Bun­des­re­gie­rung muss zuge­ben: Daten­spei­che­rung in der Cloud ist nie­mals sicher

Heu­te mach­te mich ein Bei­trag auf hei​se​.de auf den auch in Deutsch­land skan­da­lö­sen Umgang mit Daten in der Cloud auf­merk­sam. Der Titel Deut­sche Fahn­dung in US-Cloud mög­lich lenkt vom eigent­li­chen Skan­dal ab. Das ame­ri­ka­ni­sche IT-Ange­bo­te grund­sätz­lich nicht sicher sind ist für regel­mä­ßi­ge Leser hier im Blog bekannt, die im Zusam­men­hang mit dem Patri­ot Act ste­hen­de Gesetz­ge­bung hat in den USA weit­ge­hend die Bür­ger­rech­te abge­schafft und die tota­le Kon­trol­le der Bür­ger ermög­licht. Viel schlim­mer ist, dass deut­sche Sicher­heits­be­hör­den nun­mehr anschei­nend auch die Hybris des ‘Yes, we can’ in Bezug auf die tota­le Kon­trol­le der Bür­ger anstreben.

Wir haben die mit der Cloud dies­be­züg­lich in Zusam­men­hang ste­hen­den Pro­ble­me vor 6 Mona­ten im Bei­trag Mobi­lity und Cloud-​Nut­zung — Die Ame­ri­ka­ner sind hier­bei völ­lig schmerz­frei! the­ma­ti­siert. Für die mit dem Patri­ot Act in Zusam­men­hang ste­hen­den Pro­ble­me kön­nen Sie den Bei­trag War­um Mobi­le Device Manage­ment (MDM) aus Euro­pa kom­men muss — Demo­cracy Now berich­tet über Spio­nage der NSA als Aus­gangs­punkt nehmen.

Die Klei­ne Anfra­ge der Bun­des­tags­frak­ti­on der Lin­ken, ver­ant­wor­tet vom Abge­ord­ne­ten And­rey Hun­ko, mit dem Titel ‘Klei­ne Anfra­ge des Abge­ord­ne­ten Andrej Hun­ko u.a. und der Frak­ti­on DIE LINKE. Sicher­heit, Daten­schutz und Uber­wa­chung von Cloud-Daten. BT-Druck­sa­che 17/​12259’ bringt bri­san­te Tat­sa­chen ans Licht und zeigt, dass die deut­schen Sicher­heits­be­hör­den offen­kun­dig die aus ihrer Sicht para­die­si­schen Zustän­de in den USA auch hier­zu­lan­de gern errei­chen würden.

Hun­ko schreibt hier­zu in einer sehr bemer­kens­wer­ten Pres­se­mel­dung, die er unter dem Titel Tele­kom­mu­ni­ka­ti­ve Pri­vat­sphä­re statt zuneh­men­de Über­wa­chung von Cloud-Daten! ver­öf­fent­licht hat, folgendes:

Unge­ach­tet des Tren­nungs­ge­bots koope­rie­ren das Bun­des­kri­mi­nal­amt und der Inlands­ge­heim­dienst auf meh­re­ren Ebe­nen, um sich noch leich­te­ren Zugriff auf im Inter­net abge­leg­te, pri­va­te Datei­en zu ver­schaf­fen. Im ‚Gemein­sa­men Ter­ro­ris­mus­ab­wehr­zen­trum‘ in Ber­lin-Trep­tow ist hier­zu ein ‚Stra­te­gie- und For­schungs­zen­trum Tele­kom­mu­ni­ka­ti­on‘ (SFZ TK) ein­ge­rich­tet, das ein eige­nes Pro­jekt unter dem Namen ‚CLOUD‘ betreibt.

Die Bun­des­re­gie­rung inter­es­siert sich nicht dafür, wenn US-Behör­den auf Cloud-Daten zugrei­fen die auf Ser­vern in Deutsch­land gespei­chert sind. Damit bestä­tigt sie die von netz­po­li­ti­schen Akti­vis­tin­nen und Akti­vis­ten geäu­ßer­te Befürch­tung, dass dies unter dem ‚For­eign Intel­li­gence Sur­veil­lan­ce Act‘ (FISA) oder dem soge­nann­ten ‚Patri­ot Act‘ pro­blem­los mög­lich ist.

Gleich­zei­tig unter­streicht das Innen­mi­nis­te­ri­um, dass der poli­zei­li­che Aus­tausch aus­ge­forsch­ter Cloud-Daten mit US-Behör­den wie geschmiert läuft: Gegen­sei­ti­ge Rechts­hil­fe­er­su­chen wer­den über ein Netz­werk auf Ebe­ne der G8-Staa­ten abge­wi­ckelt. Sta­tis­ti­ken wer­den hier­über nicht geführt, das Aus­maß der grenz­über­schrei­ten­den Über­wa­chung ist also nicht nachvollziehbar.

Gegen­stand des Pro­jekts ‚CLOUD‘ des Bun­des­kri­mi­nal­amts (BKA) und des Inlands­ge­heim­dienst (BfV) ist unter ande­rem das Über­win­den von Pass­wör­tern und Aus­he­beln von Ver­schlüs­se­lungs­tech­ni­ken. Auf­trä­ge zu der Stu­die wur­den auch an Fir­men ver­ge­ben. Ergeb­nis­se der For­schun­gen blei­ben aber geheim.

Die glei­che Ver­schwie­gen­heit herrscht bei einem ähn­li­chen Vor­ha­ben des Euro­pean Telecom­mu­ni­ca­ti­ons Stan­dards Insti­tu­te (ETSI), das unter Mit­ar­beit des BKA und BfV einen ‚Tech­ni­schen Report‘ zum Abhö­ren von Cloud-Diens­ten erar­bei­tet. In Deutsch­land abge­hal­te­ne Tref­fen der ent­spre­chen­den Arbeits­grup­pe des ETSI wur­den vom Über­wa­chungs­her­stel­ler Uti­ma­co, dem Lan­des­kri­mi­nal­amt Nord­rhein-West­fa­len und der Bun­des­netz­agen­tur organisiert.

Ich sehe die poli­zei­li­che und geheim­dienst­li­che Über­wa­chung von Cloud-Diens­ten über­aus kri­tisch. Die Behör­den unter­gra­ben das ohne­hin gestör­te Ver­trau­en in die Frei­heit des Inter­net. Zudem wird das Tren­nungs­ge­bot in den genann­ten Ein­rich­tun­gen zuneh­mend ausgehöhlt.

Ich for­de­re die Bun­des­re­gie­rung des­halb auf, eine an den Grund­rech­ten ori­en­tier­te, öffent­li­che Aus­ein­an­der­set­zung über die Aus­for­schung von Cloud-Daten zu begin­nen. Kern die­ser Dis­kus­si­on muss die Beto­nung der tele­kom­mu­ni­ka­ti­ven Pri­vat­sphä­re sein: Nut­ze­rin­nen und Nut­zer müs­sen sich dar­auf ver­las­sen kön­nen, dass ihre im Inter­net abge­leg­ten Datei­en nicht von Drit­ten ein­ge­se­hen werden.

Beson­ders skan­da­lös ist, dass an kei­nem der genann­ten Über­wa­chungs­pro­jek­te Betei­lig­te aus den Berei­chen Daten­schutz, Netz­po­li­tik oder Bür­ger­rech­te ein­be­zo­gen wur­den. Dies muss umge­hend nach­ge­holt werden.

Es bedarf kei­ner wei­te­ren Kom­men­tie­rung der Aus­sa­gen Hunko’s. Ich emp­feh­le allen Lesern die Klei­ne Anfra­ge im Ori­gi­nal zu lesen — man ist am Ende nur noch wütend auf die deut­sche Regie­rung und noch mehr dar­über, dass die teil­wei­se sei­ten­wei­se lapi­da­ren Ant­wor­ten die Gren­ze zur Ver­ar­schung der Abge­ord­ne­ten weit überschreiten.

Für jedes Unter­neh­men, das schutz­be­dürf­ti­ge Daten hat und für jede(n) Privatanwender(in), die (der) schutz­be­dürf­ti­ge Daten spei­chert, kann es nur eine Ant­wort geben. Nut­zen Sie nie­mals Cloud-Diens­te von wem auch immer — auch deut­sche Fir­men kön­nen sie nicht vor der Schnüf­fe­lei der deut­schen Behör­den schüt­zen. Cloud-Struk­tu­ren müs­sen immer pri­vat unter aus­schließ­lich Ihrer Kon­trol­le betrie­ben wer­den, alles ande­re ist nie­mals sicher.

Wenn Sie wei­te­re Fra­gen zu siche­rer Mobi­li­ty haben, fra­gen Sie uns bit­te. Wir betreu­en vie­le Unter­neh­men und Orga­ni­sa­tio­nen in allen Fra­gen rund um siche­re Mobi­li­ty und zukünf­tig gern auch Sie. Bit­te emp­feh­le Sie die­sen Bei­trag auch auf Twit­ter, Goog­le oder Face­book wei­ter, damit auch Ihre Freun­de und Bekann­ten über die­sen Skan­dal erfah­ren. Vie­len Dank!


Ande­re inter­es­san­te Beiträge:
Pri­va­te Use of Com­pa­ny Equip­ment (PUOCE) mit Mobi­le Device Manage­ment (MDM) – Alter­na­ti­ve zu BYOD? — Video
Heu­te stel­len wir den drit­ten Vor­trag zum The­ma MDM, Mobi­li­ty und Daten­schutz auf der CeBIT 2016 von Klaus Düll online, in dem ana­ly­siert wird, wel­che Alter­na­ti­ve zum frag­wür­di­gen und daten­schutz­recht­lich nicht zu ver­tre­te­nen BYOD-Kon­zept besteht. Es gibt eine in vie­len Situa­tio­nen eine sichere …
Bring Your Own Device (BYOD) — Kein The­ma wird zur Zeit mit mehr Halb­wis­sen bespro­chen
Zur Zeit schla­gen Sie kaum eine IT-Zei­tung auf, in der nicht — meis­tens ober­fläch­lich und mit gerin­ger Fach­kom­pe­tenz — das The­ma Bring Your Own Device bespro­chen wird. Es ist anschei­nend nur noch eine Fra­ge der Zeit, wann ‘Schö­ner Woh­nen’ auf das The­ma auf­springt — schließ­lich braucht man ja auch ei…
MDM-Essen­ti­als — Mobi­le Device Manage­ment und Cloud-Spei­cher. Was geht?
In letz­ter Zeit wer­den wir immer häu­fi­ger gefragt, wie Mobi­le Device Manage­ment und Cloud-Spei­cher gemein­sam betrie­ben wer­den kön­nen. Pro­blem­los ist unse­re kur­ze Ant­wort, wenn man die für die Cloud-Spei­cher-Lösung benö­tig­te App mit einer Lösung für MDM wie datomo Mobi­le Device Manage­ment auf die mob…
Daten­schutz und Bring Your Own Device (BYOD) — Geht das mit Mobi­le Device Manage­ment (MDM)? — Video
Schon mehr­fach haben wir es ange­kün­digt, dut­zen­de User haben gefragt, wann wir end­lich so weit sind und heu­te star­ten wir mit dem ers­ten der 10 Fil­me mei­ner Vor­trä­ge auf der CeBIT 2016, der das The­ma Bring Your Own Device (BYOD) unter dem Aspekt des Daten­schut­zes behan­delt. Wir waren in die­sem Jah…
Neu­es Update datomo MDM 3.22 mit Unter­stüt­zung für iOS 9.2
Das neue Major Release von datomo Mobi­le Device Manage­ment ist erschie­nen und ent­hält wie­der zahl­rei­che neue Fea­tures wie zum Bei­spiel für Android die Strong Swan VPN Inte­gra­ti­on, die Android 6.0 Unter­stüt­zung, die Loka­li­sie­rung für Win­dows 10 Mobi­le oder die lang ersehn­te Unter­stüt­zung für iOS 9.…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.