Der Europarat bläst zur Attacke auf Cyberkriminelle

Eine weit gefasste Konvention soll den Spielraum von Hackern, Crackern und Cyberterroristen einengen, doch auch die Sicherheit und Offenheit des Netzes könnten darunter leiden

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Der Europarat will scharfe Geschütze auffahren gegen Hacker, Cracker, Pädophile oder Copyright-Verächter unter den Surfern. Nachdem in Straßburg und Brüssel bereits mehrfach Aktionspläne für ein sauberes Internet aufgelegt wurden, veröffentlichte das von 41 Nationen getragene Gremium nun in der letzten Aprilwoche einen Entwurf für eine Konvention gegen Verbrechen im Internet. Die Übereinkunft soll ähnliche Vorhaben im Bereich der G8-Staaten, der Europäischen Union, der OECD oder der Vereinten Nationen ergänzen, hat aber deutlich ambitioniertere Ziele: In einer Pressemitteilung bezeichnet der Rat die Konvention als den "ersten internationalen Vertrag, der das Strafgesetz und voneinander abhängige Aspekte verschiedener Arten von kriminellen Handlungen gegen Computersysteme, Netzwerke oder Daten" berührt.

Dementsprechend weit sind die Bereiche, die von der Konvention berührt werden: An vorderster Front sollen das Hacken/Cracken und die dafür benötigten Werkzeuge, die in der Regel allerdings auch von Sicherheitsexperten zur Überprüfung der Funktionstüchtigkeit von Servern verwendet werden, von den Unterzeichnern in einer koordinierten Aktion kriminalisiert und verboten werden. Zum Verbrechen erklärt werden soll außerdem das illegale Abfangen von Daten oder die Beeinträchtigung von Rechnersystemen bzw. Täuschungsversuche, die mit Computern gestartet werden. Auch Verstöße gegen internationale Urheberrechtsabkommen wie die Berner Konvention, die TRIPS-Vereinbarung im Rahmen der WTO oder den Mitte der 1990er ausgehandelten Copyright-Vertrag der WIPO oder der Besitz von und der Handel mit kinderpornographischem Material sollen als kriminelle Handlungen im Rahmen der Ratskonvention von den unterzeichnenden Ländern verfolgt werden. Die vorgesehenen Strafen, für die das geplante Übereinkommen internationale "Mindeststandards" festsetzen will, reichen von Geldbußen bis zur Freiheitsentziehung.

Als Begründung für das scharfe Vorgehen gegen Hacker und die Kriminalisierung von Hackertools, die von der europäischen Expertengruppe für Cyberkriminalität, PC-CY, seit langem vorbereitet wurde, führt die Pressemitteilung vor allem die Attacken vom Februar auf kommerzielle Webserver von Firmen wie Amazon.com, Buy.com, Ebay.com oder Yahoo.com an. Sie hätten gezeigt, dass "Cyberkriminelle und Cyberterroristen die Interessen von Wirtschaft und Regierungen bedrohen und kolossale Schäden anrichten könnten."

Ganz abgesehen davon, dass die betroffenen Internetunternehmen ihre Schäden selbst als äußerst gering angegeben haben, würde ein Verbot von Hackertools zwar auf der einen Seite Terroristen sicherlich nicht vor dem Einsatz ähnlicher "Waffenarsenale", wie sie im Februar für die Serverüberflutungen verwendet wurden, abhalten. Andererseits würde aber zahlreichen Administratoren und Sicherheitsprüfern ihr Handwerk erschwert bzw. unter ihnen eine neue Klasse von "Cyberkriminellen" hervorgebracht werden, da sie selbst mit Hackerwerkzeugen potentielle Einbruchstellen in den von ihnen betreuten Rechnersystemen ausfindig machen. Hacker selbst sehen ihre "Arbeit" in der Regel ja als "Sicherheitscheck" an, für den sie eigentlich von den betroffenen Firmen noch bezahlt werden müssten. Das generelle Verbot von Hackertools dürfte sich daher sogar als kontraproduktiv im Kampf gegen die neue Klasse von "Cybervandalen auswirken, die Webserver gezielt mit Datenmüll beschießen.

Über konkrete Überwachungspläne wird Stillschweigen gewahrt

Die angegriffenen Webunternehmen haben zudem mehrfach klar gemacht, dass sie die Bedrohungen selbst in den Griff bekommen. "Es liegt in der Verantwortung der Industrie, Lösungen zu finden", sagte selbst der Chef der am Tag ihres Börsengangs Anfang Februar attackierten US-Firma Buy.com kürzlich. Er wüsste nicht, warum die Regierung eingreifen sollte. Auch Meg Whitman, die resolute Managerin von Ebay.com, ist der Ansicht, "dass wir das selbst hinkriegen." Die Angriffe hätten zu einer verstärkten Kooperation der betroffenen Firmen und zum Aufbau eines gemeinsamen "Frühwarnsystems" geführt, so dass alle später erfolgten Angriffe innerhalb weniger Minuten hätten abgewendet werden können. James Dempsey vom Washingtoner Center for Democracy and Technology (CDT) hatte allerdings bereits im Februar befürchtet, "dass die jüngsten Attacken als eine Rechtfertigung für Gesetzesinitiativen und andere Regierungsmandate dienen werden, die Bürgerrechte und die positiven Aspekte der Offenheit und der relativen Anonymität des Internet verletzen." ( Gefährlicher Hang zur Sicherheit)

Geht es nach den Verfassern der Konvention, wird vom Recht auf die weitgehend anonyme Nutzung von Webdiensten, die in Deutschland bisher unter anderem das Informations- und Kommunikationsdienste-Gesetz garantiert, nicht viel übrig bleiben. Noch gibt es zwischen den an der Übereinkunft arbeitenden Parteien zwar keine einstimmige Meinung zur generellen Überwachung des gesamten Email- und Webverkehrs. Zumindest schweigt sich das veröffentlichte Dokument über die bereits vorgesehenen Artikel zu diesem Bereich aus, da sie sich "noch in der Diskussion" befänden. Es wäre aber nicht verwunderlich, wenn die Konvention hier ähnliche Ansprüche festzuschreiben versuchte, wie die nach wie vor in den Schubladen europäischer Polizeiarbeitsgruppen schlummernden und letztlich von den Wünschen des FBI beeinflussten Enfopol-Papiere.

Weniger bedeckt hält sich der im Web verfügbare Vertragsentwurf bei der Konfiszierung und Überprüfung von verdächtigem Computermaterial. In Artikel 14 wird betont, dass jede der Unterschriftsparteien legislative Maßnahmen ergreifen soll, die notwendig sind, um ihren Behörden die Möglichkeit zur Durchsuchung von Rechnersystemen oder zu Teilen der auf den betroffenen Computern gespeicherten Daten im Rahmen einzuräumen. Die beteiligten Länder sollen sich zudem nach Artikel 17 dazu verpflichten, "ausreichendes Datenmaterial" zu sammeln und Strafverfolgern zur Verfügung zu stellen, "um die Internetprovider zu identifizieren sowie die Wege, über die die Kommunikation übertragen wurde." Wie lange Provider die so genannten Logfiles, die Bewegungen und Datenabrufe eines Nutzers protokollieren, aufheben müssen, wird in dem Abkommensentwurf nicht ausgeführt.

Straffer Zeitplan zur Verabschiedung der Konvention

Um den beschriebenen Zielen nachkommen zu können, sollen sich die der Konvention beitretenden Staaten, zu denen der Europarat aber auch Länder wie die USA, Kanada, Japan und Südafrika zählt, gegenseitig der "größtmöglichen Unterstützung" versichern können. Wo keine expliziten Rechtshilfeabkommen - wie innerhalb der EU geplant - die gemeinsame Verbrecherjagd vereinfachen, sollen vergleichbare Vorkehrungen dank der Übereinkunft möglich werden. So ist vorgesehen, dass jedes beteiligte Land eine zentrale Behörde einrichtet, die Anfragen zur gegenseitigen Rechtshilfe entgegennimmt und zur Ausführung an die entsprechenden Einheiten weiterleitet. Informationen über Kriminalfälle sollen innerhalb der Grenzen der Gesetzgebung eines Landes mit anderen Staaten ausgetauscht werden können.

Der Zeitplan für die Verabschiedung der Konvention ist relativ straff angesichts eines derart international angelegten und eine solche Bandbreite von Verbrechen behandelnden Vorhabens: Zunächst soll Unternehmen sowie privaten und öffentlichen Einrichtungen die Chance gegeben werden, ihre Kommentare zu dem Projekt an den Europarat zu senden. Mit der von einer "Expertengruppe" fertig gestellten Version wird bis zum Dezember 2000 gerechnet. Wenn das Ministerkomitee den Vertragstext gut heißt, könnte die Konvention im Herbst 2001 dann unterschriftsreif sein.