Blog

Die Cloud ist überall … und gehört der U.S.A.

Wenn man sich mit dem Thema Cloud beschäftigt, schlackern die Ohren. Die Erkenntnisse des letzten Jahres waren für viele Leute eine Katastrophe. Für die, die Spionage betreiben und für die, die es nicht glauben wollten. Aber eigentlich ist es noch schlimmer. Nur selten denkt jemand nach. Privatpersonen nutzen einfach alle Dienste die angeboten werden und bestätigen einfach jeden Nutzungsvertrag mit Klick auf einen Bestätigen-Button. Lesen tut die Verträge niemand. Verschlüsselung für die Mehrheit kein Thema. Unternehmensführungen lassen sich bei lächerlichen Empfängen von IT-Unternehmen dazu überreden Ihre Daten in die Hände von Cloudanbietern zu legen, statt es selbst zu tun. Vor Kurzem habe ich gelesen, dass Unternehmen mittlerweile sogar Ihre IT-Sicherheit outsourcen wollen (0, 1, 2, 3, 4). Dieser Schwachsinn ist kaum mehr auszuhalten. Ich kann ja Geschäftemacher verstehen, aber die Verantwortlichen, die diese Angebote annehmen, sollte man in die Wüste schicken. Wenn man kein Interesse an Datensicherheit hat, dann sollte man wenigstens ehrlich zu seinen Kunden sein. Vielleicht wird es Zeit ein Register zu führen, um alle Unternehmen aufzuführen, die IT-Sicherheit in Zukunft outsourcen (wollen). Dann weiß der kundige Nutzer wenigstens wo er sich nicht hinwenden sollte. Aber machen wir weiter mit der Cloud.

Ein grundsätzliches Problem wurde in den letzten Wochen bekannt. Wenn U.S.-Behörden von in der U.S.A. tätigen Unternehmen verlangen Daten herauszugeben, auch wenn sie auf Servern im Ausland liegen und damit dem ausländischen Recht unterliegen, müssen die Unternehmen gehorchen. Ein Bundesrichter hat ein entsprechendes Urteil gefällt. Das widerspricht zwar internationalem Recht, aber was interessiert internationales Recht die U.S.A.? Interessant aber auch, ob derartige von den U.S.A. abgegriffenen Daten über Bande an europäische Dienste zurückgeleitet werden.

Nehmen wir mal folgendes Beispiel:

Die  Deutsche Telekom hat mit T-Mobile USA, Inc. eine amerikanische Tochter, bei der sie 66,75% der Aktien hält. Oder T-Systems North-America, Inc. mit 100% der Anteile. Damit ist die Deutsche Telekom in den U.S.A. tätig und gleichzeitig ein dominierender Part auf dem Deutschen Markt. Ich persönlich glaube, dass, wenn eine Anfrage von U.S.-Behörden an die amerikanische T-Mobile USA, Inc. erfolgt, Daten aus Deutschland herausgegeben werden (müssen), weil das amerikanische Recht das verlangt und die Deutsche Telekom nunmal der Boss in dem U.S.-Laden ist. Den amerikanischen Markt wird die Telekom nicht aufgeben.

Ein interessantes Konstrukt wäre meiner Meinung nach auch Vodafone. Vodafone hat Interesse beim amerikanischen AT&T geweckt. Und Vodafone bietet in Deutschland Webdienste an und ist dazu noch Besitzer der Aktienmehrheit von Kabel Deutschland. Vodafone selbst ist die Tochter eines britischen Unternehmens. Erinnern wir uns an den GCHQ? Reichen die Arme der NSA soweit?

Betroffen davon sind aber auch noch andere Unternehmen. Man muss sich nur die TOP 50 deutscher Firmen in den USA anschauen (Stand 2012). Wenn ein Unternehmen Internetdienste anbietet, kann es von U.S.-Behörden zur Herausgabe von Daten verpflichtet werden. Wobei der Begriff “Dienst” natürlich auch ziemlich dehnbar ist.

Da das Urteil ziemlich frisch ist, wird es hoffentlich noch juristische Auseinandersetzungen geben, die das Thema wieder an die Öffentlichkeit bringen. Es wurde zwar darüber berichtet, aber so wirklich darüber nachgedacht scheint niemand zu haben. Mit diesem Urteil haben U.S.-Dienste schlicht Zugriff auf fast alle Clouddienste der Welt, deren Unternehmen eine Zweigstelle in den U.S.A. haben. Um auch gleich einen Eindruck zu vermitteln was für Daten weitergegeben werden könnten, nehmen wir mal mein Lieblingsunternehmen: Apple.

Unter der Bezeichnung “Legal Process Guidelines for U.S.Law Enforcement” fasst Apple alle Daten zusammen, auf die U.S. Behörden Zugriff erhalten können, wenn Sie einen Grund sehen diese abfragen zu müssen. Über derartige Anfragen werden die Nutzer jedoch nur informiert, wenn das rechtlich in den U.S.A. erlaubt bzw. nicht verboten wird.

Das Dokument könnt Ihr Euch ja selbst durchlesen. Ihr findet es hier , alternativ hier.

Interessant ist für uns, was alles weitergegeben werden kann bzw. im Fall der Fälle wird. Unabhängig ob die Daten in den U.S.A. oder der E.U. liegen. Zu finden unter Punkt “III. Information Available From Apple”.

1. Registrationsdaten:

Dazu gehören Name, Adress, eMail, Telefon, Registrationsdatum, Kaufdatum und Gerätetyp. Klingt jetzt nicht so wild, aber im Zusammenhang mit der Speicherung von Metadaten durch die NSA eine super Möglichkeit tiefgreifender Verknüpfung.

2. Serviceberichte:

Dazu gehören Garantiedaten, tiefgreifendere Informationen zum Gerät und der Verwendung, sowie Reparaturdaten. Wenn ich als Geheimdienst erfahre, dass mein Ziel sein Gerät zur Reparatur geben muss, kann ich natürlich zugreifen, falls die Person sich mit falschen Daten registriert hat bzw. während des Reparaturvorgangs das Gerät manipulieren.

3. iTunes:

Auch hier werden die Registrationsdaten (siehe oben) zur Verfügung gestellt und das Verhalten in iTunes. Wenn jemand also eine gewisse Musikband mag, ist das hervorragend geeignet für Social Engeneeringangriffe, um Kontakt mit einer Person über das gleiche Hobby aufzubauen, oder mit Hilfe einer Phishingaktion Interesse zu wecken schädlichen eMail-Anhang zu öffnen.

4. Transaktionen (offline):

Immernoch die beste Möglichkeit Infos über Leute herauszufinden: Die Spur des Geldes! Hier können Daten über Barzahlungen, Kreditkarten oder Geschenkgutscheine abgerufen werden. Die Kreditkarte kann dann gleich als Ganzes durchleuchtet werden, Geschenkgutscheine eignen sich super, um Verbindungen zu anderen Personen herzustellen und wer weiß, was mit den dann verknüpften Personen/Daten geschieht? Zu den Transaktionen gehören natürlich noch Daten wie Käufer, eMail, Kaufdatum, Höhe des Preises und Ort des Geschäftes.

5. Transaktionen (online):

Hier das gleiche Szenario und noch mehr Daten, als bei den Offline-Transaktionen. Name des Käufers, Empfängeradresse, Telefonnummern, eMail, gekauftes Produkt und IP-Adresse des Käufers. Die Kreditkartendaten etc. natürlich auch. Auch hier hat man natürlich gleich die Möglichkeit Telefondaten mit anderen Personen zu verknüpfen, IP-Adressen ermöglichen Geolocation und Providerinformationen und wenn der Empfänger der Bestellung nicht der Käufer ist, werden auch wieder Daten anderer Personen weitergegeben.

Das geht jetzt noch weiter mit Daten zu iTunes-Geschenkkarten und natürlich der iCloud, was besonders interessant ist. Also speichert alles schön in der iCloud und ihr seid ein offenes Buch. Andere Anbieter sind nicht weniger gefährlich.

Apple verweist immer darauf, dass diese Daten nur in Gerichtsverfahren oder nach rechtssicherer Aufforderung herausgegeben werden, aber erinnern wir uns, dass in den USA die Möglichkeit besteht, dass Daten an Sicherheitsbehörden herausgegeben werden und die betroffenen Unternehmen dazu schweigen müssen. Die sogenannte FISA-Order muss durch die Provider nämlich geheimgehalten werden. Ergebnisse dieser Anfragen erscheinen auch nicht in Transparenzberichten.

Eine ähnliche Zusammenstellung findet man auch bei Microsoft. Einige Fragen werden beantwortet. Auch zu FISA.

Cloudanbieter in den USA oder mit US-Hintergrund und/oder Verbindung sind schlicht keine hilfreichen Partner mehr, wenn man auf die Sicherheit seiner Daten Wert legt und umfangreiche eigene Verschlüsselungsmöglichkeiten nicht nutzt oder nutzen kann. Unternehmen, die in Deutschland und Europa Clouddienste anbieten und amerikanische Unternehmen dafür nutzen statt eigene Server einzusetzen, interessieren sich nicht im Ansatz für die Datensicherheit ihrer Kunden, da sie sich einem Rechtssystem unterwerfen, dass keinen anspruchsvollen Datenschutz kennt. Cloudanbieter sollten verpflichtet werden für jeden Kunden sichtbare Hinweise anzuzeigen wo die Daten gespeichert werden und ob eine Mutter- oder Tochtergesellschaft in den U.S.A. existiert. Mit den Herausgabemöglichkeiten, die in den U.S.A. möglich sind, unterläuft die U.S.A. jedes Datenschutzrecht auf der Welt. Der Hinweis deutscher Unternehmen (mit U.S.-Hintergrund) das deutsche Bundesdatenschutzgesetz einzuhalten, erübrigt sich. Inakzeptabel! Nicht nur in Bezug auf die Daten der einfachen Nutzer, sondern gerade im Hinblick auf Wirtschaftsspionage. Unternehmen, die Ihre Daten anderen Unternehmen anvertrauen, die einen oder Ihren Sitz in den U.S.A. haben, sollten sich über Wettbewerbsnachteile oder Konkurrenzprodukte sehr nah an den eigenen Produkten nicht wundern. Im August des letzten Jahres habe ich mal auf die Wirtschaftsspionage hingewiesen, die bereits im Jahre 2000 von der C.I.A. offen eingeräumt wurde. Nur unser Verfassungsschutz sieht ja selbst heute keine Gefahr durch die N.S.A.! Ich frage mich manchmal, ob die solche Arbeitsergebnisse nur abliefern, um den denkenden Teil des Landes zu provozieren …

Wer also Clouddienste nutzt, muss, unabhängig ob Privatperson oder Unternehmen, eine eigene Verschlüsselungsstrategie haben, die nichts mit dem Cloudanbieter zu tun hat und kein Fremdservice darstellt. Im besten Fall eine eigene Cloudinfrastruktur nutzen. Auch Privatpersonen können das auf stromsparende Art und Weise tun, inklusive einer Verschlüsselungsmöglichkeit, die im kleinen Rahmen einsetzbar ist.

Verschlüsseln! Verschlüsseln! Verschlüsseln! Und wenn Euch Leute begegnen und meinen sie hätten keine Geheimnisse und es ist ihnen egal was mit den eigenen Daten passiert, beendet Eure Onlinekontakte mit ihnen. Konsequent sein! Denn, wer seine eigenen Daten nicht achtet, der passt auch nicht auf eure Daten auf!

 

Danke für das Lesen! Ich irre mich auch mal und bin immer für Korrekturhinweise dankbar!

Tagged , , , , ,