US-Präsident Barack Obama hat jetzt mit seiner Unterschrift eine Präsidialdirektive zur Cybersicherheit in Kraft gesetzt, die den Schutz wichtiger amerikanischer Infrastruktur verstärken und zugleich Kritik entgegenwirken soll, die parteiübergreifend gegen vorangegangene Gesetzesinitiativen zum gleichen Thema laut geworden war, weil sie die Bürgerrechte einschränkten.
Bild
© WhitehouseObama und seine scheinheilige Maske der Vernunft
Aber der Druck auf die Abgeordneten hält weiter an, und weiterhin stehen auch dieselben Themenbereiche im Mittelpunkt. Vor allem eine verpflichtende Erhöhung der Sicherheit und der Sicherheitsbemühungen im Privatsektor wird allgemein für notwendig gehalten. Eine neue
Fassung des umstrittenen »Gesetzes zur Weitergabe und zum Schutz von Cyberinformationen« (CISPA, »Cyber Intelligence Sharing and Protection Act«) soll am Mittwoch in das Repräsentantenhaus eingebracht werden.

Präsident Obama ging in seiner Rede zur Lage der Nation am Mittwoch auf die langerwartete »Executive Order« ein. Er führte »die wachsende Bedrohung durch Cyberangriffe« als Begründung dafür an, dass er seine Vollmachten als Präsident habe nutzen müssen, da die Abgeordneten und Senatoren sich nicht hätten einigen können. Aber Amerika müsse vor dieser rasch zunehmenden Gefahr geschützt werden. »Wir wissen, dass Hacker die Identität von Personen knacken und private E-Mails durchsuchen«, sagte er. »Wir wissen auch, dass andere Länder und Unternehmen unsere Geschäftsgeheimnisse ausspionieren und stehlen. Jetzt arbeiten unsere Feinde darauf hin, auch unsere Energieversorgung, unsere Finanzinstitutionen und unsere Luftverkehrsüberwachungssysteme sabotieren und ausschalten zu können.« Man dürfe jetzt keine weitere Zeit verstreichen lassen. Es sei nicht hinzunehmen, dass Amerikaner in einigen Jahren sonst zurückblicken und sich fragen müssten, »warum man in der Vergangenheit angesichts dieser realen Bedrohungen für unsere Sicherheit und unsere Wirtschaft nichts unternommen habe«, meinte er weiter.

Die Direktive weist Regierungsmitarbeiter an, in den kommenden 240 Tagen neue Vorgaben zur Verringerung der Risiken im Bereich Cybersicherheit zu erarbeiten und Unternehmen zu ermuntern, diese neuen Richtlinien auch umzusetzen. Die Direktive ist allerdings nicht in der Lage, die Unternehmen mit rechtlichen Mitteln zur Übernahme der neuen besseren Verfahren zur Cybersicherheit zu zwingen.

Die Verfahren sollen einen technologieneutralen Rahmen bilden und Sicherheitslücken in den Computernetzwerken wichtiger Teile der Infrastruktur des Landes - das Stromnetz, die Gasversorgungsleitungen, Wasseraufbereitungsanlagen und die Wasserversorgung sowie Verkehrsnetzwerke - erkennen und beheben.

Die Bundesbehörden sollen aufgefordert werden, Informationen über potenzielle Cyberbedrohungen an Privatunternehmen weiterzugeben. Dies schließe beispielsweise technische Daten, wie sie zur Identifizierung schädlicher Computersoftware erforderlich sind, aber keine privaten Informationen mit ein, wie ein Regierungsvertreter erklärte.

Kein Ersatz für ein Gesetz

Diese Präsidialdirektive soll übergangsweise an die Stelle entsprechender Gesetzesinitiativen treten, die im vergangenen Jahr an Bedenken der Abgeordneten gescheitert waren. Am Anfang der Beratungen und Diskussionen schien im Bezug auf den Schutz wichtiger Infrastruktur vor Cyberangriffen ein parteiübergreifender Konsens möglich, aber im weiteren Verlauf heizte sich die Debatte politisch immer weiter auf.

Die Demokraten befürworteten das »Gesetz zur Cybersicherheit 2012« (»Cybersecurity Act of 2012«), demzufolge das Heimatschutzministerium private Eigentümer von Infrastruktur erfassen und sie dazu drängen sollte, auf der Grundlage von Beratungen durch die Bundesregierung stärkere Verteidigungsmaßnahmen gegen Hackerangriffe einzuführen. Aber Wirtschaftslobbyisten und republikanische Abgeordnete stellten sich gegen den Gesetzesentwurf und verhinderten seine Verabschiedung mit der Begründung, damit würde der Privatsektor zu strikten Regeln unterworfen und das Ganze wäre außerdem zu kostspielig.

Der von den Republikanern dann eingebrachte CISPA-Entwurf wurde zwar vom Kongress mit der republikanischen Mehrheit verabschiedet, scheiterte aber im Senat und wurde auch von Organisationen und Personen, die sich für den Schutz der Privatsphäre und für Datenschutz einsetzen, scharf kritisiert. Neben anderen Kritikpunkten hieß es, das Gesetz gebe den Unternehmen eine Art Blankovollmacht, private Informationen an die Regierung weiterzugeben und ermächtige den Nachrichtendienst "National Security Agency" (NSA), dessen Tätigkeitsfeld sich normalerweise auf das Sammeln von Informationen aus dem Ausland beschränkt, auch im Inland Daten zu sammeln.

Bisher haben weder die Privatwirtschaft noch Bürgerrechtsgruppen gegen die neue Präsidialdirektive Einspruch erhoben. Die Bürgerrechtsbewegung "ACLU" erklärte, man betrachte vor dem Hintergrund des CISPA diesen Schritt als »ermutigend« und fügte hinzu, dies zeige, dass es »geschicktere Wege gebe, die Cybersicherheit zu erhöhen und gleichzeitig die Privatsphäre zu schützen«.

Aber die Regierung sieht diese Direktive nicht als vollwertigen Ersatz für ein Gesetz, sondern eher als Übergangslösung. Obama forderte den Kongress auf, ihm zu folgen und Gesetze zu verabschieden, die Washington »besser in die Lage versetzen, Netzwerke zu schützen und Angriffe abzuwehren«. In einer gemeinsamen Erklärung der republikanischen Senatoren John McCain, Saxby Chambliss und John Thune heißt es, die Direktive sei nicht in der Lage, einen »so ausgewogenen Zugang zu finden, wie es ein Kongressgesetz kann«. »Der Senat sollte den normalen Weg beschreiten und Gesetze verabschieden, die dann direkte Auswirkungen auf die Cybersicherheit unseres Landes hätten, ohne dass zusätzliche Vorschriften erforderlich wären, die Innovationen behindern oder sich negativ auf unsere angeschlagene Wirtschaft auswirken könnten«, erklärten sie.

Es wird damit gerechnet, dass der republikanische Abgeordnete Mike Rogers, der das CISPA maßgeblich mit eingebracht hatte und dem Geheimdienstausschuss des Repräsentantenhauses vorsitzt, das Gesetz am Mittwoch erneut einbringen wird. »Wir sind uns einig, dass die größten Hindernisse einer Verbesserung unseres Schutzes vor Cyberangriffen nur über Gesetze beseitigt werden können«, sagte Rogers.

Die Präsidialdirektive wurde in einer Situation erlassen, in der die Zahl der Regierungsbehörden und Unternehmen, die Ziel von Hackerangriffen werden, ständig zunimmt. In den vergangenen zwei Wochen mussten die US-Notenbank "Federal Reserve", das Energieministerium und die New York Times sowie das Wall Street Journal einräumen, dass Hacker erfolgreich in ihre Computernetzwerke eingedrungen waren.