Sehr geehrter Herr Draxinger,

 

vielen Dank für Ihre E-Mail vom 29. März 2012, in der Sie auf die geplante Richtlinie zu Angriffen auf Informationssysteme und insbesondere die Bestrafung von Hackertools und Spoofing eingehen.

 

Bevor ich auf den Inhalt der geplanten Richtlinie und die Position des Europäischen Parlaments eingehe, möchte ich Sie kurz über den Verfahrensstand informieren.

 

Die Europäische Kommission hatte im Herbst 2010 einen Vorschlag über eine Richtlinie zur Festlegung von Mindesthöchststrafen für Cyberangriffe vorgelegt. Dieser Richtlinienvorschlag zielt darauf ab, den mittlerweile veralteten Rahmenbeschluss des Rates von 2005 zu ersetzen. Der Richtlinienvorschlag der Kommission wie auch der Rahmenbeschluss des Rates basieren in weiten Teilen jeweils auf der Budapester Konvention  zu Cyberkriminalität des Europarates von 2001, also dem ersten internationalen Abkommen zur Bekämpfung von Cyberkriminalität.

 

Neu am aktuell debattierten Richtlinienvorschlag sind unter anderem die Festlegung EU-weit einheitlicher Gefängnishöchststrafen von mindestens 2 Jahren sowie auch die Berücksichtigung von besonders großen und schädlichen Angriffen. Letzteres erfasst damit unter anderem Botnet-Angriffe.

 

Seit Vorlage des Kommissionsvorschlags arbeitet nun der EU-Gesetzgeber, das heißt der Rat und das Europäische Parlament, an der Überarbeitung und Ergänzung dieses Rechtsvorschlags. In der Zwischenzeit haben beide Institutionen, also Rat und Parlament, ihre vorläufige Position zu diesem Vorschlag festgelegt. Ab April werden daher erste informelle Verhandlungen geführt werden, um mögliche Kompromisse zwischen den unterschiedlichen Positionen von Rat und Parlament auszuarbeiten. Als Verhandlungsführerin für das Europäische Parlament hoffe ich, dass wir bis zum Sommer eine politische Einigung erzielen können.

 

Seit Herbst 2010 hat sich das Europäische Parlament also intensiv mit dem Richtlinienvorschlag der Europäischen Kommission auseinandergesetzt und dabei unter anderem im vergangenen Jahr eine Expertenanhörung mit Vertretern der Justiz, der Polizei, der Softwareindustrie, Datenschützen und Hackern durchgeführt. Darüber hinaus habe ich mich als Berichterstatterin des Parlaments natürlich noch individuell mit den einzelnen interessierten Kreisen getroffen. In diesem Zusammenhang habe ich mich mit zahlreichen IT-Sicherheitsexperten aus kleinen wie auch großen IT-Sicherheitsunternehmen zusammengesetzt und nach sinnvollen Lösungen für diese Richtlinie gesucht.

 

Eines der zentralen Diskussionsthemen war dabei, wie wir die Richtlinie ausgestalten müssen, um der Dual-use-Problematik adäquat Rechnung tragen zu können. Unser Ziel war und ist, es schwere, kriminelle Angriffe, die großen Schaden anrichten, strafrechtlich zu verfolge. Gleichzeitig wollen wir sicherstellen, dass die Identifizierung von Malware, die Abwendung von Cyberangriffen und die Herstellung von IT-Sicherheitssoftware nicht durch diese Richtlinie negativ beeinträchtigt und in keinem Fall kriminalisiert werden.

 

Als deutsche Europaabgeordnete habe ich diese Debatte insbesondere in Kenntnis des so genannten Hackerparagrafens, also § 202 c des Strafgesetzbuches, und der Entscheidungen des Bundesverfassungsgericht über die Verfassungsbeschwerden gegen § 202 c begleitet.

 

Im Innenausschuss des Europäischen Parlaments waren wir uns fraktionsübergreifend einig, dass die Widerstandsfähigkeit von IT-Systemen und die Möglichkeit zur Abwehr von Angriffen in der EU auch von den Entwicklungsfähigkeiten der hiesigen IT-Branche abhängen. Aus diesem Grund haben wir den Richtlinientwurf der Europäischen Kommission an zahlreichen Stellen abgeändert, um eine ungewollte Kriminalisierung von Hackertools zu vermeiden.

 

Der Innenausschuss hat Artikel 7, der Vorbereitungshandlungen unter Strafe stellt, daher wie folgt abgeändert:

 

[Fett und kursiv: Änderung/ Ergänzung des Texts durch den Innenausschuss]

 

Article 7

Tools used for committing offences

 

Member States shall take the necessary measures to ensure that the production, sale, procurement for use, import, possession, distribution or otherwise making available of the following is punishable as a criminal offence when committed intentionally and without right for the clear purpose of committing any of the offences referred to in Articles 3 to 6:

 

a) device, including a computer programme, designed or adapted primarily clearly for the purpose of committing any of the offences referred to in Articles 3 to 6;

 

(b) a computer password, access code, a digital or physical security token, or similar data by which the whole or any part of an information system is capable of being accessed.

 

Auf Grund der Möglichkeit, Hackertools sowohl für legale als auch kriminelle Zwecke nutzen zu können, darf in keinem Fall allein schon der Besitz eines Hackertools unter Strafe gestellt werden. Ich habe versucht, dies in den parlamentsinternen Verhandlungen mit einem einfachen Bild aus der realen Welt zu erklären: Ein Messer kann sowohl ein Werkzeug als auch eine Mordwaffe sein. Der Besitz eines Messers darf daher nicht schon strafrechtlich verfolgt werden, vielmehr kommt es darauf an, wozu das Messer genutzt wird.

 

Um diesen Unterschied klarzustellen hat der Innenausschuss des Parlaments außerdem ergänzt, dass das Hackertool eindeutig ("clearly") zur Begehung einer Straftat im Sinne dieser Richtlinie hergestellt oder verteilt worden sein muss.

 

Nicht zuletzt haben wir uns dafür entschieden, in der Präambel der Richtlinie deutlich hervorzuheben, dass unter anderem das Testen von IT-Systemen, bei denen Angriffe ohne kriminelle Absicht simuliert werden, ausdrücklich vom Anwendungsbereich dieser Richtlinie ausgenommen sind. Das heißt, auch wenn beim Testen die objektiven Kriterien der Straftaten erfüllt werden, darf es keine strafrechtliche Verfolgung dieser Aktivitäten geben.

 

[Fett und kursiv: Änderung/ Ergänzung des Texts durch den Innenausschuss]

 

Recital 10

 

(10) This Directive does not intend to impose criminal liability where the objective criteria of the crimes listed in this Directive are met but the offences are committed without criminal intent, such as for testing in accordance with law or protection of information systems meaning the ability of an information system to resist criminal acts as defined in this Directive, or where the withholding of an authorisation for access to a system constitutes an abuse of rights by itself. Contractual obligations or agreements to restrict the access by way of a user policy or terms of service should not create criminal liability, if the unauthorised access under such circumstances would constitute the sole basis for a criminal proceeding. Also labour disputes as regards the use of the access and use of information systems of the employer's company, should not create criminal liability, if no damage has been caused. Therefore this Directive does not affect the legally guaranteed right of access to information as laid down in national and EU legislation, while at the same time it may not serve as an exemption to justify unlawful and arbitrary access to information.

 

In den Verhandlungen zwischen Rat und Parlament werde ich an dieser Klarstellung festhalten. Nachdem ich aber bereits informell erfahren habe, dass auch die Mitgliedstaaten keine pauschale Kriminalisierung von Hackertools anstreben, gehe ich davon aus, dass wir eine gemeinsame Lösung für das von Ihnen beschriebene Problem finden werden.

 

Neben der Bestrafung von Hacker-Tools haben Sie in Ihrer E-Mail Bedenken hinsichtlich der Bestrafung von Spoofing geäußert. An dieser Stelle möchte ich zunächst einmal mögliche Missverständnisse klären, die durch die Pressemitteilung des Europäischen Parlaments entstanden sein könnten.

 

Zum einen hat die Pressestelle des Europäischen Parlaments IP Spoofing lediglich beispielshaft aufgeführt. Zum anderen wird Spoofing ebenfalls nicht pauschal unter Strafe gestellt. Vielmehr kommt eine Strafe nur dann zum Tragen, wenn durch die Nutzung einer fremden Identität, dem eigentlichen Identitätseigner Schaden entsteht.

 

Zur Klarstellung dieser Zusammenhänge hat der Innenausschuss den Textentwurf der Europäischen Kommission wie folgt angepasst:

 

[Fett und kursiv: Änderung/ Ergänzung des Texts durch den Innenausschuss]

 

Article 10 Para. 3

Aggravating cirumstances

 

3. Member States shall take the necessary measures to ensure that the offences referred to in Articles 3 to 6 are punishable by criminal penalties of a maximum term of imprisonment of at least three years when committed by concealing the real identity of the perpetrator using another's identity and causing prejudice to the rightful identity owner.

 

Das Europäische Parlament legt also Wert darauf, dass nicht schon die bloße Verschleierung der eigenen Identität, sondern die Nutzung einer fremden Identität, wenn dabei Schaden für den rechtmäßigen Identitätseigner entsteht, unter Strafe gestellt wird.

 

Wie Sie richtigerweise schreiben, arbeiten wir hier mit äußerst komplexen Sachzusammenhängen. In zwangsläufig knappen Pressemitteilungen sind solche Zusammenhänge leider oft nur verkürzt darstellbar und haben in diesem Fall möglicherweise einen falschen Eindruck entstehen lassen.

 

Ich hoffe daher, dass Ihnen meinen Erläuterungen hilfreich sind und ich Ihre Bedenken bezüglich der pauschalen Kriminalisierung von Hackertools und Spoofing ausräumen konnte. In jedem Fall danke ich Ihnen nochmals für Ihre aufschlussreichen Hinweise, da ich, wie bereits in den vergangenen Jahren, weiterhin an einem engen Austausch mit den durch die Richtlinie betroffenen Kreisen interessiert bin.

 

Mit freundlichen Grüßen

 

Monika Hohlmeier



From: Wolfgang Draxinger [mailto:Wolfgang.Draxinger@draxit.de]
Sent: 29 March 2012 20:32
To: HOHLMEIER Monika; europabuero-oberfranken@monika.hohlmeier.de
Subject: Cybercrime Initiative des EU-Parlaments