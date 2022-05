Das US-Justizministerium will Cybersicherheitsforschung "in gutem Glauben" nicht mehr mit dem Anti-Hacker-Paragraphen Computer Fraud and Abuse Act (CFAA) verfolgen. Das steht in einer überarbeiteten Direktive zur Anwendung des 1986 in Kraft getretenen Gesetzes, die unmittelbar gilt. Sie schreibt die Bundesanwaltschaft vor, worauf sie bei Anklagen unter Berufung auf den CFAA achten soll. Die Änderung werde die Cybersicherheit verbessern, indem für gutmeinende Sicherheitsforschung und die Suche nach IT-Schwachstellen im Interesse der Allgemeinheit Klarheit geschaffen werde, begründete die stellvertretende US-Justizministerin Lisa Monaco den Schritt.

EFF nur teils zufrieden mit Auslegung des Anti-Hacking-Gesetzes

Unter dem Computer Fraud and Abuse Act sollen nun unautorisierte Zugriffe auf Computersysteme nicht mehr verfolgt werden, wenn es darum geht, IT-Sicherheitslücken in gutem Glauben zu testen, untersuchen oder zu schließen. Dazu müsse aber jeweils so gehackt werden, dass jedweder Schaden für Individuen und die Allgemeinheit vermieden wird und gesammelten Informationen vor allem dazu genutzt werden, die Sicherheit zu verbessern. Es gibt aber Ausnahmen. Außerdem reiche es nicht, einfach zu behaupten, dass mit einem Hack Sicherheitsforschung betrieben werden. Wer also etwa eine Sicherheitslücke entdeckt und ausnutzt, um jemanden zu erpressen, handle nicht in gutem Glauben, auch wenn behauptet werden sollte, dass es um "Forschung" gehe.

Mit dem Schritt reagiert die US-Regierung auf ein Gerichtsurteil und auf wiederkehrende Kritik an dem Anti-Hacker-Paragrafen. Der untersagt es, sich "unautorisiert" Zugang zu fremden IT-Systemen zu verschaffen. Schon diese Beschreibung ist so vage, dass er auch gegen Menschen in Stellung gebracht wurde, die nicht böswillig gehackt haben. Erst im vergangenen Jahr hatte der Supreme Court festgestellt, dass der vorschriftswidrige Gebrauch eines legal zugänglichen Computersystems keinen Verstoß gegen den CFAA darstellt. Genau das war dem US-Programmierer Aaron Swartz vorgeworfen worden, der massenhaft Artikel aus einer ihm zugänglichen Quelle heruntergeladen hatte. Swartz hatte sich nach der Anklage selbst getötet und unter anderem die Electronic Frontier Foundation (EFF) hatte den CFAA für den Tod mitverantwortlich genannt.

Die Bürgerrechtsorganisation fordert unter anderem deswegen seit Jahren eine Reform des CFAA. Die neue Direktive des US-Justizministeriums bezeichnet sie jetzt als einen guten Start, aber nicht ausreichend, um Sicherheitsforscherinnen und -forscher zu schützen. Es handle sich lediglich um eine Vereinbarung der US-Justiz, zurückhaltender zu agieren. Vor "übereifrigen Drohungen, Strafverfolgungen und den unverhältnismäßig langen Haftstrafen" des CFAA biete die Direktive aber keinen ausreichenden Schutz. Eine Überarbeitung des Anti-Hacker-Gesetzes sei weiterhin nötig.

(mho)