Wolkendämmerung: Vertrauen in Clouddienste nach PRISM, Tempora & Co.
„Ein umfassender und anlassloser Zugriff auf personenbezogene Daten kann daher durch Erwägungen zur nationalen Sicherheit in einer demokratischen Gesellschaft nicht gerechtfertigt werden.“ Mit einer gemeinsamen Erklärung hat die Konferenz der Datenschutzbeauftragten von Bund und Ländern am Mittwoch Konsequenzen aus der sogenannten Ausspähaffäre um den US-Geheimdienst NSA gezogen. Da Daten in Amerika nach aktuellem Stand der Erkenntnisse in den USA nicht sicher sind, soll das Land den privilegierten Status des sogenannten „Safe Harbor“-Grundsatzes verlieren – eine Vereinbarung, die den Export von Daten in die USA ermöglicht.
Der Beschluss ist ein Schuss vor den Bug der USA, die sich bisher offenbar weigern, substanzielle Zugeständnisse zum Schutz der Daten von Europäern zu machen. Die Drohung: Sollte die amerikanische Regierung auf ihrem Standpunkt bestehen, bricht Konzernen wie Google, Amazon und Microsoft ein Teil des lukrativen Geschäfts mit Daten weg, da die Europäer ihre Daten künftig selbst verwalten werden. Vorerst passiert jedoch nicht viel: Die Datenschützer wollen lediglich die Erteilung neuer Genehmigungen für Datentransfers aussetzen, bisher genehmigte Datentransfers können bis auf Weiteres weitergehen.
Ein Kampf gegen Windmühlen?
Cloud Computing ist seit Jahren der Trend im Netz. Für Firmen bedeutet es, dass sie Rechen- und Speicherkapazitäten in vielen Rechenzentren gleichzeitig nutzen können, flexibel und unschlagbar effizient. Für Konsumenten heißt es, dass ihre Daten quer über die Welt verstreut werden und damit überall verfügbar sind. Bequem, meist sogar kostenfrei – und offen für alle. Wer sich der Entwicklung entgegenstellt, wie zum Beispiel der Datenschützer Thilo Weichert mit seinem Vorgehen gegen die Praktiken von Facebook, musste sich wie in einem Kampf gegen Windmühlen vorkommen. Doch nun haben die Kritiker erstmals Rückenwind.
Ob die deutschen Datenschützer damit Eindruck machen können, ist allerdings nicht klar. Denn schon haben sich die irischen Datenschützer auf die umgekehrte Interpretation festgelegt: Trotz des Ausspähskandals will die Behörde, die unter anderem für Facebook und Apple zuständig ist, nicht an dem Safe-Harbor-Status rütteln. Ohnehin hätte ein solcher Eklat keine unüberwindlichen Folgen: Auch ohne Safe-Harbor-Status können Firmen Daten über Grenzen übertragen – es wird lediglich etwas komplizierter. Die europäische Konkurrenz freut sich trotzdem: „Wenn wir Deutschland als Standort für die Daten der Private Cloud ansprechen, fühlen sich Kunden in der Regel sicher“, sagt ein Telekom-Sprecher gegenüber iRights.info.
Viele Wege führen zu den Daten
Obwohl wir seit Anfang Juni fast täglich Neues aus den Spionagetätigkeiten der USA und ihrer Verbündeten erfahren, sind die genauen Details der Überwachungsprogramme und ihr Zugriff auf die verschiedenen Cloud-Dienste immer noch unklar – klar ist nur: die Datenschnüffler vom NSA hatten Mittel und Wege, massenhaft an private Daten heranzukommen.
Dazu haben die Geheimdienste eine ganze Reihe an Möglichkeiten: Zum einen das Programm Prism, das direkt an den Datenbanken von Unternehmen wie Google, Facebook und Apple ansetzt. Das Abhörprogramm Tempora greift am Übertragungsweg der Daten an und kann Daten auf dem Weg zwischen Cloud und Endnutzer abfangen. Selbst eine Verschlüsselung hilft hier nicht unbedingt. So wurde nun bekannt, dass US-Behörden den Zugriff zu den Zertifikaten der Unternehmen suchten, die ihnen potenziell Zugang zu den Daten gewährten – ohne Mitwirkung der betroffenen Unternehmen.
Weitere Quellen zu erschließen, ist für die Dienste praktisch möglich – von Sicherheitslücken bis zur systematischen Auswertung der bei Handy- und Laptopdurchsuchung durch Polizei und Einreisebehörden erlangten Daten, die auch viele Passworte der Durchsuchten offenbart. Viele Wege führen zu den Daten in der Cloud.
Zwar betonen zum Beispiel Google und Microsoft, dass man den Behörden keinen Vollzugriff gebe. Sie portraitieren die Geheimdienst-Programme als gewöhnlichen Polizeizugriff, bei dem die Unternehmen selbst noch die Anfragen auf Legalität überprüfen. Details verraten dürfen sie freilich nicht, da sie von der US-Regierung zum Schweigen verpflichtet worden sind. Hätte der NSA in den Rechenzentren ähnlich wie bei AT&T und Verizon eigene Anlagen, die alle Daten abzapfen könnten – niemand dürfte darüber reden. Die theoretische Höchststrafe: Der Tod. Praktisch werden Whistleblower systematisch ruiniert, wie zahlreiche Beispiele aus den vergangenen Jahren zeigen.
Die Cloud der Geheimen
Die Cloud ist nicht nur ein unerschöpflicher Datenschatz für Geheimdienste, sie hat den Geheimdiensten auch eine neue Arbeitsweise ermöglicht. Statt nur Verdächtige auszuforschen, ermitteln die Geheimdienste das ganze Umfeld der Verdächtigen. Im US-Justizausschuss schilderte ein NSA-Vertreter, dass die Datenanalysten sich „zwei bis drei hops“ von dem eigentlichen Ziel der Ausforschung entfernen.
Das heißt: Ruft ein Verdächtiger seinen Zahnarzt an, werden nicht nur alle anderen Patienten des Zahnarztes in die Analyse mit aufgenommen, sondern auch deren Kontakte. Möglich werden solche enormen Datenanalysen nur über die ständig neuen Rechenzentren der Geheimdienste wie das 1,7 Milliarden Dollar teure Utah Data Center, das derzeit südlich von Salt Lake City entsteht.
Der NSA-Skandal wird den Trend zur Cloud nicht umkehren – zu viel wurde in die Infrastruktur investiert, zu gering ist der Wille zum fundamentalen Wandel. Dennoch bietet die derzeitige Diskussion aber die Chance, die Praxis des allgegenwärtigen Datenspeicherns zu überprüfen und einige Stützbalken für Bürgerrechte einzuziehen – wie schwach diese verglichen mit den technischen Möglichkeiten auch sein mögen.
Was sagen Sie dazu?