Das US-Justizministerium kündigte am Donnerstag an, dass es keine Anklage gegen Sicherheitsforscher und Hacker erheben wird, die in gutem Glauben handeln.
Die Richtlinie weist zum ersten Mal „auf Treu und Glauben hin, dass Sicherheitsforschung nicht angeklagt werden sollte“ im Rahmen des Computer Fraud and Abuse Act, eine seismische Abkehr von ihrer früheren Richtlinie, die es Staatsanwälten ermöglichte, Bundesklage gegen Hacker zu erheben, die Sicherheitslücken für die finden Zweck der Unterstützung bei der Sicherung exponierter oder anfälliger Systeme.
Das Justizministerium genannt dass gutgläubige Forscher diejenigen sind, die ihre Tätigkeit „in einer Weise ausüben, die dazu bestimmt ist, jeglichen Schaden für Einzelpersonen oder die Öffentlichkeit zu vermeiden“, und bei denen die Informationen „in erster Linie verwendet werden, um die Sicherheit oder den Schutz der Klasse von Geräten, Maschinen oder Online-Dienste, zu denen der aufgerufene Computer gehört, oder diejenigen, die solche Geräte, Maschinen oder Online-Dienste verwenden.“
Der Computer Fraud and Abuse Act (CFAA) wurde 1986 gesetzlich erlassen und ist älter als das moderne Internet. Das Bundesgesetz schreibt auf Bundesebene vor, was Computer-Hacking darstellt – insbesondere „unbefugter“ Zugriff auf ein Computersystem. Aber die CFAA wird seit langem für ihre veraltete und vage Sprache kritisiert, die wenig dazu beiträgt, zwischen gutgläubigen Forschern und Hackern und böswilligen Akteuren zu unterscheiden, die Unternehmen oder Einzelpersonen erpressen oder anderweitig Schaden anrichten wollen.
Letztes Jahr hat der Oberste Gerichtshof die CFAA zum ersten Mal seit Inkrafttreten des Gesetzes unter die Lupe genommen und zum ersten Mal genau bestimmt, was die CFAA-Lektüre des „unbefugten“ Zugriffs im Sinne des Gesetzes bedeutet, und anschließend seinen Anwendungsbereich eingeschränkt, wodurch ein Ganzes effektiv eliminiert wurde Klasse von hypothetischen Szenarien – wie die Verletzung der Datenschutzrichtlinie eines Webdienstes, das Überprüfen von Sportergebnissen von einem Arbeitscomputer und in jüngerer Zeit das Scrapen öffentlicher Webseiten – unter denen Bundesanwälte Anklage hätten erheben können.
Jetzt schließt das Justizministerium, wenn auch ein Jahr nach dem Urteil des Gerichts, Bundesklagen wegen dieser Art von Szenarien ein und konzentriert sich stattdessen auf Fälle, in denen böswillige Akteure absichtlich in ein Computersystem einbrechen.
Der Politikwechsel ist keine gesetzliche Lösung und könnte sich, genau wie das Justizministerium es heute getan hat, in Zukunft ändern. Es schützt auch nicht gutgläubige Hacker – oder andere Personen, die des Hackens beschuldigt werden – vor staatlichen Computer-Hacking-Gesetzen.
In einer Erklärung sagte die stellvertretende Generalstaatsanwältin der USA, Lisa O. Monaco: „Das Ministerium war nie daran interessiert, Computersicherheitsforschung in gutem Glauben als Verbrechen zu verfolgen, und die heutige Ankündigung fördert die Cybersicherheit, indem sie Sicherheitsforschern in gutem Glauben, die auf der Hut sind, Klarheit verschafft Schwachstellen für das Gemeinwohl.“
Einige Kritiker akzeptieren diese Behauptung möglicherweise nicht so bereitwillig nach dem Tod von Aaron Swartz, der 2013 durch Selbstmord starb, nachdem er unter der CFAA angeklagt worden war, 4,8 Millionen Artikel und Dokumente vom akademischen Abonnementdienst JSTOR heruntergeladen zu haben. Obwohl JSTOR sich weigerte, den Fall weiterzuverfolgen, erhob die Bundesanwaltschaft dennoch Anklage wegen Diebstahls.
Seit dem Tod von Swartz haben Aktivisten und Gesetzgeber gleichermaßen „Aaron’s Law“ vorangetrieben, Änderungen an der CFAA zu reformieren und zu kodifizieren, um gutgläubige Hacker besser zu schützen.