Vereinigte Staaten gegen Morris (1991) - United States v. Morris (1991)
| Vereinigte Staaten gegen Morris | |
|---|---|
| Gericht | Berufungsgericht der Vereinigten Staaten für den zweiten Bezirk |
| Vollständiger Fallname | Vereinigte Staaten gegen Robert Tappan Morris |
| Argumentiert | 4. Dezember 1990 |
| Beschlossen | 7. März 1991 |
| Zitat(e) | 928 F.2d 504 |
| Halten | |
| Die Regierung braucht nicht nachzuweisen, dass die Beklagte die Nutzung von Computern im Bundesinteresse absichtlich verhindert und dadurch einen Schaden verursacht hat. Darüber hinaus habe Morris gemäß Abschnitt (a)(5)(A) „ohne Genehmigung“ gehandelt. Die Entscheidung wird daher bestätigt. | |
| Hofmitgliedschaft | |
| Richter sitzend | Jon Newman , Ralph Winter , TF Daly |
| Fallmeinungen | |
| Mehrheit | Jon O. Newman |
| Angewandte Gesetze | |
| 18 USC § 1030(a)(5)(A) | |
United States v. Morris war eine Berufung gegen die Verurteilung von Robert Tappan Morris wegen der Entwicklung und Veröffentlichung des Morris-Wurms , eines der ersten internetbasierten Würmer . Dieser Fall führte zur ersten Verurteilung nach dem Computer Fraud and Abuse Act . Dabei klärte der Rechtsstreit einen Großteil des Wortlauts des Gesetzes, das in den Jahren nach seiner ersten Ausarbeitung in einer Reihe von Aktualisierungen stark überarbeitet worden war. Ebenfalls klargestellt wurde das Konzept des "unautorisierten Zugriffs", das in den Computersicherheitsgesetzen der Vereinigten Staaten von zentraler Bedeutung ist. Die Entscheidung war die erste eines US-Gerichts, die sich auf "das Internet " bezog, das es einfach als "ein nationales Computernetzwerk" bezeichnete.
Fallhintergrund
Robert Tappan Morris war ein Cornell- Student, der 1988 mit der Arbeit an einem frühen Internetwurm begann . Er hatte beim Betreten der Schule expliziten Zugang zu einem Cornell-Computerkonto erhalten und diesen Zugang zur Entwicklung seines Wurms verwendet. Morris veröffentlichte den Wurm vom MIT , um seine Quelle zu verschleiern. Der Wurm verbreitet sich über vier Mechanismen:
- Durch einen Fehler in Sendmail , einem E-Mail- Programm.
- Durch einen Fehler in Finger , einem Programm, das verwendet wird, um Informationen über andere Benutzer auf vernetzten Computern herauszufinden.
- Durch eine "Trusted Hosts"-Funktion, die es Benutzern eines Systems ermöglicht, ein anderes System ohne Passwort zu verwenden.
- Durch einen Passwort- Brute-Force-Angriff .
Der Wurm wurde so entwickelt, dass er sich nicht auf bereits infizierte Computer ausbreitet. Um zu verhindern, dass Computer sich dagegen wehren, indem sie vorgeben, den Wurm zu haben, würde er einen bereits infizierten Computer dennoch eines von sieben Mal infizieren. Der Wurm wurde auch so konzipiert, dass er beim Herunterfahren eines infizierten Computers gelöscht wird, um so zu verhindern, dass Mehrfachinfektionen problematisch werden. Morris' Unterschätzung der Reinfektionsrate führte dazu, dass dieser Schutz unwirksam war, und "Zehntausende" von Computern wurden durch wiederholte Infektionen katatonisch. Es wurde geschätzt, dass zwischen 200 und 53.000 US-Dollar pro infizierter Einrichtung benötigt wurden, um nach dem Wurm aufzuräumen.
Morris wurde vom United States District Court for the Northern District of New York des Verstoßes gegen 18 USC 1030(a)(5)(A) für schuldig befunden , zu drei Jahren Bewährung, 400 Stunden gemeinnütziger Arbeit, einer Geldstrafe von 10.050 USD, und die Kosten seiner Aufsicht.
Diskussion
Der juristische Diskurs fand zu drei Hauptfragen statt: ob Morris beabsichtigt haben musste, Schaden zu verursachen, ob Morris sich wirklich unbefugten Zugang verschafft hatte und ob das Bezirksgericht die Geschworenen ordnungsgemäß über die Feinheiten des Falles informiert hatte .
Absicht, Schaden zu verursachen
Wie es 1991 hieß , deckte 18 USC § 1030(a)(5)(A) , Teil des Computer Fraud and Abuse Act, jeden ab, der:
(5) absichtlich ohne Autorisierung auf einen Computer von Bundesinteresse zugreift und durch einen oder mehrere Fälle eines solchen Verhaltens Informationen in einem solchen Computer von Bundesinteresse ändert, beschädigt oder zerstört oder die autorisierte Nutzung eines solchen Computers oder solcher Informationen verhindert, und dadurch
(A) einem oder mehreren anderen einen Verlust von insgesamt 1.000 USD oder mehr während eines Zeitraums von einem Jahr zufügt;
Morris argumentierte, dass dies nicht auf ihn zutraf, da die Regierung nicht schlüssig beweisen konnte, dass er beabsichtigt hatte, einem Computer von Federal Interest Schaden zuzufügen. Computer von Bundesinteresse werden als Computer definiert, die am nationalen oder internationalen Handel teilnehmen oder die in einer Bundes- oder Regierungseinrichtung verwendet werden. Die Regierung war anderer Meinung und erklärte, da ein Komma den Satz „absichtlich“ vom Rest des Abschnitts trenne, sei er nicht unbedingt zutreffend. Diese Verwendung von Satzzeichen zum Trennen von Adverbien hat Präzedenzfälle in Burlington No. R. Co. gegen Okla. Tax Comm'n und Consumer Product Safety Comm'n gegen GTE Sylvania, Inc .
Das Gericht berücksichtigte auch die Sprache, die in früheren Versionen des Gesetzes verwendet wurde, um die Absicht des Kongresses zu bestimmen. In der Gesetzesänderung von 1986 wurde Abschnitt 1030 (a) (2) seine Bedingungsbedingung von "wissentlich" in "absichtlich" geändert. Dies geschah, um gezielten unbefugten Zugriff zu unterbinden, nicht um "irrtümliche, unbeabsichtigte oder fahrlässige" Handlungen zu verhindern. Das Gericht argumentierte, dass dieser Satz „absichtlich“ in das Gesetz eingefügt wurde, um zu vermeiden, dass Benutzer bestraft werden, die versehentlich auf einen Computer zugegriffen haben, für den sie keine Berechtigung hatten, dass er sich ausschließlich auf die Klausel „Zugriffe“ bezieht, nicht auf die Klausel „Schäden“. . Es gibt keine Beweise dafür, dass der Kongress die versehentliche Beschädigung eines anderen Computers legalisieren wollte, daher wurde die "absichtliche" Spezifikation dort nicht gemacht. Darüber hinaus schlug die Regierung vor, dass viele andere Unterabschnitte von 1030, insbesondere (a)(1), weiterhin das Erfordernis des mentalen Zustands vor jeder Klausel wiederholen, was darauf hindeutet, dass das Fehlen einer solchen Wiederholung in (a)(5)(A) indikativ ist der kurzen Reichweite des "absichtlich" Adverbs.
Um diese Behauptung zu bestreiten, zitierte Morris einen anderen Abschnitt des Senatsberichts: „Der neue Unterabschnitt 1030(a)(5), der durch das Gesetz geschaffen werden soll, soll diejenigen bestrafen, die vorsätzlich bestimmte computergesteuerte Geräte verändern, beschädigen oder zerstören Daten, die einem anderen gehören." Das Gericht hielt jedoch die Beweise der Regierung für die geänderte Sprache des Gesetzes für überzeugender.
Unautorisierter Zugriff
Morris argumentierte, dass er, da er Zugang zu Computern in Cornell , Harvard und Berkeley erhielt , durch die Veröffentlichung des Wurms einfach den autorisierten Zugriff überschritten und keinen unbefugten Zugriff erhalten hatte. Aus diesem Grund stellte er die Theorie auf, dass Abschnitt (a)(3), nicht (a)(5)(A), ihn richtig abdeckte. Diese Verteidigung basiert auf einem anderen Abschnitt des Senatsberichts, der besagt, dass das Gesetz über Computerbetrug und -missbrauch auf "Außenstehende" (Personen, die nicht berechtigt sind, Computer von Bundesinteresse zu verwenden) abzielen. Da Morris Zugang zu Computern dieser Art hatte, gab er an, dass seine Handlungen nicht völlig unbefugt waren. In dem erwähnten Senatsbericht heißt es jedoch auch, dass das Gesetz gilt, "wenn die Übertretungshandlung des Täters abteilungsübergreifender Natur ist". Das Gericht argumentierte, dass 18 USC 1030 korrekt auf ihn zutraf, da Morris' Wurm Computer erreichte, die sich in US-Regierungsabteilungen, einschließlich militärischer, befanden.
Das Gericht wies auch darauf hin, dass seine Verteidigung wegen "überschreitung der Autorisierung" weiter geschwächt wurde, da Morris die sendmail- und finger-Programme in einer Weise verwendet, für die sie nicht bestimmt waren. Da Morris diese Programme nur benutzte, weil sie Sicherheitslücken hatten, die er ausnutzen konnte, um sich Zugang zu Computern zu verschaffen, auf die er sonst nicht zugreifen konnte, ist diese Verwendung beispielhaft für "unberechtigten Zugriff". Die Tatsache, dass der Wurm Passwörter erriet, um in andere Systeme einzudringen, unterstreicht diesen Punkt zusätzlich.
Ordnungsgemäße Einweisung der Jury
Morris behauptet , dass das Amtsgericht nicht richtig erzogen die Jury auf die Besonderheiten seines Falles. Erstens beschwerte er sich, dass das Bezirksgericht den Geschworenen keine Definition von „Ermächtigung“ gegeben habe. Der Gerichtshof hatte festgestellt, dass die "Genehmigung" allgemein gebräuchlich sei und nicht definiert werden müsse. Das Berufungsgericht stimmte in diesem Fall unter Berufung auf Präzedenzfälle zu. Morris behauptete auch, dass das Bezirksgericht die Geschworenen fälschlicherweise nicht angewiesen habe, den autorisierten Zugang gemäß seiner vorgeschlagenen Definition zu überschreiten. Auch hier stimmte das Berufungsgericht der Entscheidung des Bezirksgerichts zu und stellte fest, dass eine zusätzliche Definition möglicherweise verwirrend wäre und dass die von Morris vorgeschlagene Anweisung falsch war. Darüber hinaus impliziert der Begriff „überschreitung des autorisierten Zugriffs“, dass er weniger schwerwiegend ist als „unberechtigter Zugriff“, aber selbst wenn dies der Fall wäre, haftet Morris nach vielen Teilen des Computer Fraud and Abuse Act.
Entscheidung des Gerichts
Das US-Berufungsgericht, Second Circuit, bestätigte die Entscheidung des unteren Bezirksgerichts, in der Morris des Verstoßes gegen 18 USC 1030(a)(5)(A) für schuldig befunden wurde, was ein Verbrechen ist.
Fallempfang
1996 wurde der Computer Fraud and Abuse Act erneut geändert, um die Absichtsprobleme zu klären, die die Mehrheit von US gegen Morris ausmachten . Die Adverbien „wissentlich“ und „absichtlich“ wurden an weiteren Stellen in das Gesetz eingefügt, um den Rechtsstreit künftig einfacher zu machen.
Dieser Fall bestätigte die Stärke des Computerbetrugs- und Missbrauchsgesetzes. Vor dieser Entscheidung war davon ausgegangen worden, dass das Gesetz Schadensvorsatz voraussetzt – was als sehr schwer nachzuweisen galt. Das Urteil hier hat gezeigt, dass dies nicht der Fall war.