetzte nationale Kontakt- und Meldestellen für den Informationsaustausch über Cyber-Attacken und Internetkriminalität einzurichten. In dringenden Fällen sollen diese spätestens nach acht Stunden zumindest signalisieren, ob sie Hilfe leisten können.

IT-Systeme sollen besser gegen Angriffe gerüstet und die Sicherheitsvorkehrungen erhöht werden, heißt es zur Begründung. Die Kosten und Auflagen für den Schutz sollen zum möglichen Schaden und dem potenziellen Kreis Betroffener in einem angemessenen Verhältnis stehen. Ferner wird im Entwurf gefordert, die Kooperation zwischen Behörden, dem Privatsektor und der Zivilgesellschaft im Kampf gegen Cybercrime zu verbessern. Dazu zählt auch, dass Provider die Strafverfolger durch das Vorhalten "möglicher Beweise" unterstützen.

Nicht erfasst werden sollen etwa von einer Firma oder Behörde in Auftrag gegebene Härtetests für eigene Netzwerke oder andere unautorisierte Zugriffe auf IT-Systeme in "nicht-krimineller Absicht". Die Abgeordneten haben zudem eine Klausel eingefügt, wonach die öffentliche Hand auch bei der Abwehr von Hackerattacken Menschen- und Grundrechte gewährleisten müsse.

Jan Philipp Albrecht, innenpolitischer Sprecher der Grünen im EU-Parlament, bedauerte, dass die Mehrheit der Volksvertreter "einseitig die Kriminalisierung von Hackerangriffen vorangetrieben hat, ohne dabei dringend gebotene Differenzierungen bei der Strafbarkeit sowie relevante Forderungen für echte IT-Sicherheit aufzunehmen". Immer wieder würden stattdessen tüftelnde Jugendliche oder Hersteller von Test-Software zur IT-Sicherheit belangt. Die wirklichen "Top-Cyberkriminellen" könnten ihre Spuren verwischen, gegen Angriffe von Drittstaaten bleibe das Strafrecht ein wirkungsloses Mittel. Das Grundproblem werde nicht angegangen. So müssten Hard- und Softwarehersteller auch weiterhin nicht für Produktmängel haften und hätten damit keine echten Anreize, in sicherere Systeme zu investieren.

Die Richtlinie soll an die Stelle eines bisherigen Rahmenbeschlusses des EU-Rates treten. Erste Vorschläge dazu hatte das Parlament bereits im März vorigen Jahres festgezurrt. Der Entwurf muss noch vom Plenum sowie einer Vollversammlung des Ministerrats bestätigt werden, was nach der Einigung zwischen den Gremien als Formsache gilt.

Hierzulande traten verschärfte "Hackerparagraphen" schon 2007 in Kraft. Damit kann zum Beispiel das Vorbereiten einer Straftat durch Herstellen, Beschaffen, Verkauf, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern für den Datenzugang mit Geldstrafe oder Freiheitsentzug bis zu einem Jahr geahndet werden. Bei Computersabotage drohen maximal zehn Jahre Gefängnis. (axk)