US-Gesetz gegen Hacker und Computerbetrug soll verschärft werden

Im Justizausschuss des US-Repräsentantenhauses und mittlerweile auch im Internet kursiert ein Entwurf zur Reform des Computer Fraud and Abuse Act (CFAA), demzufolge Computerbetrug und andere Formen von Cybercrime deutlich schärfer bestraft werden sollen. Hacker und Cybergangster sollen auch wegen Schieberei und organisiertem Verbrechen verurteilt werden könnten. Dies hätte ein deutlich höheres Strafmaß als bisher zur Folge.

Hacker sollen bereits für den Plan beziehungsweise den Versuch, eine Straftat auszuführen, genauso für schuldig befunden werden können wie wenn sie das Delikt tatsächlich begehen. Der CFAA bezieht sich bereits auf eine Reihe von Taten, die weit über Computersabotage oder das Aushebeln von Sicherheitsvorkehrungen hinausreichen und etwa auch Lizenzvereinbarungen für Endnutzer oder Geschäftsbedingungen unter zusätzlichen rechtlichen Schutz stellen.

Eine Einschränkung sieht der Entwurf vor, wenn Zugangsrechte überschritten werden. Bislang wurde ein solches Vergehen genauso bewertet, wie wenn jemand unauthorisiert auf ein IT-System zugegriffen hat. Nun soll davon ausgegangen werden, dass ein legal eingerichtetes Kontos für einen Online-Dienst missbraucht wurde, wenn die benötigten Zugangsinformationen von einem geschützten Computer stammen und sich der Täter damit einen Mehrwert von mindestens 5000 US-Dollar verschafft.

Auch sensible oder nicht-öffentliche Informationen erlangen zu wollen kann ausreichen, um den Tatbestand zu erfüllen. Als Beispiele werden medizinische oder private Daten, Finanzakten oder Geschäftsgeheimnisse angegeben. Andererseits soll bereits von einem Kontomissbrauch ausgegangen werden, wenn der Täter berechtigt war, Daten auf einem IT-System nur "für andere Zwecke" als die durchgeführten zu verwenden oder zu ändern. Die Palette an Gütern, die im Rahmen von Untersuchungen wegen Hackerstraftaten beschlagnahmt werden können, soll zudem erweitert werden.

Besonders kriminalisiert werden sollen IT-Angriffe auf kritische Infrastrukturen. Behörden wie Gerichte werden dazu angehalten, ihre Computersysteme speziell abzusichern. Etabliert werden soll zudem eine "nationale Cyber-Ermittlungsgruppe" unter Führung des FBI. Vorgesehen ist auch eine allgemeine Pflicht, Datenpannen und Online-Attacken zu melden. Zuwiderhandlungen könnten mit Geldstrafen zwischen 500.000 und einer Million US-Dollar geahndet werden.

Bürgerrechtler und Juristen monieren seit Langem, dass das Gesetz teils für hanebüchene Aktionen missbraucht werde. Anklage erhoben werden könne etwa, wenn Zugangskonten gefälscht oder Passwörter für soziale Netzwerke unauthorisiert genutzt würden. Auch Sicherheitsforscher würden in ihrer Arbeit gefährdet. Sie halten umfassende Nachbesserungen am CFAA vor allem nach dem Freitod des unter dessen Bestimmungen angeklagten Netzaktivisten Aaron Swartz für unerlässlich. Hierzulande kann mit den umstrittenen Hackerparagraphen etwa die Vorbereitung einer Straftat durch Herstellen, Beschaffen, Verkauf, Überlassen, Verbreiten oder Zugänglichmachen von Passwörtern oder sonstigen Sicherheitscodes für den Datenzugang sowie von geeigneten Computerprogrammen mit Geldstrafe oder Freiheitsentzug belegt werden. (anw)