Das Prism-Projekt der US-Behörden hat einmal mehr gezeigt, wie verletzlich der Datenschutz in weltweit vernetzten IT-Systemen ist. Unsere Kollegen von der Computerwoche haben bei deutschen und in Deutschland tätigen Providern angefragt, wie sie es mit der Herausgabe von Kundendaten halten.
von Joachim Hackmann, Computerwoche
Anfang Juni haben die US-amerikanische "Washington Post" und der britischen "Guardian" erstmals vom seit 2007 laufenden Überwachungsprojekt "Prism" berichtet, in dessen Rahmen der amerikanischen Geheimdienst National Security Agency (NSA) die Kundendaten verschiedener Online-Dienste überwacht und analysiert. Bislang sind die Namen von neun Firmen bekannt, die sich am Prism-Projekt beteiligen (Microsoft, Google, Facebook, Yahoo, Apple, AOL und Paltalk, sowie Skype und YouTube).
Wir haben die Veröffentlichungen zum Anlass genommen, bei einigen in Deutschland aktiven Cloud-Provider nachzufragen, wie sie es mit dem Datenschutz und der Zusammenarbeit mit Ermittlungs- und Strafverfolgungsbehörden sowie Geheimdiensten halten.
- Datenschutz in Deutschland
Der Prism-Skandal beschäftigt die IT-Branche weiterhin. Wir haben bei Providern wie HP, IBM, Telekom und Google angefragt, wie sie es mit dem Schutz ihrer deutschen Kundendaten halten. Hier kommen die Antworten: - Hewlett-Packard (HP): Werden selten angefragt
„Weder HP global noch HP Deutschland gewähren hier Zugangsrechte zu Kundendaten im Rahmen des „Project Prism“. <br /><br /> Grundsätzlich gilt: In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist. (…) Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf Telekommunikationsunternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen.“ - Fujitsu: Deutsche Rechenzentren unterliegen dem deutschen Gesetz.
„Ein Zugriff auf Kundendaten durch Verfolgungsbehörden oder nationale und internationale Geheimdienste wird ausschließlich auf Grundlage eines deutschen Gerichtsbeschlusses gewährt. Die deutschen Rechenzentren unterliegen dem deutschen Datenschutzgesetz, das dies eindeutig regelt. <br /><br /> Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung.“ - Salesforce: Wir ermöglichen keinen Regierungen direkten Zugang.
„Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“ - Google: Wir prüfen alle Anfragen gewissenhaft.
"Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft.“
Erster Anlaufpunkt aller Ermittler in Fragen der TK- und IT-Überwachung dürfte die Deutsche Telekom sein. Sie ist der größte Kommunikations-Provider mit dem breitesten Portfolio und betreibt die umfangreichste IKT-Infrastruktur in Deutschland. Auf Anfrage der COMPUTERWOCHE bestritt die Telekom auch nicht, dass die Behörden regelmäßig bei ihr vorstellig werden. "Die Anfragen werden bei der Telekom von Experten auf Rechtmäßigkeit geprüft und nur wenn die rechtlichen Voraussetzungen erfüllt sind, erfolgt die Auskunft an die Sicherheitsbehörden", antwortete der Bonner Konzern auf Anfrage. Zum Umfang gab der Carrier keine direkte Antwort. Er verwies dazu auf den TK-Überwachungsbericht vom Bundesamt für Justiz, der die Zahl der Verfahren unter anderem nach Straftatverdacht und Bundesland auflistet.
Telekom wird häufig angefragt
Die Telekom betonte indes, dass es grundsätzlich keinen direkten Zugriff internationaler oder nationaler Behörden auf Kundendaten gebe. Benötigten ausländische Sicherheitsbehörden Daten, müssten sie sich dafür im Rahmen eines Rechtshilfeersuchens an deutsche Dienststellen wenden. Dort werde das Anliegen geprüft und bei positivem Bescheid der Telekom zugestellt, die wiederum ihrerseits die Anfrage juristisch bewertet. "Sind die rechtlichen Voraussetzungen erfüllt, teilen wir der deutschen Behörde die angeordnete Auskunft mit", schilderte die Telekom das Prozedere.
Eine vergleichbare Prüfroutine durchlaufen auch die Ersuchen nationaler Behörden. Herausgegeben werden, sofern ein richterlicher Beschluss vorliegt, ausschließlich Verkehrsdaten, die die Telekom für den eigenen, reibungslosen Geschäftsbetrieb benötigt. Sie sammelt eigenen Angaben zufolge keine speziellen Daten auf Geheiß der Behörde.
Auftrag an CIA und NSA: Wirtschaftsspionage
Immer wieder stehen insbesondere die Geheimdienste in dem Verdacht, ihre umfangreichen technischen Recherchekapazitäten auch zur Wirtschaftsspionage zu verwenden. Dass die US-Dienste einen entsprechenden Auftrag haben, ist belegt. So hatte US-Präsident Bill Clinton beispielsweise im Jahr 1993 unumwunden eingeräumt, dass CIA und NSA auch offiziell dazu angehalten sind, amerikanische Unternehmen in ihren internationalen Geschäften behilflich zu sein.
Lohnende Angriffsziele sind in diesem Zusammenhang unter anderem Cloud- und Outsourcing-Provider, die Geschäftsdaten von Konzernen im großen Umfang speichern. Von deutschen Anwendern werden insbesondere die US-amerikanischen Anbieter kritisch beäugt, da sie zur Terrorismusbekämpfung im Rahmen des viel zitierten "Patriot Act" von den US-Behörden zur Auskunft verpflichtet werden können. Die Furcht der Anwender besteht darin, dass die US-Behörden den Patriot Act als Einfallstor für Wirtschaftsspionage ausnutzen. Das Prism-Projekt, vor allem die ungeklärte Tragweite der Schnüffelei, hat nun alle Skeptiker in ihren Zweifeln bestärkt.
Der Patriot Act kann Türen zu den Daten öffnen
So ist Auftrag zur Wirtschaftsspionage für NSA und CIA zumindest den amerikanischen IKT-Provider derzeit keine Hilfe, sondern vor allem Last, und allen nicht-amerikanischen Anbietern bietet Prism ein willkommener Anlass für Werbung in eigener Sache. "Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung", teilte Fujitsu auf der COMPUTERWOCHE mit. In der Datenschutz-Diskussion wird allerdings gerne unterschlagen, das auch internationale Anbieter dem Patriot Act unterliegen, sobald sie ein US-Tochter haben.
- "Überwachung ist kein exklusives US-Phänomen"
Eine Woche nach Enthüllung von PRISM, der Ausspähung privater Nutzerdaten durch die US-Regierung, sind weitere Details durchgesickert. Grund zur Sorge hatten IT-Verantwortliche aber schon vorher. - Prism und Tempora – simple Logik statt großer Überraschung
Die Aufregung ist groß. Die vom ehemaligen NSA-Mitarbeiter Snowden bekannt gemachten Programme Prism und Tempora zur Abschöpfung von Daten und Informationen haben der Welt gezeigt, was Geheimdienste vieler Nationen können und wollen. - Obama sagt möglicherweise Russland-Besuch ab
Das wochenlange Versteckspiel des flüchtigen Ex-US-Geheimdienstmitarbeiters Edward Snowden stört zunehmend das Verhältnis zwischen den USA und Russland. - Echtzeitüberwachung auch in Deutschland?
Auch in Deutschland ist unter bestimmten Bedingungen die Überwachung der Bürger möglich. Welche Gesetze hierbei greifen, erörtern die beiden Rechtsanwälte Christian Kuß und Michael Rath in einem Gastbeitrag. - Deutsche Provider zu Prism: Bei uns sind Daten sicher
Das Prism-Projekt der US-Behörden hat einmal mehr gezeigt, wie verletzlich der Datenschutz in weltweit vernetzten IT-Systemen ist. Wir haben bei deutschen und in Deutschland tätigen Providern angefragt, wie sie es mit der Herausgabe von Kundendaten halten.
Bei HP treffen selten Behördenanfragen ein
Wie alle Outsourcing- und Cloud-Provider steht vermutlich auch Hewlett-Packard (HP) auf der Liste der Ermittler, wenn es darum geht, riesige Daten-Pools anzuzapfen. "Die Voraussetzungen für die Übermittlung von Daten von Staatsangehörigen sind in den jeweiligen Rechtsordnungen der Länder niedergelegt", antwortete HP auf eine Anfrage der COMPUTERWOCHE. "In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist." Dabei unterscheide sich die Gesetzgebung in den USA nicht von der in den europäischen Ländern. Entscheidend sei, dass Zugriffsrechte legal sanktioniert, in ihrer Reichweite deutlich eingeschränkt und an die Zweckbestimmung der nationalen Sicherheit gebunden seien.
Doch offizielle Ersuchen treffen bei HP eigener Darstellung zufolge kaum ein. "Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf TK-Unternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen", betonte HP.
IBM: Falls Anfragen kämen, würden wir zunächst prüfen
In vergleichbarer Situation agiert die deutsche Dependance von IBM. Auch sie betreibt umfangreiche und weltweit verteilte Outsourcing- und Cloud-Rechenzentren, in denen sehr viele deutsche Kunden ihre teilweise unternehmenskritischen Daten speichern. IBMs Antwort auf die CW-Anfrage nach dem Schutz von Kundendaten fiel kurz und knapp aus: "Die IBM richtet sich nach den lokalen Gesetzen der Länder, in denen sie aktiv ist. Im theoretischen Fall einer Aufforderung zur Herausgabe von Daten müssten die rechtlichen Voraussetzungen dafür geprüft werden." Ob es bereits behördliche Anfragen gab, lässt IBM offen.
Schmallippige US-Provider
Auffallend ist, dass insbesondere die US-Anbieter recht schmallippig auf Anfrage antworten. Von Salesforce hieß es etwa: "Nichts ist für uns Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce." Die direkt in das Prism-Projekt eingebundenen Anbieter halten sich noch bedeckter, sie sind gesetzlich zum Stillschweigen verpflichtet.
Google verwies auf Anfrage beispielsweis auf das Standards-Statement: "Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft." Amazon antwortete gar nicht auf die CW-Anfrage. Alle in das Prism-Projekt involvierten Provider bemühen sich seit Tagen darum, von der Stillhaltepflicht befreit zu werden. Sie wollen Transparenz schaffen und Vertrauen der Kunden zurückgewinnen. (mhr/CW)