Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

June 21 2013

Aaron’s Law: Reform des Computer Fraud and Abuse Acts

Der Netzaktivist Aaron Swartz hat sich Anfang des Jahres das Leben genommen. Seit 2011 wurde gegen ihn unter dem Computer Fraud and Abuse Act (CFAA) ermittelt, weil er sich in das Netz des MIT gehackt und Millionen öffentlich finanzierter wissenschaftlicher Publikationen heruntergeladen hatte, die sich hinter einer JSTOR Paywall befanden. JSTOR verzichtete darauf, Anklage zu erheben, doch aufgrund des CFAA konnte die Staatsanwaltschaft den Fall weiter verfolgen. Swartz drohten bis zu 35 Jahre Haft und der finanzielle Ruin.

David Nosal wurde Ende April in sechs Anklagepunkten schuldig gesprochen, darunter Diebstahl von Betriebsgeheimnissen und Hacking – obwohl er sich nie selbst in einem Computer gehackt hat. Nosal hatte ehemalige Kollegen überredet, teilweise auch durch Zahlungen, ihm Informationen und Kundendaten aus der Datenbank des Unternehmens zu beschaffen, in dem er zuvor gearbeitet hatte. Obwohl es diese Mitarbeiter waren, die physisch auf die Datenbank zugriffen, wurde David Nosal angeklagt gegen den CFAA verstoßen zu haben. Das Urteil soll später in diesem Jahr verkündet werden.

Der CFAA wurde 1984 verabschiedet, um es der Regierung zu erleichtern, Menschen die sich in Computer hacken um Daten zu stehlen oder die Funktionalität eines Computersystem stören oder zerstören, zu verurteilen.

The act makes it a federal offense if one “knowingly and with intent to defraud, accesses a protected computer without authorization, or exceeds authorized access, and by means of such conduct furthers the intended fraud and obtains anything of value, unless the object of the fraud and the thing obtained consists only of the use of the computer and the value of such use is not more than $5,000 in any 1-year period.” Prison penalties are up to 5 years per violation.

Seit dem Tod von Aaron Swartz mehren sich die Forderungen nach einer Reform des CFAA, inklusive milderer Strafen. Nun gibt es konkrete Bestrebungen, den CFAA zu reformieren: Zwei Mitglieder des US-Repräsentantenhauses, Zoe Lofgren und Ron Wyden, beschreiben bei Wired ausführlich, wieso eine Reform längst überfällig ist und wie sie diese mit einem Gesetzentwurf names “Aaron’s Law” (PDF) umsetzen wollen. Zoe Lofgren hatte im Januar bereits einen ersten Entwurf bei Reddit gepostet und um Feedback gebeten. Die grundlegenden Probleme des CFAA wollen Lofgren und Wyden folgendermaßen angehen:

  1. Establish that mere breach of terms of service, employment agreements, or contracts are not automatic violations of the CFAA.
  2. Bring balance back to the CFAA by eliminating a redundant provision of the law that can subject an individual to duplicate charges for the same CFAA violation.
  3. Bring greater proportionality to CFAA penalties.

Dabei sei dieser Gesetzentwurf nur der Beginn eines Reformprozesses des CFAA. Doch es werde auch nicht einfach sein, diese konkreten Forderungen zu erreichen, schreiben die beiden bei Wired.

The consequences of inaction are all too clear. We live in an age where people connect globally by simply touching a device in the palm of their hand, empowered by online advances that have enriched the world scientifically, culturally, and economically. But ill-conceived computer crime laws can undermine this progress if they entrap more and more people — simply for creative uses of the technology that increasingly mediates our everyday activities and our interactions with the world. This not only fails us today, it can also become an obstacle to the innovations of tomorrow.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

June 18 2013

NSA-Chef möchte Immunität für Unternehmen die ihnen Daten bereitstellen

Der Direktor der NSA Keith Alexander steht zur Zeit bereits wegen der Spionagetätigkeiten rund um PRISM in der Kritik. Und sein neuester Vorstoß wird sicherlich zumindest auf Seiten von Netzaktivisten und Datenschützern nicht positiv aufgenommen werden. Nach Informationen der politischen Nachrichtenseite Politico strebt Alexander schon seit längerem die rechtliche Immunität für Unternehmen an, welche mit der NSA zusammenarbeiten. Alexander dazu wörtlich:

If the government asks the company to do something to protect the networks, or to do something and a mistake is made, and it was our fault, then they should have liability protection for that

So logisch es auf den ersten Blick klingen mag die Regierung für Fehler zu bestrafen die in ihrem Auftrag ausgeführt wurden, so gefährlich wäre eine solche Regelung für die Internetnutzer. Einerseits würde es dazu führen, dass weitere Unternehmen ermutigt werden Daten weiterzugeben. Andererseits würde es aber ebenso die Unternehmen aus der Pflicht nehmen die bereitgestellten Daten genauestens zu überprüfen. Selbstverständlich haben große Unternehmen wie Google oder Facebook einen Ruf zu verlieren, aber für kleine oder unbekannte Unternehmen könnte so die Hemmschwelle enorm gesenkt werden. Alexander geht es aber keineswegs nur um Unternehmen die der NSA Daten bereitstellen, sondern um alle Unternehmen die ihnen im Kampf gegen “Cyberkriminalität” helfen. Dazu gehören also ebenso Unternehmen wie beispielsweise Telekommunikationsunternehmen welche gezielt Webseiten oder Server sperren.

Und Alexander scheint mit seinem Vorschlag nicht alleine da zu stehen. In Saxby Chambliss, dem republikanischen Senator von Georgia, hat Alexander jedenfalls schon einen Fürsprecher gefunden:

Providing the private sector with full liability protection from frivolous lawsuits for all information sharing and for the use of certain countermeasures is essential to encouraging better cybersecurity, both within the private sector and the federal government.[...]Any bill we pass must contain these vital protections.”

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Texas: Polizei braucht richterliche Anordnung um Mails zu überwachen

In Texas wurde nun das Gesetz HB 2268 erlassen, demnach dürfen Strafverfolgungsbehörden nicht mehr ohne richterliche Anordnung auf Mails zugreifen und diese überwachen. Das Gesetz verspricht den Einwohnerinnen und Einwohnern von Texas einen erhöhten Datenschutzstandard für ihre Emails, schützt sie jedoch nicht gegen Untersuchungen auf Bundesebene. Der Gesetzesentwurf ist in beiden Kammern des Parlaments ohne eine Nein-Stimme angenommen worden und setzt beim Electronic Communications Privacy Act (ECPA) von 1986 an. Dieser erlaubte es Strafverfolgungsbehörden Mails zu lesen, die als “gelesen” markiert oder älter als 180 Tage sind. Es sei mehr als lächerlich, dass Mails bei Datenschutzgesetzen außen vor blieben, schrieben gestern auch drei Mitglieder des US-Repräsentantenhauses bei Wired.

ECPA was passed in 1986. Twenty-seven years ago, most Americans did not have a home computer or an email account. They did not all carry cell phones. “Facebook” described only the hardbound photo books of university freshmen and “Twitter” was an adjective used to describe the chattering of birds — such social networking sites did not even exist. Whether they occur online or offline, our private communications should be protected.

Im April hat ein parteiübergreifender Senatsausschuss bereits einstimmig dafür gestimmt, den ECPA zu modernisieren. Hanni Fakhoury von der Electronic Frontier Foundation (EFF) befürwortet das Vorgehen Texas.

Other states are currently considering similar legislation. [...] It’s significant proof that privacy reform is not only needed but also politically feasible with broad bipartisan support. Hopefully that will impact federal ECPA reform efforts by getting people on both of sides of the political aisle to work together to make meaningful electronic privacy reform a reality. The more states that pass similar legislation, the more pressure it will put on Congress to keep up with the changing legal landscape.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 16 2013

iRIGHTS.info: “Wie funktioniert Strafverfolgung in der Cloud?”

Erst vor wenigen Tagen berichteten wir über interne Dokumente des FBI, welche nahelegen das amerikanische Strafverfolgungsbehörden, ohne richterlichen Beschluss, auf sämtliche im Internet gespeicherten E-Mails zugreifen. Möglich ist dieses durch eine teils undurchsichtige Gesetzgebung innerhalb der USA, welche viel Spielraum für Interpretationen von Seiten der Behörden zulässt. Aber wie sieht die Gesetzgebung in Deutschland aus und wie funktioniert die Strafverfolgung in Deutschland, wenn es um Daten in der Cloud geht? Dieser Frage ist das Informationsportal rund um Datenschutz und Recht im Internet iRIGHTS.info in einem Artikel nachgegangen.

Doch das Fazit des Artikels zeichnet auch vom deutschen Rechtssystem kein gutes Bild:

Bei der Strafverfolgung in der Cloud sind derzeit noch mehr Fragen ungeklärt als geklärt. Wann und wo welches Recht gilt, ist bei den grenzüberschreitenden Diensten nicht leicht zu bestimmen.


Dieses liege zu einem Großteil an mittlerweile veralteten Gesetzen. Diese seien noch “aus der Aktenordern-Zeit” und würden in Zeiten der Datensicherung in der Cloud keinen geeigneten rechtlichen Rahmen bieten. Hinzu komme die Schwierigkeit, dass Daten von deutschen Nutzern nicht zwangsläufig auf deutschen Servern gespeichert werden.

Clouddienste operieren über Kontinente hinweg. Welche Daten wo genau liegen und welches Recht für welche Dienste eigentlich gilt, ist häufig noch ungeklärt.

An dieser Stelle ist also sicherlich die Politik gefordert, neue Gesetze zu schaffen. So wie es die EU ja möglicherweise schon vormacht. Doch solange es noch keine neuen Gesetze gibt, sind auch die Nutzer gefordert. Sie sind gefordert zu hinterfragen, welche Daten sie über sich preisgeben können oder auch müssen und welche nur eine Zugabe an geschickte Marketing-Abteilungen ist – in der Cloud wie in sozialen Netzwerken.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung, auch um weiterhin einen Full-RSS-Feed anbieten zu können. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl