Anzeige
Anzeige

Die Cloud und die NSA

Wie kann ich meine Daten schützen?  Was bedeuten die Aktivitäten der NSA für die Nutzer von Cloud-Diensten?

Die Aufdeckung der geheimen Abhörmaßnahmen durch die National Security Agency (NSA) und andere Geheimdienste hat weitreichende Debatten über die Sicherheit personenbezogener und unternehmensinterner Daten ausgelöst. Nach Berichten des britischen Guardian und der Washington Post wurden sensible Daten europäischer Bürger seit 2007 systematisch abfangen und ausgewertet. Das Fraunhofer-Institut für System- und Innovationsforschung ISI befasst sich mit der Frage, wie diese Überwachungsmaßnahmen stattgefunden haben und auf welcher rechtlichen Grundlage und was dies für die Cloud-Dienste bedeutet, denen gerade im Unternehmensumfeld ein erhebliches Potenzial zugesagt wird.

Das im Juni 2013 publik gemachte NSA-Programm PRISM wurde bereits 2005 im Rahmen der amerikanischen Anti-Terrormaßnahmen eingerichtet. Dazu hatte die NSA Zugriff auf wichtige Internet-Knotenpunkte erwirkt, die es erlaubte, den Internetverkehr mitzulesen, der die USA berührt. Ein solches Verfahren ist nach dem Protect America Act bzw. dem Foreign Intelligence Surveillance Act (FISA) rechtmäßig, auch wenn der vierte Zusatzartikel zur amerikanischen Verfassung eine solche Überwachung ohne eine richterliche Anordnung verbietet. Allerdings gilt dieser Artikel nach der Rechtsprechung des U.S. Supreme Court nur für amerikanische Staatbürger und Personen, die sich in den USA aufhalten, nicht aber für ausländische Staatsbürger oder Unternehmen.

Laut FISA können die Dienste nicht nur Informationen abschöpfen, die zur Bekämpfung von Terroranschlägen oder organisierter Kriminalität notwendig sind, sondern auch solche Informationen, die ein anderes Land betreffen und „für die Außenpolitik der USA von Interesse sind“. Dies umfasst neben politischen auch die wirtschaftlichen Interessen der USA und folgt dem Grundsatz: „Sammle möglichst alles und minimiere später“. Das Verfahren wird von einem FISA-Sondergericht überwacht, welches aber effektiv nicht in der Lage ist diese Funktion auszufüllen.

Neben der klassischen Telekommunikationsüberwachung können auf der Grundlage des FISA explizit auch „remote computing services” überwacht werden, unter die alle aktuellen Cloud-Dienste fallen. Dabei ermöglicht FISA neben dem massenhaften Mitschneiden des Datenverkehrs an Internetknotenpunkten, wie in den von Edward Snowden und Glenn Greenwald offengelegten Fällen, in denen Cloud-Anbieter wie Microsoft, Google, Apple und andere mit der NSA kooperiert haben sollen, auch den direkten Zugriff auf die beim Provider gespeicherten Kundendaten ohne dass die Kunden darüber informiert wurden. Ein solches Vorgehen ist nach europäischer Rechtslage unrechtmäßig.

Während im ersteren Fall verschlüsselte Kommunikation in begrenztem Umfang einen Schutz darstellt, hilft Verschlüsselung im letzteren Fall kaum, da die Dienste Zugriff auf die beim Dienstleister gespeicherten Daten haben. Auch eine verschlüsselte Speicherung ist – außer bei reinen Cloud-Storage-Diensten – keine Lösung, da die Daten zur Verarbeitung entschlüsselt werden müssen und diese dann rechtmäßig von den Diensten abgeschöpft werden können. Insofern sind alle Versicherungen von Cloud-Dienstleistern, die US-Gesetzen unterliegen, kritisch in punkto Schutzniveau zu sehen. Denn der Schutz gilt nur für amerikanische Staatsbürger, nicht jedoch für die Daten von Ausländern auf den Servern amerikanischer Cloud-Anbieter. Diese sind vollkommen ungeschützt.

Effektive technische Sicherheitsmechanismen, mit denen die Nutzer ihre Daten schützen könnten, existieren momentan praktisch nicht. Die homomorphe Verschlüsselung, bei der eine Verarbeitung der Daten möglich ist, ohne diese vorher entschlüsseln zu müssen, hat noch nicht die notwendige Reife erreicht. Trusted Computing (TC) Plattformen für typische Endkundenanwendungen haben sich als wenig sicher herausgestellt.

Was also können Nutzer von Cloudanwendungen jetzt tun? Nutzer sollten nicht allein darauf vertrauen, wenn ein Anbieter verspricht, dass seine Anwendungen alle einschlägigen gesetzlichen Vorgaben erfüllt. Denn was in einem Land rechtmäßig ist, muss in Deutschland noch lange nicht so sein. Darüber hinaus sollten sich Nutzer nicht auf Versprechungen aus dem Safe-Harbour-Abkommen verlassen, dass bereits ohne die Begehrlichkeiten der Geheimdienste reichlich Schlupflöcher aufweist. Stattdessen sollten Nutzer von Clouddiensten darauf achten, dass nicht nur die Anbieter europäischem Recht unterliegen, sondern ihre Server auch in Europa betreiben. Von Vorteil ist darüber hinaus, wenn die Anbieter die Schnittstellen ihrer Angebote offenlegen, so dass vom Quell- bis zum ausführbaren Binärcode nachvollziehbar ist, dass es keine „geheimen Hintertüren“ gibt.

Schließlich könnte der momentan von den Gremien der EU und der Mitgliedsstaaten verhandelte Entwurf für eine europäische Datenschutz-Grundverordnung einen besseren Schutz europäischer Bürger und Unternehmen mit sich bringen.

Dr. Michael Friedewald und Timo Leimbach, Fraunhofer-Institut für System- und Innovationsforschung ISI

11.12.2013 | 08:58

Artikel teilen: