Gesetzesinitiative in den USA: Tausche Sicherheit gegen Daten

IT-Sicherheit ist längst ein Thema der Nationalen Sicherheit. Ob Industriespionage aus China oder vermeintliche Angriffe aus Russland – westliche Regierungen rüsten immer mehr für den IT-Krieg. Ein neues Gesetz in den USA soll eine Allianz zwischen IT-Konzernen und Geheimdiensten begründen: Firmen bekommen staatliche Sicherheit und die Geheimdienste dafür Zugriff auf deren Daten.

Der Cyber Intelligence Sharing and Protection Act hat gerade im US-Repräsentantenhaus die ersten parlamentarischen Hürden genommen. Das Gesetz sieht ausdrücklich vor, dass Geheimdienste Zugriff auf die Daten von US-Unternehmen erhalten, wenn diese zustimmen. Diese "zertifizierten Entitäten" beinhalten gleichzeitig die gesetzliche Genehmigung, praktisch alle Daten mitzuschneiden. So könnten Provider, Inhalteanbieter oder gar technische Dienstleister zu informellen Mitarbeitern der Geheimdienste werden.

Für die Firmen ist es ein vermeintlich gutes Geschäft: Sie bekommen von den Gemeindiensten kostenlose Hilfe und dürfen auch Einblick in den neuen Datenschatz nehmen. Und wer kennt sich schon besser mit digitalen Angriffen aus als die Spezialisten von CIA und NSA?

"Massenhafte Datensammlung"

Eine zivile Behörde für den IT-Schutz gibt es allerdings schon: das United States Computer Emergency Readiness Team (US-CERT) untersteht dem Heimatschutzministerium und dient als nationales Warnzentrum vor Schwachstellen und aktuellen Gefahren. Wenn beispielsweise eine Schwachstelle in Windows entdeckt wird, alarmiert das US-CERT die Öffentlichkeit und bietet Hilfen an, diese Lücken zu schließen. Doch die zivilen IT-Schützer müssen sich an Gesetze wie den Datenschutz halten und ihre Erkenntnisse publizieren.

Bürgerrechtler warnen vor den weitgehenden Bestimmungen des neuen Gesetzes. "Neben der Gefahr des massenhaften Datensammlung, sieht das Gesetz keinerlei wirkungsvolle Aufsicht oder Verantwortlichkeit vor", beschwert sich zum Beispiel die American Civili Liberties Union (ACLU). Auch die Electronic Frontier Foundation hat Widerstand gegen das Gesetzevorhaben angekündigt. Denn sind die Daten einmal im System der Geheimdienste erfasst, kann die US-Regierung damit machen was sie will.

IP-Adressen, Accountdaten, Kommunikationsinhalte

Schon heute greifen die US-Behörden routinemäßig auf Daten von Kommunikationsdiensten wie Twitter zu – benötigen dafür aber noch gerichtliche Verfügungen. Das neue Gesetz würde eine Hintertür öffnen, die der US-Regierung unbeschränkten Zugriff auf alle Daten geben könnte, die auf amerikanischem Boden oder von amerikanischen Firmen verarbeitet werden.

Und da die größten Netzkonzerne wie Google, Facebook oder Cisco in den USA sitzen, wäre die Bandbreite der zur Verfügung stehenden Daten enorm: von IP-Adressen über Accountdaten bis hin zu den Inhalten der Kommunikation selbst.

Schon in der Vergangenheit hat die National Security Agency zentrale Kommunikationsleitungen angezapft – manche Maßnahmen wurden von der US-Regierung erst nachträglich legalisiert. Der ACLU fordert deshalb, die IT-Sicherheit nicht militärischen Einrichtungen zu übertragen und den Gebrauch der Daten allein auf die Abwehr von IT-Attacken zu beschränken.

Das zuständige Kommitee im US-Repräsentantenhaus ist hingegen anderer Meinung. "Dank harter Arbeit und Verhandlungen haben wir ein Ergebnis erreicht, das sowohl starken Schutz für die Privatsphäre und die Bürgerrechte liefert, und dem Privatsektor einen effektiven Datenaustausch ermöglicht, um seine eigenen Netze zu schützen", erklärt zum Beispiel der US-Abgeordnete Mike Rogers (Republikaner), der das Gesetz mit auf den Weg gebracht hat. Da Abgeordnete aus beiden Parteien das Vorhaben stützen, könnte es schon bald zur Abstimmung kommen.