Vor Gericht: Der CFAA auf dem Prüfstand

Dem US-amerikanischen Supreme Court wird heute ein Fall präsentiert, dessen Ergebnis sich stark auf Amerikas kontroverse Computer-Hacking-Gesetze auswirken könnte. Die Art und Weise, wie Millionen von Usern ihre Geräte nutzen, könnte sich durch die Entscheidung des Supreme Court verändern. Der Computer Fraud and Abuse Act (CFAA) bietet die Grundlage dafür, sicher im Netz unterwegs zu sein. Doch das Abkommen wurde bereits 1986 ins Gesetz aufgenommen. Einige der Inhalte sind mittlerweile absolut nicht mehr zeitgemäß.

Der Fall Van Buren

So geht es bei dem Fall, der nun vor den Obersten Gerichtshof kommt, um Nathan Van Buren, einen ehemaligen Polizisten, der seinen Zugriff auf die Polizei-Kennzeichen-Datenbank nutzte, um gegen Geld nach jemandem zu suchen. Die zwei Anklagepunkte: Das Annehmen einer Bezahlung für seine Recherche und ein Verstoß gegen den CFAA. Während der erste fallengelassen wurde, besteht der zweite weiterhin. Der CFAA stellt dar, was Hacking, beziehungsweise „unauthorized access“, im Internet ist. Zwar hatte Van Buren Zugriff auf die Datenbank, doch ob er diesen über seine Rechte hinaus ausgenutzt hat, muss das Gericht entscheiden.

Im Dating-Profil lügen oder einen Netflix-Account teilen?

Das Urteil könnte dabei große Auswirkungen auf jegliche Art von Internetnutzung haben. Denn das Gericht muss entscheiden, was genau „unauthorized access“ bedeutet.

The Supreme Court’s opinion in this case could decide whether millions of ordinary Americans are committing a federal crime whenever they engage in computer activities that, while common, don’t comport with an online service or employer’s terms of use,

erklärt Riana Pfefferkorn, die Kollegin von Jeff Fisher, der Van Buren vor Gericht vertritt, gegenüber TechCrunch. Weiter führt sie aus, dass der CFAA weitestgehend dahin ausgelegt werden kann, dass auch Aktivitäten wie das Lügen auf einem Online-Dating-Profil, die Weitergabe eines Passworts für Streaming-Dienste oder die Benutzung eines Arbeitscomputers für persönliche Zwecke – sofern nicht mit dem Arbeitgeber abgesprochen – als kriminell gelten könnten.

Rechtlicher Graubereich: Wenn bezahlte Hacker Sicherheitslücken aufdecken

Doch besonders der Berufsstand von Hackern und Cyber Security Researchern, die Sicherheitslücken in Systemen aufdecken, um diese anschließend sicherer zu machen, steht auf der Kippe. Schon seit Jahren operieren diese in einem rechtlichen Graubereich und wurden für ihre Arbeit auch schon verklagt. Andere Unternehmen wie Mozilla oder Tesla hingegen schützen diese „guten“ Hacker und bieten ihnen Bezahlung für ihre Entdeckungen.

Das Urteil darf gespannt abgewartet werden. Der Supreme Court wird sich des Falls Ende 2020 oder Anfang 2021 annehmen. Pfefferkorn hofft auf eine klarere Regelung, die Sicherheit für alle schafft, die online ihre Arbeit verrichten:

The Court now has the chance to resolve the ambiguity over the law’s scope and make it safer for security researchers to do their badly-needed work by narrowly construing the CFAA. We can ill afford to scare off people who want to improve cybersecurity.