CISPA: Wiederbelebt, umstritten, und der Blackout war irgendwie auch nichts

People’s Campaign for the Constitution

Nachdem der Gesetzentwurf des ‘Cyber Intelligence Sharing and Protection Act‘ CISPA letztes Jahr versandet ist, wurde er dieses Jahr im Februar wieder im US-Repräsentantenhaus eingebracht, u.a. mit der Begründung “We are in a cyber war”. Der Geheimdienstausschuss im Repräsentantenhaus stimmte dem Entwurf kurze Zeit später zu, und obwohl es von den Initiatoren geheißen hatte, man arbeite dieses Mal mit dem Weißen Haus zusammen, um die Bedenken aus dem letzten Jahr auszuräumen, meldete das Weiße Haus Bedenken an. Lobby-Gruppen und Unternehmen unterstützten und kritisierten öffentlich, letzte Woche stimmte dann auch das Repräsentantenhaus CISPA zu. Als nächstes stimmt also der Senat über den Entwurf ab, dann geht es zum Präsidenten. Aus dem Weißen Haus heißt es jedoch noch immer, Obamas Berater würden ihm empfehlen, sein Veto gegen das Gesetz einzulegen, wenn es ihm vorlegt wird. Gestern dann sollte ein von Anonymous initiierter Blackout stattfinden, ähnlich dem bei SOPA/PIPA. Das lief aber, wie die Huffingtonpost schreibt, ’nicht ganz so wie geplant‘: Es haben zwar mehr als 300 Seiten mitgemacht, doch die bekannteste von ihnen war die Plattform Reddit – und hier konnte jeder Moderator eines Subreddits (Threads) selbst entscheiden, ob ‚geschwärzt‘ wird oder nicht. Wirklich gemerkt haben diesen Blackout wohl nur wenige.

Worum geht es eigentlich bei CISPA?
CISPA soll als Ergänzung des National Security Act fungieren, der noch keinerlei Bestimmungen zu ‚Cybercrime‘ enthält. CISPA soll ermöglichen, schneller gegen ‚Cyber Threats‘ vorgehen und die Sicherheit von Netzen gegen Angriffe gewährleisten zu können. Der Austausch von Informationen zwischen der Regierung und Telekommunikationsunternehmen über den Internetverkehr ihrer Kundinnen und Kunden soll Ermittlungen zu ‚Cyber-Kriminalität‘ erleichtern.

People's Campaign for the Constitution
People’s Campaign for the Constitution

Unklar ist, wieso CISPA so gepusht wird: Im Februar hatte Obama ein Dekret zur Cybersicherheit erlassen, dass die Weitergabe sicherheitsrelevanter Informationen an Betreiber kritischer Infrastrukturen erleichtern soll. Bürgerrechtsorganisationen wie die American Civil Liberties Union hatten das Dekret sogar als klugen Weg bezeichnet, die ‚Cybersicherheit‘ zu erhöhen und gleichzeitig die Privatsphäre zu schützen. Bei CISPA hingegen formiert sich erneut Protest: 34 Bürgerrechtsorganisationen, darunter Mozilla, Fight for the Future und die EFF, riefen die Abgeordneten dazu auf, gegen CISPA zu stimmen. Trotz Änderungen sei man sehr besorgt darüber, dass CISPA es solchen Unternehmen, bei denen sehr sensible und persönliche Daten liegen, ermöglicht, diese großzügig mit der Regierung und Militärbehörden zu teilen. CISPA stelle damit eine Ausnahme aller Datenschutzgesetze dar:

CISPA’s information sharing regime allows the transfer of vast amounts of data, including sensitive information like Internet records or the content of emails to any agency in the government including military and intelligence agencies like the National Security Agency or the Department of Defense Cyber Command.

In dem Protestbrief weisen die Organisationen zudem darauf hin, dass der Senat letztes Jahr im „Cybersecurity Act“ den Schutz der Privatsphäre für Informationsaustausch festlegte und dass die Obama-Administration, einschließlich der Nachrichtendienste, bestätigt haben, dass diese Schutzmechanismen Cybersecurity-Programme nicht negativ beeinflussen. Zusätzlich Bestimmungen, dass private Unternehmen Informationen nur an zivile Behörden senden dürfen und die Anforderung, dass Unternehmen sich „angemessen anstrengen“, persönliche Informationen, die nicht mit der zu meldenden ‚Cyber-Bedrohung‘ zusammenhängen, zu entfernen wenn die Daren weitergegeben werden.

Finally, witnesses at a hearing before the House Permanent Select Committee on Intelligence confirmed earlier this year that companies can strip out personally identifiably information that is not necessary to address cyber threats, and CISPA omits any requirement that reasonable efforts be undertaken to do so.

Eine Petition bei Avaaz gegen CISPA haben seit dem 5. April mehr als 800.000 Menschen unterzeichnet. Die Befürworter des Entwurfs, allen voran die Initiatoren Michael Rogers und Dutch Ruppersberger, nutzen die Angst vor Cyberspionage, und im ‚Cyber War‘ sind wir ja eh bereits. Und das viele der Szenarien, die gezeichnet werden um die Notwendigkeit von CISPA zu zeigen, schlichtweg falsch sind, stört wohl niemanden. Und so wandert CISPA weiter zum Senat.

EU erstellt eigenes CISPA
Während CISPA in Europa keine unmittelbaren Auswirkungen hat, wird in der EU-Richtlinie zur Cyber-Sicherheit ähnliches erwägt. Nationalen Sicherheitszentren sollen demnach die erforderlichen Mittel zur Verfügung gestellt werden, um „ihren Verpflichtungen nachkommen” zu können – einschließlich “der Befugnis zum Einholen ausreichender Informationen bei den Marktteilnehmern […] ebenso wie zum Einholen von zuverlässigem und umfassendem Datenmaterial über aktuelle Sicherheitsvorfälle.“ „Marktteilnehmer“ sind App-Stores, eCommerce-Plattformen, Zahlungssysteme, Cloud-Computing, Suchmaschinen, soziale Netzwerke und andere Kommunikationsdienste. Laut Sicherheitsforscher Ross Anderson hätte das eine Ausweitung der Befugnisse zur Vorratsdatenspeicherung zur Folge – durch Telekommunikationsunternehmen und ISPs auf Diensteanbieter wie Suchmaschinen, Webmail-Anbieter, soziale Netzwerke und Betreiber von Computerspielen. Dies verstoße sowohl gegen die Verfassungen einiger Länder, sei aber ebenfalls schwer mit dem Recht auf Achtung des Privat- und Familienlebens der Europäischen Menschenrechtskonvention in Einklang zu bringen.

2 Ergänzungen

  1. Zum Glück war ja auch letzte Woche der Bombenanschlag in Boston, weshalb das mit CISPA auch kaum einer mitbekommen hat. Gutes Timing will ich meinen.

  2. >Während CISPA in Europa keine unmittelbaren Auswirkungen hat…<
    Werden nicht die Daten von allen Usern die Dienste wie Google, Facebook oder anderer US IT Unternehmen nutzen in die USA übermittelt (wenn auch nicht als Storage, dann zumindest temporär)? Damit ist die "keine unmittelbare Auswirkung" auf Europa, sehr unmittelbar.

    Unternehmen die CISPA unterstützen:
    http://de.reddit.com/r/technology/comments/1ca3pa/google_yahoo_executives_back_cispa_through/

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.