Press release


en | de

EU cyber attack legislation

EU anti-hacker law takes totally flawed approach to internet security


The European Parliament's home affairs committee today voted to endorse a legislative agreement reached with Council on EU rules governing cyber attacks (criminal attacks against information systems). The Greens opposed the agreement due to the failure to properly deal with security concerns or to differentiate between different types of system breaches and hackers. After the vote, Green justice spokesperson Jan Philipp Albrecht stated:

"The blunt new rules on criminalising cyber attacks endorsed today take a totally flawed approach to internet security. The broad strokes approach to all information system breaches, which would apply criminal penalties for minor or non-malicious attacks, risks undermining internet security. The legislation confirms the trend towards ever stronger criminal sanctions despite evidence, confirmed by Europol and IT security experts, that these sanctions have had no real effect in reducing malicious cyber attacks. Top cyber criminals will be able to hide their tracks, whilst criminal law and sanctions are a wholly ineffective way of dealing with cyber attacks from individuals in non-EU countries or with state-sponsored attacks.

"Significantly, the legislation fails to recognise the important role played by 'white hat hackers' in identifying weaknesses in the internet's immune system, with a view to strengthening security. This will result in cases against these individuals, who pose no real security threat and play an important role in strengthening the internet, whilst failing to properly deal with real cyber criminals. The result will leave hardware and software manufacturers wholly responsible for product defects and security threats, with no incentive to invest in safer systems.

"MEPs had initially supported a number of Green proposals aimed at ensuring this legislation can contribute to internet security, and is not simply an ineffective law to punish unauthorised log-ons to open servers. However, most positive elements were frittered away in the legislative negotiations, due to the resistance of EU governments. The result is a heavy-handed and misdirected law that will do little to improve internet security."

Cyber-Angriffe

Viel Law and Order, wenig echte Sicherheit!


Der Innenausschuss des Europäischen Parlaments hat heute die neue mit dem Ministerrat ausgehandelte Strafrechts-Richtlinie zu "Angriffen auf Informationssysteme" angenommen. Die Fraktion Grüne/EFA hat gegen die Richtlinie gestimmt, da zentrale Forderungen für mehr IT-Sicherheit nicht aufgegriffen wurden. Jan Philipp Albrecht, innen- und justizpolitischer Sprecher der Grünen im Europäischen Parlament, erklärt dazu:

"Leider hat die Mehrheit im Europäischen Parlament heute einseitig die Kriminalisierung von Hackerangriffen vorangetrieben ohne dabei dringend gebotene Differenzierungen bei der Strafbarkeit sowie relevante Forderungen für echte IT-Sicherheit aufzunehmen. Seit der Cybercrime-Konvention des Europarates von 2001 wurden die Straftatbestände und Strafmaße bei Hackerangriffen immer weiter ausgeweitet. Das Ergebnis ist ernüchternd: Europol und die IT-Sicherheitsindustrie bestätigen, dass die Probleme dadurch nicht weniger geworden sind. Die wirklichen Top-Cyberkriminellen können ihre Spuren verwischen, und gegen Angriffe von Drittstaaten bleibt das Strafrecht ein wirkungsloses Mittel. Immer wieder werden stattdessen tüftelnde Jugendliche oder Hersteller von Test-Software zur IT-Sicherheit kriminalisiert, die bislang als Immunsystem des Internet eine wichtige Funktion haben. Das Grundproblem wird nicht angegangen: Hard- und Softwarehersteller müssen auch weiterhin nicht für Produktmängel haften und haben somit keinerlei Anreize, in sicherere Systeme zu investieren.

Enttäuschend ist vor allem, dass eben diese Forderungen den Verhandlungen mit dem Ministerrat zum Opfer fielen. Noch zu Beginn der Verhandlungen hatten wir es als Grüne geschafft, eine Mehrheit des Europäischen Parlaments von diesen wichtigen Änderungen zu überzeugen. So war im Verhandlungsmandat des Parlaments etwa vorgesehen, dass das einfache Mitbenutzen eines offenen WLAN-Hotspots oder unautorisiertes Einloggen auf einem offen zugänglichen Server nicht als "Angriff" im strafrechtlichen Sinne gewertet werden kann. Die Mitgliedstaaten waren aber leider nicht gewillt, wirklich substanzielle Zugeständnisse zu machen. Insbesondere haben sie verhindert, dass die mangelnde IT-Sicherheit durch die Regeln zur Verantwortlichkeit von Systembetreibern deutlich verbessert wird. Die neue Richtlinie verschärft im Ergebnis die geltende Rechtslage, ohne dabei echte Gewinne bei der Sicherheit zu liefern. Ein gutes Ergebnis sieht anders aus."