EU-Richtlinie gegen Internetkriminalität

Gefahren im Cyberspace

d'Lëtzebuerger Land vom 04.05.2012

Das Internet darf kein rechtsfreier Raum sein. Dieser Satz wird seit Jahren schon, zuletzt aber immer stärker, intoniert. Zuerst waren es die Diktaturen vom Schlage Chinas und des Irans, die die volle Kontrolle des Internets anstrebten. In letzter Zeit aber gewinnt die dazu gehörende Diskussion auch immer mehr an Stärke in den westlichen Demokratien. Hier geht es vor allem um Urheberrechtsverletzungen und Internetkriminalität, auch Cybercrime genannt. Auch die digitale Kriegsführung, Cyberwar, wird immer stärker ein normaler Teil der Lebenswirklichkeit. Spektakuläre Verhaftungen wie die von Kim Schmitz alias Kim Dotcom von Megaupload in Neuseeland, Angriffe auf iranischen Atom- und Ölinstallationen, Militär- und Wirtschaftspionage aller gegen alle über die Infiltrierung von Computern, öffentlich gemacht hierzulande meist nur über Angriffe aus China und Russland, verstärkte Kontomanipulationen von Privatpersonen, Pädophilennetze, die öffentlichen Diskussionen über Act und Cispa … , die Reihe ließe sich fortsetzen und zeigt vor allem, dass sich das Internet, lange der Tummelplatz von Avantgardisten und Idealisten, endgültig in allen Bereichen des Lebens etabliert hat. Der bislang kometenhafte Aufstieg der Piraten in Deutschland ist auch ein Zeichen dieser Normalisierung, weil hier eine Generation, die mit völlig anderen Kommunikationsinstrumenten aufgewachsen ist als alle ihre Vorgänger, nach politischer Teilhabe und Macht strebt und die neuen technologischen Möglichkeiten zum Ausgangspunkt, Vehikel und Ziel ihres Politikverständnisses macht.

Weil die neuen Kommunikationstechniken gleichzeitig auch eine perfekte Überwachung ermöglichen, steht durch die zunehmende Regulierung des Internets für die Zivilgesellschaft viel auf dem Spiel. Am 26. April hat das US-Repräsentantenhaus als erste Kammer Cispa, den Cyber Intelligence Sharing and Protection Act, verabschiedet, der den Schutz gegen Internetkriminalität und Angriffe auf Netze verbessern soll. Das Votum des Senats steht noch aus, Präsident Obama hat sein Veto angekündigt. Bürgerrechtler befürchten die Aushebelung der Bürgerrechte durch Cispa, weil das Gesetz in seiner heutigen Form den ungehemmten Datenaustausch zwischen staatlichen Behörden und Privatfirmen ohne Rücksicht auf privaten Datenschutz ermöglichen würde.

Auch die Europäische Union überarbeitet ihre aus dem Jahr 2005 stammende Richtlinie. Im September 2010 legte die Kommission ihren Vorschlag vor, Ende März stimmte der Ausschuss für Bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments über einen Bericht der deutschen Abgeordneten Monika Hohlmeier ab. Im Gegensatz zu 2005 fällt die Richtlinie durch den Lissabon-Vertrag unter das Mitentscheidungsverfahren. Der CSU-Abgeordneten Hohlmeier ist es gelungen, eine Koalition zu schmieden, die von der EVP über Liberale und Sozialisten bis zu den Grünen reicht.

Das wichtigste Anliegen der Richtlinie ist es, überhaupt einen einheitlichen Rechtsraum für Cyberkriminalität in der EU zu schaffen, damit nicht in einem Land strafbar ist, was in einem anderen Land als legal betrachtet wird. Angriffe gegen Netzwerke, Datenbanken und Websites sowie das Abfischen von Daten sollen überall illegal sein. Als Mindeststrafe soll es zwei Jahre Gefängnis geben, mindestens fünf Jahre bei erschwerten Umständen oder großen Schäden wie der Einrichtung eines Botnets, der Unterbrechung von Service-Systemen und finanziellen Schäden. Identitätsdiebstahl soll mit drei Jahren Mindeststrafe zu Buche schlagen. „Kleinere“ Fälle sollen unbestraft bleiben. Herstellung, Gebrauch und Verkauf von Programmen, genannt Hackertools, die für Cyberattacken geeignet sind, werden als Straftat behandelt. Die Mitgliedstaaten sollen verpflichtet werden, nationale Kontaktstellen einzurichten, bei denen Attacken gemeldet werden können. Diese Kontaktstellen sollen an sieben Tagen in der Woche rund um die Uhr besetzt sein und innerhalb von acht Stunden reagieren können. Diese Maßnahme soll vor allem helfen, grenzüberschreitende Schadprogramme einzudämmen. Die Einrichtung solcher Notfallstellen unterstreicht die Dramatik, die sich mittlerweile durch die technischen Möglichkeiten entwickelt hat.

Der Gebrauch von Hackertools war einer der wenigen Punkte, in denen Jan Philipp Albrecht von den Grünen nicht mit der Berichterstatterin Monika Hohlmeier übereinstimmte. Florian Walthervom Chaos Computer Club vergleicht ein Hackertool mit einem Taschenmesser, mit dem man einen Apfel schälen, aber auch jemanden töten könne. Walther hält die Tools für sinnvoll und sehr wichtig, um Lücken in den Systemen aufzuspüren. Er ist überzeugt, dass die Arbeit von Sicherheitsexperten und Forschern durch die neue Richtlinie massiv behindert wird, weil die legalen Instrumente fehlen, um Schwächen aufzudecken. Er kritisiert auch, dass Softwarefirmen aus Kostengründen laufend unzureichend gesicherte Programme in den Markt geben. Diese Fahrlässigkeiten auf Verbraucherkosten aufzudecken, dürfe nicht kriminalisiert werden. Vielmehr müssten die entsprechenden Unternehmen gezwungen werden, sicherere Software bereitzustellen.

Die EU bekämpft Internetkriminalität bisher durch eine Einheit gegen Computerkriminalität bei Europol. Ab 2013 wird es dort ein eigenständiges Zentrum gegen Internetkriminalität geben mit bis zu 55 Mitarbeitern und einem Jahresbudget von 3,5 Milliarden Euro. Zusätzlich operiert seit 2005 von Kreta aus die Agentur Enisa (European Network and Information Security Agency) als zentrale Anlaufstelle für europäische Netz-und Informationssicherheit. Enisa ist zuständig für die Risikoanalyse, die Verbesserung der Kooperation auf allen Ebenen und die Umsetzung und Weiterentwicklung des Rechtsrahmens.

Die Richtlinie muss nun mit dem Rat abgestimmt werden. Der Rat sperrt sich bislang bei Haftungsfragen, aus Angst vor Microsoft, wie es unter der Hand heißt, und gegen Statistiken, die die einzelnen Länder führen sollen, damit die Größe des Problems richtig eingeschätzt und neue Entwicklungen im Bereich Internetkriminalität rechtzeitig erkannt werden. Gefahren eines übermäßigen Datenaustausches wie bei Cispa werden in der Datenschutzrichtlinie behandelt werden, deren Überarbeitung ebenfalls schon begonnen hat.

Christoph Nick
© 2017 d’Lëtzebuerger Land