Suche innerhalb des Archivs / Search the Archive All words Any words

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[infowar.de] EU-Rat will Anti-Hacker-Gesetzgebung verschaerfen



Infowar.de, http://userpage.fu-berlin.de/~bendrath/liste.html
-------------------------------------------------------------

http://www.heise.de/newsticker/data/jk-17.11.02-008/

EU-Rat will Anti-Hacker-Gesetzgebung verschärfen

 Geht es nach dem Willen des Rats der Europäischen Union[1], drohen
Sicherheitsprüfern im IT-Bereich und gutwilligen Hackern bald dieselben
Strafen wie Cyberterroristen. In einer Stellungnahme zum umstrittenen
Rahmenbeschluss der EU-Kommission zu Angriffen auf
Informationssysteme[2],
die heise online vorliegt, plädiert die Vertretung der
EU-Mitgliedstaaten
in Brüssel für eine gravierende Verschärfung des Kommissionsvorschlags.
Auf
Druck von Ländern wie Frankreich, Portugal, Großbritannien, Griechenland
und Spanien wurde aus einem der Kernparagraphen der Vorlage, dem Artikel
3,
das Privileg für Security-Experten zum freien Testen von Systemen
gestrichen.	 

 Übrig blieb allein die Formulierung: "Mitgliedsstaaten sollen mit Hilfe
der notwendigen Maßnahmen sicherstellen, dass der absichtliche, nicht
erlaubte, ganz oder teilweise erfolgende Zugang zu Informationssystemen
strafrechtlich verfolgt werden kann." Die Definition von
"Informationssystem" ist dabei denkbar weit gefasst und bezieht sich auf
"Computersysteme und elektronische Kommunikationsnetzwerke sowie die
durch
sie bereitgehaltenen, verarbeiteten, empfangenen oder übertragenen
Daten."
"Nicht erlaubt" wird -- kaum stärker eingrenzend -- näher erläutert als
"nicht durch den Besitzer oder Rechteinhaber des Systems autorisierter
Zugang". Deutschland, Österreich und Italien wandten sich zwar gegen die
Neufassung, konnten sich mit ihrem Votum allerdings nicht durchsetzen.

 Experten fürchten nun, dass die Sicherheit des Netzes durch die
verschärfte Klausel beeinträchtigt werden könnte. So wirft das
Ratspapier,
das in der zweiten Novemberhälfte in Brüssel weiter verhandelt wird,
etwa
die Frage auf, ob das Aufdecken von Schwachstellen selbst dann
strafrechtlich relevant würde, wenn Systemadministratoren keine oder nur
äußerst unzureichende Schutzvorkehrungen getroffen haben. Eine klare
Festlegung des Gesetzgebers erscheint hier vor allem angesichts der sich
in
letzter Zeit häufenden Fälle notwendig, in denen findige Nutzer mit
Cracker-, Einbruchs- und Diebstahlvorwürfen konfrontiert werden. So
wurde
jüngst etwa der Nachrichtenagentur Reuters vorgeworfen[3], sich durch
die
Eingabe einer noch nicht verlinkten Webadresse unrechtmäßiger Weise in
den
Besitz börsenrelevanter Informationen gebracht zu haben. Die
Online-Versicherung HUK24 rief die Polizei, als Datenschutzexperten auf
ähnliche Weise einer umfangreichen, vollkommen ungesichert im Web
vorgehaltenen Kundenliste auf die Spur kamen[4]. Nun drohen
paradoxerweise
nicht der nachlässigen Firma, sondern den Aufdeckern der klaffenden
Lücke
strafrechtliche und berufliche Konsequenzen.

 In seinen Vorüberlegungen zur Änderung des Rahmenbeschlusses schreibt
der
Rat zwar, dass eine "Überkriminalisierung vermieden" werden müsse.
Kleinere
Vorfälle sollten nicht tragisch genommen werden. "Autorisierte Personen
wie
legitime private oder geschäftliche Nutzer, Manager, Controller und
Netzwerkbetreiber" sollten genauso wenig ins Visier der Ermittler
geraten
wie "Personen innerhalb der Firma oder Externen, denen die Erlaubnis zum
Testen der Sicherheit eines Systems gegeben wurde". Doch die gute
Absicht
der Verfasser des Papiers wird durch die dann folgenden Artikel
weitgehend
ad absurdum geführt.

 Lebenslange Haftstrafen, wie sie das US-Repräsentantenhaus für
böswillige
Angreifer in besonders schweren Fällen befürwortet[5], sieht der EU-Rat
zwar bislang nicht vor. Auf das Eindringen in Informationssysteme sollen
mit ein bis zwei Jahren Gefängnis aber dennoch recht empfindliche Bußen
stehen. Zusätzlich oder alternativ sollen die Mitgliedsstaaten
Geldstrafen
implementieren. Auf das Cracken oder Stören von IT-Systemen im Rahmen
einer
kriminellen Organisation oder in Fällen, in denen ein Angriff auf
kritische
nationale Infrastrukturen zielte oder substanziellen ökonomischen oder
physischen Schaden anrichtete, stehen laut Plan des Rats mindestens zwei
bis fünf Jahre Gefängnis. EU-Ländern soll es zudem überlassen bleiben,
noch
schärfere Strafen zu verhängen. Als Umsetzungsfrist für die
strafrechtlichen Vorgaben ist weiterhin der 31.12.2003 im Gespräch.
(Stefan
Krempl) / (jk[6]/c't)

Links in diesem Artikel:
 [1] http://ue.eu.int/de/main.htm
 [2] http://www.heise.de/tp/deutsch/inhalt/te/12448/1.html
 [3] http://www.heise.de/newsticker/data/jk-29.10.02-000/
 [4] http://www.heise.de/newsticker/data/jk-06.11.02-001/
 [5] http://www.heise.de/newsticker/data/pmz-14.11.02-003
 [6] mailto:jk -!
- ct -
 heise -
 de



---------------------------------------------------------------
Liste verlassen: 
Mail an infowar -
 de-request -!
- infopeace -
 de mit "unsubscribe" im Text.