US-Senat verabschiedet Cybersecurity-Gesetz CISA

Der US-Senat hat mit 74 zu 21 Stimmen das umstrittene Gesetz Cybersecurity Information Sharing Act (CISA) verabschiedet. Es erlaubt Unternehmen, freiwillig Informationen über Cyberangriffe an die US-Regierung weiterzuleiten, selbst wenn darin Nutzerdaten enthalten sind. Eine Immunitätsklausel schützt die Unternehmen vor Klagen, auch wenn sie durch die Übermittlung Gesetze zum Schutz der Privatsphäre verletzen.

Befürworter des Gesetzes sagen, CISA erleichtere der Regierung die Koordinierung von Informationen über Cyberbedrohungen und die Reaktion auf Angriffe. Die Gegner, zu denen Apple, Dropbox und Twitter sowie rund 20 weitere namhafte Technikfirmen gehören, befürchten, dass das Gesetz der Regierung neue Türen öffnet, um US-Bürger auszuspionieren.

„Wir unterstützen den gegenwärtigen CISA-Vorschlag nicht“, heißt es in einer in der vergangenen Woche veröffentlichten Stellungnahme des iPhone-Herstellers. „Das Vertrauen unserer Kunden bedeutet uns alles. Wir glauben, dass Sicherheit nicht auf Kosten ihrer Privatsphäre gehen sollte.“ Der Austausch relevanter Daten über entstehende Bedrohungen zwischen dem privaten und öffentlichen Sektor sei wichtig, erklärte der Online-Speicherdienst Dropbox, aber diese Art von Zusammenarbeit dürfe nicht zu Lasten der Privatsphäre von Nutzern gehen.

Thomas J. Donohue, Präsident der US-Handelskammer, nannte CISA nun einen Sieg für die Cybersicherheit. Der demokratische Senator Al Franken, der gegen CISA gestimmt hat, kommentiert: „Wir benötigen dringend ein aussagekräftiges und effektives Cybersecurity-Gesetz, das eine Balance zwischen Privatsphäre und Sicherheit findet – dieses Gesetz macht das nicht.“ US-Präsident Obama gehört indes zu den Unterstützern von CISA.

Wie Wired berichtet, soll CISA bei der Abwehr der zunehmenden Zahl von Hackerangriffen auf US-Firmen und Organisationen helfen. Betroffene sollen das US-Heimatschutzministerium über die Details von Angriffen und Bedrohungen informieren, das diese Daten wiederum an andere Behörden wie die Bundespolizei FBI oder den Auslandsgeheimdienst National Security Agency weitergeben darf. Sie sollen nicht nur das betroffene Unternehmen, sondern auch mögliche weitere Opfer schützen.

Zu den Daten, die Firmen straffrei weiterleiten dürfen, gehören E-Mails, Textnachrichten und andere persönliche Informationen. Details, die Rückschlüsse auf die Identität einer Person zulassen, sollen allerdings vor der Übermittlung entfernt werden. „Ich glaube nicht, dass CISA ausreichend wirksame Standards für die Entfernung irrelevanter persönlicher Informationen enthält“, heißt es in einem Brief von Alejandro Mayorkas, Deputy Secretary des Department of Homeland Security, an Senator Al Franken. In der vorliegenden Form sei das Gesetz mit Hinblick auf Datenschutz und Bürgerrechte „bedenklich“.

Schon seit fünf Jahren sollen Firmen in den USA per Gesetz ermutigt werden, Cyberbedrohungen gegenüber dem Department of Homeland Security offenzulegen. Einen ähnlicher Entwurf namens Cybersecurity Intelligence Sharing and Protection Act (CISPA) hatte 2013 das US-Repräsentantenhaus verabschiedet – nicht jedoch der US-Senat. Ein gemeinsames Gremium beider Häuser soll nun einen Kompromiss aus CISA und CISPA erarbeiten, der dann US-Präsident Barack Obama zur Unterzeichnung vorgelegt wird.

[mit Material von Laura Hautala, News.com]