Microsoft ist nicht verpflichtet, Nutzerdaten, die sich auf Servern des Unternehmens außerhalb der Vereinigten Staaten befinden, an die US-Regierung herauszugeben. Das hat der US Court of Appeals for the 2nd Circuit in New York im nunmehr beendeten Berufungsverfahren (Aktenzeichen 14-2985) entschieden. Damit ist die gerichtliche Anordnung, die Microsoft zur Herausgabe der Daten verpflichtete, unwirksam.
Herausgabe von Daten aus irischem Rechenzentrum
Am 4. Dezember 2013 hatte der United States District Court for the Southern District of New York eine Verfügung ("Search and Seizure Warrant") gegen die Microsoft Corporation in Redmond erlassen. Die Anordnung verpflichtete Microsoft, den Inhalt eines Email-Postfachs, welches Microsoft für einen Kunden betrieb, an die Behörden der Vereinigten Staaten herauszugeben. Die Sicherheitsbehörden hatten Grund zu der Annahme, dass das Email-Postfach zum Drogenschmuggel eingesetzt wurde.
Microsoft kam der Anordnung nur in Teilen nach und übergab lediglich Informationen über das Postfach, jedoch keine Inhaltsdaten an die Behörden. Denn die Postfach-Informationen waren auf US-Servern vorhanden; die Inhaltsdaten des Email-Postfachs waren aber auf Servern in Irland gespeichert, die von dem Tochterunternehmen Microsoft Ireland betrieben werden. Microsoft wandte sich deshalb gegen die Anordnung, weil Microsoft dadurch gezwungen würde, Daten von Servern, die sich außerhalb der Vereinigten Staaten befinden, zu importieren, um diese an die Behörden zu übergeben. Die Behörden und das Gericht drohten Sanktionen an. Hiergegen wandte sich Microsoft.
- Datenverlust
Wenn ein Datenverlust auftritt, drohen Geldbußen, Gerichtsprozesse und harte Strafen. Die Aufarbeitung des Ganzen und die Information der betroffenen Kunden verursachen erheblich Kosten. Indirekte Folgen wie Image- und Auftragsverluste sind noch gar nicht eingerechnet, die ein Unternehmen für Jahre beschäftigen können. - Gestohlene Benutzerdaten
Datenverluste und andere Angriffe folgen häufig aus einem zu lockeren Authentifizierungsprozess, aus zu schwachen Passwörtern und einem schlechten Schlüsselmanagement. Unternehmen kämpfen mit dem Thema Identitätsmanagement, wenn es um die Zuordnung von Zugriffsrechten auf Benutzerrollen geht. Wenn Mitarbeiter die Stelle wechseln oder das Unternehmen ganz verlassen, werden ihre Zugriffsrechte häufig zu spät oder gar nicht angepasst. - Geknackte Interfaces und APIs
Sicherheit und Verfügbarkeit von Cloud-Diensten - von der Authentifizierung über die Zugangskontrolle bis hin zu Verschlüsselung und Aktivitäten-Monitoring - hängen von der API-Sicherheit ab. Das Risiko steigt mit der Zahl von Drittanbietern, die auf der Grundlage der APIs neue Benutzeroberflächen entwickeln, weil diesen Unternehmen Zugriff auf Dienste und interne Daten gewährt werden muss. - Ausgenutzte Schwachstellen
Durch die verschiedenen Formen der Cloud-Nutzung auf Mietbasis werden Schwachstellen zu einem immer größeren Problem. Mehrere Unternehmen teilen sich denselben Arbeitsspeicher, Datenbanken und andere Ressourcen - was wiederum ganz neue Angriffsvektoren ermöglicht. - Account Hijacking
Phishing, Betrug und Software Exploits sind immer noch erfolgreich - Cloud-Services ergänzen diese Maschen um eine weitere Bedrohung, weil Angreifer nun Aktivitäten belauschen, Transaktionen manipulieren und Daten verändern können. - Insider mit bösen Absichten
Die Gefahr von innen hat viele Gesichter: ein aktueller oder ehemaliger Angestellter, ein Systemadministrator, ein Vertrags- oder Geschäftspartner. Es geht um die gesamte Palette - von Datendiebstahl bis hin zu Rache. Im Cloud-Umfeld kann ein fest entschlossener Insider die gesamte Infrastruktur zerstören und Daten manipulieren. - Der APT-Parasit
APTs (Advanced Persistent Threats) bewegen sich in der Regel seitlich durch ein Netzwerk und mischen sich unter den normalen Datenverkehr - entsprechend schwer sind sie zu entdecken. Die großen Cloud-Provider setzen fortschrittliche Sicherheitstechniken ein, um zu verhindern, dass ihre IT-Infrastruktur durch APTs beeinträchtigt wird. Dennoch sind ihre Kunden gut beraten, sich selbst ebenso sorgfältig auf mögliche Folgeschäden für ihre Cloud-Konten vorzubereiten wie sie das bei On-Premise-Systemen tun würden. - Dauerhafter Datenabfluss
Je reifer die Cloud wird, desto seltener kommt es zwar vor, dass Fehler seitens der Provider zu Datenverlusten führen. Hacker mit bösen Absichten sind aber bekannt dafür, dass sie Cloud-Daten dauerhaft löschen, um Unternehmen zu schaden. - Fehlende Sorgfalt
Gerade dort, wo ein Unternehmen in die Cloud migrieren oder mit einem anderen Unternehmen über die Cloud zusammenarbeiten möchte, ist gebührende Sorgfalt angebracht. Beispielsweise werden Unternehmen, die es versäumen, einen Vertrag eingehend zu prüfen, niemals wissen, wie zuverlässig und seriös der Vertragspartner im Falle eines Sicherheitsvorfalls vorgeht. - Missbrauch von Cloud-Diensten
Es kommt vor, dass Cloud-Services missbraucht werden, um damit kriminelle Aktivitäten zu unterstützenen. Um einen DDoS-Angriff (Distributed Denial of Service) zu starten oder eine Verschlüsselung zu knacken, braucht es eine leistungsstarke Hardwareumgebung - und Cloud-Ressourcen erfüllen dieses Kriterium. - DoS-Attacken
DoS-Attacken (Denial of Service) verbrauchen eine große Menge Rechnleistung - die Rechnung zahlt der Kunde. Auch wenn die breitbandigen DDoS-Angriffe weit verbreitet und gefürchtet sind - ebenso gewappnet sollten Unternehmen für assyametrische DoS-Attacken auf Anwendungsebene sein, die Sicherheitslücken in Webservern und Datenbanken betreffen. - Geteite Technik, doppelte Gefahr
Verschiedene Cloud Provider teilen sich Infrastruktur, Plattformen und Anwendungen - liegt irgendwo hier eine Verwundbarkeit vor, sind gleich alle betroffen. Wenn beispielsweise eine zentrale Komponente wie ein Hypervisor oder eine Anwendung erfolgreich angegriffen wurde, ist gleich die komplette Cloud-Umgebung unsicher.
Keine extraterritoriale Wirkung
Microsoft machte vor Gericht geltend, dass die Anordnung der US-Behörden nur für das Territorium der Vereinigten Staaten gelten und keine extraterritoriale Wirkung in anderen Ländern entfalten könne. Denn in den Hoheitsgebieten anderen Staaten würden weder die Gesetze der Vereinigten Staaten gelten, noch haben die Behörden die Möglichkeit, diese Gesetze dort durchzusetzen. Anordnungen von Gerichten seien daher stets auf das Territorium der Vereinigten Staaten beschränkt.
Die Behörden traten dieser Argumentation entgegen. Es komme nicht darauf an, wo die Informationen räumlich gespeichert sind. Ausschlaggebend sei allein, ob der Adressat einer solchen Anordnung Besitz oder Kontrolle ("custody, possession or control") über diese Informationen habe. Dabei wurden diese Anforderungen in der Vergangenheit stets sehr weit interpretiert. Oft wurde die faktische Möglichkeit zum Zugriff oder aber ein gesellschaftsrechtliches Weisungsrecht als ausreichend erachtet.
Das Gericht schloss sich nun der Argumentation von Microsoft an. Das Gesetz, auf den die Behörden ihre Herausgabeverlangen stützten (18 U.S.C. §§ 2701 "Stored Communications Act" aus dem Jahr 1986 als Teil des "Electronic Communications Privacy Act") zielte u.a. auf den Schutz der Privatsphäre zwischen Nutzer und IT-Service Provider. Als diese Gesetze erlassen wurden, war das Internet noch nicht globalisiert und die Datenverarbeitung über Grenzen hinweg eher die Ausnahme als die Regel. Aus dem Gesetz kann daher - weder ausdrücklich noch implizit - gefolgert werden, dass es auch außerhalb des Gebietes der USA, also extraterritorial, zur Anwendung kommen soll. Im Ergebnis stellte das Gericht damit fest, dass das erstinstanzliche Gericht (United States District Court for the Southern District of New York) nicht autorisiert war, die Herausgabeanordnung auch außerhalb der Vereinigten Staaten durchzusetzen. Die Informationen, die Microsoft in den Vereinigten Staaten gespeichert hat, hatte Microsoft bereits herausgegeben und war damit der Anordnung nachgekommen.
- Azure Microsoft Cloud Deutschland
Cloud-Dienste "Made in Germany" bietet Microsoft seit Mitte 2016 an. Dazu wurden zwei Rechenzentren in Frankfurt am Main und Magdeburg in Betrieb genommen. - Azure Cloud: Nadella in Deutschland
Satya Nadella, CEO von Microsoft bei der Präsentation der Deutschland-Cloud in Berlin im November 2015: "Unser Ansatz besteht darin, eine hoch skalierbare Public Cloud aufzubauen. Wir bieten unseren Kunden eine echte hybride und verteilte Computing-Plattform." - Azure Paired Region
Höhere Ausfallsicherheit durch "Paired Regions": Nutzer von Azure-Cloud-Diensten können Daten sowie Ressourcen wie Virtual Machines und Datenbanken zwischen zwei Rechenzentren von Microsoft replizieren. Beide liegen in benachbarten Regionen, etwa West- und Nordeuropa, müssen aber mindestens 300 Meilen voneinander entfernt sein. - Azure Marketplace
Ebenso wie Amazon Web Services und andere Cloud Service Provider hat Microsoft auf Azure einen Marktplatz für Produkte von Drittanbietern eingerichtet. - Microsoft Cloud Treuhändermodell
In Deutschland hat Microsoft eine separate Azure-Cloud-Infrastruktur aufgebaut. Zugriff auf die Kundendaten hat ausschließlich ein zwischengeschalteter Treuhänder, in diesem Fall T-Systems. - Alex Stüger
Alex Stüger, stellvertretender Vorsitzender der Geschäftsführung von Microsoft Deutschland: "Die Verknüpfung unserer Microsoft-Cloud-Plattform mit deutscher Infrastruktur und deutschem Datentreuhänder ist aus unserer Sicht am Markt einzigartig."
Auswirkungen auf die deutsche Cloud
Das Urteil des Berufungsgerichts wurde mit Spannung erwartet, handelt es sich dabei doch um eine wichtige Entscheidung in der aktuellen Diskussion über den Schutz und die Sicherheit von Informationen bei US-Service Providern. Die Entscheidung dürfte auch für die "deutsche Cloud" und die Datentreuhand-Konstruktion gewichtige Argumente liefern. Denn die Datentreuhand beruht darauf, dass es für die Datenherausgabe primär auf der Einhaltung deutscher Gesetze ankommt. (fm)
- Mehr Cloud-Befürworter
Der Anteil der Cloud-Befürworter steigt seit Jahren beständig an. - 50-Prozent-Schwelle durchbrochen
54 Prozent der befragten Unternehmen nutzen Cloud-Dienste. Gegenüber 2011 hat sich der Anteil fast verdoppelt. - KMUs holen bei Cloud-Nutzung auf
Während der Anteil der Cloud-Nutzer bei den Großunternehmen seit Jahren bei etwa 70 Prozent stagniert, machen sich immer mehr kleine und mittelgroße Firmen auf den Cloud-Weg. - ITK-Branche bleibt Cloud-Vorreiter
Die Nutzung von Cloud-Diensten ist quer durch alle Branchen verbreitet. Laut Umfrage gibt es keine Branche, die sich der Cloud komplett verweigert. - Durchbruch für dei Public Cloud
Vor allem Public-Cloud-Dienste scheinen stärker gefragt zu sein. Die Nutzung der Private Cloud stagniert dagegen. - Office und Groupware sind die Cloud-Killer-Apps
Rund ein Drittel der befragten Unternehmen bezieht branchenspezifische Dienste aus der Public Cloud. Experten werten diese Zahl als zeichen dafür, wie tief die Cloud bereits in der Unternehmens-IT verankert ist. - Sicherheitsbedenken bleiben das größte Hemmnis
Die Furcht, dass Unberechtigte auf sensible Daten zugreifen oder dass Daten in der Cloud verloren gehen, bleibt das größte Hemmnis, Public-Cloud-Dienste zu nutzen. - Sicherheitsvorfälle in der Public Cloud
15 Prozent der Public-Cloud-Nutzer berichteten, dass es im vergangenen Jahr Sicherheitsprobleme mit den entsprechenden Diensten gegeben habe. - Positive Erfahrungen mit Public Cloud
Gut vier von zehn Public-Cloud-Nutzern bezeichneten ihre Erfahrungen in der Wolke als durchweg positiv. Damit hat sich ihr Anteil gegenüber 2014 mehr als verdoppelt. - Mehr Flexibilität und geringere Kosten
Public-Cloud-Nutzer heben vor allem die gestiegene Flexibilität sowie Verfügbarkeit, Skalierbarkeit und Performance der IT-Leistungen hervor. Auch auf der Kostenseite bringt die Public Cloud wohl Vorteile. Allerdings sieht auch ein Drittel steigende Implementierungszeiten und mehr Administrationsaufwand. - Sorge um Compliance
Immer noch befürchten viele Unternehmen, dass mit der Nutzung von Cloud-Lösungen auch Compliance-Probleme einher gehen könnten. - Vertrauen ist gut, Kontrolle ist besser
Immer mehr Unternehmen schauen ihren Cloud-Providern genau auf die Finger. - Standort bleibt das wichtigste Kriterium
Das Cloud-Rechenzentrum muss ausschließlich in Deutschland stehen, fordern drei von vier befragten Unternehmen. Damit bleibt der Standort das wichtigste Kriterium für die Auswahl des Cloud-Anbieters.