Das unerlaubte Eindringen in fremde Computersysteme und die Verbreitung von „Hackertools“ sollen künftig EU-weit einheitlich empfindlich bestraft werden. Der Innenausschuss des EU-Parlaments hat soeben eine entsprechende Richtlinie über Angriffe auf Informationssysteme angenommen. Damit wird weiter auf Kriminalisierung und Repression gesetzt, statt dem Problem schlechter IT-Sicherheit auf den Grund zu gehen.
Was wir in Deutschland als Hackerparagraf kennen, wird nun auch EU-weit verschärft. Schon 2010 hat die Kommission einen Vorschlag für eine Richtlinie über Angriffe auf Informationssysteme präsentiert, seitdem verhandelten Parlament und Rat. Hier ist die finale Version, auf die sich die Gremien geeinigt haben: Richtlinie über Angriffe auf Informationssysteme (PDF).
Demnach sind Angriffe auf IT-Systeme eine wachsende Bedrohung für die Gemeinschaft. Terroristen, die organisierte Kriminalität und politisch motivierte Kriminelle mit Computern bedrohen den „Raum der Freiheit, der Sicherheit und des Rechts“. Zur Abwehr und Bekämpfung braucht es harte Strafen, die die Richtlinie europaweit vereinheitlichen will. Rechtswidriger Zugang zu Informationssystemen, Systemeingriffe sowie Eingriffe in oder Abfangen von Daten sollen unter Strafe stehen. Zudem sollen auch „Tatwerkzeuge“, also „Hackertools“ nicht hergestellt, verkauft, beschafft, eingeführt, besessen, verbreitet oder Verfügbar gemacht werden dürfen, wenn es solchen Zwecken dient.
Das erinnert ziemlich an den 2007 in Deutschland verabschiedeten Hackerparagraf (§ 202c StGB). Der Chaos Computer Club kommentierte damals, dass solche Verbote der Computersicherheit mehr schaden als nutzen:
“Dieser Gesetzentwurf wird nicht gegen Computerkriminalität helfen. Stattdessen werden der IT-Sicherheitsbranche dringend benötigte Werkzeuge zur Aufdeckung von Schwachstellen aus der Hand geschlagen”, sagte CCC-Sprecher Andy Müller-Maguhn. “Die Vorstellungen des Gesetzgebers zeugen von einer ausgeprägten Unkenntnis der technischen Vorgehensweisen. Testangriffe zum Auffinden von Sicherheitslöchern sind für die IT-Sicherheit wie Crashtests für die Autoindustrie. Niemand käme auf die Idee, Crashtests zu verbieten”, kommentierte der CCC-Sprecher.
Dass solche Verbote auch ganz praktisch konktraproduktiv sind, zeigen Fälle von Menschen, die Datenlecks aufdecken und daraufhin verklagt statt gelobt werden. An der Ursache des Problems ändert die Richtlinie nämlich nichts: dass Angriffe auf IT-Systeme nicht nur möglich sondern oft der schlampigen Entwicklung und Wartung der Systeme geschuldet sind.
Trotz aller Kritik hat der federführende Innenausschuss des Europaparlaments soeben für die Richtlinie gestimmt. Die endgültige Annahme im Plenum findet im Juli statt und sollte nur noch eine Formsache sein. Danach muss die Richtlinie innerhalb von zwei Jahren in allen EU-Mitgliedstaaten mit eigenen Gesetzen umgesetzt werden.
Weitere Hintergründe haben Ralf Bendrath und Florian „scusi“ Walther letztes Jahr auf der re:publica und auf der SIGINT erläutert:
Update: Der Grüne Abgeordnete Jan Philipp Albrecht kommentiert: Viel Law and Order, wenig echte Sicherheit!
Leider hat die Mehrheit im Europäischen Parlament heute einseitig die Kriminalisierung von Hackerangriffen vorangetrieben ohne dabei dringend gebotene Differenzierungen bei der Strafbarkeit sowie relevante Forderungen für echte IT-Sicherheit aufzunehmen. Seit der Cybercrime-Konvention des Europarates von 2001 wurden die Straftatbestände und Strafmaße bei Hackerangriffen immer weiter ausgeweitet.