Der Computer Misuse Act entstand, bevor Cloud-Computing, Ransomware-Banden, das Waschen von Kryptowährung und die moderne Cybersicherheitsbranche aufkamen. Forscher und Branchenverbände argumentieren seit Jahren, dass die weit gefassten Bestimmungen des Gesetzes zum unbefugten Zugriff rechtliche Unsicherheit bei legitimen Tätigkeiten schaffen können – etwa bei Schwachstellenforschung, Penetrationstests und der Arbeit mit Bedrohungsinformationen.
Nach Darstellung der Kritiker hat diese Unschärfe dazu geführt, dass Sicherheitsfachleute befürchten, selbst Arbeit zum Aufspüren von Schwachstellen oder zum Schutz von Organisationen könne sie rechtlich angreifbar machen.
Ein Sprecher der CyberUp Campaign bezeichnete die Aufnahme der Reformen in die Gesetzgebungsagenda als bedeutende Wende. „Heute markiert einen echten Wendepunkt für die Cybersicherheit im Vereinigten Königreich. Jahrelang hat der Computer Misuse Act legitime Cybersicherheitsfachleute und Forscher unter unnötigem rechtlichem Risiko arbeiten lassen, während feindliche Akteure schneller und mit weniger Beschränkungen agieren“, sagte er.
„Indem die Regierung die Reform des Computer Misuse Act in das National Security Bill aufgenommen hat, hat sie eine grundlegende Tatsache anerkannt: Von Cyberfachleuten kann nicht erwartet werden, dass sie das Land mit einer hinter dem Rücken gefesselten Hand verteidigen“, fügte er hinzu. Entscheidend sei nun, ob das Gesetz einen klaren, praktikablen gesetzlichen Rechtfertigungsgrund für gutgläubige Cybersicherheitsarbeit liefere, einschließlich Schwachstellenforschung und Bedrohungsanalyse.
Die Begleitnotizen zur Thronrede verweisen zudem auf geplante „Cyber Crime Risk Orders“ sowie auf Befugnisse gegenüber Personen, die im Auftrag von Verdächtigen der Computerkriminalität Beweise verbergen sollen. Das deutet auf eine breitere Strategie hin, die auf die Störung von Ransomware- und Netzwerken der organisierten Computerkriminalität zielt. Die vorgeschlagenen Cyber Crime Risk Orders könnten den Behörden die Möglichkeit geben, Personen Beschränkungen aufzuerlegen, von denen eine fortdauernde Cyberbedrohung ausgeht – ein Ausdruck der breiteren Verschiebung hin zu präventiven Maßnahmen statt allein nachträglicher Strafverfolgung.
Ein Gesetzentwurf wurde bislang nicht veröffentlicht. Offen bleibt insbesondere, ob die Regierung einen förmlichen gesetzlichen Rechtfertigungsgrund für Cybersicherheitsforschung im öffentlichen Interesse einführen oder sich enger auf modernisierte Ermittlungsbefugnisse konzentrieren will. Frühere Regierungen hatten größere Änderungen am Computer Misuse Act trotz wiederholter Forderungen von Forschern, Sicherheitsfirmen und Abgeordneten abgelehnt. Das Gesetz soll im weiteren Jahresverlauf ins Parlament eingebracht werden.