Vor in etwa einem Monat \u2013 am 18. Dezember 2015 \u2013 unterzeichnete der US-amerikanische Pr\u00e4sident Barack Obama den Cybersecurity Information Sharing Act (CISA) als Bestandteil des US-Haushalts f\u00fcr 2016 (consolidated spending bill). Wie es der Name bereits vermuten l\u00e4sst, handelt es sich beim CISA um ein Bundesgesetz, das sich der F\u00f6rderung der Cybersicherheit in den USA verschrieben hat, vorrangig geschehen soll dies durch einen erweiterten Informationsaustausch \u00fcber Bedrohungen der IT-Sicherheit. Soweit wenig \u00dcberraschendes \u2013 gerade wenn es um die F\u00f6rderung der allgemeinen IT-Sicherheit geht, liegt nichts n\u00e4her, als Informationen \u00fcber aktuelle Gefahren- und Bedrohungslagen zu sammeln und auszuwerten. Insbesondere das deutsche IT-Sicherheitsgesetz sowie die europ\u00e4ische NIS-Richtlinie verfolgen einen ebensolchen Ansatz. Deutlich interessanter ist da schon der Verlauf des Gesetzgebungsverfahrens f\u00fcr den CISA: Urspr\u00fcnglich im Juli 2014 dem Kongress vorgestellt, scheiterte er zun\u00e4chst an ausreichenden Stimmen des Senats, weswegen der Entwurf des CISA im M\u00e4rz 2015 erneut in den Kongress eingebracht wurde. Nachdem hierauf der Versuch scheiterte, das Gesetz als Zusatz zum \u201eNational Defense Authorization Act\u201c zu verabschieden, wurde es schlie\u00dflich in den Bundeshaushalt f\u00fcr 2016 integriert \u2013 mit der Folge, dass f\u00fcr die Abgeordneten kaum mehr eine andere M\u00f6glichkeit bestand, als das Gesetz zu verabschieden, sollte der Haushalt f\u00fcr das neue Jahr nicht blockiert werden.<\/p>\n
Dass ein Gesetz zur F\u00f6rderung der Cybersicherheit \u2013 was ja grunds\u00e4tzlich zu begr\u00fc\u00dfen ist \u2013 unter derart widrigen Umst\u00e4nden zustande kommen musste, ist darauf zur\u00fcckzuf\u00fchren, dass das Gesetz nicht allein das Ziel verfolgt, US-amerikanische IT-Systeme sicherer zu machen, sondern dem Gesetzgeber vorgeworfen wird, unter dem Deckmantel der IT-Sicherheit lediglich ein neues \u00dcberwachungsgesetz zu schaffen. So argumentiert<\/a> die B\u00fcrgerrechtsorganisation \u201eElectronic Frontier Foundation\u201c (EFF), dass es sich beim CISA letztlich gar nicht um ein Cybersicherheits-Gesetz handle, sondern lediglich erleichterte Voraussetzungen geschaffen werden sollen, um in die Privatsph\u00e4re der B\u00fcrger einzugreifen. Bei n\u00e4herer Betrachtung der gesetzlichen Erm\u00e4chtigungen<\/a> liegt ein solcher Verdacht auch nahe: So k\u00f6nnen Angaben zu IT-Sicherheitsrisiken nicht nur an das Department of Homeland Security (DHS), sondern ebenso unmittelbar an den Nachrichtendienst NSA, die Bundespolizeibeh\u00f6rde FBI oder an das Verteidigungsministerium (Pentagon) \u00fcbermittelt werden. Dar\u00fcber hinaus soll es die M\u00f6glichkeit f\u00fcr Unternehmen geben, den Beh\u00f6rden \u00fcber Datenrelaisstationen einen unmittelbaren Zugriff auf Datenbest\u00e4nde zu gew\u00e4hren. Die Datennutzung soll dabei ohne zeitliche Einschr\u00e4nkungen erfolgen d\u00fcrfen. Auch personenbezogene Daten d\u00fcrfen zwischen den Sicherheitsbeh\u00f6rden \u00fcbermittelt werden, um diese bei einem Verdacht auf die Begehung von Straftaten fruchtbar machen zu k\u00f6nnen. Doch nicht nur die Beh\u00f6rden sollen davon profitieren k\u00f6nnen, im Namen der IT-Sicherheit in gro\u00dfem Umfang personenbezogene Daten ohne vorherige richterliche Anordnung auswerten zu k\u00f6nnen \u2013 auch Unternehmen wird laut EFF die M\u00f6glichkeit gew\u00e4hrt, unter der Zwecksetzung der Cybersicherheit Einblick in Nutzerdaten zu nehmen.<\/p>\n Die US-amerikanische Gesetzgebung macht dabei vor allem eines deutlich: Wie \u00fcberall m\u00fcssen auch zur Gew\u00e4hrleistung der Cybersicherheit die beh\u00f6rdlichen Kompetenzen, Verfahren und Erm\u00e4chtigungsgrundlagen durch den Gesetzgeber transparent und normenklar schon im Vorfeld festgelegt werden. So kann es grunds\u00e4tzlich auch m\u00f6glich sein, dass f\u00fcr die Gew\u00e4hrleistung von IT-Sicherheit personenbezogene Daten ausgewertet werden m\u00fcssen. Wenn dies jedoch geschieht, muss eine derartige Datennutzung stets auf gut begr\u00fcndete Ausnahmef\u00e4lle begrenzt bleiben. Keinesfalls darf die Cybersecurity zu einem blo\u00dfen Vorwand werden, um die \u00dcberwachung zu Zwecken der allgemeinen Gefahrenabwehr weiter auszubauen. Ein solches Vorgehen schadet nicht nur den B\u00fcrgerrechten, sondern beeintr\u00e4chtigt auch nachhaltig die F\u00f6rderung der IT-Sicherheit \u2013 was ein mindestens genauso wichtiges Ziel darstellt, will man personenbezogene Daten effektiv sch\u00fctzen.<\/p>\n","protected":false},"excerpt":{"rendered":" Vor in etwa einem Monat – am 18. Dezember 2015 – unterzeichnete der US-amerikanische Präsident Barack Obama den Cybersecurity Information Sharing Act (CISA) als Bestandteil des US-Haushalts für 2016 (consolidated spending bill). Wie es der Name bereits vermuten lässt, handelt es sich beim CISA um ein Bundesgesetz, das sich der<\/p>\n","protected":false},"author":32,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,912,913,221,914,6,3,7,76,915,916,4,69,12,17,917,15,16,14,8],"tags":[],"class_list":["post-1074","post","type-post","status-publish","format-standard","hentry","category-bsi","category-cisa","category-cybersecurity-information-sharing-act","category-eaid-blog","category-fbi","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-it-sicherheit","category-it-sig","category-nis-rl","category-notfallmanagement","category-nsa","category-penetrationstest","category-penetrationstests","category-pentagon","category-risikomanagement","category-unternehmen","category-veranstaltungen","category-zertifizierung-audit"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1074","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1074"}],"version-history":[{"count":1,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1074\/revisions"}],"predecessor-version":[{"id":1075,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/1074\/revisions\/1075"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1074"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1074"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1074"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}