Der US-Senat hat am gestrigen Dienstag den umstrittenen Cybersecurity Information Sharing Act (CISA) mit 74 zu 21 Stimmen verabschiedet. Er soll zur Verhinderung von „Cyberangriffen“ auf die amerikanische Wirtschaft den Datenaustausch zwischen Unternehmen und Behörden ermöglichen. Bürgerrechtsgruppen und IT-Firmen befürchten, dass persönliche Daten unkontrolliert an Regierungsbehörden weitergeleitet werden, und sehen das Gesetz als eine weitere Überwachungsmaßnahme.

CISA klingt bekannt, gab es da nicht schon mal so etwas Ähnliches?
Bei dem Gesetz handelt es sich um den de-facto-Nachfolger des Cyber Intelligence Sharing and Protection Act (CISPA), der nach umfangreicher Kampagnenarbeit zumindest vorerst gestoppt wurde. Ein guter Vergleich der unterschiedlichen Gesetzesentwürfe findet sich bei Dailydot.

Was steht drin?
Wie bei CISPA steht bei CISA offiziell der Schutz vor Hacker-Angriffen auf US-Unternehmen im Vordergrund (Gesetzestext). Durch das Teilen von umfangreichen Informationen, sogenannte „cyberthreat indicators“, zwischen Firmen und Behörden sollen kritische Angriffe bereits im Anfangsstudium erkannt und bekämpft werden. Firmen seien bis jetzt äußerst vorsichtig, solche Daten weiterzugeben, aus Angst vor der Verletzung von Datenschutzgesetzen, argumentieren die Unterstützer. Daher sieht CISA vor, dass Unternehmen rechtliche Immunität für die Datenweiterleitung erhalten.

Wer hat entschieden?
Zu den Unterstützern zählen sowohl Demokraten als auch Republikaner. Interessanterweise kam der Gesetzesvorschlag aus dem Geheimdienst-Ausschuss des US-Senates und nicht dem Heimatschutz- oder Wirtschaftsausschuss, die sich normalerweise mit der Sicherheit von elektronischer Infrastruktur befassen.

Wer bekommt die Daten?
Verschiedene Regierungsbehörden, u. a. das Heimatschutz‑, das Verteidigungs- und das Justizministerium bekommen die Informationen, unter ihnen sensible Daten von Nutzer*innen, automatisch übermittelt. Diese können sie ebenfalls mit anderen Ermittlungsbehörden und Geheimdiensten teilen, welche die Daten auch für andere Zwecke nutzen dürfen.

Gegen Hackerangriffe ist gut, die schaden doch der Wirtschaft! Was gibt es da zu kritisieren?
Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) kritisiert die Weitergabe von persönlichen Daten an die Regierungsbehörden und die schwammigen Definitionen im Gesetz:

CISA provides broad immunities for companies to share personal information to the federal government, vague definitions that do not define what information can and cannot be shared, information can be used for purposes unrelated to cybersecurity, and has the potential to be used as another tool to conduct surveillance.

Stattdessen sollten die wahren Probleme angegangen werden, fordert die EFF, die da lauten: unverschlüsselte Dateien, schlechte IT-Architektur, nicht geupdatete Server und Malware, die durch unbedachtes Öffnen von Links verbreitet wird. Diese seien verantwortlich für die Hacks der vergangenen Monate, bei denen beispielsweise millionenfach Fingerabdrücke von Beschäftigen des öffentlichen Dienstes in den USA geleakt wurden. Eine Übermittlung von weiteren Daten an Regierungsbehörden scheint da hochgradig gefährlich.

Auch Edward Snowden meldete sich zu Wort und twitterte, dass es sich bei jeder Stimme für CISA um eine Stimme gegen das Internet handle:

Ach, immer diese Bürgerrechtsgruppen. Was sagen denn die betroffenen IT-Unternehmen?
Die sind zu großen Teilen ebenfalls gegen das Gesetz. Vor allem die IT-Wirtschaftsverbände haben sich öffentlich gegen den Gesetzesvorschlag positioniert und sehen in ihm ein Verstoß gegen die Privatsphäre. Außerdem bezweifeln sie die Wirksamkeit des Vorschlages. So werden bereits Informationen über Hacker-Angriffe mit der Regierung geteilt, ohne dass Datenschutzregeln verletzt werden, wie AlJazeera America erläutert.

Es müsse etwas gegen die zunehmenden Hacker-Angriffe getan werden, aber CISA gehe aufgrund der unregulierten Weitergabe von Daten an die Behörden viel zu weit, schreibt der Wirtschaftsverband CCIA, zu dessen Mitgliedern Amazon, Facebook und Google gehören, in einem Statement:

CCIA recognizes the goal of seeking to develop a more robust system through which the government and private sector can readily share data about emerging threats. But such a system should not come at the expense of users’ privacy, need not be used for purposes unrelated to cybersecurity, and must not enable activities that might actively destabilize the infrastructure the bill aims to protect.

Leider haben sich aber nur wenige Firmen direkt öffentlich gegen das Gesetz gestellt, unter ihnen Twitter, reddit und Apple. Die Kampagne gegen CISPA war von deutlich mehr Unternehmen getragen worden, die jetzt deutliche Stellungnahmen aber vermeiden.

NGOs sind dagegen, Unternehmen teilweise auch. Aber was sagen denn IT-Experten zu CISA?

In einem von dutzenden Sicherheitsexperten unterzeichneten Brief an den US-Senat (pdf) wird an diesen appelliert, CISA nicht zu verabschieden. Jennifer Granick vom Center for Internet and Society an der Universität Stanford schreibt, dass Sicherheitsinformation bereits heute geteilt werden und das bisschen Privatsphäre, das es noch gibt, nicht auch noch geopfert werden sollte:

Meanwhile, companies are sharing vulnerability data with each other, in all kinds of ways commercial and voluntary. More vulnerability information sharing would be a good thing to have. But we need not sacrifice what little privacy we have on the altar of government involvement.

Wie geht’s jetzt weiter?
In der zweiten Kammer, dem US-Repräsentantenhaus, gibt es einen ähnlichen Gesetzesvorschlag, der jetzt mit der Senats-Version in einem Vermittlungssausschuss verglichen und zusammengeführt wird. Danach muss noch Präsident Barack Obama unterschreiben, bevor das Gesetz in Kraft tritt. Ein Veto seinerseits ist aufgrund der geäußerten Regierungsunterstützung für CISA sehr unwahrscheinlich.

Die Aktivisten auf der anderen Seite des Atlantiks geben den Kampf gegen das Gesetz aber noch nicht auf: Die Bürgerrechtsorganisation Fight for the Future ruft dazu auf, auf den Vermittlungsausschuss Druck auszuüben und sich genau zu merken, welche Abgeordnete „gegen das Internet gestimmt haben“.