Der Oberste Gerichtshof entschied am Donnerstag gegen die Regierung in einem Fall, der sich um den Computer Fraud and Abuse Act (CFAA) drehte, und schrieb, dass die Auslegung des Gesetzes durch das Justizministerium zu weit gefasst und effektiv angebracht sei. strafrechtliche Sanktionen für eine atemberaubende Menge an alltäglichen Computeraktivitäten.”
Die 6-3 Entscheidung schränkt ein, wie die Bundesregierung das Gesetz nutzen kann, um diejenigen strafrechtlich zu verfolgen, die unrechtmäßig auf ein System zugreifen. In ihrer Mehrheitsmeinung schrieb Richterin Amy Coney Barrett, dass Nathan Van Buren – ein Polizist aus Cummings, Georgia, der wegen Bestechungsgeldern zum Nachschlagen eines Nummernschilds verurteilt wurde – nicht gegen die CFAA verstößt, weil er als Beamter gegeben wurde vollen Zugriff auf die Kennzeichendatenbank.
Barrett wurde von den Richtern Sotomayor, Gorsuch, Kagan, Kavanaugh und Breyer unterstützt, während Thomas, Alito und Chief Justice Roberts anderer Meinung waren. Die CFAA gliedert sich in zwei Klauseln, die nicht nur den rechtswidrigen Zugang zu einem System kriminalisieren, sondern den speziell rechtswidrigen Zugriff auf bestimmte Systeme oder Ordner.
Barrett argumentierte, dass die Regierung mit der Aussage, dass Van Buren seinen “autorisierten Zugriff” als Polizeibeamter überschritten habe, “jeden Verstoß gegen eine Richtlinie zur Computernutzung” kriminalisiere. Wenn dies der Fall wäre, sagte Barrett, würde dies bedeuten, dass “Millionen von ansonsten gesetzestreuen Bürgern Kriminelle sind”.
“Nehmen Sie den Arbeitsplatz. Arbeitgeber geben häufig an, dass Computer und elektronische Geräte nur für geschäftliche Zwecke verwendet werden dürfen”, schrieb Barrett. “Nach der Lesung des Gesetzes durch die Regierung hat eine Mitarbeiterin, die eine persönliche E-Mail sendet oder die Nachrichten über ihren Arbeitscomputer liest, gegen die CFAA verstoßen.”
Ein Großteil der Entscheidung konzentrierte sich auf die Sprachstreitigkeiten zwischen Van Burens Anwälten und dem Justizministerium, die zunächst eine Jury davon überzeugten, Van Buren zu verurteilen. Ein Bezirksgericht verurteilte ihn zu 18 Monaten Gefängnis, aber er legte gegen die Entscheidung Berufung beim 11. Bezirksgericht ein, das sich auch auf die Seite der Regierung mit der Auslegung des Gesetzes stellte.
Aber das Urteil des Obersten Gerichtshofs bestätigte Van Burens Haltung, die besagte, dass die Haftung nach beiden Klauseln der CFAA aus einer “Tore-up-or-down”-Untersuchung resultiert.
„Man kann auf ein Computersystem zugreifen oder nicht, und man kann oder kann auf bestimmte Bereiche innerhalb des Systems zugreifen oder nicht. Wenn die Klausel ‚überschreitet den autorisierten Zugriff‘ Verstöße gegen umstandsbedingte Zugriffsbeschränkungen auf die Computer der Arbeitgeber umfasst, ist es schwer zu erkennen warum es nicht auch Verstöße gegen solche Beschränkungen auf den Computern von Website-Anbietern umfassen würde”, heißt es in dem Urteil.
„Und tatsächlich erklären zahlreiche Amici, warum die Lesung von Unterabschnitt (a) (2) durch die Regierung genau das tun würde – alles kriminalisieren, von der Verschönerung eines Online-Dating-Profils bis zur Verwendung eines Pseudonyms auf Facebook. Die Lesung der Regierung lässt unbeantwortet, warum das Gesetz dies tun würde verbieten den Zugriff auf Computerinformationen, aber nicht auf den Computer selbst, für einen unzulässigen Zweck.”
Anwälte und Rechtsexperten hatten je nach Kundenstamm eine breite Palette von Reaktionen auf das Urteil. Die ACLU lobte die Entscheidung und listete konkrete Fälle auf, in denen die erweiterte Auslegung des Gesetzes Alltagsaktivitäten und Forschung kriminalisierte.
Esha Bhandari, stellvertretende Direktorin des Speech, Privacy, and Technology Project der ACLU, nannte es einen „wichtigen Sieg für die Bürgerrechte und die Durchsetzung der Bürgerrechte im digitalen Zeitalter“ und fügte hinzu, dass es „Forschern und Journalisten ermöglichen wird, gängige Ermittlungstechniken online zu verwenden“. ohne Angst vor CFAA-Haftung.”
Erez Liebermann, ein Partner bei Linklaters, sagte, dass Unternehmen und Regierungsbehörden jetzt zusätzliche Schritte unternehmen müssen, um technologische Barrieren um Daten in ihren Unternehmen zu errichten, wenn sie den Zugriff auf Mitarbeiter einschränken möchten.
Dies wird zwar zusätzliche Kosten verursachen, sagte Liebermann jedoch, dass es Daten sicherer machen kann, sowohl von internen Benutzern als auch von Hackern, die durch das System eines Unternehmens roamen.
“Das Urteil des Gerichts beseitigt eine starke strafrechtliche Abschreckung. Mitarbeiter, die aus Angst vor Strafverfolgung oder Zivilklage vor dem Diebstahl interner Daten zurückschrecken könnten, haben eine Pause eingelegt”, erklärte Liebermann. “Nutzungsbedingungen und Richtlinien zur autorisierten Nutzung, die bereits kleine Zähne hatten, da die meisten Leute sie nicht lesen, wurden nur noch ein paar weitere Zähne ausgeschlagen. Es ist zweifelhaft, dass sie die Grundlage für eine strafrechtliche Verfolgung oder eine Zivilklage bilden könnten.”
Mark Langer, ein Datenschutzbeauftragter von Aleada, sagte, Kritiker und Aktivisten hätten jahrelang gegen das Gesetz gekämpft, weil die derzeitige Struktur der CFAA der Regierung eine breite Befugnis zur Strafverfolgung einräumt und sich dann auf das Ermessen der Staatsanwaltschaft verlässt, um sicherzustellen, dass diese Befugnis nicht missbraucht wird.
„Dass der Oberste Gerichtshof diese weitreichende Auslegung der CFAA zurückdrängt, ist ein großer Schritt, um den Geltungsbereich der CFAA einzuschränken Hoffentlich wird dieser Fall den Bemühungen des Kongresses, diese Gesetze in das 21. Jahrhundert zu bringen, Schwung verleihen”, sagte Langer.
Der Anwalt von Epstein Becker Green, Aime Dempsey, erklärte, dass das Gesetz seit der Verabschiedung in den 1980er Jahren zur Verfolgung von Hackern und als Möglichkeit für Unternehmen verwendet wurde, bestimmte Mitarbeiter auf Schadensersatz und andere Strafen zu verklagen.
Dempsey wiederholte Liebermanns Meinung und teilte ZDNet mit, dass Arbeitgeber den Zugang von Mitarbeitern strenger einschränken müssten, nachdem der Oberste Gerichtshof entschieden hat, dass selbst wenn unrechtmäßiger Zugang gegen die Unternehmensrichtlinien verstoßen kann, er nicht gegen die CFAA verstößt.
“Wenn ein Unternehmen eine Richtlinie hat, dass jemand gefeuert wird, wenn er Informationen missbraucht, würde diese Entscheidung nichts daran ändern. Sie würde nur den Zugang zu diesem bestimmten Statut der CFAA strafrechtlich oder zivilrechtlich ändern “, sagte Dempsey.
Alan Brill, Senior Managing Director in der Cyber Risk Practice der Anwaltskanzlei Kroll, sagte, dass das Urteil “den Leuten keine Freikarte für den Diebstahl oder Missbrauch von Daten gibt, da in bestimmten Fällen andere Gesetze gelten.”
< p>Unternehmen müssen prüfen, wie ihre Systeme aufgebaut sind und ob sie zu vielen Mitarbeitern Zugriff auf zu viele Informationen geben, sagte er.
„Ich würde wahrscheinlich den General Counsel, den Personalleiter, den IT-Manager und den Compliance-Beauftragten zusammenrufen und mir ansehen, welche Regeln unsere Organisation für den Umgang mit und den Missbrauch von Daten hat. Ich möchte sicherstellen, dass sie sehr klar geschrieben sind.“ heraus und ich möchte sicherstellen, dass sie im Lichte der anderen Gesetze und Arbeitsgesetze angemessen formuliert wurden”, erklärte Brill.
Regeln und Strafen sollten in Übereinstimmung mit Tarifverträgen erklärt und skizziert werden, fügte Brill hinzu. Einige Unternehmen sollten erwägen, ihre Mitarbeiter aktualisierte Geheimhaltungsvereinbarungen oder Computernutzungsvereinbarungen unterzeichnen zu lassen.
“Dies ist ein mehrdimensionales Problem, das eine gut durchdachte, mehrdimensionale Antwort erfordert”, sagte Brill.
“Aber wenn wir bei den Grundlagen bleiben und den Menschen Zugang zu dem geben, was sie brauchen, und ihnen keinen Zugang zu dem, was sie nicht brauchen, werden wir uns sehr gegen die Auswirkungen von immunisieren diese Entscheidung.”
Siehe das
Hacken von Schwachstellen mit dem Internet der Dinge: Risiken und Sicherheitslücken
Das Internet der Dinge eröffnet eine Welt voller Möglichkeiten für unser vernetztes Leben. Aber was wäre, wenn ein Hacker die Kontrolle über die Dinge erlangen könnte, die uns am meisten bedeuten. Hier untersuchen wir einige mögliche Hacking-Szenarien, die einfach passieren könnten.
Weiterlesen
Verwandte Themen:
Datenmanagement CXO Security Innovation Smart Cities < img src="https://www.zdnet.com/a/hub/i/r/2019/10/28/e1751fe3-e83c-4bc5-b425-4f3cfa6f6748/thumbnail/40x40/78c098d179dea31321b940b2645d1b4e/headshot-2.jpg" class="" height="40" width="40" alt="Jonathan Greig" height="40" width="40" title="Urteil des Obersten Gerichtshofs begrenzt die Anwendung des Hacking-Gesetzes" />