Europas Verteidigung gegen Internetkriminalität

Cyberattacken haben in ihrer Anzahl, Ausmaßen und Auswirkungen zugenommen. Die EU-Kommission will nun härter gegen Hacker und Internetkriminelle vorgehen. Hierzu will sie härtere strafrechtliche Sanktionen durchsetzen, die polizeiliche Zusammenarbeit in Europa verbessern und die Europäische Agentur für Netz- und Informationssicherheit (ENISA) modernisieren. Neelie Kroes, zuständig für die Digitale Agenda, ist der Auffassung: „Online-Bedrohungen kennen keine Grenzen“.

Die EU-Kommission plant, Europas Verteidigungsfähigkeit gegen Angriffe auf seine wichtigsten Informationssysteme sicherzustellen. Hierzu wurden am Donnerstag (30. September) Vorschläge für zwei Maßnahmen vorgelegt. Zum einen handelt es sich um eine Richtlinie für den Umgang mit neuen Arten der Cyberkriminalität wie etwa "Cyber-Großangriffen". Zum anderen legte sie einen Vorschlag für eine Verordnung vor, mit der die Europäische Agentur für Netz- und Informationssicherheit (ENISA) gestärkt und modernisiert werden soll.

EU-Innenkommissarin Cecilia Malmström sagte dazu: "Das Verbrechen geht neue Wege. Mit Hilfe von Schadsoftware ist es möglich, die Kontrolle über eine große Zahl von Computern zu gewinnen und Kreditkartennummern zu stehlen, sensible Informationen ausfindig zu machen und Großangriffe zu starten."

Es sei an der Zeit, Bemühungen gegen die häufig auch vom organisierten Verbrechen genutzte Cyberkriminalität zu verstärken. Hierzu seien die vorgelegten Vorschläge ein wichtiger Schritt, "weil wir damit die Erstellung und den Verkauf von Schadsoftware unter Strafe stellen und die europäische polizeiliche Zusammenarbeit verbessern", so Malmström

Bürger sollen sich online "wohl und sicher" fühlen

Die für die Digitale Agenda zuständige Vizepräsidentin der Kommission, Neelie Kroes, erklärte: "Nur wenn die Bürger sich online wohl und sicher fühlen, werden sich auch alle Europäer im digitalen Raum bewegen. Online-Bedrohungen kennen keine Grenzen. Durch die Modernisierung der Europäischen Agentur für Netz- und Informationssicherheit wird neuer Sachverstand entstehen und der Austausch bewährter Praktiken innerhalb Europas gefördert."

EU-Organe und Regierungen müssten sehr eng zusammenarbeiten, damit sie die Art und das Ausmaß der neuen Online-Bedrohungen verstehen lernen, so Kroes. "Die ENISA muss uns mit Rat und Unterstützung dabei zur Seite stehen, effiziente Abwehrmechanismen zu entwerfen, um unsere Bürger und Unternehmen online zu schützen."

Angriffe durch Botnets

Auch wenn Europa darum bemüht sei, das Potenzial von Netzwerken und Informationssystemen voll auszuschöpfen, dürfe es dabei nicht anfälliger für Störungen durch zufällige oder natürliche Ereignisse (wie etwa Tiefseekabelbrüche) oder durch böswillige Handlungen (wie Hacker- oder sonstige Cyberangriffe) werden. Solche Angriffe könnten beispielsweise mithilfe immer ausgefeilterer Instrumente durchgeführt werden, mit denen eine große Zahl von Computern übernommen und zeitgleich als Roboterarmee im Internet ("Botnets") manipuliert werden können, ohne dass die Besitzer dies mitbekommen.

Diese infizierten Computer können später benutzt werden, um gravierende Cyberangriffe gegen öffentliche und private IT-Systeme zu führen – so geschehen in Estland im Jahre 2007, als die meisten öffentlichen Online-Dienste ebenso wie die Server der Regierung, des Parlaments und der Polizei vorübergehend außer Betrieb gesetzt wurden.

Zahl der Angriffe stetig gestiegen

Die Zahl der Angriffe auf Informationssysteme ist stetig gestiegen, seit die EU im Februar 2005 erstmals Regelungen über Angriffe auf Informationssysteme verabschiedete. Im März 2009 griff ein Netz infizierter Computer die Computersysteme staatlicher und privater Organisationen in über 100 Ländern an und verschaffte sich Zugang zu sensiblen und vertraulichen Dokumenten. Auch in diesem Fall erschuf Schadsoftware "Botnets", also Netzwerke infizierter Computer, die ferngesteuert werden können, um einen koordinierten Angriff auszuführen.

Das heute von der Kommission vorgeschlagene Maßnahmenpaket soll die Abwehr der EU gegen Cyberstörungen stärken. Der Vorschlag der Kommission über Cyberkriminalität baut auf Regelungen auf, die seit 2005 gelten, und führt neue erschwerende Umstände und höhere strafrechtliche Sanktionen ein, um die wachsende Bedrohung und Häufigkeit von Großangriffen auf Informationssysteme wirksamer zu bekämpfen.

System zur Rückverfolgung von Cyberangriffen

Damit würde der Weg für eine bessere Zusammenarbeit zwischen den Justiz- und Polizeibehörden der Mitgliedsstaaten geebnet, indem die Mitgliedsstaaten durch die Vorgabe, dringende Ersuchen innerhalb eines festgelegten Zeitrahmens zu bearbeiten, verpflichtet werden, das bestehende Netzwerk rund um die Uhr erreichbarer Kontaktstellen besser zu nutzen.

Schließlich würde die vorgeschlagene Richtlinie auch die Einrichtung eines Systems zur Erfassung und Rückverfolgung von Cyberangriffen vorsehen.

Verstärkte Zusammenarbeit unter Ländern und Industriezweigen

Zur besseren Koordinierung der europäischen Abwehrreaktionen schlägt die Kommission eine neue Verordnung vor, mit der die 2004 ins Leben gerufene ENISA gestärkt und modernisiert wird. Dadurch würde die Zusammenarbeit zwischen EU-Mitgliedsstaaten, Strafverfolgungsbehörden und der Industrie intensiviert. Die ENISA wird bei der Stärkung des für die Entwicklung der Informationsgesellschaft wesentlichen Vertrauens eine wichtige Rolle spielen, indem sie die Sicherheit und Privatsphäre der Nutzer verbessert.

Mit ihrem neuen Mandat würde die ENISA EU-Mitgliedsstaaten und Akteure des Privatsektors in europaweite gemeinsame Maßnahmen einbinden wie etwa Cybersicherheitsübungen, Public-Private-Partnerschaften für Netzwerkstabilität, Wirtschaftsanalysen und Risikobewertung sowie Sensibilisierungskampagnen.

Flexible und anpassungsfähige ENISA

Eine modernisierte ENISA wäre flexibler und anpassungsfähiger und stünde zur Verfügung, um EU-Staaten und -Organen Unterstützung und Rat in Rechtssetzungsfragen zu bieten.

Zu guter Letzt würde die vorgeschlagene Verordnung die größer gewordenen Herausforderungen im Bereich Internetsicherheit berücksichtigen, indem sie das Mandat der ENISA um fünf Jahre verlängern und ihre finanziellen und personellen Mittel schrittweise aufstocken würde. Die Kommission schlägt vor, auch die Führungsstruktur der ENISA zu stärken, indem die Aufsichtsrolle des Verwaltungsrats untermauert wird, in welchem die EU-Mitgliedsstaaten und die Europäische Kommission vertreten sind.

Hintergrund

Die vorgeschlagene Richtlinie über Angriffe auf Informationssysteme hebt den Rahmenbeschluss 2005/222/JI des Rates auf. Die Mitgliedsstaaten wären verpflichtet, der neuen Richtlinie über Cyberkriminalität nachzukommen und sie innerhalb von höchstens zwei Jahren nach ihrer Verabschiedung in innerstaatliches Recht umzusetzen.

Die ENISA wurde 2004 geschaffen, ihr derzeitiges Mandat läuft im März 2012 aus. Es wird nun vorgeschlagen, es um fünf Jahre zu verlängern. Diesem Verordnungsvorschlag ging ein umfassender Prozess voraus, zu dem eine Evaluierung der Agentur, Empfehlungen von deren Verwaltungsrat, zwei öffentliche Konsultationsverfahren und eine Folgenabschätzung einschließlich Kosten-Nutzen-Analyse gehörten.

dto

Links / Dokumente

EU-Kommission: Tackling cyber-attacks – Press Conference (30. September 2010)

Cecilia Malmström, EU-Kommissarin für Inneres: Website

Neelie Kroes, für die Digitale Agenda zuständige Vizepräsidentin der Kommission: Website

Europäischer Rat: Rahmenbeschluss 2005/222/JI des Rates vom 24. Februar 2005 über Angriffe auf Informationssysteme (24. Februar 2005)

EURACTIV.de: Gallo-Bericht: Weckruf oder Dolchstoß? (23. September 2010)

EURACTIV.de: Angriff auf private Internetnutzer? (6. Juli 2010)

EURACTIV.de: Wie offen bleibt das Internet? (30. Juni 2010)

EURACTIV.de: Interview mit Neelie Kroes – "Es geht nicht nur um Microsoft oder Apple" (25. Juni 2010)

EURACTIV.de: Der Schlüssel zu Europas Wohlstand? (18. Mai 2010)