Angriffe auf Informationssysteme: EU-Parlament bringt Richtlinie mit europaweitem Hackertool-Verbot auf den Weg (Update)

Das unerlaubte Eindringen in fremde Computersysteme und die Verbreitung von „Hackertools“ sollen künftig EU-weit einheitlich empfindlich bestraft werden. Der Innenausschuss des EU-Parlaments hat soeben eine entsprechende Richtlinie über Angriffe auf Informationssysteme angenommen. Damit wird weiter auf Kriminalisierung und Repression gesetzt, statt dem Problem schlechter IT-Sicherheit auf den Grund zu gehen.

Was wir in Deutschland als Hackerparagraf kennen, wird nun auch EU-weit verschärft. Schon 2010 hat die Kommission einen Vorschlag für eine Richtlinie über Angriffe auf Informationssysteme präsentiert, seitdem verhandelten Parlament und Rat. Hier ist die finale Version, auf die sich die Gremien geeinigt haben: Richtlinie über Angriffe auf Informationssysteme (PDF).

Demnach sind Angriffe auf IT-Systeme eine wachsende Bedrohung für die Gemeinschaft. Terroristen, die organisierte Kriminalität und politisch motivierte Kriminelle mit Computern bedrohen den „Raum der Freiheit, der Sicherheit und des Rechts“. Zur Abwehr und Bekämpfung braucht es harte Strafen, die die Richtlinie europaweit vereinheitlichen will. Rechtswidriger Zugang zu Informationssystemen, Systemeingriffe sowie Eingriffe in oder Abfangen von Daten sollen unter Strafe stehen. Zudem sollen auch „Tatwerkzeuge“, also „Hackertools“ nicht hergestellt, verkauft, beschafft, eingeführt, besessen, verbreitet oder Verfügbar gemacht werden dürfen, wenn es solchen Zwecken dient.

Das erinnert ziemlich an den 2007 in Deutschland verabschiedeten Hackerparagraf (§ 202c StGB). Der Chaos Computer Club kommentierte damals, dass solche Verbote der Computersicherheit mehr schaden als nutzen:

“Dieser Gesetzentwurf wird nicht gegen Computerkriminalität helfen. Stattdessen werden der IT-Sicherheitsbranche dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen”, sagte CCC-Sprecher Andy Müller-Maguhn. “Die Vorstellungen des Gesetzgebers zeugen von einer ausgeprägten Unkenntnis der technischen Vorgehensweisen. Testangriffe zum Auffinden von Sicherheitslöchern sind für die IT-Sicherheit wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, Crashtests zu verbieten”, kommentierte der CCC-Sprecher.

Dass solche Verbote auch ganz praktisch konktraproduktiv sind, zeigen Fälle von Menschen, die Datenlecks aufdecken und daraufhin verklagt statt gelobt werden. An der Ursache des Problems ändert die Richtlinie nämlich nichts: dass Angriffe auf IT-Systeme nicht nur möglich sondern oft der schlampigen Entwicklung und Wartung der Systeme geschuldet sind.

Trotz aller Kritik hat der federführende Innenausschuss des Europaparlaments soeben für die Richtlinie gestimmt. Die endgültige Annahme im Plenum findet im Juli statt und sollte nur noch eine Formsache sein. Danach muss die Richtlinie innerhalb von zwei Jahren in allen EU-Mitgliedstaaten mit eigenen Gesetzen umgesetzt werden.

Weitere Hintergründe haben Ralf Bendrath und Florian „scusi“ Walther letztes Jahr auf der re:publica und auf der SIGINT erläutert:

Hier klicken, um den Inhalt von www.youtube-nocookie.com anzuzeigen

Update: Der Grüne Abgeordnete Jan Philipp Albrecht kommentiert: Viel Law and Order, wenig echte Sicherheit!

Leider hat die Mehrheit im Europäischen Parlament heute einseitig die Kriminalisierung von Hackerangriffen vorangetrieben ohne dabei dringend gebotene Differenzierungen bei der Strafbarkeit sowie relevante Forderungen für echte IT-Sicherheit aufzunehmen. Seit der Cybercrime-Konvention des Europarates von 2001 wurden die Straftatbestände und Strafmaße bei Hackerangriffen immer weiter ausgeweitet.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

15 Ergänzungen

  1. Gelten Windows, Linux und MacOS dann auch endlich als Tatwerkzeuge und werden verboten? Google Suche auch?

  2. Was ich ja immer noch nicht verstanden habe: Einerseits sind ‚Hackertools‘ hier verboten, andererseits werden Programme in Deutschland genutzt, die zur vollständigen Überwachung von Computern nicht nur geeignet, sondern auch genutzt werden („Bundestrojaner“). Wenn solche Wanzen aber _nicht_ unter das Verbot fallen, was sollte denn dann verboten sein? Oder ist das ein klassisches ‚für alle Anderen ist das verboten, für *uns* nicht‘? Die Behauptungen, dass die Überwacher ihre Rechte schon nicht missbrauchen würden, dürfen ja inzwischen auch als von der Realität widerlegt gelten. Oder bilde ich mir das Urteil des Landgerichts aus Bayern nur ein, mit dem die Screenshots der Digitask-Wanze als rechtswidrig geurteilt wurden?

    1. Naja, auf meinem Pfefferspray steht ja auch:

      „Das […] Pfefferspray darf nur gegen Tiere eingesetzt werden. Der Einsatz gegen Menschen ist derzeit in Deutschland nur der Polizei erlaubt. […]“

      ;-)

  3. Das erhöt die IT Sicherheiit enorm wenn Admins dann solche Tools nicht mehr nutzen könen um ihr System zu prüfen. War wieder eins von den EU Superideen

  4. Völlig falscher Ansatz. Man hätte einfach Terrorismus und Spionage verbieten sollen. Wie das ist schon verboten? Kann doch gar nicht sein, passiert ja schließlich noch.

  5. Gesetz billiger als alle EU Systeme zu warten. Uff.

    Endlich haben die Angriffe auf meine Hostings aus Japan, China, Indien, Russland ein Ende !!!1! Oh…wait…

  6. Wenn ich den Text richtig verstehe, sind Tools, die zur Aufdeckung von Schwachstellen entwickelt wurden, keineswegs verboten:

    (9) Auch wenn ein Instrument für die Durchführung der genannten Straftaten geeignet oder sogar besonders geeignet ist, so ist es doch möglich, dass es für rechtmäßige Zwecke hergestellt worden ist. Da eine Kriminalisierung in den Fällen vermieden werden muss, in denen diese Instrumente für rechtmäßige Zwecke – wie beispielsweise Prüfung der Zuverlässigkeit von Produkten der Informationstechnologie oder der Sicherheit von Informationssystemen – hergestellt und in Verkehr gebracht worden sind, reicht ein allgemeiner Vorsatz als Voraussetzung für die Strafbarkeit nicht aus, sondern es muss darüber hinaus als Voraussetzung für die Strafbarkeit der unmittelbare Vorsatz gegeben sein, diese Instrumente für das Begehen von in der Richtlinie aufgeführten Straftaten zu verwenden.

    1. Ja, das steht aber nur in der Begründung, im eigentlichen Richtlinien-Paragraf steht:

      Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbar machen folgender Instrumente, die dazu bestimmt sind, eine Straftat im Sinne der Artikel 3 bis 6 zu begehen, zumindest dann unter Strafe gestellt wird, wenn es vorsätzlich und unbefugt erfolgt und kein leichter Fall vorliegt.

      Auch wenn das (mittlerweile) ein paar Safeguards hat, sind die in den Augen der Kritiker/innen nicht ausreichend. Zudem ist es eine Richtlinie, das heisst die Mitgliedstaaten werden das wieder in eigene Gesetze gießen und dabei können sollche Safeguards einfach auch mal runter fallen.

      Und die Grundprobleme unsicherer Infrastruktur wird überhaupt nicht thematisiert.

  7. Sehe das genau so wie Patrick N.
    Weiter geht es dazu nämlich in 10a: „Mit dieser Richtlinie soll keine strafrechtliche Haftung in Fällen begründet werden, in denen die objektiven Tatbestandsmerkmale der in der Richtlinie aufgeführten Straftaten zwar gegeben sind, die Tat aber ohne kriminelle Absicht begangen wird, wie etwa in den Fällen, in denen die betreffende Person nicht wusste, dass sie kein Zugangsrecht hatte, bei in Auftrag gegebenen Tests von Informationssystemen oder bei deren Schutz, wenn beispielsweise eine Person von einem Unternehmen oder Verkäufer beauftragt wird, die Stärke des Sicherheitssystems eines
    Informationssystems zu testen.“
    Es ist auch, so habe ich das verstanden, durch den Änderungsantrag für Sicherheitsunternehmen einfacher (als davor) die Tools zu nutzen.

    Ich vermute mal, dass es hier hauptsächlich um die Skript-Kiddies gehen soll, die „cool“ sein wollen. Interessant wäre daher eine Auflistung der Tools, die unter den Passus fallen, da z.B. Wireshark ja auch positiv/für andere Zwcke genutzt werden kann. Metasploit zum Beispiel finde ich da schon kritischer zu beurteilen.
    Artikel 7 Abs. 1: „Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass das Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen folgender Instrumente, die dazu bestimmt sind, eine Straftat im Sinne der Artikel 3 bis 6 zu begehen, zumindest dann unter Strafe gestellt wird, wenn es vorsätzlich und unbefugt erfolgt und kein leichter Fall vorliegt“

    Auch hier wird klar(er) deutlich gemacht, dass Unternehmen, die Programme für Unternehmen herstellen auch weiterhin dies tun dürfen, sofern das Programm dafür ausgelegt ist und nicht z.B. eine Schwachstelle darin es der Person ermöglicht, andere Systeme anzugreifen.

  8. Danke für den Hinweis auf den Vortrag von Scusi und mir. Da der einen etwas umfassenderen Überblick gibt: Die Sachen zu dieser konkreten Richtlinie starten bei Minute 28:00. Sorry für das schlechte Audio. Das ist übrigens kurz vor dem Ende der Verhandlungen mit dem Rat.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.