Unser Doktorand Adrian Haase stellte im November 2015 seine Forschungsarbeit auf der First International Conference on Anti-Cybercrime (ICACC-2015) in Riad, Saudi-Arabien vor. Seine Arbeit, die wir hier noch einmal veröffentlichen, und seine anschließende Präsentation konzentrierten sich auf die europäische Richtlinie 2014/40/EU über Angriffe auf Informationssysteme und ihr Potential ein internationales Modellgesetz für Gesetzgebung bezüglich Cyberkriminalität zu werden.

In Bereichen besonders schwerer Kriminalität mit grenzüberschreitender Dimension hat die Europäische Union seit dem Vertrag von Lissabon eine Kompetenz zu Strafrechtsharmonisierung (Art. 83 Abs. 1 AEUV). Für das Kriminalitätsfeld der Computerkriminalität hat die Europäische Union diese Kompetenz im Jahre 2013 genutzt und Richtlinie 2013/40/EU verabschiedet. Diese adressiert vier Bereiche krimineller Aktivitäten, die sich gegen Informationssysteme richten: den rechtswidrigen Zugang zu Informationssystemen (Artikel 3), rechtswidrige Systemeingriffe (Artikel 4), rechtswidrige Eingriffe in Daten (Artikel 5) und rechtswidriges Abfangen von Daten (Artikel 6). Zum September 2015 haben die EU-Mitgliedstaaten ihr jeweiliges materielles und prozessuales Strafrecht den Erfordernissen der Richtlinie angepasst.

Insbesondere der Schutz kritischer Infrastrukturen soll durch dieses EU-Instrument verbessert werden. Als Beispiel dient dazu die Vorfeld-Kriminalisierung bei der Konstruktion von Bot-Netzen, die regelmäßig für DDoS-Attacken genutzt werden. Bereits in frühen Entwicklungsstadien von Bot-Netzen und somit ohne tatsächliche Schädigung fremder Rechtsgüter haben die EU-Staaten nun derartige Aktivitäten unter Strafe gestellt. Die Diskussion bezüglich strafrechtsdogmatischer Schwierigkeiten bei einer Kriminalisierung solcher Handlungen, die eine spätere Straftat lediglich vorbereiten, wird an anderer Stelle zu führen sein. Der Ansatz, „Hacking“-Aktivitäten weitreichend unter Strafe zu stellen, zeigt allerdings jetzt bereits zweierlei: erstens ist der Glaube an ein abschreckendes Strafrecht lebendiger denn je und zweitens wird die Bedrohung kritischer Infrastrukturen durch Angriffe auf Informationssysteme durch die EU als nahezu existenzgefährdend eingeschätzt.

Letzterer Aspekt bei der Bekämpfung von Angriffen auf Informationssysteme spiegelt durchaus real existierende Gefahren wider, wie aktuelle Studien zu den Auswirkungen von Cyberattacken nachweisen. Den IT-Infrastrukturen kommt dabei eine besondere Wichtigkeit zu. Zunächst gewährleisten sie Informationsbeschaffung und lückenlose Kommunikation zu gesellschaftlichen, sozialen, wirtschaftlichen und politischen Zwecken. Darüber hinaus erfüllen die Informations- und Kommunikationsinfrastrukturen allerdings noch einen weiteren Zweck, denn sie dienen mittlerweile den meisten anderen kritischen Infrastrukturen, wie Finanzwirtschaft, Energieversorgung, Transport, etc. als Meta-Infrastruktur. Bei einem Ausfall von kritischen IT-Infrastrukturen sind somit weitere relevante Bereiche des gesellschaftlichen Lebens bedroht.

Die Vernetzung zwischen IT-Infrastrukturen über Staatsgrenzen hinweg globalisiert diese Gefahren zudem. Wie bereits meinem letzten Artikel zu entnehmen war, sind Einigungsversuche bezüglich bindender völkerrechtlicher Abkommen auf globaler Ebene bislang nicht von Erfolg gekrönt gewesen und werden auch für die nähere Zukunft als wenig aussichtsreich angesehen. Ein Hauptproblem dabei ist stets der Ansatz, Cyberkriminalität umfassend kriminalisieren zu wollen. Regionale, nationale, gesellschaftliche, historische, politische und religiöse Unterschiede bzw. Besonderheiten verhindern derartige Abkommen jedoch oftmals. Auch das bislang erfolgreichste internationale Cybercrime-Instrument, die Convention on Cybercrime des Europarates, kommt nach ca. 14 Jahren des Bestehens in ihrer Bedeutung nicht signifikant über den westlichen Kulturkreis hinaus.

Beim Schutz kritischer IT-Infrastrukturen hingegen scheint ein globaler Konsens jedoch möglich, sodass die EU-Richtlinie gegen Angriffe auf Informationssysteme möglicherweise das dringend benötigte model law darstellen könnte, obwohl die Vorfeldkriminalisierung gleichwohl weiterhin kritisch zu begleiten sein wird.

Der genannte Aufsatz ist erschienen bei IEEE Xplore® und abrufbar unter: Haase, Harmonizing Substantive Cybercrime Law through European Union Directive 2013/40/EU – From European Legislation to International Model Law?, ICACC 2015.

Foto: User:Ivan David Gomez Arce / FlickrCC BY 2.0

Dieser Beitrag ist Teil der regelmäßig erscheinenden Blogartikel der Doktoranden des Alexander von Humboldt Institut für Internet und Gesellschaft. Er spiegelt weder notwendigerweise noch ausschließlich die Meinung des Institutes wieder. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info|a|hiig.de.

Share

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.