US-Datenschützer weisen auf heimlich ausgeweitete Überwachung hin

Das US-Justizministerium hat AT&T und anderen Unternehmen, die an einem Cybersecurity-Programm teilnehmen, schriftlich Immunität vor Strafverfolgung zugesichert. Das geht aus Dokumenten hervor, die dem Electronic Privacy Information Center (EPIC) zugänglich wurden. Ranghohe Mitglieder der Regierung Obama haben demnach heimlich zur Überwachung elektronischer Kommunikation ermächtigt, die gegen US-Bundesgesetze verstoßen könnte.

Die heimliche gesetzliche Autorisierung durch das Justizministerium galt ursprünglich einem Cybersecurity-Pilotprojekt, mit dem das US-Militär die Internetverbindungen von Rüstungsunternehmen überwachen wollte. Das Programm wurde durch Präsident Barack Obama seither ausgeweitet und schließt ab 12. Juni alle als kritisch angesehenen Infrastrukturbereiche ein, zu denen auch Energieversorgung, Gesundheitswesen und Finanzwesen gehören.

„Das Justizministerium hilft privaten Unternehmen, bundesweite Abhörgesetze zu umgehen“, sagte EPIC-Chef Marc Rotenberg, dessen Organisation an über 1000 Seiten interner Regierungsdokumente kam und sie in dieser Woche auch News.com zugänglich machte. „Das ist ein Grund, um die Alarmglocken zu läuten.“

Aus den Dokumenten geht hervor, dass der Militärnachrichtendienst NSA und das Verteidigungsministerium starken Druck für die heimliche rechtliche Autorisierung machten und sich NSA-Chef Keith Alexander persönlich einmischte. Trotz anfänglicher Vorbehalte, die auch von Unternehmen vorgebracht wurden, stimmten die Ministerialbeamten schließlich zu.

Das US-Abhörgesetz Wiretap Act erlaubt Internet-Providern das Mitlesen von Netzwerkverkehr ausdrücklich nur, wenn es für das Dienstangebot „unerlässlich“ oder mit der „rechtmäßigen Zustimmung“ des Nutzers geschieht. Mit den als „2511 Letters“ bezeichneten Immunitätszusicherungen versprach das Justizministerium den Providern aber, auf eine strafrechtliche Verfolgung nach den Bestimmungen des Wiretap Act zu verzichten.

Das Cybersecurity-Projekt begann als „DIB Cyber Pilot“ und informierte die Nutzer betroffener Netzwerke durch eingeblendete Banner über das Mitlesen. Als „Joint Cybersecurity Services Pilot“ und schließlich „Enhanced Cybersecurity Services“ wurde es 2012 und 2013 ausgeweitet. In Zukunft soll es alle Arten von Unternehmen betreffen, die in kritischen Infrastrukturbereichen tätig sind.

Inzwischen ist auch das US-Heimatschutzministerium am Projekt beteiligt. Dessen Datenschutzbeauftragte sehen die Privatsphäre der Anwender in beteiligten Unternehmen durch vorhergehende Information gewahrt, wie sie in einem Gutachten (PDF) ausführen. Vor dem Log-in sollen sie darauf hingewiesen werden, dass „Informationen und Daten im Netzwerk überwacht oder an Dritte weitergegeben werden können und die Kommunikation des Nutzers im Netzwerk nicht privat ist.“

Diese Ausweitung der Internet-Überwachung nimmt in einer rechtlichen Grauzone vorweg, was durch das umstrittene Cybersecurity-Gesetz CISPA (Cyber Intelligence Sharing and Protection Act) legalisiert werden soll. Das im letzten Jahr im US-Senat gescheiterte Gesetz wurde erneut eingebracht und findet die ausdrückliche Unterstützung von AT&T, Verizon und anderen Netzbetreibern.

CISPA soll Internetfirmen erlauben, vertrauliche Daten und Kommunikation ihrer Kunden an den Militärnachrichtendienst NSA und andere Regierungsbehörden zu übermitteln. Der Datenaustausch soll „ungeachtet aller anderen gesetzlichen Bestimmungen“ zulässig sein – entgegenstehende Regelungen in allen Bundesgesetzen sowie den Gesetzen der einzelnen US-Staaten wären damit ausgehebelt.

[mit Material von Declan McCullagh, News.com]