[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[infowar.de] EU-Kommission legt Beschluss "über Angriffe auf Informationssysteme" vor
Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------
http://www.telepolis.de/deutsch/inhalt/te/12448/1.html
Hacker-Jagd in der Europäischen Union
Christiane Schulzki-Haddouti 02.05.2002
Kommission legt Rahmenbeschluss "über Angriffe auf Informationssysteme"
vor
Die EU-Kommission hat einen Vorschlag für einen [1]Rahmenbeschluss des
Rates über Angriffe auf Informationssysteme vorgelegt, der eine EU-weite
Angleichung der Strafrechtsvorschriften im Zusammenhang mit Angriffen
auf Informationssysteme vorsieht. Damit will man eine "abschreckende
Wirkung auf potenzielle Angreifer" erzielen. Der Beschluss soll
spätestens bis zum 31. Dezember 2003 in Kraft treten.
Hacking drohe zu einer Erscheinungsform organisierter Kriminalität zu
werden, schreibt die Kommission. Hacker können künftig per Europäischem
Haftbefehl gesucht und nach einheitlichen Strafen verurteilt werden -
auch wenn sie Angriffe auf die IT-Systeme außerhalb der EU unternommen
haben.
Als Beispiele für organisiertes Hacking führt die Kommission die
brasilianischen Silver Lords und die pakistanische Gforce auf, die
versuchen, Geld von ihren Opfern zu erpressen, indem sie ihnen
spezialisierte Unterstützung anbieten, nachdem sie in ihre
Informationssysteme eingedrungen sind. Auch habe es "raffinierte und
organisierte" Angriffe auf geistiges Eigentum gegeben wie auch Versuche,
erhebliche Summen im Rahmen von Bankdienstleistungen zu stehlen. Vor
allem geht es der Europäischen Kommission um den Schutz kritischer
Infrastrukturen wie etwa Krankenhaussysteme oder Kontrollsysteme im
Luftverkehr, wo Störungen Leben kosten können.
Der Strafkatalog
Die EU-Mitgliedstaaten sollen laut Rahmenbeschluss folgende drei
Angriffsformen einheitlich behandeln: Hacking,
Denial-of-Service-Attacken und Viren. Der unberechtigte Zugang zu
Informationssystemen beispielsweise durch "Hacking" soll künftig unter
Strafe gestellt werden. Ob dafür nun Insider-Informationen,
"Brute-Force"-Angriffe oder Passwörter abgefangen werden, spielt keine
Rolle.
Falls Systeme über keinen entsprechenden Schutz verfügen, soll das
Eindringen "zur Abschreckung" auch bestraft werden. Doch der Angriff
muss mit der Absicht erfolgen, "einen Schaden oder einen
wirtschaftlichen Vorteil zu bewirken". Unternehmen oder Behörden können
dann verantwortlich gemacht werden, wenn "mangelnde Überwachung oder
Kontrolle" durch eine Person die Straftat überhaupt erst ermöglicht hat
- und sie von ihr profitieren.
Auch die Störung von Informationssystemen beispielsweise durch "Denial
of Service"-Angriffe, die Web-Server oder Anbieter von Internetdiensten
(ISP) mit automatisch erzeugten Nachrichten überlasten, gehört zum
Strafkatalog. Laut Studien entstanden dadurch bereits Sachschaden in
Höhe von mehreren hundert Millionen Euro. Ebenfalls geahndet wird
bösartige Software, die Daten verändert oder zerstört. Darunter fallen
Viren, "Trojanische Pferde" oder "Würmer".
Selbst "Anstiftung, Beihilfe und Versuch" sollen künftig geahndet werden
können. Fraglich ist, ob ein Wurmopfer, von dessen Rechner aus weitere
Würmer versandt wird, "Beihilfe" leistet. Auch Port-Scans, die manche
Anbieter zur Ermittlung von Betriebssystem-Statistiken durchführen,
könnten als "Versuch" gewertet werden.
Ob Geldstrafen oder Freiheitsstrafen verhängt werden, hängt von der
Schwere der Straftat ab. Bagatelldelikte sollen jedenfalls nicht unter
Strafe gestellt werden. Verlangt werden in schweren Fällen
Freiheitsstrafen von mindestens einem Jahr. Bei "kriminellen
Vereinigungen" sind es mindestens vier Jahre, ebenso bei "erheblichen"
Schäden. Schwere Fälle können dann auch per Europäischem Haftbefehl und
entsprechenden Auslieferungsverfahren behandelt werden. Falls ein
Angriff keinen Schaden oder wirtschaftlichen Vorteil bewirkt, ist er
kein schwerer Fall.
Nicht betroffen ist die Überwachung des Fernmeldeverkehrs sowie die
Täuschung beziehungsweise Irreführung des Benutzers, da dies bereits von
Richtlinien geregelt wird. Auch Verstöße gegen das geistige Eigentum
sollen nicht strafrechtlich geahndet werden.
Das Ende einer Reise
Mit dem Rahmenbeschluss kommen langjährige Vorbereitungen zu einem Ende.
Er setzt unter anderem die Schlussfolgerungen des [2]Gipfeltreffens des
Europäischen Rats in Tampere im Oktober 1999 um. In die Richtung der
"organisierten Kriminalität" rückte das Thema mit der Empfehlung 7 der
Strategie 2000 der Europäischen Union zur Prävention und Bekämpfung der
organisierten Kriminalität, die vom Rat der Justiz- und Innenminister im
Mai 2000 angenommen wurde und von der Kommission nach den
Terroranschlägen vom 11. September im Oktober 2001 [3]aufgegriffen
aufgegriffen wurde.
Doch auch das [4]Cybercrime-Abkommen des Europarates, das im November
2001 formell angenommen und zur Unterzeichnung aufgelegt wurde, wird
damit in der EU eingeführt ( [5]Europarat verabschiedet
Cybercrime-Abkommen). Die Kommission hierzu: "In Bezug auf derartige
Straftaten verfolgt der vorliegende Rahmenbeschluss das gleiche Konzept
wie das Übereinkommen des Europarates." Datenschützer hatten bis zuletzt
das Übereinkommen kritisiert, da Belange der Rechtstaatlichkeit
strafrechtlicher Ermittlungen wie auch datenschutzrechtlicher Standards
zu kurz gekommen seien ( [6]Fette Bugs im Cybercrime-Abkommen).
Links
[1]
http://www.legal.coe.int/economiccrime/Default.asp?fd=cybercrime&fn=IndexE.htm
[2] http://db.consilium.eu.int/de/Info/eurocouncil/index.htm
[3]
http://europa.eu.int/comm/dgs/justice_home/pdf/scoreboard_30oct01_de.pdf
[4] http://conventions.coe.int/treaty/en/projets/cybercrime.htm
[5] http://www.heise.de/tp/deutsch/inhalt/te/11083/1.html
[6] http://www.heise.de/tp/deutsch/inhalt/te/7239/1.html
---------------------------------------------------------------
Liste verlassen:
Mail an infowar -
de-request -!
- infopeace -
de mit "unsubscribe" im Text.