Anfang dieser Woche hat der US-Senat den Cybersecurity Information Sharing Act (CISA) verabschiedet. Dieses Gesetz soll es Unternehmen, Strafverfolgungsbehörden und der Regierung erleichtern, Informationen über potenzielle Cyberbedrohungen auszutauschen. Aber die Sprache des Gesetzes hat Organisationen wie die Electronic Frontier Foundation (EFF) beunruhigt.
Im Kern geht es um die Art und Weise, wie Unternehmen ermutigt werden, an einem Programm zum Informationsaustausch teilzunehmen. Es ist Opt-in, also müssen Unternehmen nicht teilnehmen. Wenn sie sich für eine Zusammenarbeit entscheiden, senden sie am Ende automatisierte Echtzeitnachrichten an Strafverfolgungsbehörden und Regierungsbehörden.
Im Gegenzug erhalten Unternehmen Immunität von Gerichtsverfahren, wenn sie diese Informationen weitergeben. Das Gesetz fordert Unternehmen außerdem auf, alle Informationen zu entfernen, die Kunden als Hinweis auf den Datenschutz identifizieren könnten. Aber Kritiker sind mit diesem Schritt nicht zufrieden.
Es braucht nur sehr wenige Informationen, um eine Person zu identifizieren. Forscher des Data Privacy Lab der Harvard University haben gezeigt, dass für Menschen, die in den Vereinigten Staaten leben, nur eine Postleitzahl, Geschlecht und Geburtsdatum ausreichen. Wir halten unsere Namen oft für wichtig, wer wir sind, aber wie sich herausstellt, sind sie nicht notwendig, um für uns relevante Daten zu verbinden.
Und sollte eine Behörde irrtümlicherweise aufgrund fehlerhafter Informationen handeln, haben die Betroffenen keinen Rechtsweg gegen das Unternehmen, das ihre Informationen ursprünglich weitergegeben hat. Kritiker sagen, dass diese Gesetzgebung Unternehmen schützen würde, nicht Bürger. Es würde auch den Umfang der Überwachung amerikanischer Bürger stark erhöhen.
Die EFF geht noch einen Schritt weiter und sagt, die Gesetzgebung ignoriere die zugrunde liegenden Probleme der Cybersicherheit. Die Organisation weist darauf hin, dass die großen Sicherheitsprobleme mit schlecht verschlüsselten oder unverschlüsselten Daten, veralteter Computerarchitektur und guten altmodischen menschlichen Fehlern zusammenhängen. CISA unternimmt nichts, um diese zugrunde liegenden Probleme anzugehen.
Während das Gesetz, das den Senat passiert, ein Schlag für die Kritiker ist, wurde CISA noch nicht in das Gesetz aufgenommen. Es wird jetzt von einem Komitee behandelt, um Differenzen in den Versionen des Gesetzes im Senat und im Repräsentantenhaus zu lösen. Sie können das Gesetz vollständig online lesen. Und falls Sie es noch nicht getan haben, können Sie sich oben auch unser CISA-Einführungsvideo ansehen.
