Der Computer Fraud and Abuse Act (CFAA), ein umstrittenes Anti-Hacking-Gesetz, das den „überschreitenden autorisierten Zugriff“ auf ein Computersystem verbietet, wurde am Donnerstag vom Obersten Gerichtshof in einem 6-3 Urteil eingeschränkt . Das Gericht sagte, dass das Gesetz Menschen, die Systeme missbrauchen, auf die sie zugreifen dürfen, nicht abdecken sollte – und dass eine anderweitige Behauptung eine „atemberaubende Menge“ der alltäglichen Computernutzung kriminalisieren würde.
Der Gerichtsfall Van Buren gegen USA betrifft einen ehemaligen Polizisten aus Georgia namens Nathan Van Buren. Van Buren akzeptierte 5.000 US-Dollar, um das Nummernschild einer Frau in einer Polizeidatenbank zu suchen. (Der Deal war eigentlich eine FBI-Stich-Operation, und das Kennzeichen war fiktiv.) Da der Austausch gegen die Vorschriften der Abteilung verstieß, sagte die Staatsanwaltschaft, Van Buren habe “den Zugang zum System überschritten”. Van Burens Anwälte argumentierten, dass er unabhängig davon, ob er die Datenbank missbrauchte oder nicht, berechtigt war, darauf zuzugreifen – und daher nicht gegen Anti-Hacking-Gesetze verstoßen hatte.
Fälle sollten auf Gate-Crash-Systemen beurteilt werden, nicht auf Datenmissbrauch
Die Mehrheitsmeinung des Obersten Gerichtshofs, die von Richterin Amy Coney Barrett abgegeben wurde, stimmte zu. Es stützte sich auf einen „Gates-up-or-down“-Ansatz bei der Autorisierung: Der Zugriff auf Teile eines Systems, die ausdrücklich verboten sind, verstößt gegen die CFAA-Regeln, aber der einfache Zugriff auf autorisierte Bereiche auf nicht genehmigte Weise nicht.
Barretts Meinung besagt, dass Menschen routinemäßig die Regeln von Computern und Webdiensten verbiegen oder brechen. „Die Auslegung der Klausel ‚überschreitet autorisierten Zugang‘ durch die Regierung würde eine atemberaubende Menge an alltäglichen Computeraktivitäten mit strafrechtlichen Sanktionen belegen“, schrieb sie. „Wenn die Klausel ‚überschreitet autorisierten Zugriff‘ jeden Verstoß gegen eine Richtlinie zur Computernutzung kriminalisiert, dann sind Millionen von ansonsten gesetzestreuen Bürgern Kriminelle.“ Das Gesetz könnte beispielsweise einen Mitarbeiter abdecken, der eine persönliche E-Mail auf einem Arbeitscomputer sendet, oder „alles kriminalisieren, von der Verschönerung eines Online-Dating-Profils bis zur Verwendung eines Pseudonyms auf Facebook“.
Es könnte „alles kriminalisieren, von der Verschönerung eines Online-Profils“ Dating-Profil zur Verwendung eines Pseudonyms auf Facebook”
Rechtsexperten und Befürworter der bürgerlichen Freiheiten lobten das Gesamturteil weitgehend. „Dies ist ein wichtiger Sieg für die Bürgerrechte und die Durchsetzung der Bürgerrechte im digitalen Zeitalter“, sagte Esha Bhandari, stellvertretende Direktorin des Projekts für Rede, Datenschutz und Technologie der American Civil Liberties Union. Die Mitarbeiter der Electronic Frontier Foundation, Aaron Mackey und Kurt Opsahl, nannten die Entscheidung ebenfalls einen Sieg und sagten, das Gericht habe „eine gute Sprache geliefert, die zum Schutz von Forschern, investigativen Journalisten und anderen beitragen sollte“. (Beide Organisationen haben zuvor Schriftsätze zur Unterstützung von Van Buren eingereicht.)
CFAA kann verwendet werden, um rechtmäßig böswilliges Hacking zu bekämpfen, aber es ist auch notorisch vage, und verschiedene Anklagen können Strafen von bis zu nach sich ziehen 5, 10 oder 20 Jahre Gefängnis. Kritiker argumentieren, dass diese Kombination Forscher und andere Personen bedroht, die frei zugängliche Informationen auf nicht genehmigte Weise verwenden. Bundesanwälte können einschüchternde Anklagen gegen Ziele erheben, wie es bei . der Fall warAktivist Aaron Swartz, der 2013 durch Selbstmord starb, während er strafrechtlich verfolgt wurde. Unternehmen können damit auch Journalisten oder Mitarbeiter belästigen, die Dokumente durchsickern lassen.
Die Definition von Hacking durch die CFAA war bekanntlich weit gefasst
Theoretisch müssen Staatsanwälte nun feststellen, dass Benutzer tatsächlich auf Teile eines Systems zugegriffen haben, die ihnen gesperrt waren. „Ich denke, es ist ein wirklich beachtlicher Deal“, sagt James Grimmelman, Professor an der Cornell University Law School, gegenüber The Verge. „Es verdeutlicht wirklich, dass Mitarbeiter, die Computer illoyal verwenden, kein Thema der CFAA ist, und das bläst einen enormen Teil der kriminellen und zivilen Nutzung der CFAA weg.“ Das Urteil könnte auch Fälle betreffen, in denen es um Scraping oder die Massensammlung öffentlich zugänglicher Daten von Websites geht.
Mitarbeiter könnten sich immer noch anderer Straftaten schuldig machen, wie zum Beispiel des Diebstahls von Geschäftsgeheimnissen, sagt Grimmelman, und Datenschaber könnten mit CFAA-Anklagen rechnen, wenn ihre Aktivitäten dazu führen, dass eine Website nicht mehr zugänglich wird. Aber Van Buren legt die Messlatte für das, was als kriminelles Hacking gilt, höher. „Man wird eine Menge Dinge los, die nicht wirklich High-Tech sind, gefährliche Hackerkriminalität“, sagt er.
Was ist ein Tor? Es ist eine offene Frage
Das Urteil lässt aber auch entscheidende Fragen offen. Die Entscheidung des Gerichts beruhte letztendlich nicht auf der Gesamtwirkung oder Gültigkeit des Gesetzes. Es konzentrierte sich auf eine Wörterbuchdefinition eines Wortes („so“), um zu entscheiden, ob „überschreitung des autorisierten Zugriffs“ wie ein ähnliches Verbot der Computernutzung „ohne Autorisierung“ definiert werden sollte – die die Gate-Metapher verwendet. Und obwohl es heißt, dass Übertreter ein metaphorisches „Tor“ umgangen haben müssen, definiert es diese Tore nicht fest. Auf Twitter wies der Berkeley Law-Professor und CFAA-Experte Orin Kerr auf eine Fußnote hin, die darauf hindeutet, dass Gates technische Barrieren oder Regeln in einem Vertrag sein könnten – in Kerrs Worten etwas so weit gefasstes wie „Nicht auf diesen Computer für schlechte Zwecke zugreifen“. /p>
„Ob die Zugangsbeschränkung technologischer oder vertraglicher Art sein muss, ist noch offen“, sagt die ehemalige EFF-Mitarbeiterin und Anwältin für Computerkriminalität Hanni Fakhoury. Wie Fakhoury feststellt, ist es in dem Urteil nicht unbedingt „plausibel“, dass die CFAA sich auf feine semantische Unterscheidungen in privaten Verträgen stützt. „Mir scheint sicherlich, dass sie sich bei der Vorstellung nicht wohl fühlen, dass die CFAA irgendwie zu einem Instrument werden würde, um vertragliche Verpflichtungen zu kriminalisieren“, schließt er. Aber diese große Frage bleibt den unteren Gerichten überlassen – zumindest bis ein weiterer Fall den Obersten Gerichtshof erreicht.