Our doctoral reseacher Adrian Haase was a presenting author at the First International Confernece on Anti-Cybercrime in Riyadh, Saudi Arabia in November 2015. His paper as well as his corresponding presentation focused on the EU-Directive 2013/40/EU on attacks against information systems and its potential to become a global model law for substantive cybercrime legislation.

In Bereichen besonders schwerer Kriminalität mit grenzüberschreitender Dimension hat die Europäische Union seit dem Vertrag von Lissabon eine Kompetenz zu Strafrechtsharmonisierung (Art. 83 Abs. 1 AEUV). Für das Kriminalitätsfeld der Computerkriminalität hat die Europäische Union diese Kompetenz im Jahre 2013 genutzt und Richtlinie 2013/40/EU verabschiedet. Diese adressiert vier Bereiche krimineller Aktivitäten, die sich gegen Informationssysteme richten: den rechtswidrigen Zugang zu Informationssystemen (Artikel 3), rechtswidrige Systemeingriffe (Artikel 4), rechtswidrige Eingriffe in Daten (Artikel 5) und rechtswidriges Abfangen von Daten (Artikel 6). Zum September 2015 haben die EU-Mitgliedstaaten ihr jeweiliges materielles und prozessuales Strafrecht den Erfordernissen der Richtlinie angepasst.

Insbesondere der Schutz kritischer Infrastrukturen soll durch dieses EU-Instrument verbessert werden. Als Beispiel dient dazu die Vorfeld-Kriminalisierung bei der Konstruktion von Bot-Netzen, die regelmäßig für DDoS-Attacken genutzt werden. Bereits in frühen Entwicklungsstadien von Bot-Netzen und somit ohne tatsächliche Schädigung fremder Rechtsgüter haben die EU-Staaten nun derartige Aktivitäten unter Strafe gestellt. Die Diskussion bezüglich strafrechtsdogmatischer Schwierigkeiten bei einer Kriminalisierung solcher Handlungen, die eine spätere Straftat lediglich vorbereiten, wird an anderer Stelle zu führen sein. Der Ansatz, „Hacking“-Aktivitäten weitreichend unter Strafe zu stellen, zeigt allerdings jetzt bereits zweierlei: erstens ist der Glaube an ein abschreckendes Strafrecht lebendiger denn je und zweitens wird die Bedrohung kritischer Infrastrukturen durch Angriffe auf Informationssysteme durch die EU als nahezu existenzgefährdend eingeschätzt.

Letzterer Aspekt bei der Bekämpfung von Angriffen auf Informationssysteme spiegelt durchaus real existierende Gefahren wider, wie aktuelle Studien zu den Auswirkungen von Cyberattacken nachweisen. Den IT-Infrastrukturen kommt dabei eine besondere Wichtigkeit zu. Zunächst gewährleisten sie Informationsbeschaffung und lückenlose Kommunikation zu gesellschaftlichen, sozialen, wirtschaftlichen und politischen Zwecken. Darüber hinaus erfüllen die Informations- und Kommunikationsinfrastrukturen allerdings noch einen weiteren Zweck, denn sie dienen mittlerweile den meisten anderen kritischen Infrastrukturen, wie Finanzwirtschaft, Energieversorgung, Transport, etc. als Meta-Infrastruktur. Bei einem Ausfall von kritischen IT-Infrastrukturen sind somit weitere relevante Bereiche des gesellschaftlichen Lebens bedroht.

Die Vernetzung zwischen IT-Infrastrukturen über Staatsgrenzen hinweg globalisiert diese Gefahren zudem. Wie bereits meinem letzten Artikel zu entnehmen war, sind Einigungsversuche bezüglich bindender völkerrechtlicher Abkommen auf globaler Ebene bislang nicht von Erfolg gekrönt gewesen und werden auch für die nähere Zukunft als wenig aussichtsreich angesehen. Ein Hauptproblem dabei ist stets der Ansatz, Cyberkriminalität umfassend kriminalisieren zu wollen. Regionale, nationale, gesellschaftliche, historische, politische und religiöse Unterschiede bzw. Besonderheiten verhindern derartige Abkommen jedoch oftmals. Auch das bislang erfolgreichste internationale Cybercrime-Instrument, die Convention on Cybercrime des Europarates, kommt nach ca. 14 Jahren des Bestehens in ihrer Bedeutung nicht signifikant über den westlichen Kulturkreis hinaus.

Beim Schutz kritischer IT-Infrastrukturen hingegen scheint ein globaler Konsens jedoch möglich, sodass die EU-Richtlinie gegen Angriffe auf Informationssysteme möglicherweise das dringend benötigte model law darstellen könnte, obwohl die Vorfeldkriminalisierung gleichwohl weiterhin kritisch zu begleiten sein wird.

Der genannte Aufsatz ist erschienen bei IEEE Xplore® und abrufbar unter: Haase, Harmonizing Substantive Cybercrime Law through European Union Directive 2013/40/EU – From European Legislation to International Model Law?, ICACC 2015.

Photo: User:Ivan David Gomez Arce / FlickrCC BY 2.0

This post is part of a weekly series of articles by doctoral canditates of the Alexander von Humboldt Institute for Internet and Society. It does not necessarily represent the view of the Institute itself. For more information about the topics of these articles and asssociated research projects, please contact info|a|hiig.de.

Share

Leave a Reply

Your email address will not be published. Required fields are marked *