Auferstanden von den Toten
Nach den angeblichen chinesischen Hackerangriffen ist die Angst vor Cyberspionage groß, weswegen ein bereits letztes Jahr abgelehntes, höchst umstrittenes Gesetz wiederbelebt wird
In den USA tobt der Kampf um Cybersecurity in vollen Zügen. Im Fahrwasser angeblicher chinesischer Hackerangriffe auf US-Unternehmen soll in den nächsten Wochen im US-Kongress erneut über ein vor einem Jahr abgelehntes kontroverses Sicherheits-Gesetz abgestimmt werden. Schon im April könnte Obama das Dokument zur Unterzeichung vorgliegen. Ihre Befürworter sind zuversichtlich, dass aus der Vorlage diesmal Gesetz wird.
Das Thema digitale Kriegsführung beherrscht momentan die Schlagzeilen. Die Angst vor Cyberspionage schlägt in den USA dabei so hohe Wellen, dass manche bereits eine Art Neuauflage des Kalten Krieges heraufziehen sehen. Diesmal allerdings drohen Angriffe von allen Seiten: Ob China, Iran, Al-Qaida-Terroristen, Nord-Korea, zersetzende Elemente im Inneren, Hacktivisten wie Aaron Swartz, Occupy oder Umweltaktivisten, die Multimillionen-Dollar-Unternehmen in Verruf bringen und damit viel Geld kosten könnten - die Gefahr lauert im grenzenlosen World Wide Web.
Es passt daher in die Situationslage, dass ein alter Freund wieder auftaucht, um all diesem Risiko einen Riegel vorzuschieben: Die kontroverse Gesetzesvorlage "Cyber Intelligence Sharing and Protection Act", (CISPA), von Kritikern auch der "internet freedom killer" genannt, ist zurück auf dem Parkett des US-Kongresses.
Vor knapp einem Jahr, im April 2012, wurde CISPA zum ersten Mal im US-Kongress vorgestellt. Es sah den Austausch von Informationen zwischen der Obama-Administration und US-Telekommunikationsunternehmen über den Internetverkehr ihrer Kunden vor. Obamas Behörde wollte dadurch Cyber-Kriminalität ermitteln und die US-Infrastruktur wie Stromnetze vor digitalen Anschlägen schützen. Strafverfolgung von Bürgern wegen der Verletzung der Privatsphäre hätten die Unternehmen nicht zu fürchten, denn das integrale Standbein von CISPA ist, dass es ihnen Immunität vor einer möglichen Haftung gewähren würde. Andersrum hieße dies aber auch: Sollten Unternehmen keine Informationen rausrücken wollen, hätten sie kaum noch eine rechtliche Grundlage dafür und müssten sich auf massiven Druck der eigenen Regierung einstellen.
Bürgerrechtsinitiativen wie die American Civil Liberties Union (ACLU) und Internetgruppen wie die Electronic Frontier Foundation und Anonymous liefen Sturm. Sie warnten vor Cyber-Spying und schwerwiegenden Verletzungen der Privatsphäre von Bürgern und vor Überwachung der Computer- und Internetkommunikation durch den Staat, u.a. durch den Militärnachrichtendienst NSA. Der Gesetzestext ist so breit ausgelegt, dass er quasi jeden zum potentiellen Cyber-Terroristen macht, der eine verschlüsselte Email verschickt oder seine IP-Adresse durch Software wie TOR anonymisiert.
All diese Sorgen teilte das von den Republikanern gehaltene Abgeordnetenhaus damals nicht. Trotz Veto-Androhung des Weißen Hauses stimmte es mit 248 zu 168 für eine Annahme des Gesetzes. Danach allerdings stockte es: Der demokratische Senat wollte nicht über CISPA abstimmen, es zerstritt sich lieber ohne Ergebnis über den eigen "Cybersecurity Act of 2012". Damit war CISPA zwar vorerst gescheitert, aber noch lange nicht zu Grabe getragen. Die kontroverse Gesetzvorlage durfte auf den Fluren zwischen den zwei Kongresskammern auf eine günstige Gelegenheit zur Wiederauferstehung warten. Die scheint jetzt gekommen: Das große mediale Brimborium über angebliche chinesische Hackerattacken auf US-Unternehmen, Banken, Regierungsbehörden und Spionage bei Zeitungen wie die New York Times und das Wall Street Journal bietet nicht nur den Referenzrahmen sondern auch die nötige Dramaturgie.
Vor wenige Wochen ist CISPA erneut in den US-Kongress zur Abstimmung eingebracht worden - ohne große Veränderungen gegenüber der Version vom letzten Jahr und damit auch ohne auf Bedenken der Verletzung der Privatsphäre der Bürger eingegangen zu sein, erklärte ein demokratischer Abgeordneter kurz nach der Anhörung gegenüber Politico.com.
"Jede Sekunde analysieren, klauen und konspirieren hervorragend ausgebildete chinesische, russische und iranische Hacker"
Die Unterstützer scheint das ungelöste Problem nach wie vor wenig zu kümmern. Sie hoffen auf die Sogkraft des politisch günstigen Moments, um ihre Vorlage endlich durch beide Kammern schleusen zu können. In einer Kolumne in der Baltimore Sun mit dem Titel: Fight cyber crime through information sharing liefert der US-Kongressabgeordnete Charles Albert "Dutch" Ruppersberger, der neben Mike Rogers das Autorenduo von CISPA ausmacht, gleich eine ganze Reihe dramatischer Argumente, warum das Gesetz diesmal vom Kongress abgesegnet werden muss.
"Jede Sekunde" würden "hervorragend ausgebildete chinesische, russische und iranische Hacker analysieren, klauen und konspirieren.", schreibt Ruppersberger. Und beruft sich dabei unter anderem auf Medienberichte, wonach Coca-Cola "eventuell" Opfer eines Hackerangriffs durch eine chinesische Getränkefirma geworden sei. In diesem Duktus geht es weiter: Viele seien überzeugt, dass das, was amerikanischen Unternehmen gerade passiere, der "größte Vermögenstransfer in der Geschichte der Welt sei. Es kostet unseren Firmen Milliarden Dollar, und es kostet unserem Land tausende Arbeitsplätze." Kurz: CISPA wäre eine Sache Nationaler Sicherheit und alternativlos, um die USA gegen Cyber-Attacken von Ländern wie China und Iran zu schützen.
Ins gleiche Horn stößt auch ein Artikel des ehemaligen Bundesanwalts und Prozess-Experten im Bereich des "Foreign Corrupt Practices Act" Michael Volkov. Die täglichen Hackerangriffe terroristischer Gruppen und ausländischer Regierungen auf Fortune-500-Unternehmen würden Chaos im Internet anrichten und seien ein "Rezept für ein Wirtschaftsdesaster", so Volkov. Die Risiken seien zu groß und die Folgen, nicht zu handeln, könnten zu ernsthaften wirtschaftlichen Konsequenzen führen, heißt es in seinem Artikel The Storm Has Arrived: Cybersecurity, Risks And Response.
Der schlechteste Artikel über Cyber-Sicherheit
Alles Humbug argumentiert dagegen Mike Masnick, Herausgeber des Technik- und Wirtschaftspolitik-Blogs TechDirt.com. Von Ruppersberges angebrachten Beispielen hätte keines durch CISPA verhindern werden können. Die Kolumne, so Masnick, sei schlicht eine Aneinanderreihung von "Schauergeschichten", ohne auch nur einmal zu erklären, wie der Gesetzentwurf tatsächlich gegen Cyberangriffe helfen solle. Dasselbe gelte für Volkovs Text, den er als The Worst Article You Might Ever Read About 'Cybersecurity' bezeichnet: Beide Texte würden keinerlei Details offenbaren, dafür aber so viele gravierende Fehler und Unsinnigkeiten, dass man sich fragen müsste, ob die Autoren überhaupt wüssten, worüber sie schrieben.
Zwar scheinen sich chinesische Hackerangriffe definitiv zu ereignen, schreibt Masnick weiter, aber "welche wirtschaftlichen Aktivitäten wurden untergraben? Bisher waren die Hacks wenn überhaupt ein Ärgernis, aber es ist unklar, dass sie tatsächlichen Schaden angerichtet haben." Darüber hinaus sei CISPA überhaupt nicht mehr nötig: Seit Obamas kürzlich beschlossener Executive Order zur Cybersicherheit könne die Regierung nämlich wesentlich leichter Informationen über Attacken mit Telekommunikationsunternehmen teilen, erklärt Masnick.
Es lässt sich darüber spekulieren, warum die Abgeordneten dann ein Gesetzentwurf hervorkramen, der in seiner Radikalität unbeschnitten ist. Vielleicht wird das Verhalten nachvollziehbar, wenn man im Duktus seiner - laut Masnick - überforderten Befürworter denkt. Wer nicht durchblickt, der macht, um sehen zu können, eben alles ohne Rücksicht auf Verluste platt. CISPA als Agent Orange des digitalen Zeitalters. Die Folgen sind bereits jetzt zu erahnen, das volle Ausmaß der Schäden für die Menschen und die Demokratie würde freilich erst später erkennbar werden, wenn man erfasst, was damals verloren ging.
Ob sinnvoll oder nicht, ob nötig oder nicht: Der Vorsitzende des Geheimdienstausschusses des Repräsntantenhauses, Mike Rogers, ist zuversichtlich, dass seine Gesetzesvorlage diesmal gute Chancen hat, durch den Kongress zu kommen. Er würde schon mit dem Weißen Haus verhandeln, was ein deutlicher Fortschritt zum letzten Jahr sei und ihn in seiner Hoffnung bestärke, dass es diesmal gelinge, sagte Rogers gegenüber The Hill. Dazu hätte er sehr gute Gespräche mit jenen geführt, die letztes Mal gar nicht erst abstimmen wollten: den Abgeordneten im Senat. Und die gute Nachricht, so Rogers weiter, sei: "Alle stimmen überein, dass wir eine Informations-Austausch [Maßnahme] sofort brauchen." Man werde bei den Verhandlungen nicht jeden zufrieden stellen können, aber Rogers ist optimistisch, dass die Vorlage im April auf Obamas Schreibtisch landen wird, fertig zur Unterzeichung.
Wenn man sich auf etwas verlassen kann, dann auf das Gespür einiger Vertreter aus der politische Arena, im politisch günstigen Moment einen zweiten Anlauf abzufahren. Vorsorglich haben Interessenverbände für ein freies Internet wie Demand Progress und Fight for the Future daher neben dem Twitter-Account @CISPApetition schon einmal über 300.000 Unterschriften gegen CISPA den Abgeordneten im Kongress übersendet. Ob der erneute Aufstand hilft wird sich zeigen. Der nächste Hack wartet schon.