{"id":26052,"date":"2016-01-12T14:44:20","date_gmt":"2016-01-12T13:44:20","guid":{"rendered":"https:\/\/www.hiig.de\/en\/?p=26052"},"modified":"2016-01-12T16:31:10","modified_gmt":"2016-01-12T15:31:10","slug":"conference-on-anti-cybercrime-in-saudi-arabia","status":"publish","type":"post","link":"https:\/\/www.hiig.de\/en\/conference-on-anti-cybercrime-in-saudi-arabia\/","title":{"rendered":"EU-Cybercrime-Directive: a new global model law?"},"content":{"rendered":"

Our doctoral reseacher Adrian Haase was a presenting author at the <\/em>First International Confernece on Anti-Cybercrime in Riyadh, Saudi Arabia in November 2015<\/em><\/a>. His paper as well as his corresponding presentation focused on the\u00a0<\/em>EU-Directive 2013\/40\/EU on attacks against information systems<\/em><\/a> and its potential to become a global model law for substantive cybercrime legislation.<\/em><\/p>\n

In Bereichen besonders schwerer Kriminalit\u00e4t mit grenz\u00fcberschreitender Dimension hat die Europ\u00e4ische Union seit dem Vertrag von Lissabon eine Kompetenz zu Strafrechtsharmonisierung (Art. 83 Abs. 1 AEUV). F\u00fcr das Kriminalit\u00e4tsfeld der Computerkriminalit\u00e4t hat die Europ\u00e4ische Union diese Kompetenz im Jahre 2013 genutzt und Richtlinie 2013\/40\/EU verabschiedet. Diese adressiert vier Bereiche krimineller Aktivit\u00e4ten, die sich gegen Informationssysteme richten: den rechtswidrigen Zugang zu Informationssystemen (Artikel 3), rechtswidrige Systemeingriffe (Artikel 4), rechtswidrige Eingriffe in Daten (Artikel 5) und rechtswidriges Abfangen von Daten (Artikel 6). Zum September 2015 haben die EU-Mitgliedstaaten ihr jeweiliges materielles und prozessuales Strafrecht den Erfordernissen der Richtlinie angepasst.<\/p>\n

Insbesondere der Schutz kritischer Infrastrukturen soll durch dieses EU-Instrument verbessert werden. Als Beispiel dient dazu die Vorfeld-Kriminalisierung bei der Konstruktion von Bot-Netzen, die regelm\u00e4\u00dfig f\u00fcr DDoS-Attacken genutzt werden. Bereits in fr\u00fchen Entwicklungsstadien von Bot-Netzen und somit ohne tats\u00e4chliche Sch\u00e4digung fremder Rechtsg\u00fcter haben die EU-Staaten nun derartige Aktivit\u00e4ten unter Strafe gestellt. Die Diskussion bez\u00fcglich strafrechtsdogmatischer Schwierigkeiten bei einer Kriminalisierung solcher Handlungen, die eine sp\u00e4tere Straftat lediglich vorbereiten, wird an anderer Stelle zu f\u00fchren sein. Der Ansatz, \u201eHacking\u201c-Aktivit\u00e4ten weitreichend unter Strafe zu stellen, zeigt allerdings jetzt bereits zweierlei: erstens ist der Glaube an ein abschreckendes Strafrecht lebendiger denn je und zweitens wird die Bedrohung kritischer Infrastrukturen durch Angriffe auf Informationssysteme durch die EU als nahezu existenzgef\u00e4hrdend eingesch\u00e4tzt.<\/p>\n

Letzterer Aspekt bei der Bek\u00e4mpfung von Angriffen auf Informationssysteme spiegelt durchaus real existierende Gefahren wider, wie aktuelle Studien<\/a> zu den Auswirkungen von Cyberattacken nachweisen. Den IT-Infrastrukturen kommt dabei eine besondere Wichtigkeit zu. Zun\u00e4chst gew\u00e4hrleisten sie Informationsbeschaffung und l\u00fcckenlose Kommunikation zu gesellschaftlichen, sozialen, wirtschaftlichen und politischen Zwecken. Dar\u00fcber hinaus erf\u00fcllen die Informations- und Kommunikationsinfrastrukturen allerdings noch einen weiteren Zweck, denn sie dienen mittlerweile den meisten anderen kritischen Infrastrukturen, wie Finanzwirtschaft, Energieversorgung, Transport, etc. als Meta-Infrastruktur. Bei einem Ausfall von kritischen IT-Infrastrukturen sind somit weitere relevante Bereiche des gesellschaftlichen Lebens bedroht.<\/p>\n

Die Vernetzung zwischen IT-Infrastrukturen \u00fcber Staatsgrenzen hinweg globalisiert diese Gefahren zudem. Wie bereits meinem letzten Artikel<\/a> zu entnehmen war, sind Einigungsversuche bez\u00fcglich bindender v\u00f6lkerrechtlicher Abkommen auf globaler Ebene bislang nicht von Erfolg gekr\u00f6nt gewesen und werden auch f\u00fcr die n\u00e4here Zukunft als wenig aussichtsreich angesehen. Ein Hauptproblem dabei ist stets der Ansatz, Cyberkriminalit\u00e4t umfassend kriminalisieren zu wollen. Regionale, nationale, gesellschaftliche, historische, politische und religi\u00f6se Unterschiede bzw. Besonderheiten verhindern derartige Abkommen jedoch oftmals. Auch das bislang erfolgreichste internationale Cybercrime-Instrument, die Convention on Cybercrime des Europarates<\/a>, kommt nach ca. 14 Jahren des Bestehens in ihrer Bedeutung nicht signifikant \u00fcber den westlichen Kulturkreis hinaus.<\/p>\n

Beim Schutz kritischer IT-Infrastrukturen hingegen scheint ein globaler Konsens jedoch m\u00f6glich, sodass die EU-Richtlinie gegen Angriffe auf Informationssysteme m\u00f6glicherweise das dringend ben\u00f6tigte model law<\/em> darstellen k\u00f6nnte, obwohl die Vorfeldkriminalisierung gleichwohl weiterhin kritisch zu begleiten sein wird.<\/p>\n

Der genannte Aufsatz ist erschienen bei IEEE Xplore\u00ae<\/a> und abrufbar unter: Haase, Harmonizing Substantive Cybercrime Law through European Union Directive 2013\/40\/EU \u2013 From European Legislation to International Model Law?, ICACC 2015<\/em><\/a>.<\/em><\/p>\n

Photo:\u00a0User:Ivan David Gomez Arce<\/a>\u00a0\/\u00a0Flickr<\/a>,\u00a0CC BY 2.0<\/a><\/p>\n

This post is part of a weekly series of articles by\u00a0doctoral canditates<\/a>\u00a0of the Alexander von Humboldt Institute for Internet and Society. It does not necessarily represent the view of the Institute itself. For more information about the topics of these articles and asssociated research projects, please contact\u00a0info@hiig.de<\/a>.<\/h4>\n