Ich habe schon in meh­re­ren Bei­trä­gen die­ses Thema behan­delt, unter ande­rem auch im Bei­trag Mobile Device Manage­ment (MDM) – Sicher­heit kann nur aus Europa kom­men. Erfreu­li­cher­weise wird die­ses Thema in den letz­ten Wochen ver­mehrt dis­ku­tiert, bei­spiels­weise in dem guten Bei­trag Ärger um den Patriot Act auf com​pu​ter​wo​che​.de von Joa­chim Hack­mann. Auch diverse Anfra­gen von Lesern des Blogs ver­an­las­sen mich die­ses Thema noch ein­mal als MDM-​Essential zu ver­tie­fen, denn hier­bei han­delt es sich wirk­lich um ein sehr grund­sätz­li­ches Thema, bei dem sehr viele fal­sche Infor­ma­tio­nen gezielt ver­brei­tet werden.

Zur Ein­lei­tung für die­je­ni­gen, die nicht wis­sen, was der Patriot Act ist, habe ich den ent­spre­chen­den Arti­kel auf Wiki­pe­dia ver­linkt. Kurz gesagt: Der Patriot Act wurde unter dem Schock des 11. Sep­tem­ber 2001 durch den Kon­gress geprü­gelt und hat sich zu einer brei­ten Samm­lung von Geset­zen und Ver­ord­nun­gen ent­wi­ckelt. Nie zuvor hat es in den USA eine der­ar­tig weit­ge­hende und tief­grei­fende Aus­he­be­lung der Bür­ger­rechte gege­ben. Der Patriot Act hat die Bür­ger­rechte in den USA in vie­len Berei­chen auf den in einer Bana­nen­re­pu­blik übli­chen Level redu­ziert, inso­fern ist der ame­ri­ka­ni­sche Impe­tus der Welt Demo­kra­tie erklä­ren zu wol­len spä­tes­tens mit dem Patriot Act obso­let gewor­den. Unter­stützt wurde diese Ent­wick­lung will­fäh­rig von deut­schen und euro­päi­schen Poli­ti­kern, besi­pi­els­weise im Zuge der Fluggastdatenübermittlung.

Der Wikipedia-​Artikel weist auf einen für die IT beson­ders gra­vie­ren­den Sach­ver­halt hin:

Die Erfor­der­nis, Rich­ter bei Tele­fon– oder Inter­net­über­wa­chung als Kon­troll­in­stanz ein­zu­set­zen, wurde weit­ge­hend auf­ge­ho­ben, dadurch wer­den die Abhör­rechte des FBI deut­lich erwei­tert. Der zustän­dige Rich­ter muss zwar von einer Über­wa­chung infor­miert wer­den, die­ser ist jedoch ver­pflich­tet, die ent­spre­chende Abhör­ak­tion zu geneh­mi­gen. Tele­fon­ge­sell­schaf­ten und Inter­net­pro­vi­der müs­sen ihre Daten offenlegen.

Glei­ches gilt für mit Bezug auf die Patriot-​Act-​Gesetzgebung ange­ord­nete Über­wa­chun­gen, die nicht nur mit tech­ni­schen Mit­teln durch­ge­führt wer­den kön­nen. Wenn die CIA oder das FBI zur Auf­fas­sung gelan­gen, dass sie Infor­ma­tio­nen über eine Per­son oder ein Unter­neh­men in Deutsch­land oder Europa benö­ti­gen, muss jede Per­son oder Firma im Ein­fluss­be­reich ame­ri­ka­ni­schen Rechts unein­ge­schränkt mit­wir­ken und unter­liegt bezüg­lich die­ser Mit­wir­kung der strik­ten Geheim­hal­tung. Micro­soft hat die­sen Sach­ver­halt erfreu­lich klar und deut­lich bei der Ein­füh­rung von Office 365 zugegeben:

Frage an Gor­don Fra­zer, Geschäfts­füh­rer Micro­soft UK:

“Can Micro­soft gua­ran­tee that EU-​stored data, held in EU based data­cen­ters, will not leave the Euro­pean Eco­no­mic Area under any cir­cum­stan­ces — even under a request by the Patriot Act?” …

“Micro­soft can­not pro­vide those gua­ran­tees. Neit­her can any other company.” …

Any data which is housed, stored or pro­ces­sed by a com­pany, which is a U.S. based com­pany or is wholly owned by a U.S. par­ent com­pany, is vul­nera­ble to inter­cep­tion and inspec­tion by U.S. authorities.

Über­setzt heisst dies:

“Kann Micro­soft garan­tie­ren, dass in Europa gespei­cherte Daten, die in euro­päi­schen Rechen­zen­tren vor­ge­hal­ten wer­den, den Ein­fluss­be­reich der EU unter kei­ner­lei Umstän­den ver­las­sen – selbst im Falle einer auf dem Patriot Act basie­ren­den Anforderung?”

“Micro­soft kann diese Garan­tie genauso wenig wie jede andere Firma geben.”

Sämt­li­che Daten, die von einer in Ame­rika ange­sie­del­ten!!! Firma oder einer Toch­ter­firma einer ame­ri­ka­ni­schen Firma bereit­ge­stellt (housed), gespei­chert (stored) oder ver­ar­bei­tet (pro­ces­sed) wer­den, sind durch Abhö­ren und Unter­su­chung durch ame­ri­ka­ni­sche Behör­den gefährdet.

Dies bedeu­tet ganz expli­zit, dass auch deut­sche und /​oder euro­päi­sche Fir­men, die Töch­ter und /​oder Nie­der­las­sun­gen in den USA unter­hal­ten, unein­ge­schränkt dem Patriot Act unter­lie­gen! Inso­fern sind die Aus­füh­run­gen zur “Deut­schen Cloud” im o.a. Arti­kel von com​pu​ter​wo​che​.de nichts als unse­riö­ses Mar­ke­ting. Kei­ner der gro­ßen inter­na­tio­na­len Anbie­ter – von IBM bis Tele­kom – kann ein Ange­bot unter­brei­ten, dass quasi “USA-​frei” ist. Spe­zi­ell das Ange­bot von T-​Systems wirkt auf mich – wie das meiste von der Tele­kom – wenig seriös. T-​Systems wirbt in den USA rie­sen­groß mit Cloud 7.0 und die Aus­sage von Rein­hard Cle­mens, CEO von T-​Systems:

“Wir agie­ren im euro­päi­schen Rechts­raum, und die US-​Behörden kön­nen nicht ein­fach auf Daten unse­rer Kun­den zugreifen.”

ist – freund­lich for­mu­liert – natür­lich nur eines: Falsch. Die US-​Behörden kön­nen über T-​Systems USA auf alle Daten zugrei­fen, die für T-​Systems USA zugäng­lich sind. Das ist Fakt. Dar­über hin­aus muss man bei der Tele­kom noch dar­auf hin­wei­sen, dass diese Firma tie­fer als viele andere Unter­neh­men in den USA ein­ge­bun­den ist durch ihren Besitz des viert­größ­ten Car­ri­ers, T-​Mobile USA. Um Miss­ver­ständ­nisse zu ver­mei­den: Die Tele­kom ist hier nicht die Aus­nahme son­dern bestä­tigt die Regel – es gibt ver­mut­lich keine große Firma, die nicht in irgend­ei­ner Weise dem Patriot Act unter­wor­fen ist.

Kar­di­nal­feh­ler der Dis­kus­sion zum Patriot Act ist, dass das Thema auf den Cloud-​Bereich ver­engt wird. Rich­tig ist, dass die­ser Bereich am augen­fäl­ligs­ten vom Patriot Act betrof­fen ist, weil es für ame­ri­ka­ni­sche Behör­den bei Cloud Lösun­gen aus­ge­spro­chen ein­fach ist, Daten aus­zu­spä­hen. Die win­del­wei­che Stel­lung­nahme von Bit­kom im Computerwoche-​Artikel hilft auch, das Thema wei­ter nur auf den Sach­ver­halt “Cloud” einzuengen.

In Bezug auf Mobile Device Manage­ment greift die­ser Ansatz aber viel zu kurz. Natür­lich kann man bei sin­gu­lä­rer Betrach­tung des The­mas “Cloud” schon ein­mal fast alle MDM-​Angebote in der Cloud von der Liste siche­rer Ange­bote strei­chen. Das Pro­blem liegt aber viel tie­fer. Im Bei­trag Mobile Device Manage­ment (MDM) – Sicher­heit und Ver­schlüs­se­lung habe ich das eigent­li­che Pro­blem erläutert:

Der Export von Ver­schlüs­se­lung grö­ßer 56-​bit ist trotz die­ser Libe­ra­li­sie­rung wei­ter geneh­mi­gungs­pflich­tig. Zustän­dige für der­ar­tige Export-​Genehmigungen ist das US-​Handelsministerium, die feder­füh­rende Insti­tu­tion im Hin­ter­grund ist aber die Natio­nal Secu­rity Agency (NSA). Diese hat in ers­ter Linie die Auf­gabe, Nach­rich­ten abzu­hö­ren, die für die Sicher­heit der USA bedeu­tend sind. Pro­dukte mit star­ker Ver­schlüs­se­lung (> 56 bit) erhal­ten zwar eine Export­ge­neh­mi­gung, aller­dings erst nach dem “Tech­ni­cal Review” durch das US-​Handelsministerium. Die Ver­mu­tung liegt nahe, dass der “Tech­ni­cal Review” nur dazu dient, das Vor­han­den­sein geeig­ne­ter Key-​Recovery-​Mechanismen (Anmer­kung: dies bedeu­tet Ent­schlüs­se­lungs­tech­no­lo­gien)zu über­prü­fen.

Im Klar­text bedeu­tet dies, dass Soft­ware aus den USA, die mit Ver­schlüs­se­lungs­tech­no­lo­gien arbei­tet – und MDM tut dies ganz beson­ders – keine sichere Ver­schlüs­se­lung bie­ten kann. Des­halb ist eine sol­che Lösung weder gut noch schlecht – es ist schlicht ein Fak­tum, wel­ches man ken­nen muss. Die­ses Fak­tum gilt auch für euro­päi­sche Anbie­ter, die in den USA mit eige­nen Struk­tu­ren tätig sind – unein­ge­schränkt. Deren ame­ri­ka­ni­sche Fir­men /​Nie­der­las­sun­gen sind unein­ge­schränkt zur Zusam­men­ar­beit ver­pflich­tet und fal­len auto­ma­tisch unter die ame­ri­ka­ni­sche Inter­pre­ta­tion von Export, wenn ihr Sys­tem von einem ame­ri­ka­ni­schen Kun­den ein­ge­setzt wird und des­sen Anwen­der das Land mit der instal­lier­ten Lösung ver­las­sen, was bei mobi­len End­ge­rä­ten als Regel­fall anzu­neh­men ist.

Ein ande­res Pro­blem wird in die­sem Zusam­men­hang eben­falls noch viel zu sel­ten erwähnt. Bei allen ame­ri­ka­ni­schen Anbie­tern von MDM-​Systemen ist der Second– und /​oder Third-​Level Sup­port regel­mä­ßig in den USA ange­sie­delt. Dies bedeu­tet, dass man im Sup­port­fall einem Sup­por­ter aus den USA und /​oder aus der Infra­struk­tur eines ame­ri­ka­ni­schen Unter­neh­mens Zugang auf das MDM-​System und ggf. wei­tere Sys­teme in der Unter­neh­mens­in­fra­struk­tur geben muss. Vor die­sem Hin­ter­grund muss man beach­ten, dass es im Falle einer Patriot-​Act-​Ermittlung für ame­ri­ka­ni­sche Behör­den sehr ein­fach ist, sämt­li­che Arbeits­plätze der Mit­ar­bei­ter eines Unter­neh­mens zu über­wa­chen – lücken­los und ununterbrochen.

Wir wis­sen nicht, ob nicht vor­sorg­lich ame­ri­ka­ni­sche MDM-​Anbieter lücken­los über­wacht wer­den – der Daten­fun­dus, der über sie zugäng­lich wird, legt aller­dings diese Ver­mu­tung nahe. Mein Gespräch mit Rick Segal, dem CEO von Fixmo, das ich im Bei­trag Mobile Device Manage­ment (MDM) – Sicher­heit und Ver­schlüs­se­lung the­ma­ti­siert habe, lässt mich dies ver­mu­ten, da er es andeu­tete – die Über­wa­chung durch die NSA wird in den USA von nicht weni­gen als nor­mal und selbst­ver­ständ­lich, teil­weise sogar als gut ange­se­hen. Man darf auch nie ver­ges­sen, dass Spio­nage eine zen­trale Auf­gabe der ame­ri­ka­ni­schen Geheim­dienste ist, die vom Patriot Act mas­siv begüns­tigt werden.

Ob vor die­sem Hin­ter­grund die Anwen­dung eines MDM-​Systems eines ame­ri­ka­ni­schen Anbie­ters oder eines Anbie­ters mit eige­nen Akti­vi­tä­ten in den USA dem eige­nen Sicher­heits­be­dürf­nis ent­spricht, muss jeder Anwen­der für sich selbst ent­schei­den. Ich meine, dass diese Sys­teme für jeden, der Wert auf Daten­schutz legt, kom­plett aus­schei­den. Wenn Sie wei­tere Fra­gen zu die­sem Thema haben, zögern Sie bitte nicht uns anzu­spre­chen – wir haben die Ant­wort. Garantiert!

Andere inter­es­sante Beiträge: