Micro­soft und Daten­schutz? Dann bes­ser alle Brand­stif­ter zur Feu­er­wehr!

Regel­mä­ßi­ge Leser des Pre­tio­so Blog wis­sen — es gibt nur wenig auf der Welt, was wir bei Pre­tio­so noch schlim­mer fin­den als Micro­soft, Kin­des­miss­brauch und nord­ko­rea­ni­sche Dik­ta­to­ren zum Bei­spiel. Des­we­gen sind auf unse­rer Kom­mu­ni­ka­ti­ons­in­fra­struk­tur und in unse­ren Pro­duk­ten seit lan­gem die frag­wür­di­gen Pro­duk­te aus Red­mont ver­bannt und die Nut­zung der dubio­sen Online-Diens­te die­ser ame­ri­ka­ni­schen Fir­ma ist bei uns erst Recht kom­plett ver­bo­ten.

Zuletzt hat­ten wir auf die Absur­di­tät der Kom­bi­na­ti­on von Micro­soft und Daten­schutz im Bei­trag Zum Tot­la­chen: Micro­soft und Daten­schutz! vor 10 Mona­ten hin­ge­wie­sen.

Wie rich­tig wir hier­mit lagen und lie­gen, wur­de die­se Woche wie­der ein­mal ein­drucks­voll unter Beweis gestellt. Micro­soft durch­such­te im Sep­tem­ber 2012 ohne jeg­li­che Geneh­mi­gung den Hot­mail-Account eines fran­zö­si­schen Blog­gers, was erst in die­ser Woche bekannt wur­de und in vie­len Bei­trä­gen im Inter­net nach­zu­le­sen ist, bei­spiels­wei­se im Bei­trag Micro­soft: „Wir haben das Recht, Hot­mail-Kon­ten zu durch­su­chen”. Die Durch­su­chung erfolg­te, um eine undich­te Stel­le bei Micro­soft zu ermit­teln, die nicht zur Ver­öf­fent­li­chung vor­ge­se­he­nes Mate­ri­al an den Blog­ger wei­ter­ge­ge­ben hat­te.

Der Ex-Micro­soft-Mit­ar­bei­ter Alex Kib­ka­lo wur­de am 17.03.2014 offi­zi­ell des Dieb­stahls von Unter­neh­mens­ge­heim­nis­sen (Theft of Tra­de Secrets) im US-Bun­des­staat Washing­ton ange­klagt — basie­rend auf der nach fran­zö­si­schem Recht (und natür­lich auch nach deut­schem Recht) unzwei­fel­haft rechts­wid­ri­gen Durch­su­chung des Mail-Accounts des fran­zö­si­schen Blog­gers! Das Lesen der Kla­ge­schrift ver­deut­licht nicht nur den vor­lie­gen­den Fall son­dern ganz aus­ge­zeich­net den rie­si­gen Unter­schied des ame­ri­ka­ni­schen und des deut­schen Rechts­sys­tems ganz beson­ders im Hin­blick auf das The­ma Daten­schutz.

In der Kla­ge­schrift wird auf Sei­te 5 klar erklärt:

The source indi­ca­ted that the blog­ger con­ta­c­ted the source using a Micro­soft Hot­mail e‑mail address that TWCI had pre­vious­ly con­nec­ted to the blog­ger. After con­fir­ma­ti­on that the data was Microsoft’s pro­prie­ta­ry tra­de secret, on Sep­tem­ber 7, 2012 Microsoft’s Office of Legal Com­pli­an­ce (OLC) appro­ved con­tent pulls of the blogger’s Hot­mail account.

Über­set­zung:

Die Quel­le infor­mier­te dar­über, dass der Blog­ger die Quel­le von einer Micro­soft Hot­mail Email­ad­dres­se ange­schrie­ben hat­te, die TWCI (Erklä­rung: Trust­worthy Com­pu­ting Inves­ti­ga­ti­ons -> Micro­softs Sicher­heits­ab­tei­lung) zuvor dem Blog­ger zuge­ord­net hat­te. Nach der Bestä­ti­gung, dass es sich bei den Daten um urhe­ber­recht­lich geschütz­te Fir­men­ge­heim­nis­se han­delt, gestat­te­te Microsoft’s Abtei­lung für Legal Com­pli­an­ce am 07.09.2012 die Durch­su­chung des Hot­mail-Accounts des Blog­gers.

Um Miss­ver­ständ­nis­sen vor­zu­beu­gen: Die­ser völ­lig inak­zep­ta­ble Daten­schutz­ver­stoß Microsoft’s ist in den USA nicht ille­gal. Ganz im Gegen­teil, dort kann man auf die­sem völ­lig inak­zep­ta­blen Umgang mit Anwen­der­da­ten die Kla­ge gegen den Täter auf­bau­en — das FBI ver­wen­det die durch den Daten­schutz­ver­stoß gewon­ne­nen Daten aktiv im Zuge der Beweis­füh­rung!

Micro­soft ver­fügt noch nicht ein­mal über rudi­men­tä­res Unrechts­be­wusst­sein in die­sem Fall, wie die in vie­len Punk­ten regel­recht absur­den Argu­men­te der Micro­soft-Stel­lung­nah­me zum Fall offen­ba­ren, lesen Sie die gan­ze Stel­lung­nah­me im Bei­trag Micro­soft: We have the right to search your Hot­mail account (updated). An die­ser Stel­le nur das absur­des­te Argu­ment zur Legi­ti­mie­rung der auch in den USA umstrit­te­nen Durch­su­chung:

Courts do not issue orders aut­ho­ri­zing someo­ne to search them­sel­ves, sin­ce obvious­ly no such order is nee­ded. So even when we belie­ve we have pro­bable cau­se, it’s not fea­si­ble to ask a court to order us to search our­sel­ves.

Über­set­zung:

Gerich­te ertei­len kei­ne Durch­su­chungs­be­schlüs­se, um sich selbst zu durch­su­chen, weil ein sol­cher Beschluss offen­sicht­lich nicht not­wen­dig ist. Selbst wenn wir glau­ben wür­den wir hät­ten einen Grund (einen Durch­su­chungs­be­schluss zu erwir­ken), ist es nicht umsetz­bar von einem Gericht einen Beschluss zu erlan­gen uns selbst zu durch­su­chen.

Die­se abstru­se Begrün­dung zeigt aber sehr ein­drucks­voll, was Micro­soft wirk­lich denkt und zum Maß­stab sei­nes Han­delns macht. Micro­soft betrach­tet die von Micro­soft betrie­be­nen Cloud-Infra­struk­tur ein­schließ­lich aller dort gespei­cher­ten Inhal­te als Eigen­tum von Micro­soft. Micro­soft gibt mit die­ser Erklä­rung unmiss­ver­ständ­lich zu ver­ste­hen, dass man die Inhal­te der Anwen­der als den eige­nen Besitz betrach­tet — das ist das wirk­lich Skan­da­lö­se hin­ter die­sem an sich schon unge­heu­er­li­chen Vor­gang!

Dies wird durch die nach deut­schem Recht und Daten­schutz schlicht ille­ga­len Nut­zungs­be­din­gun­gen von Hot­mail ein­drucks­voll unter­stri­chen:

We may access or dis­c­lo­se infor­ma­ti­on about you, inclu­ding the con­tent of your com­mu­ni­ca­ti­ons, in order to: [a] com­ply with the law or respond to law­ful requests or legal pro­cess; [b] pro­tect the rights or pro­per­ty of Micro­soft or our cus­to­mers, inclu­ding the enfor­ce­ment of our agree­ments or poli­ci­es gover­ning your use of the Ser­vice; or [c] act on a good faith belief that such access or dis­clo­sure is necessa­ry to pro­tect the per­so­nal safe­ty of Micro­soft employees, cus­to­mers, or the public.

Über­set­zung:

Wir dür­fen zu fol­gen­den Zwe­cken auf Infor­ma­tio­nen über Sie ein­schließ­lich den Inhal­ten Ihrer Kom­mu­ni­ka­ti­on zugrei­fen und die­se wei­ter­ge­ben: [a] um Geset­zen, Gerichts­ent­schei­dun­gen und ‑ver­hand­lun­gen zu ent­spre­chen; [b] um Rech­te oder Eigen­tum von Micro­soft oder unse­rer Kun­den zu schüt­zen, ein­schließ­lich der Durch­set­zung unse­rer Ver­trä­ge und Richt­li­ni­en, die die Nut­zung des Ser­vice regeln; [c] wenn wir im guten Glau­ben han­deln, dass solch Zugriff oder Wei­ter­ga­be not­wen­dig ist um die per­sön­li­che Sicher­heit von Micro­soft-Mit­ar­bei­tern, Kun­den oder der Öffent­lich­keit zu schüt­zen.

Auf den Punkt gebracht: Micro­soft durch­sucht die bei Micro­soft gespei­cher­ten Inhal­te, wenn Micro­soft hier­zu Lust hat. Klas­se!

Micro­soft ver­deut­licht mit dem eigen­mäch­ti­gen Zugriff auf Kun­den­in­hal­te auch ein­drucks­voll, wie wert­los die Safe-Har­bor-Zer­ti­fi­zie­rung von Micro­soft ist und demas­kiert das gesam­te Safe-Har­bor-Pro­gramm als Mar­ke­ting­hil­fe der ame­ri­ka­ni­schen Regie­rung für US-Unter­neh­men. Poin­te am Ran­de: Microsoft’s Sicher­heits­ab­tei­lung TWCI (sie­he oben) bestä­tigt das Vor­lie­gen von Safe Har­bor für Micro­soft! Daten­schutz und Daten­si­cher­heit gibt es aus den USA nicht, Mana­ged Ser­vices und Online-Ange­bo­te von Micro­soft las­sen sich mit deut­schem Daten­schutz und IT-Sicher­heit nicht ver­ein­ba­ren.

Des­halb hat vori­ge Woche auch das EU-Par­la­ment mit 544 Ja-Stim­men, 78 Gegen­stim­men und 60 Ent­hal­tun­gen für die Aus­set­zung von Safe Har­bor gestimmt, Details hier­zu fin­den Sie im Bei­trag NSA — EU-Par­la­ment for­dert Stopp der Daten­über­mitt­lung an die USA. Die Luft wird immer dün­ner für unsi­che­re und kom­pro­mit­tier­te Ange­bo­te aus den USA und das ist gut so!

Um Miss­ver­ständ­nis­se zu ver­mei­den — die­ses Pro­blem gilt ohne Wenn und Aber für alle ame­ri­ka­ni­schen Ange­bo­te von Goog­le Mail bis zu Yahoo Mail.

Dan­ke Micro­soft für die wun­der­ba­re Doku­men­ta­ti­on des Umgan­ges mit Kun­den­da­ten. Das hilft, wei­te­re Tau­sen­de Anwen­der zum Abwen­den von US-Anbie­tern zu moti­vie­ren.

PS:

Um Miss­ver­ständ­nis­se oder fal­sche Inter­pre­ta­tio­nen aus­zu­schlie­ßen wei­se ich aus­drück­lich dar­auf hin, dass ich das Alex Kib­ka­lo vor­ge­wor­fe­ne Ver­hal­ten schärfs­tens ver­ur­tei­le und ich Micro­soft voll­stän­dig ver­ste­he, wenn das Unter­neh­men sein geis­ti­ges Eigen­tum schützt.

Ich hal­te es aber für nicht akzep­ta­bel zur Auf­de­ckung die­ses Sach­ver­hal­tes das Post­fach eines Drit­ten zu durch­su­chen zumal Micro­soft aus­drück­lich ein­räumt, dass durch die Leaks kei­ne unmit­tel­ba­re Gefahr für das Unter­neh­men ent­stan­den war und ist. Das gele­ak­te Mate­ri­al war im Fal­le des gele­ak­ten Lizenz­schlüs­sel­ge­ne­ra­tors nur Dum­my-Mate­ri­al.


Ande­re inter­es­san­te Bei­trä­ge:
datomo Mobi­le Device Manage­ment – MDM-Allein­stel­lungs­merk­mal: Web­DAV App­li­an­ce mit datomo Secu­re­View – auch für BYOD geeig­net
datomo Mobi­le Device Manage­ment hebt sich mit vie­len Fea­tures deut­lich aus dem Markt her­vor. datomo Mobi­le Device Manage­ment bie­tet u.a. auch eine eige­ne Web­DAV App­li­an­ce, die mit datomo Secu­re View inte­griert ist. Damit lässt sich die Sicher­heit der auf dem mobi­len End­ge­rät genutz­ten und geöff­ne­te…
Pro­dukt­über­sicht Mobi­le Device Manage­ment (MDM) /​Enter­pri­se Mobi­li­ty Manage­ment (EMM)
Markt­über­sich­ten zu den The­men Mobi­le Device Manage­ment (MDM) und Enter­pri­se Mobi­li­ty Manage­ment (EMM) in Fach­zeit­schrif­ten und im Netz feh­len sehr oft zwei wesent­li­che Eigen­schaf­ten: Fach­kom­pe­tenz und gründ­li­che Recher­che. ZDNet​.de hat hier end­lich ein­mal einen qua­li­ta­ti­ven Kon­tra­punkt gesetzt. In…
datomo Mobi­le Device Manage­ment (MDM) 3.11.3 — Unter­stüt­zung für Android 4.2
Smart­pho­nes und Tablets mit Android gewin­nen von Monat zu Monat mehr Bedeu­tung im Enter­pri­se-Markt, wozu nicht zuletzt die offen­kun­dig bevor­ste­hen­de Zulas­sung von iOS-Gerä­ten durch das ame­ri­ka­ni­sche Ver­tei­di­gungs­mi­nis­te­ri­um bei sicher­heits­ori­en­tier­ten Anwen­dern führt. Denn dies bedeu­tet mit höchs­ter…
MDM-Essen­ti­als — Mobi­le Device Manage­ment und iOS 6 — Was ist neu in iOS6?
Das neue iPho­ne 5 ist seit weni­gen Stun­den da und es ver­kauft sich — völ­lig über­ra­schend 😉 — mal wie­der wie geschnit­ten Brot. Telecom Han­del schreibt vor weni­gen Minu­ten: „Auch in die­sem Jahr ist der Ansturm auf das neue iPho­ne 5 wie­der enorm — wie ein Video mit Auf­nah­men vom Münch­ner Apple-Store …
Tages­the­men zei­gen: Daten­dieb­stahl auf Smart­pho­nes — Ohne Mobi­le Device Manage­ment (MDM) und bei Bring Your Own Device (BYOD) kein Pro­blem!
Vor­ges­tern abend sah ich mir die Tages­the­men im Fern­se­hen an. Dort wur­de ein bemer­kens­wer­ter Bei­trag über den mög­li­chen Daten­dieb­stahl durch Apps auf Smart­pho­nes gebracht, der sehr gut recher­chiert ist und das Pro­blem auch für Lai­en sehr anschau­lich dar­stellt: Bes­ser kann man die Pro­ble­ma­tik vo…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.