23.7.2011   

DE

Amtsblatt der Europäischen Union

C 218/130

1.1

Der Europäische Wirtschafts- und Sozialausschuss begrüßt den Vorschlag der Kommission für eine Richtlinie des Europäischen Parlaments und des Rates über Angriffe auf Informationssysteme. Der Ausschuss teilt die ernste Besorgnis der Kommission angesichts des Ausmaßes von Cyberkriminalität in Europa und der davon ausgehenden wachsenden reellen und potenziellen Bedrohung für die Wirtschaft und das Wohlergehen der Bürger.

1.2

Der Ausschuss findet es ebenso bedauerlich wie die Kommission, dass bisher nur 17 der 27 Mitgliedstaaten das Übereinkommen des Europarats über Computerkriminalität (1) ratifiziert haben. Er fordert die übrigen Mitgliedstaaten (2) (namentlich Österreich, Belgien, Tschechische Republik, Griechenland, Irland, Luxemburg, Malta, Polen, Schweden, Vereinigtes Königreich) auf, diese Ratifizierung baldmöglichst nachzuholen.

1.3

Der Ausschuss stimmt mit der Kommission darin überein, dass eine Richtlinie dringend erforderlich ist, um die Definitionen der Straftatbestände im Zusammenhang mit Angriffen auf Informationssysteme zu aktualisieren und um die Koordinierung und Zusammenarbeit der europäischen Strafjustiz zu verbessern, damit dieses kritische Problem effektiv bewältigt werden kann.

1.4

Angesichts der akuten Notwendigkeit, mit Hilfe von Rechtsetzungsmaßnahmen gezielt gegen Angriffe auf Informationssysteme vorzugehen, hat die Kommission sich zu Recht für eine problemspezifische Richtlinie entschieden, die durch nichtlegislative Maßnahmen flankiert wird.

1.5

Der Ausschuss hat sich bereits in einer früheren Stellungnahme (3) dafür ausgesprochen, dass die Kommission parallel dazu einen umfassenden EU-Rechtsrahmen zum Schutz vor Cyberkriminalität entwirft. Ein solcher umfassender Rahmen ist unerlässlich für den Erfolg der Digitalen Agenda und der Strategie Europa 2020 (4). In einem derartigen Rahmen sollten die Aspekte Vorbeugung, Erkennung und Schulung ebenso wie Strafverfolgung und Strafmaß behandelt werden.

1.6

Nach Meinung des Ausschusses sollte die Kommission zu gegebener Zeit Vorschläge für einen umfassenden Rahmen zur Bewältigung des allgemeinen Problems der Internetsicherheit vorlegen. In zehn Jahren wird der Großteil der Bevölkerung das Internet nutzen und das Wirtschafts- und Gesellschaftsleben in großem Maße auf das Internet angewiesen sein. Dann reicht das derzeitige zwanglose und strukturlose Konzept für die Internetnutzung keinesfalls mehr aus, zumal der wirtschaftliche Wert dieser Tätigkeit unberechenbar sein wird. Dies wirft zahlreiche Fragen auf, auch in Verbindung mit anderen Herausforderungen wie Schutz personenbezogener Daten und Schutz der Privatsphäre sowie Cyberkriminalität. Die Luftverkehrssicherheit wird von einer zentralen Behörde sichergestellt, die Normen für Flugzeuge, Flughäfen und Luftfahrtunternehmen festlegt. Es ist an der Zeit, eine vergleichbare Behörde für die Entwicklung von Normen für die Sicherheit von Endgeräten (PC, Tablet-PC, Smartphones), Netzwerken, Websites und Daten zu schaffen. Die physikalischen Interneteinstellungen sind ein Schlüsselfaktor für die Bekämpfung der Cyberkriminalität. Die EU braucht allmählich eine für das Internet zuständige Regulierungsbehörde.

1.7

Im Mittelpunkt der Richtlinie stehen die Definition von Straftatbeständen und die Androhung von Sanktionen. Der Ausschuss fordert, dass der Vorbeugung durch bessere Sicherheitsmaßnahmen ebensoviel Aufmerksamkeit gewidmet wird. Die Gerätehersteller sollten Normen für die Herstellung fehlbedienungssicherer Geräte erfüllen. Es ist unannehmbar, dass die Sicherheit der Geräte und somit der Netzwerke von der Laune ihres Besitzers abhängt. Daher sollte die Einführung eines europaweiten elektronischen Identifikationssystems erwogen werden; bei dessen Entwicklung muss allerdings sorgsam darauf geachtet werden, dass es den Schutz der Privatsphäre nicht beeinträchtigt. Die Sicherheitsmöglichkeiten von IPv6 sollten ausgeschöpft werden, und die Schulung der Bürger im Umgang mit der Cybersicherheit von personenbezogenen Daten sollte integraler Bestandteil sämtlicher „Computerführerscheine“ sein. Die Kommission sollte sich dabei auf frühere einschlägige Stellungnahmen des Ausschusses stützen (5).

1.8

Der Ausschuss geht davon aus, dass die vorgeschlagene Richtlinie geeignet ist, um Angriffe auf Informationssysteme durch Botnetze (6) und Denial-of-Service (DoS)-Angriffe (7) zu bekämpfen. Sie wird auch die Behörden dabei unterstützen, Cyberkriminelle, die sich die weltweite Interkonnektivität der Netze zunutze zu machen oder mithilfe ausgeklügelter Tools ihre Identität zu verbergen suchen, strafrechtlich zu verfolgen.

1.9

Der Ausschuss begrüßt die von der Richtlinie erfassten Straftatbestände, insbesondere die Einbeziehung des „Rechtswidrigen Abfangens von Daten“ und die deutliche Erklärung der „Tatwerkzeuge“.

1.10

Angesichts der Bedeutung von Vertrauen und Sicherheit für die digitale Wirtschaft und der durch Cyberkriminalität (8) jährlich verursachten enormen Kosten schlägt der Ausschuss vor, in der Richtlinie vorzusehen, dass das Strafmaß so bemessen werden sollte, dass es dem Vergehen angemessen ist und zudem wirklich abschreckend wirkt. In dem Richtlinienvorschlag werden Freiheitsstrafen von mindestens 2 bzw. bei erschwerenden Umständen 5 Jahren vorgesehen. Der Ausschuss regt ein nach Schwere des Vergehens gestaffeltes Strafmaß an.

1.11

Der Ausschuss schlägt vor, die Gelegenheit zu nutzen und durch schärfere Strafen eine klare Botschaft an die Cyberkriminellen einerseits und die der Rückversicherung bedürfenden Bürger andererseits zu richten. Im Vereinigten Königreich (9) beispielsweise werden Großangriffe auf Informationssysteme mit bis zu 10 Jahren Freiheitsentzug bestraft, in Estland wurde das Strafmaß für terroristisch motivierte Großangriffe auf bis zu 25 Jahre hochgesetzt (10).

1.12

Der Ausschuss begrüßt den Vorschlag der Kommission, die Richtlinie durch nichtlegislative Maßnahmen zu flankieren, um die Koordinierung auf EU-Ebene zu verbessern und die Umsetzung zu erleichtern. Er betont, dass diese Koordinierung auf eine enge Zusammenarbeit mit sämtlichen EFTA- und NATO-Ländern ausgeweitet werden muss.

1.13

Der Ausschuss befürwortet nachdrücklich die vorgesehenen Schulungsprogramme und den vorgeschlagenen Austausch bewährter Verfahren, mit denen die Wirksamkeit des bestehenden rund um die Uhr erreichbaren Kontaktnetzes der Strafverfolgungsbehörden gesteigert werden soll.

1.14

Der Ausschuss empfiehlt der Kommission, neben den nichtlegislativen Maßnahmen FuE-Mittel insbesondere auf die Entwicklung von Früherkennungs- und Reaktionssystemen zur Bekämpfung von Angriffen auf Informationssysteme auszurichten. Die derzeit verfügbaren Cloud Computing (11)- und Grid Computing (12)-Technologien sind geeignet, Europa einen besseren Schutz vor vielen Gefahren zu bieten.

1.15

Der Ausschuss schlägt vor, neben der Strafverfolgung über ENISA ein spezifisches Fortbildungsprogramm für die Stärkung der europäischen IKT-Sicherheitsindustrie zu finanzieren (13).

1.16

Der Ausschuss bekräftigt, dass es zur Stärkung des europäischen Abwehrpotenzials gegenüber Cyberangriffen wichtig ist, eine Europäische öffentlich-private Partnerschaft für Robustheit (EÖPPR) einzurichten und sie mit den Arbeiten der Europäischen Agentur für Netz- und Informationssicherheit (ENISA) und der europäischen EGC-Gruppe zu verbinden.

1.17

Es gilt, eine starke Informationssicherheitsindustrie in Europa zu fördern, um mit dem Know-how der über umfangreiche Finanzmittel verfügenden US-amerikanischen Unternehmen (14) gleichzuziehen. Investitionen in Forschung, Entwicklung und Bildung im Bereich Cybersicherheit sollten erheblich erhöht werden.

1.18

Der Ausschuss nimmt die Ausnahmeregelungen für das Vereinigte Königreich, Irland und Dänemark gemäß den jeweiligen dem AEUV beigefügten Protokollen zur Kenntnis. Nichtsdestotrotz fordert der Ausschuss diese Mitgliedstaaten auf, soweit wie möglich im Sinne der Richtlinie zu kooperieren, um es Straftätern unmöglich zu machen, Lücken im politischen System innerhalb der Union auszunutzen.

2.1

Das moderne Europa ist bei seinen Bemühungen um die Schaffung von Wohlstand und die Sicherung der Lebensqualität seiner Bürger sehr stark auf Informationssysteme angewiesen. Die wachsende IKT-Abhängigkeit erfordert angemessene, immer ausgefeiltere Sicherheitsmaßnahmen und scharfe Gesetze, um die Informationssysteme vor Angriffen zu schützen.

2.2

Das Internet ist die zentrale Plattform der digitalen Gesellschaft. Für die Entwicklung der digitalen Gesellschaft und der digitalen Wirtschaft ist es unerlässlich, Bedrohungen der Sicherheit von Informationssystemen auszuräumen. Das Internet ist der Träger des größten Teils der kritischen Informationsinfrastrukturen Europas, die die grundlegende Informations- und Kommunikationsplattform für die Bereitstellung von wesentlichen Gütern und Diensten bieten. Angriffe auf Informationssysteme - Regierungssysteme, Finanzsysteme, Sozialdienste und kritische Infrastruktursysteme wie Strom- und Wasserversorgung, Verkehr, Gesundheits- und Notfalldienste - sind zum vordringlichen Problem geworden.

2.3

Die Internet-Architektur beruht auf der Vernetzung von Millionen von Rechnern, Datenübermittlung, -verarbeitung und -steuerung erfolgen global. Diese verteilte Rechnerarchitektur ist die Grundvoraussetzung für die Stabilität und Robustheit des Internet, in Problemfällen werden Datenverkehrsflüsse schnell wiederhergestellt. Dies bedeutet jedoch auch, dass Cybergroßangriffe beispielsweise über Botnetze von jedwedem Hacker am Rande des Netzes gestartet werden können, der über ein Motiv und Grundkenntnisse verfügt.

2.4

Die Entwicklungen im Bereich der Informationstechnologie haben diese Probleme weiter verschärft; es ist für Straftäter leichter geworden, Software (Schadprogramme (15) und Botnetze) zu produzieren und zu verbreiten und dabei ihre Anonymität zu wahren und sich dank unterschiedlicher gerichtlicher Zuständigkeiten der Verantwortung zu entziehen. Wegen der Schwierigkeiten bei der Strafverfolgung kann die organisierte Kriminalität relativ risikolos beträchtliche Gewinne erzielen.

2.5

Einer dem Weltwirtschaftsforum 2009 vorgelegten Studie (16) zufolge beliefen sich die durch Cyberkriminalität weltweit verursachten Kosten auf über eine Billion US-Dollar, Tendenz rasch steigend. Und in einem jüngst veröffentlichten Bericht (17) veranschlagt die britische Regierung die im Vereinigten Königreich jährlich durch Cyberkriminalität entstehenden Verluste auf 27 Mrd. GBP Angesichts der hohen Kosten von Cyberkriminalität sind hartes Durchgreifen, entschiedene Durchsetzung und hohe Strafen für die Täter angesagt.

2.6

In dem Arbeitsdokument der Kommissionsdienststellen (18), der Begleitunterlage zu dem Richtlinienvorschlag, wird ausgeführt, wie organisierte Kriminalität und feindlich gesinnte Regierungen das zerstörerische Potenzial von Angriffen auf Informationssysteme in der gesamten EU zum Tragen bringen. Solche über Botnetze erfolgenden Angriffe können für das betroffene Land als solches sehr gefährlich sein und auch von Terroristen oder dergleichen getätigt werden, um eine Regierung politisch unter Druck zu setzen.

2.7

Der Cyber-Angriff gegen Estland im April/Mai 2007 verdeutlicht das Problem. Der groß angelegte Angriff legte tagelang und in erheblichem Ausmaß kritische Informationsinfrastrukturen der Regierung und des Privatsektors lahm und verursachte hohe wirtschaftliche – zwischen 19 und 28 Mio. EUR – und politische Kosten. Litauen und Georgien waren Opfer vergleichbarer Angriffe.

2.8

Globale Kommunikationsnetze beruhen auf einer umfangreichen grenzüberschreitenden Vernetzung. Es ist unerlässlich, dass alle 27 Mitgliedstaaten gemeinsam und einheitlich gegen Cyberkriminalität und insbesondere Angriffe auf Informationssysteme vorgehen. Aufgrund dieser gegenseitigen internationalen Abhängigkeit obliegt der EU die Verantwortung für eine integrierte Politik für den Schutz der Informationssysteme gegen Angriffe und die Bestrafung der Täter.

2.9

In seiner Stellungnahme zum Thema „Eine Strategie für eine sichere Informationsgesellschaft“ (19) plädierte der Ausschuss für einen umfassenden EU-Rechtsrahmen zum Schutz vor Cyberkriminalität. Neben Maßnahmen gegen Cyberangriffe sollte eine EU-Regelung auch Finanzkriminalität mithilfe des Internet und illegale Internetinhalte, die Erhebung, Speicherung und Weitergabe elektronischer Beweismittel erfassen und detailliertere Zuständigkeitsvorschriften beinhalten.

2.10

Der Ausschuss ist sich darüber im Klaren, dass die Aufstellung eines umfassenden Rechtsrahmens ein äußerst schwieriges Unterfangen ist, zumal es keinen politischen Konsens gibt (20) und zwischen den Mitgliedstaaten erhebliche Unterschiede in Bezug auf die Zulässigleit elektronischer Beweismittel vor Gericht bestehen. Eine solche EU-Regelung würde es jedoch ermöglichen, die Vorteile sowohl der legislativen als auch der nichtlegislativen Instrumente weitestgehend auszuschöpfen, um die umfassende Cyberkriminalitätsproblematik in den Griff zu bekommen. Zusätzlich würde dem strafrechtliche Rahmen Rechnung getragen und gleichzeitig die strafrechtliche Zusammenarbeit innerhalb der Union verbessert. Der Ausschuss appelliert eindringlich an die Kommission, weiter auf einen umfassenden Rechtsrahmen für die Bekämpfung der Cyberkriminalität hinzuarbeiten.

2.11

Zur Bekämpfung der Cyberkriminalität sind besondere Fähigkeiten und Fertigkeiten vonnöten. In seiner Stellungnahme zur ENISA-Verordnung (21) betonte der Ausschuss die Bedeutung von Fortbildungsmaßnahmen für die Mitarbeiter der Strafverfolgungsbehörden. Er nimmt erfreut zur Kenntnis, dass die Kommission mit der Einrichtung einer Schulungsplattform der EU in Zusammenarbeit mit den Strafverfolgungsbehörden und dem Privatsektor im Hinblick auf die Bekämpfung der Internetkriminalität vorankommt, die sie in ihrer Mitteilung über eine allgemeine Politik zur Bekämpfung der Internetkriminalität (22) vorgeschlagen hatte.

2.12

Zu den Interessenträgern für die Cyber-Sicherheit in der EU zählen auch alle Unionsbürger, deren Leben von grundlegenden Diensten abhängen könnte. Diese Bürger tragen ihrerseits die Verantwortung, ihre Internetverbindung so gut wie möglich gegen Angriffe zu schützen. Eine noch größere Verantwortung obliegt den Anbietern von Informationssystemen, auf die sich kritische Informationsinfrastrukturen stützen.

2.13

Alle Interessenträger müssen angemessen über Cybersicherheit informiert werden. Außerdem muss Europa über genügend qualifizierte Sachverständige für Cybersicherheit verfügen.

2.14

Es gilt, eine starke Informationssicherheitsindustrie in Europa zu fördern, um mit dem Know-how der über umfangreiche Finanzmittel verfügenden US-amerikanischen Unternehmen (23) gleichzuziehen. Investitionen in Forschung, Entwicklung und Bildung im Bereich Cybersicherheit sollten erheblich erhöht werden.

3.1

Der Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme (24) soll durch den vorliegenden Vorschlag ersetzt werden. Ziel des Rahmenbeschlusses war, wie es in den Erwägungsgründen heißt, durch Angleichung der einzelstaatlichen Strafvorschriften für Angriffe auf Informationssysteme die Zusammenarbeit zwischen den Justiz- und sonstigen zuständigen Behörden, einschließlich der Polizei und anderer spezialisierter Strafverfolgungsbehörden der Mitgliedstaaten, zu verbessern. Er führte Vorschriften für Straftaten wie rechtswidriger Zugang zu Informationssystemen, rechtswidriger Systemeingriff und rechtswidriger Dateneingriff ein sowie besondere Regeln für die Haftung juristischer Personen, die gerichtliche Zuständigkeit und den Informationsaustausch. Die Mitgliedstaaten mussten dem Rahmenbeschluss bis zum 16. März 2007 nachkommen.

3.2

Am 14. Juli 2008 gab die Kommission einen Bericht über die Umsetzung des Rahmenbeschlusses heraus (25). In den Schlussfolgerungen des Berichts heißt es: „Nach Annahme des RB haben in jüngster Zeit Angriffe auf Informationssysteme in Europa mehrere neue Gefahren verdeutlicht, insbesondere massive gleichzeitige Angriffe auf Informationssysteme und eine zunehmende kriminelle Nutzung so genannter Botnets.“ Diese Angriffe standen nicht im Mittelpunkt des Interesses, als der Rahmenbeschluss angenommen wurde.

3.3

Dieser Vorschlag trägt den neuen Methoden der Internetkriminalität, insbesondere dem Einsatz von Botnetzen, Rechnung (26). Es ist sehr schwierig, diesen Tätern auf die Spur zu kommen, da sich das Botnetz, das die Attacke ausführt, an einem anderen Ort befinden kann als die Täter.

3.4

Attacken eines Botnetzes sind häufig größeren Umfangs. Bei solchen Großangriffen handelt es sich entweder um Angriffe, die mit einer Software ausgeführt werden, die eine Vielzahl von Informationssystemen (Computern) schädigt, oder um Angriffe, die beispielsweise eine Störung elektronischer Dienste, finanzielle Verluste oder Verluste persönlicher Daten verursachen. Der hierdurch verursachte Schaden hat beträchtliche Auswirkungen auf das Funktionieren des anvisierten Systems bzw. beeinträchtigt dessen Arbeitsumgebung. In diesem Zusammenhang ist unter einem großen Botnetz ein Netzwerk zu verstehen, das in der Lage ist, einen schweren Schaden zu verursachen. Botnetze anhand ihrer Größe zu bestimmen, ist nicht einfach. Bei den größten bekannten Botnetzen wurde geschätzt, dass sie in einem Zeitraum von 24 Stunden 40 000 bis 100 000 Verbindungen (d. h. infizierte Computer) umfassen (27).

3.5

Der Rahmenbeschluss weist angesichts der zu beobachtenden Tendenzen, was Umfang und Anzahl der Cyberangriffe anbelangt, einige Unzulänglichkeiten auf. Die Harmonisierung beschränkt sich auf eine begrenzte Anzahl von Straftatbeständen, wird aber der potenziellen Bedrohung, die von groß angelegten Cyberattacken auf die Gesellschaft ausgeht, nicht gerecht. Auch der Schwere der Straftaten und den entsprechenden Sanktionen wurde nicht hinreichend Rechnung getragen.

3.6

Ziel dieser Richtlinie ist die Angleichung der einzelstaatlichen Strafvorschriften für Angriffe auf Informationssysteme sowie die Verbesserung der Zusammenarbeit zwischen den Justiz- und sonstigen zuständigen Behörden einschließlich der Polizei und anderer spezialisierter Strafverfolgungsbehörden der Mitgliedstaaten.

3.7

Angriffe auf Informationssysteme – insbesondere im Rahmen der organisierten Kriminalität – werden zunehmend zu einer Bedrohung, und es wächst die Besorgnis über mögliche Terroranschläge oder politisch motivierte Attacken auf Informationssysteme, die Teil der kritischen Infrastruktur der Mitgliedstaaten und der Europäischen Union sind. Hierdurch wird das Ziel einer sichereren Informationsgesellschaft und eines Raums der Freiheit, der Sicherheit und des Rechts gefährdet, so dass Gegenmaßnahmen auf Ebene der Europäischen Union erforderlich sind.

3.8

Es besteht eine Tendenz zu immer gefährlicheren und häufigeren Großangriffen auf Informationssysteme, die für den Staat oder für bestimmte Funktionen im öffentlichen oder privaten Sektor unverzichtbar sind. Diese Tendenz geht einher mit der Entwicklung immer ausgefeilterer Instrumente, die von Kriminellen zu Cyberangriffen unterschiedlichster Art genutzt werden können.

3.9

Für eine einheitliche Strategie in den Mitgliedstaaten bei der Anwendung dieser Richtlinie sind gemeinsame Definitionen in diesem Bereich und insbesondere Definitionen von Informationssystemen und Computerdaten wichtig.

3.10

Es sollten gemeinsame Straftatbestände für den rechtswidrigen Zugang zu Informationssystemen, den rechtswidrigen Systemeingriff, den rechtswidrigen Eingriff in Daten und das rechtswidrige Abfangen von Daten festgelegt werden, wozu es einer Einigung über die Tatbestandsmerkmale bedarf.

3.11

Angriffe auf Informationssysteme sollten von den Mitgliedstaaten unter Strafe gestellt werden. Die Sanktionen sollten wirksam, verhältnismäßig und abschreckend sein.

3.12

Durch die Richtlinie wird zwar der Rahmenbeschluss 2005/222/JI aufgehoben, dessen Bestimmungen bleiben aber erhalten. Zusätzlich werden folgende neue Bestimmungen eingefügt: