Gesetzentwurf der EU als Präventivmaßnahme gegen politisch motivierte Cyber-Kriminalität

Cyber-Sicherheit: Gesetzgeber nehmen Tech-Konzerne ins Visier
Kommentare

Die EU einigt sich auf ein neues Cyber-Sicherheitsgesetz und steht damit in der Tradition von Gesetzen wie dem umstrittenen US-amerikanischen Cybersecurity Information Sharing Act (CISA). In den USA werden derweil Forderungen nach Einschränkung der Meinungsfreiheit im Netz laut. Facebook, Twitter und Google werden immer mehr in die Verantwortung genommen und sollen die staatliche Überwachung ermöglichen – und sogar unterstützen.

Die Machtbalance zwischen US-Tech-Unternehmen und der europäischen Union ist in diesem Jahr gleich mehrfach neu ausgelotet worden. Nach dem juristischen Ende von Safe Harbor folgt nun die politische Initiative des Europaparlaments. So wurde eine neue Cybersecurity-Richtlinie auf den Weg gebracht, die Tech-Konzerne in die Verantwortung nimmt. Cyberangriffe und Datenverluste müssen dem Gesetzesentwurf zufolge unverzüglich den Behörden gemeldet werden; andernfalls drohen Sanktionen. Was vordergründig auf die Sicherheit wirtschaftlicher Interessen gemünzt ist, ist letztlich auch eine Reaktion auf die Terroranschläge in Europa in jüngster Vergangenheit.

Schutz der Unternehmen und Öffentlichkeit

In der offiziellen Pressemitteilung des EU-Parlaments lässt der zuständige Sprecher, Andres Schwab, durchblicken, dass die momentane Sicherheitslage eine engere Zusammenarbeit der Mitgliedstaaten hinsichtlich der Cyber-Sicherheit erfordere. Wenn ein Vorfall Auswirkungen auf den Geschäftsbetrieb oder die öffentliche Sicherheit haben könnte, müsse die betroffene Plattform beziehungsweise das Unternehmen initiativ kooperieren. Doch damit ist es längst nicht getan: Alle Firmen, deren Netzwerke in Zusammenhang mit „kritischen“ Bereichen wie Energie- oder Wasserversorgung, Transport, Gesundheit und Finanzwesen stehen, müssen einen Katalog von Sicherheitsmaßnahmen umsetzen und einhalten können. Wie diese genau aussehen, ist bisher nicht bekannt.

Wer ist durch das neue EU-Gesetz betroffen?

Lediglich Kleinunternehmen sollen von den neuen Regelungen ausgenommen werden. Tech-Unternehmen, die etwa einen Cloud-Service anbieten, müssen sich hingegen den EU-Richtlinien unterwerfen – auch wenn sie ihren offiziellen Geschäftssitz in den USA haben. Ebenfalls betroffen sind E-Commerce-Plattformen, Social Media-Dienste und Suchmaschinen. Also letztlich alle, die mit sensiblen Daten wirtschaften und Opfer von Cyberangriffen werden könnten. Was einerseits den Schutz untereinander vernetzter Firmen verbessern soll, könnte sich auch als eine Präventivmaßnahme gegen politisch oder terroristisch motivierte Cyber-Kriminalität lesen. Denn auch autonom handelnde Gruppierungen wie Anonymous, die momentan gegen den IS durch Datenoffenlegung und gezielte Angriffe vorgehen, würden durch die neue Gesetzgebung einfacher erfasst werden.

Landesgericht verurteilt Googles Gmail

Dass die Kontrolle von Tech-Konzernen weiter verschärft wird, beweist auch ein Urteil des Landesgerichts Köln vom 11. November. Google wurde mit seinem E-Mail-Dienst Gmail dazu aufgefordert, sich als offizieller Telekommunikationsdienst anzumelden. Was zunächst nicht sonderlich aufregend klingt, könnte für den Konzern noch erhebliche Konsequenzen nach sich ziehen. Google argumentiert, dass es ein „Over-The-Top-Dienst“ (OTT) sei und keine reguläre Telekommunikations-Infrastruktur zur Signalübermittlung vorläge. Die Bundesdatenschutzbeauftragte Andrea Voßhoff hat sich des Falls nun angenommen und will weitere Maßnahmen einleiten, da Google das Urteil nicht akzeptiert. Die Auflage sieht bislang vor, dass der US-Tech-Konzern überwachbare Schnittstellen einbaut, die den deutschen Behörden einen Zugriff auf die Daten aller Gmail-Nutzer ermöglichen soll. Da Google Berufung einlegte und auf andere große Unternehmen wie Facebook mit WhatsApp verweist, könnten auch diese in Zukunft durch das Urteil verpflichtet sein, ihre Dienstleistung der behördlichen Überwachung preiszugeben. Wie lange das Verfahren sich noch wegen der Berufung hinausziehen wird, ist ungewiss. Sollte die Berufung jedoch abgelehnt werden, müssen bald weitere Tech-Unternehmen damit rechnen, dass ihre Kommunikationswege stärker überwacht werden.

CISA hat’s in den USA vorgemacht

In den USA wurde Ende Oktober das umstrittene Cyber-Sicherheitsgesetz CISA durch den Senat auf den Weg gebracht. Es sieht vor, dass Tech-Unternehmen wie Apple, Google oder Facebook besser vor Hackerangriffen geschützt werden. Datenschützer und einige der betroffenen CEOs, darunter Tim Cook, sehen in dem Gesetz jedoch eher eine weitere Maßnahme zur allumfassenden Überwachung. US-Behörden könnten ungefragt Daten von den Firmen abgreifen, wenn der Verdacht auf einen Angriff der öffentlichen Sicherheit vorliege. Da der Begriff Hackerangriff Auslegungssache sei, so Cook, nähme sich der Staat lediglich das Recht heraus, den Datenschutz der Nutzer unter einem Vorwand zu umgehen.

Nach den Anschlägen von San Bernardino letzte Woche fordern einige US-Senatoren nun außerdem einen Gesetzesentwurf, der Twitter und Facebook unverzüglich dazu auffordert, terroristische Aktivitäten zu melden. Das Gesetz könnte vorsehen, dass nicht ein Angriff, sondern bereits die Planung und Absprache unter Strafe gestellt wird – davon betroffen wären sowohl potenzielle Terroristen als auch die Provider des Austauschs. Soziale Plattformen würden damit Aufgaben der Geheimdienste übernehmen, heißt es auf The Verge. Ob ein solcher Gesetzesentwurf überhaupt juristisch haltbar ist, bleibt zu bezweifeln.

Mehr Sicherheit zum Preis von weniger Meinungsfreiheit

Das Unbehagen in der Gesellschaft und der Druck der Politik nehmen zu. Und Tech-Unternehmen sehen sich immer häufiger mit Forderungen nach mehr Überwachung konfrontiert. Sie nehmen damit zusehends eine neue Rolle zwischen der althergebrachten Gewaltenteilung ein. Der umstrittene US-Präsidentschaftskandidat Donald Trump – und selbst Hillary Clinton – wettern bereits in ähnliche Richtungen: Das Recht auf freie Meinungsäußerung im Netz müsse bei Sicherheitsbedenken eingeschränkt werden. Das heißt so viel wie: Die Provider dieses Meinungsaustausches müssen kontrolliert werden. Tech-Konzerne nehmen also längst eine politische Machtposition ein, die sich die demokratisch gewählten Volksvertreter zurückholen wollen. CISA und der europäische Gesetzesentwurf zur Cyber-Sicherheit zeugen davon. Regelungen sind für eine ausgeglichene Wirtschaft und den Schutz der Gemeinschaft erforderlich. Dass dies auch zu Lasten der Meinungsfreiheit und Privatsphäre geschieht, ist dabei kaum vermeidbar – zumindest solange Extremisten und Terroristen das westliche politische System zu vernichten suchen.

 

Aufmacherbild: Computer keyboard with underpass and ladder uder Enter key, 3d render via Shutterstock, Urheberrecht: Maksim Kabakou

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -