USA: Sicherheitsforschung soll straffrei bleiben

Department of Justice
Die Electronic Frontier Foundation kritisiert, das Gesetz sei in der Vergangenheit bereits missbraucht worden. Auch die neue Richtlinie könne das künftig nicht verhindern. (Quelle: IMAGO / Pacific Press Agency)

IT-Sicherheitsforschern soll in den USA keine Strafverfolgung mehr auf Bundesebene nach dem “Computer Fraud and Abuse Act” (CFAA) drohen. Das geht aus einer in der vergangenen Woche vom US-Justizministerium veröffentlichten Richtlinie hervor, die Bundesstaatsanwälte befolgen müssen, wenn sie Anklage aufgrund des Gesetzes erheben wollen. Sie gilt ab sofort. Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) begrüßte die neue Richtlinie zwar als “wichtigen Schritt”, forderte aber eine umfassende Gesetzesreform.

Das Gesetz existiert seit dem Jahr 1986 und verbietet den Zugriff auf “geschützte Computer” ohne vorherige Genehmigung. Das US-Justizministerium teilte nun mit, Sicherheitsforschung mit “ausschließlich” guten Absichten solle aber strafrechtlich nicht verfolgt werden. Dazu zähle, wenn sich Personen Zugriff auf ein System verschaffen, um Sicherheitslücken zu finden oder zu schließen. Das Vorgehen müsse dazu dienen, die Sicherheit von Online-Diensten oder anderen IT-Systemen zu fördern – Schäden für Einzelpersonen oder die Allgemeinheit müssten dabei vermieden werden.

Die neue Richtlinie sei kein Freifahrtschein für böswilliges Handeln: Die alleinige Behauptung, Sicherheitsforschung zu betreiben, reiche nicht aus. Wenn Schwachstellen aufgespürt würden, um etwa Unternehmen zu erpressen, droht weiterhin Strafverfolgung.

Supreme-Court-Urteil

Gleichzeitig stellt die Richtlinie klar, dass eine strafrechtliche Verfolgung nach dem CFAA in bestimmten Fällen nicht möglich ist: Zum Beispiel, wenn Sicherheitsforscher etwa in sozialen Netzwerken ein Pseudonym verwenden, obwohl die Nutzungsbedingungen dies verbieten. Auch wenn eine Person ihren Arbeitscomputer entgegen der Richtlinien des Arbeitgebers verwendet, um beispielsweise Sportergebnisse aufzurufen, ist dies kein Verstoß gegen das Gesetz.

Im vergangenen Jahr hatte bereits der Supreme Court zum CFAA geurteilt, dass bei einem Verstoß gegen die Nutzungsbedingungen nicht zwangsweise ein Verstoß gegen den CFAA vorliegt: In dem konkreten Fall hatte eine Person – entgegen der Nutzungsbedingungen – Daten aus einem System verwendet, zu dem sie autorisierten Zugang hatte.

Das aus den 1980er Jahren stammende Gesetz steht schon lange in der Kritik. Die EFF moniert beispielsweise vage Formulierungen, die einen großen Ermessensspielraum bei der strafrechtlichen Verfolgung bieten würden. Die neue Richtlinie sei zwar ein wichtiger Schritt, um den Beitrag von Sicherheitsforschern anzuerkennen. Aus Sicht der Organisation reicht sie aber nicht aus, um tatsächlich vor Strafverfolgung und “unverhältnismäßigen Gefängnisstrafen” zu schützen.

Die EFF kritisiert auch, die Richtlinie gelte nur, wenn Personen “ausschließlich” mit guten Absichten handeln. Diese Formulierung lasse offen, ob sie strafrechtlich verfolgt werden können, wenn sie eine Schwachstelle finden und offenlegen, damit diese behoben werden kann, aber dafür auch bezahlt werden.

Außerdem moniert die EFF, dass die Richtlinie für Gerichte nicht bindend ist und jederzeit aufgehoben werden kann. Zudem bestehe weiterhin das Risiko von zivilrechtlichen Klagen.

Anklagen weiter möglich

Einige Bundesstaaten hätten ähnliche Gesetze, die teils noch weitreichender seien als der CFAA. Diese Problematik werde vom US-Justizministerium nicht angegangen. Im vergangenen Jahr hatten beispielsweise Journalisten einer Lokalzeitung aus dem US-Bundesstaat Missouri den öffentlich zugänglichen Quelltext der Internetseite des dortigen Bildungsministeriums inspiziert – und eine Sicherheitslücke gefunden. Angreifer hätten durch die Schwachstelle die Sozialversicherungsnummern von etwa 100.000 Lehrkräften abgreifen können. Die Redakteure hatten das Ministerium vor Veröffentlichung ihres Artikels informiert. Der republikanische Gouverneur von Missouri, Mike Parson, hatte den Journalisten daraufhin mit Anklage auf Basis eines lokalen Gesetzes gedroht.

Die EFF warnt, die Richtlinie zum CFAA sehe Ausnahmen vor, bei denen es dennoch zu einer Anklage kommen könne: Beispielsweise, wenn Personen durch eine Unterlassungserklärung informiert werden, dass sie für den Zugriff auf Daten nicht autorisiert sind. Auf diese Weise hätten Firmen wie LinkedIn und Facebook den CFAA bereits in der Vergangenheit missbraucht. Die Richtlinie des US-Justizministeriums enthalte keine konkreten Bestimmungen, um dies zu verhindern.

Die EFF fordert daher eine “umfassende Reform des CFAA”, um das Gesetz weiter einzuschränken. (js)