computerwoche.de

Datensicherheit in der Cloud

PRISM gegen Unternehmen

Widerstand zwecklos - Selbstschutz nicht

13.07.2013
Von 


Christoph Lixenfeld, seit 25 Jahren Journalist und Autor, vorher hat er Publizistik, Romanistik, Politikwissenschaft und Geschichte studiert.

1994 gründete er mit drei Kollegen das Journalistenbüro druckreif in Hamburg, schrieb seitdem für die Süddeutsche Zeitung, den Spiegel, Focus, den Tagesspiegel, das Handelsblatt, die Wirtschaftswoche und viele andere.

Außerdem macht er Hörfunk, vor allem für DeutschlandRadio, und produziert TV-Beiträge, zum Beispiel für die ARD-Magazine Panorama und PlusMinus.

Inhaltlich geht es in seiner Arbeit häufig um die Themen Wirtschaft und IT, aber nicht nur. So beschäftigt er sich seit mehr als 15 Jahren auch mit unseren Sozialsystemen. 2008 erschien im Econ-Verlag sein Buch "Niemand muss ins Heim".

Christoph Lixenfeld schreibt aber nicht nur, sondern er setzt auch journalistische Produkte ganzheitlich um. Im Rahmen einer Kooperation zwischen Süddeutscher Zeitung und Computerwoche produzierte er so komplette Zeitungsbeilagen zu den Themen Internet und Web Economy inklusive Konzept, Themenplan, Autorenbriefing und Redaktion.
Alle Posts des Autors Email: Connect:

Juristische Gegenwehr ist schwierig

Auch einer weiteren besorgniserrengenden NSA-Leckage begegnen viele Unternehmen nicht mit der gebotenen Vorsicht: Dem Mailverkehr, insbesondere Google Mail. Natürlich betrifft die Überwachung von Mails nicht nur Google, aber mit einem großen Provider zu kooperieren ist für die Spione natürlich weit weniger aufwändig und damit effizienter als mit vielen kleinen.

Wirklich erschreckend ist dabei, wie viel sich aus der Überwachung des elektronischen Postverkehrs auch dann herauslesen lässt, wenn man den Inhalt des Mailverkehrs ignoriert. Das hat jetzt keine geringere Institution als das MIT Media Lab des renommierten Massachussetts Institute of Technology deutlich gemacht. Das Institut hat ein Tool online gestellt, mit dem G-Mail-Nutzer in ca. 30 Sekunden testen können, was sie potentiellen Spähern mit ihrem Schriftverkehr alles verraten... . Google Mail und Facebook konsequent aus dem Unternehmenseinsatz zu verbannen, schützt natürlich nicht vollständig vor dem Überwachtwerden, wäre aber ein erster wichtiger Schritt.

Nicht wenige Verantwortliche in Unternehmen fragen sich natürlich ebenso wie Privatpersonen, ob und wie sie sich juristisch gegen Attacken von Big Brother wehren können, anstatt nur hilflos die Situation zu beklagen. Michael Kamps, Anwalt für Informationsrecht bei der Großkanzlei CMS Hasche Sigle, sieht hier allerdings nur geringe Erfolgsaussichten. "Das erste Problem liegt darin, dass die Tätigkeit von Geheimdiensten tatsächlich geheim ist. Das gilt auch für Deutschland, wo zwar eine "Mitteilung an den Betroffenen" im Gesetz vorgesehen ist, aber durch vielfältige Ausnahmen im Einzelfall auch unterbleiben kann. Auch durch die parlamentarische Kontrolle der Geheimdienste ist keineswegs sichergestellt, dass ein von geheimdienstlicher Überwachung Betroffener - egal ob Privatperson oder Unternehmen - hiervon auch erfährt."

Verworrene Rechtslage

Was unter Juristen derzeit diskutiert werde, so Michael Kamp, sei die Frage nach der rechtlichen Legitimation für diverse Spähprogramme. "Ob solche Aktivitäten legal sind oder nicht, hängt zunächst vom Recht desjenigen Landes ab, dessen staatliche Stellen tätig werden. In Deutschland bestimmt das G10-Gesetz, dass Überwachung in einem bestimmten Rahmen durchaus legal ist. In der Regel fragwürdig ist wohl das planmäßige Ausspähen von Unternehmen im Ausland, also die staatliche Wirtschaftsspionage."

Das heißt aber keineswegs, dass die Rechtslage hier irgendwie eindeutig wäre. Denn das Spähen bezieht sich ja, wie oben erläutert, oft nicht auf den Server, der im Keller eines Unternehmens auf der schwäbischen Alb steht, sondern auf Facebook- oder G-Mail-Daten. Und die liegen in den USA. Oder wo auch immer.

Was Gmail verrät

Google weiß über seine User fast alles.
Google weiß über seine User fast alles.
Foto: Google

Das Projekt 'Immersion' des MIT Media Laboratory öffnet Nutzern von Googles Mailprogramm durch eine Art Schnelltest ruckartig die Augen. Denn es zeigt auf, welche Details sich allein aus den META-Daten von Gmail – also ohne Zugriff auf den Inhalt der Mails – gewinnen lassen. Und das in weniger als einer Minute. Wer sich mit seinem Gmail-Account auf der Immersion-Seite einlogged, bekommt eine interaktive Grafik zu sehen, die jene Ströme und Verbindungen zeigt, die sich aus der Auswertung der Felder „von“ , „an“, „Cc“ und von Datum und Uhrzeit der Mails ergeben.

Ablesen lässt sich hier erstaunlich viel . Neben den rein quantitativen Angaben wie Anzahl der gesendeten Mails oder Anzahl der kontaktierten Personen zeigt die Statistik zum Beispiel:

  • Eine Liste der Top-Kontakte

  • Den Zeitpunkt der ersten und der letzten Konversation mit einem Kontakt

  • Die Zahl der pro Kontakt gespeicherten Mails

  • Die Anzahl der pro Kontakt gesendeten und empfangenen Gruppenmails

  • Die Person, über die ein Kontakt entstanden war

  • Und vieles mehr.

All das lässt sich, wohlgemerkt, ermitteln, ohne den Inhalt einer einzigen Mail zu lesen. Selbstverständlich stelle ich diese Daten auch zur Verfügung, wenn ich einen anderen E-Mail-Serviceanbeiter nutze. Ob sich die NSA allerdings die Mühe macht, die Daten sämtlicher kleinen, vielleicht lokalen Provider in einem fernen Land zu scannen, darf getrost bezweifelt werden.

Dieser Artikel basiert auf einem Beitrag der CW-Schwesterpublikation CIO.de. (mhr)