Deutsche Geheimdienste lesen mit
So geht der CIO eines großen deutschen Unternehmens vor, der nicht namentlich genannt werden will, weil sein Arbeitgeber wichtige Kunden in den USA hat. Die aktuelle Aufregung versteht er nicht ganz: "Es ist seit vielen Jahren bekannt, wie amerikanische Geheimdienste mit Daten ausländischer Firmen umgehen und dass Industriespionage ein normaler Teil ihrer Tätigkeit ist." Seine Devise lautet: Keine Cloud-Lösungen, keine Nutzung von Facebook im Unternehmen, kein Auslagern sensibler Daten an Dritte, völlig egal, ob diese nun in Europa sitzen oder wo auch immer.
Sinnvoll kann so viel Vorsicht deshalb sein, weil beileibe nicht nur US-Geheimdienste Einblick in Nutzerdaten nehmen. Darauf weist Michael Kamps, Anwalt für Informationsrecht bei der Großkanzlei CMS Hasche Sigle aus Berlin, hin. "Auch deutsche Geheimdienste sind befugt, Telekommunikationsdaten zu überwachen", warnt er. Dazu sind zwar bei uns für die Inlandsgeheimdienste Verdachtsmomente für bestimmte schwere Straftaten erforderlich, für den Auslandsgeheimdienst BND gelten aber geringere Anforderungen.
Wenn man sich die Aktivitäten ansieht, dann scheint es ausreichende Anhaltspunkte ziemlich oft zu geben. "Im Jahre 2011 sind 37 Millionen Mails durch deutsche Geheimdienste ausgewertet worden", berichtet Kamps. "Den wenigsten Menschen in Deutschland ist bewußt, dass dies passiert und in welchem Umfang."
Niemand könne per se davon ausgehen, dass sein Datenverkehr nicht überwacht wird, betont Kamps: "Geheimdienste haben eben die Eigenschaft, geheim zu arbeiten. Das ist auch in Deutschland nicht anders." Ein lückenlose Überwachung finde aber - jedenfalls bei uns - nicht statt.
Neu an der PRISM-Geschichte ist nach Ansicht von Kamps, dass in einem Land in signifikantem Maße der Datenverkehr mit dem Ausland kontrolliert wird. Außerdem war hierzulande vorher nur wenigen bewußt, dass so viele Mitarbeiter von Privatfirmen Zugang zu geheimen Informationen haben.
- Datenschutz in Deutschland
Der Prism-Skandal beschäftigt die IT-Branche weiterhin. Wir haben bei Providern wie HP, IBM, Telekom und Google angefragt, wie sie es mit dem Schutz ihrer deutschen Kundendaten halten. Hier kommen die Antworten: - Hewlett-Packard (HP): Werden selten angefragt
„Weder HP global noch HP Deutschland gewähren hier Zugangsrechte zu Kundendaten im Rahmen des „Project Prism“. <br /><br /> Grundsätzlich gilt: In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist. (…) Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf Telekommunikationsunternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen.“ - Fujitsu: Deutsche Rechenzentren unterliegen dem deutschen Gesetz.
„Ein Zugriff auf Kundendaten durch Verfolgungsbehörden oder nationale und internationale Geheimdienste wird ausschließlich auf Grundlage eines deutschen Gerichtsbeschlusses gewährt. Die deutschen Rechenzentren unterliegen dem deutschen Datenschutzgesetz, das dies eindeutig regelt. <br /><br /> Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung.“ - Salesforce: Wir ermöglichen keinen Regierungen direkten Zugang.
„Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“ - Google: Wir prüfen alle Anfragen gewissenhaft.
"Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft.“
Digitaler Fußabdruck Größe 52
Die US-Internetzeitung Huffington Post rechnete ihren Lesern jüngst vor, dass in den USA mehr als eine Million Menschen Zugang zu Daten mit dem Stempel "vertraulich und geheim" haben, die nicht bei der Regierung angestellt sind. Edward Snowdon, jener Whistleblower, der die ganze Geschichte ins Rollen gebracht hatte, war Mitarbeiter der Consultingfirma Booz Allen Hamilton.
Man muss nicht unter Paranoia leiden, um jetzt mehr Angst vor Industriespionage zu haben als vorher. Rechtsanwalt Kamps sagt, das auch deutsch Behörden seit Jahren warnen, Deutsche Unternehmen stünden international im Fokus von Industriespionen.
Was also tun? Ähnlich wie sein Kollege Ulbricht rät auch Kamps den Unternehmen, sich genau anzusehen, in welchem Rechtsraum sich ein gewählter Provider bewege. "Die Frage ist, ob ich den sensiblen Teil meiner Datenverarbeitung unbedingt an ein US-Unternehmen auslagern muss", betont Kamps. "Das kann auch jenseits der Geheimdienstüberwachung riskant sein, weil in den USA gespeicherte Informationen nach US-Recht in regulären Gerichtsverfahren unter bestimmten Umständen offen gelegt werden müssen"
Nächste Frage: Muss ich bestimmte, populäre, aber riskante Dienste unbedingt nutzen? Google Docs zum Beispiel wird auch von Unternehmen häufig eingesetzt, um mit Teams Inhalte zu erarbeiten und gemeinsam Dokumente zu verwalten. Die Gefahr des Mitlesens ist gegeben, außerdem hat Google sogar öffentlich gesagt, dass es sich vorbehält, Daten aus unterschiedlichen Quellen zu einem einzigen Nutzerprofil zusammenzuführen. Und wer will schon einen Fußabdruck Größe 52 hinterlassen?
Auf EU-Ebene wird aktuell um ein neues Datenschutzrecht gerungen, dass sich stark an der Situation in Deutschland orientiert. Ziel ist es, dass jeder, der europäische Nutzer adressiert, sich auch an europäisches Datenschutzrecht halten muss. Verstöße werden mit empfindlichen Strafen bedroht. Ob dieser Vorstoß auch die US-Regierung beeindrucken wird, steht allerdings auf einem anderen Blatt.
Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation CIO.de. (mhr)