BECKMANN UND NORDA - Rechtsanwälte Bielefeld

Die EU-Kommission hat ihren Entwurf für den EU Cyber Resilience Act vorgelegt. Dieser soll die Cybersicherheit von Produkten mit digitalen Elementen erhöhen.

1. Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act als PDF-Datei

2. Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act als PDF-Datei


Die Meldung der EU-Kommission:

The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products.

EU Cyber Resilience Act - For safer and more secure digital products

Hardware and software products are increasingly subject to successful cyberattacks, leading to an estimated global annual cost of cybercrime of €5.5 trillion by 2021.

Such products suffer from two major problems adding costs for users and the society:

a low level of cybersecurity, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner.

While existing internal market legislation applies to certain products with digital elements, most of the hardware and software products are currently not covered by any EU legislation tackling their cybersecurity. In particular, the current EU legal framework does not address the cybersecurity of non-embedded software, even if cybersecurity attacks increasingly target vulnerabilities in these products, causing significant societal and economic costs.

Two main objectives were identified aiming to ensure the proper functioning of the internal market:

1.create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle; and

2. create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements.

Four specific objectives were set out:

1. ensure that manufacturers improve the security of products with digital elements since the design and development phase and throughout the whole life cycle;

2. ensure a coherent cybersecurity framework, facilitating compliance for hardware and software producers;

3. enhance the transparency of security properties of products with digital elements, and

4. enable businesses and consumers to use products with digital elements securely.

Der Bundesrat hat den Entwurf eines Strafrechtsänderungsgesetzes zur Strafbarkeit der unbefugten Benutzung informationstechnischer Systeme - Digitaler Hausfriedensbruch vorgelegt.

Aus dem Entwurf:

Zur Erreichung eines angemessenen Schutzniveaus für die Vertraulichkeit und Integrität informationstechnischer Systeme sollen die Rechtsgedanken des § 123 StGB und des § 248b StGB in die digitale Welt übertragen und ein neuer § 202e StGB geschaffen werden. Mit der neuen Vorschrift soll die unbefugte Benutzung informationstechnischer Systeme unter Strafe gestellt werden. IT-Systeme sind mindestens ebenso schutzwürdig wie das Hausrecht und wie das ausschließliche Benutzungsrecht an Fahrzeugen. Derzeit sind sogar Fahrräder besser geschützt als Computer mit höchstpersönlichen Daten. Die Gefahr für die Allgemeinheit, die von unbefugt genutzten informationstechnischen Systemen ausgeht, ist, wie oben dargelegt, hoch.

Damit kann ein lückenloser strafrechtlicher Schutz aller Systeme und die Strafbarkeit nahezu aller Angriffsarten sichergestellt werden, denn die Infiltration von Computern und Cyberangriffe jeder Art beinhalten als Teilkomponente regelmäßig die Fernsteuerung, also das Beeinflussen oder Auslösen von informationstechnischen Vorgängen durch Dritte.

Die Formulierung des § 202e StGB-E ist technikoffen, was zu einer guten praktischen Handhabbarkeit führen und Beweis- und Abgrenzungsschwierigkeiten vermeiden soll. Technische Zufälle in der Konfiguration der Opfersysteme sollen zukünftig keine Rolle mehr spielen.

BGH
Beschluss vom 11.01.2017
5 StR 164/16

Der BGH hat entschieden, das DDoS-Attacken auch dann als Computersabotage nach § 303b Abs. 1 StGB strafbar sind, wenn die angegriffene Internetpräsenz rechtswidrigen Zwecken dient.

Leitsatz des BGH:

Für die Verwirklichung des objektiven Tatbestandes des § 303b Abs. 1 StGB ist es unerheblich, ob der betroffene Datenverarbeitungsvorgang rechtmäßigen oder rechtswidrigen Zwecken dient.

BGH, Beschluss vom 11. Januar 2017 5 StR 164/16 - LG Leipzig

Den Volltext der Entscheidung finden Sie hier:

LG Düsseldorf
Urteil vom 22.03.2011
3 KLs 1/11
DDos-Attacke


Das LG Düsseldorf hat entschieden, dass DDoS-Attacken (Distributed Denial of Service-Attacken) als Computersabotage gemäß § 303b StGB strafbar sind. Der Täter wurde wegen gewerbsmäßiger Erpressung in Tateinheit mit Computersabotage in sechs Fällen zu einer Gesamtfreiheitsstrafe von zwei Jahren und zehn Monaten verurteilt.

Den Volltext der Entscheidung finden Sie hier:

§ 303b Computersabotage

(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er

1. eine Tat nach § 303a Abs. 1 begeht,
2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder
3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,

wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.

(3) Der Versuch ist strafbar.

(4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter

1. einen Vermögensverlust großen Ausmaßes herbeiführt,
2. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat,
3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt.

(5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.

LG Düsseldorf
Urteil vom 22.03.2011
3 KLs 1/11
DDos-Attacke


Das LG Düsseldorf hat entschieden, dass DDoS-Attacken (Distributed Denial of Service-Attacken) als Computersabotage gemäß § 303b StGB strafbar sind. Der Täter wurde wegen gewerbsmäßiger Erpressung in Tateinheit mit Computersabotage in sechs Fällen zu einer Gesamtfreiheitsstrafe von zwei Jahren und zehn Monaten verurteilt.

Den Volltext der Entscheidung finden Sie hier:

§ 303b Computersabotage

(1) Wer eine Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist, dadurch erheblich stört, dass er

1. eine Tat nach § 303a Abs. 1 begeht,
2. Daten (§ 202a Abs. 2) in der Absicht, einem anderen Nachteil zuzufügen, eingibt oder übermittelt oder
3. eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht, beseitigt oder verändert,

wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.

(2) Handelt es sich um eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, ist die Strafe Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe.

(3) Der Versuch ist strafbar.

(4) In besonders schweren Fällen des Absatzes 2 ist die Strafe Freiheitsstrafe von sechs Monaten bis zu zehn Jahren. Ein besonders schwerer Fall liegt in der Regel vor, wenn der Täter

1. einen Vermögensverlust großen Ausmaßes herbeiführt,
2. gewerbsmäßig oder als Mitglied einer Bande handelt, die sich zur fortgesetzten Begehung von Computersabotage verbunden hat,
3. durch die Tat die Versorgung der Bevölkerung mit lebenswichtigen Gütern oder Dienstleistungen oder die Sicherheit der Bundesrepublik Deutschland beeinträchtigt.

(5) Für die Vorbereitung einer Straftat nach Absatz 1 gilt § 202c entsprechend.