USA: Hacking-Strafrecht eingeschränkt, Millionen User geschützt
Ein Polizist verkauft Daten aus einer Polizeidatenbank. Das macht ihn aber nicht zum Hacker. Dieses Urteil schützt Viele, von Haustierfreunden zu Büropersonal.
(Bild: Oleksiy Mark/Shutterstock.com)
Wer ein ihm legal zugängliches Computersystem vorschriftswidrig gebraucht, verstößt nicht gegen Hacker-Strafrecht. Das hat der US Supreme Court (SCOTUS) am Donnertag entschieden. Damit erteilt der Gerichtshof anders lautender Rechtsprechung eine Absage. Juristisch stand die Auslegung einzelner Worte im Gesetz CFAA (Computer Fraud and Abuse Act) im Zentrum. Für Aaron Swartz kommt die Entscheidung leider zu spät.
Der CFAA verfolgt Hacker sowohl zivilrechtlich als auch strafrechtlich, sofern ihr Handeln nicht "autorisiert" war. Wörtlich macht sich straffällig, wer "intentionally accesses a computer without authorization or exceeds authorized access" (etwa: vorsätzlich ohne Autorisierung auf einen Computer zugreift oder über den autorisierten Zugriff hinausgeht). Bislang haben Gerichte in mindestens vier Bundesgerichtsbezirken "Autorisierung" so ausgelegt, dass schon ein Verbot durch Nutzungsbedingungen oder Dienstbefehle ausreicht, um eine Straftat zu begründen. Drei Bundesgerichtsbezirke stellten hingegen auf technische Zugangsbeschränkungen ab.
Nun kommt der Supreme Court durch sorgfältige Auslegung samt Zusammenschau mit anderen Teilen des selben Gesetzes zu dem Schluss, dass technische Autorisierung gemeint ist: Wer grundsätzlich auf ein System oder dessen Daten zugreifen darf und kann, das aber für einen falschen Zweck tut, verstößt nicht gegen den CFAA (vielleicht aber gegen andere Normen).
Aaron Swartz (1986 - 2013)
Die bisherige strenge Auslegung mancher Bundesgerichtsbezirke ist schon lange umstritten. 2012 hatte die damalige US-Staatsanwältin Carmen Ortiz das Gesetz dazu genutzt, den Internetfreiheitsaktivisten Aaron Swartz für das Herunterladen von Artikeln aus einer Datenbank mit vielen Jahren Gefängnis zu bedrohen. Dabei genoss Swartz legal Zugang zu der Datenbank. Er hatte bloß mehr heruntergeladen als die Nutzungsbedingungen vorsahen. Anfang 2013 nahm sich Internet-Aktivist Aaron Swartz das Leben.
Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) und andere Kritiker machten daraufhin den CFAA für den Tod des jungen Mannes mitverantwortlich und forderten eine Reform. Gekommen ist es dazu bis jetzt nicht, obwohl sich ein Untersuchungsausschuss des US-Unterhauses mit der strafrechtlichen Verfolgung Swartz' befasst hat.
Korrupter Cop aus Cummings
Anlass des aktuellen Erkenntnisse war ein korrupter Polizist aus Cumming im US-Staat Georgia. Er hatte sich dafür bezahlen lassen, ohne dienstlichen Anlass aus einer Polizeidatenbank Informationen über die vermeintliche Inhaberin einer Kfz-Nummerntafel zu beschaffen. Tatsächlich hatte ihm das FBI eine Falle gestellt.
Es folgte eine – aber nicht nach Strafrecht Georgias wegen Bestechlichkeit, sondern nach dem Bundesgesetz CFAA wegen Hackens. Das Urteil lautete auf 18 Monate Haft, was vom zuständigen Bundesberufungsgericht bestätigt wurde.
Lesen Sie auch
US-Bug-Bountys lassen "gute" Hacker in die Falle tappen
Dieses Urteil hat der Supreme Court am Donnerstag mit sechs zu drei Stimmen aufgehoben und den Fall an die Unterinstanz zurückverwiesen: Der Polizist hat unstrittig keinerlei technische Sperren überwunden, also keine technische Autorisierung überschritten. Er hatte bereits vollen Zugriff auf die Datenbank und musste nichts hacken, um die per Dienstvorschrift verbotene Abfrage durchzuführen.
Weitreichende Konsequenzen
Natürlich geht es dem Gerichtshof nicht darum, einem bestechlichen Ex-Polizisten zu helfen. Die Richter haben die Auswirkungen der weiten Auslegung erkannt: "Die Interpretation der Anklage der 'exceeds authorized access'-Klausel würde strafrechtliche Bußen an eine atemberaubende Menge alltäglicher Computeranwendungen knüpfen", heißt es in der Zusammenfassung der Erkenntnisse, "Zum Beispiel sagen Arbeitgeber regelmäßig, dass Computer und elektronische Geräte nur für Geschäftszwecke genutzt werden dürfen. Der Auslegung der Anklage zufolge würde ein Mitarbeiter, der mit einem Bürocomputer eine persönliche Mitteilung verschickt oder die Nachrichten liest, den CFAA verletzen."
Zudem führte der Ansatz der Anklage zu willkürlichen Ergebnissen. Die Strafbarkeit würde beispielsweise davon abhängen, ob der Arbeitgeber das Verbot der privaten Nutzung als "Nutzungsbeschränkung" oder als "Zugangsbeschränkung" formuliert.
Millionen Amerikaner dürfen aufatmen. Darunter beispielsweise Personen, die auf Facebook ein Profil für ihr Haustier angelegt haben. Das verstößt gegen die Nutzungsbedingungen. Nach der weiten Auslegung der US-Staatsanwälte hätten sich die Haustierfreunde strafbar gemacht.
Der Fall heißt Van Buren v. United States und war beim US Supreme Court unter Az. 19-783 anhängig.
(ds)