Am 28. Oktober 2016 gab das US Amt für Urheberrecht (US copyright Office) einen Beschluss heraus, durch den Sicherheitsforscher zugangsbeschränkende Maßnahmen für urheberrechtlich geschützte Werke umgehen können, wenn dies in gutem Glauben, auf einem Verbrauchergerät und in einer kontrollierten Studie geschieht. Dieser Beschluss erlaubt Sicherheitsforschern Sicherheitslücken, durch das Umgehen von Kontrollen oder durch das Nachvollziehen von digitalen Angriffen,  zu erforschen und aufzudecken, ohne rechtliche Repressalien fürchten zu müssen. Der Beschluss bewirkt, dass diese Taten nicht gegen den Digital Millenium copyright Act (DMCA) verstoßen, vorausgesetzt sie verletzen keine anderen Gesetze wie z.B. das Computerbetrug- und Missbrauchsgesetz (Computer Fraud and Abuse Act – CFAA).

Nach diesem Beschluss muss eine qualifizierte Forschungsumgebung folgende sechs Voraussetzungen erfüllen:

  • Das Computerprogramm und sämtliche Geräte auf denen die Programme laufen müssen legal beschafft worden sein.
  • Während der laufenden Forschung dürfen sowohl die Programme, als auch die Geräte einzig zum Zwecke des Testens, Forschens und/oder der Behebung von Sicherheitslücken oder – Fehlern genutzt werden.
  • Die Forschung muss in einer kontrollierten Umgebung stattfinden, die darauf ausgelegt wurde jeglichen Schaden von Einzelnen oder der Öffentlichkeit zu vermeiden.
  • Informationen die aus der Forschung hervorgehen müssen vor allem dazu genutzt werden die Sicherheit der Art von Geräten oder Maschinen zu stärken auf denen die Programme laufen, oder die der Menschen die diese bedienen.
  • Die Informationen dürfen nicht so aufbewahrt werden, dass eine Urheberrechtsverletzung erleichtert würde.
  • Die Forschung darf nicht vor dem 28 Oktober 2016 begonnen haben.

Das Amt stellt zudem fest, dass eine Veröffentlichung der Ergebnisse zwar ein Indiz zur Feststellung des guten Glaubens darstellt, aber diese nicht zwingend erforderlich ist.

Die Ausnahme umfasst alle Geräte oder Maschinen die vor allem für den Endverbraucher gedacht sind. Namentlich aufgeführt sind: Zahnbürsten, Heimthermostate, gekoppelte Geräte, Autos, Smart TVs und medizinische Geräte, die während der Forschung nicht mit Menschen verbunden sind. Dagegen wird festgesetzt, dass diese Ausnahme keine hochsensiblen Systeme, wie Atomkraftwerke und Luftverkehrkontrollsysteme, beinhaltet.

Den Beschluss finden Sie unter: https://www.federalregister.gov/documents/2015/10/28/2015-27212/exemption-to-prohibition-on-circumvention-of-copyright-protection-systems-for-access-control

Ursprünglich erschienen im EMR-Newsletter 01/2017 von Jonathan Perl, Counsel, regulatory Affairs, Locus Telecommunications Inc.