US-Senat beschließt Cybersecurity-Gesetz CISA

Dieses soll einen freiwilligen Informationsaustausch über Cybergefahren zwischen Unternehmen und Behörden ermöglichen. Dabei schützt sie eine Immunitätsklausel vor potenziellen Verstößen gegen Datenschutzgesetze. Zu den Gegnern des Gesetzes zählen zum Beispiel Apple, Dropbox und Twitter.
Mit 74 zu 21 Stimmen hat der US-Senat den Cybersecurity Information Sharing Act (CISA) in Kraft gesetzt. Das Gesetz ermöglicht es Firmen, auf freiwilliger Grundlage auch dann Informationen über Cyberangriffe an die US-Regierung zu übermitteln, wenn diese Informationen Nutzerdaten enthalten. Die Unternehmen werden durch eine Immunitätsklausel vor Klagen geschützt, selbst wenn sie durch die Weiterleitung der Informationen Gesetze verletzen, di die Privatsphäre schützen sollen.
Befürworter des Gesetzes erklären, CISA vereinfache es der Regierung, Informationen über Cyberbedrohungen sowie die Reaktionen darauf zu koordinieren. Gegner, zu denen Firmen wie Apple, Dropbox und Twitter gehören, befürchten, dass das Gesetz der Regierung neue Möglichkeiten eröffnet, um US-Bürger auszuspähen.
“Wir unterstützen den gegenwärtigen CISA-Vorschlag nicht”, heißt es in einer in der vergangenen Woche publizierten Stellungnahme von Apple. Man sei der Ansicht, dass Sicherheit nicht auf Kosten der Privatsphäre der Kunden gehen sollte. Der Austausch relevanter Daten über Bedrohungen zwischen privaten und öffentlichen Sektor sei wichtig, erklärte Dropbox, aber die Zusammenarbeit in dem Bereich dürfe nicht zu Lasten der Privatsphäre von Nutzern gehen.
Thomas J. Donohue, Präsident der US-Handelskammer, bezeichnete CISA nun jedoch als einen Sieg für die Cybersicherheit. Der demokratische Senator Al Franken, der gegen CISA gestimmt hat, kommentiert dagegen: “Wir benötigen dringend ein aussagekräftiges und effektives Cybersecurity-Gesetz, das eine Balance zwischen Privatsphäre und Sicherheit findet – dieses Gesetz macht das nicht.” US-Präsident Barack Obama zählt dagegen zu den Unterstützern von CISA.
Laut CISA sollen US-Firmen und Organisationen das US-Heimatschutzministerium über Einzelheiten von Cyberangriffen informieren. Das Ministerium gibt die Daten wiederum an andere Behörden wie das FBI oder den Auslandsgeheimdienst NSA weiter. So sollen nicht nur das betroffene Unternehmen, sondern auch potenzielle weitere Opfer geschützt werden. Damit ist CISA das Pendant zum deutschen IT-Sicherheitsgesetz.
Zu den Daten, die Firmen straffrei weiterleiten dürfen, zählen E-Mails, Textnachrichten und andere persönliche Daten. Einzelheiten, die Rückschlüsse auf die Identität einer Person zulassen, sollen allerdings vor der Übermittlung entfernt werden. “Ich glaube nicht, dass CISA ausreichend wirksame Standards für die Entfernung irrelevanter persönlicher Informationen enthält”, heißt es in einem Brief von Alejandro Mayorkas, Deputy Secretary des Department of Homeland Security, an Senator Al Franken. In der vorliegenden Form sei das Gesetz mit Hinblick auf Datenschutz und Bürgerrechte “bedenklich”.
Bereits seit fünf Jahren sollen Unternehmen in den USA per Gesetz ermutigt werden, Cyberbedrohungen gegenüber dem Department of Homeland Security preiszugeben. Einen ähnlichen Entwurf namens Cybersecurity Intelligence Sharing and Protection Act (CISPA) hatte das US-Repräsentantenhaus 2013 verabschiedet. Es scheiterte dann jedoch im Senat. Ein gemeinsames Gremium beider Häuser soll nun einen Kompromiss aus CISA und CISPA erarbeiten, der dann US-Präsident Barack Obama vorgelegt wird.
[mit Material von Stefan Beiersmann, ZDNet.de]