Beschluss des EU-Parlamentes

EU-Richtlinie will Strafen für Cyberattacken verschärfen

Am gestrigen Donnerstag hat das EU-Parlament dem Entwurf einer Richtlinie in erster Lesung zugestimmt, welcher unter anderem eine Verschärfung des Strafrahmens für Delikte aus dem Spektrum der Cyberkriminalität vorsieht.

Der Richtlinienentwurf zieht neue Strafrahmengrenzen – sowohl bei Mindest- als auch Höchststrafen – für bestimmte Delikte ein, möchte aber auch die Prävention einschlägiger Cyberdelikte begünstigen und die Kooperation von Justiz und Polizei in diesem Bereich der Strafverfolgung fördern.

Es handelt sich dabei im Wesentlichen um sechs Tatbestände, die für den rechtswidrigen Zugang zu Informationssystemen, für das rechtswidrige Eingreifen in Daten bzw. in Systeme oder für das rechtswidrige Abfangen von Daten Straffolgen vorsehen. Selbiges wird auch für die Erstellung, Benutzung oder anderweitig einschlägige Verwendung von Tatwerkzeugen – sei es nun ein Programm oder auch nur ein Passwort – vorgenommen.

Für all diese Fälle sind Mindeststrafen von zwei Jahren vorgesehen. Allerdings sind hierbei Fälle, die einen geringen Handlungsunwert aufweisen, vorerst ausgenommen. Nur wenn ein Mitgliedsstaat ausdrücklich auch diese erfassen möchte, kann er das für sein eigenes Gebiet tun. Darüber hinaus werden bestimmte Deliktsqualifikationen eingeführt, die, wenn sie vorliegen, den Mindeststrafrahmen anheben können.

Darunter fällt etwa die vorsätzliche Verwendungen von Bot-Netzen, wenn diese für Delikte im Sinne der Artikel 4 und 5 (Details im Klapptext am Ende dieser Meldung) verwendet werden. Dafür sind zumindest drei Jahre an Strafe vorgesehen. Wenn jedoch die Delikte der Artikel 4 beziehungsweise 5 im Rahmen einer kriminellen Vereinigung begangen wurden, oder diese Delikte einen veritablen Schaden angerichtet haben, oder gegen kritische Infrastruktur gerichtet waren, so sind fünf Jahre Mindeststrafe vorgesehen. Unter kritischer Infrastruktur fallen etwa Regierungsnetzwerke, Kraftwerke oder Verkehrsnetze.

Zu guter Letzt wird auch eine Verantwortlichkeit von juristischen Personen – also etwa einer Aktiengesellschaft oder einer GmbH – für solche Straftaten eingeführt, wenn diese von einem ihrer Organe (etwa einem Aufsichtsrat, Vorstand oder Geschäftsführer) zu ihrem Vorteil verübt wurde. Als Strafen sind neben Geldbußen oder -strafen auch wuchtige Maßnahmen wie die Schließung von zu Straftatbegehung genutzter Einrichtungen, der Entzug öffentlicher Förderungen oder gar die Eröffnung eines Liquidationsverfahrens vorgesehen.

Dadurch, dass hier die juristische Person selbst sanktioniert wird, wird für diese ein wirtschaftlicher Anreiz und ein inneres Bestreben der Eigner geschaffen, auf derartige Straftaten zu verzichten. Ohne eine solche Bestimmung würden nämlich nur die ausführenden Personen und/oder die Organe der juristischen Person bestraft werden, sie selbst käme aber ungeschoren davon.

Neben den Strafbestimmungen wird auch die zwischenstaatliche Kooperation in dem Entwurf behandelt. Damit diese unter den Ermittlungsbehörden schneller von Statten geht, ist eine operative nationale Kontaktstelle in jedem Mitgliedsstaat zu errichten. Diese muss täglich rund um die Uhr handlungsfähig sein und innerhalb von maximal acht Stunden auf „dringende Bitten“ von Behörden anderer Staaten reagieren, die aufgrund eines Cyberangriffes bei ihr eingehen.

Der Richtlinienentwurf wurde von der EU-Kommission erstellt. Nachdem er nun vom EU-Parlament im Zuge des ordentlichen Gesetzgebungsverfahrens gebilligt wurde, steht nur mehr die Zustimmung des Rates der Europäischen Union aus. Erfolgt auch diese, so gilt die Richtlinie aber noch immer nicht direkt. Vielmehr müssen die Mitgliedsstaaten sie innerhalb von zwei Jahren in innerstaatliches Recht transformieren.

Der Volltext des Entwurfes ist auf der Webseite des Europaparlaments (Doc-Datei, ab Seite 24) abrufbar. Ein Auszug der Tatbestände ist im folgenden Klappentext festgehalten.

+ Tatbestände des Richtlinienentwurfes

Artikel 3
Rechtswidriger Zugang zu Informationssystemen
Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass der vorsätzliche unbefugte Zugang zu einem Informationssystem als Ganzem oder zu einem Teil davon, wenn dieser Zugang durch eine Verletzung von Sicherheitsmaßnahmen erfolgt, zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt.

Artikel 4
Rechtswidriger Systemeingriff
Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass die vorsätzliche und unbefugte schwere Behinderung oder Störung des Betriebs eines Informationssystems durch Eingeben von Computerdaten, durch Übermitteln, Beschädigen, Löschen, Beeinträchtigen, Verändern und Unterdrücken von Computerdaten und durch Unzugänglichmachen von Computerdaten zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt.

Artikel 5
Rechtswidriger Eingriff in Daten
Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass das vorsätzliche und unbefugte Löschen, Beschädigen, Beeinträchtigen, Verändern, Unterdrücken von Computerdaten eines Informationssystems und das Unzugänglichmachen solcher Daten zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt.

Artikel 6
Rechtswidriges Abfangen von Daten
Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass das vorsätzliche und unbefugte, mit technischen Hilfsmitteln bewirkte Abfangen nichtöffentlicher Computerdatenübermittlungen an ein Informationssystem, aus einem Informationssystem oder innerhalb eines Informationssystems einschließlich elektromagnetischer Abstrahlungen aus einem Informationssystem, das Träger solcher Computerdaten ist, zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt.

Artikel 7
Tatwerkzeuge
Die Mitgliedstaaten treffen die erforderlichen Maßnahmen, um sicherzustellen, dass das vorsätzliche und unbefugte Herstellen, Verkaufen, Beschaffen zwecks Gebrauchs, Einführen, Verbreiten oder anderweitige Verfügbarmachen folgender Instrumente, das mit der Absicht erfolgt, eine Straftat im Sinne der Artikel 3 bis 6 zu begehen, zumindest dann unter Strafe gestellt wird, wenn kein leichter Fall vorliegt:
a) eines Computerprogramms, das in erster Linie dafür ausgelegt oder hergerichtet worden ist, eine Straftat im Sinne der Artikel 3 bis 6 zu begehen;
b) eines Computerpassworts, eines Zugangscodes oder ähnlicher Daten, die den Zugang zu einem Informationssystem als Ganzem oder zu einem Teil davon ermöglichen.

Artikel 8
Anstiftung, Beihilfe und Versuch
1. Die Mitgliedstaaten stellen sicher, dass die Anstiftung oder Beihilfe zur Begehung einer Straftat im Sinne der Artikel 3 bis 7 unter Strafe gestellt wird.
2. Die Mitgliedstaaten stellen sicher, dass der Versuch der Begehung einer Straftat im Sinne der Artikel 4 und 5 unter Strafe gestellt wird.

Mehr zum Thema
Anzeige