Überwachung der Cloud

Heimische Wolken bieten wenig Schutz

22.07.2013 von Christoph Lixenfeld
Cloud-Dienstleister werben damit, bei ihnen seien Daten sicher, weil sie in Deutschland gelagert sind. Doch die Risiken verschwinden damit keineswegs.

"Danke NSA, du tötest die Cloud", titelte ein Kollege des US-Magazins Infoworld und gab damit ein wenig die Stimmung in der Branche wider. Den Amerikanern ist durch die PRISM-Affäre gewaltig der Schreck in die Glieder gefahren, oder jedenfalls jenen, die mit Cloud Computing ihr Geld verdienen. Ohnehin seit Jahren dem Misstrauen der tendenziell paranoiden Europäer ausgesetzt, sehen sie sich jetzt auch im Inland als die Bösen gebrandmarkt, als diejenigen, die mit dem Teufel im Bunde sind.

Um diesen Eindruck abzuschwächen, hat Google zum Beispiel die Anfragen des amerikanischen FBI ebenso offengelegt wie jene elektronischen Wege, auf denen Informationen zu US-Behörden gelangt sind. Datencenter vorwiegend oder ausschließlich in den Vereinigten Staaten zu betreiben, hatte bei europäischen und asiatischen Kunden schon lange vor der PRISM-Affäre Misstrauen erregt. Dieses Misstrauen war ein Grund dafür, dass die Großen in diesem Geschäft systematisch Rechenzentren außerhalb der USA eröffneten. Amazon betreibt mittlerweile acht Datenstandorte in Europa, Microsoft Windows Azure hat neben den vier Rechenzentren in der Heimat zwei in Europa und zwei in Asien.

Zutritt innerhalb von 30 Minuten

Damit können sie ihren Kunden anbieten, deren Daten ausschließlich in Europa oder sogar ausschließlich in einem Bestimmten Land zu lagern. Manchen wird das beruhigen, allerdings leider zu unrecht. Wie die Washington Post unter Berufung auf Edward Snowdon berichtet, wenden die USA schon seit Jahren juristische Tricks an, um umfänglich an Daten zu gelangen. Geheime Verträge sähen vor, dass Firmen, die wichtige Teile der US-IT-Infrastruktur verwalten, ein Rechenzentrum in den USA betreiben müssen, und zwar selbst dann, wenn sie mehrheitlich in ausländischem Besitz sind. Zu diesem Rechenzentren, schreibt die Washington Post, hätten laut Vertrag Regierungsvertreter mit einer Vorwarnzeit von nur 30 Minuten Zutritt.

Anlass dieser Vereinbarung soll die Angst vor dem Verkauf des überschuldeten Infrastruktur-Giganten Global Crossing nach Asien im Jahre 2003 gewesen sein. Ob es solche Verträge inklusive des kurzfristigen Zutrittsrechts auch mit Amazon oder Google gibt, ist zwar nicht bekannt, aber insgesamt dürfte die Geschichte das Vertrauen in US-Cloud-Dienstleister weiter erschüttern.

Schlichte Botschaften kommen an

Den gleichen Effekt - und zwar ganz bewußt - hat die Werbung einiger Anbieter mit ihrer Heimatverbundenheit. Cloudgermany.de aus Nürnberg benutzt den Claim "Cloud Computing / Storage - made & runs in germany". Wer auf der Webseite des Unternehmens nach unten scrollt, findet unter "Cloud News" als erste Meldung "Warnung vor Datentransfer in die USA". Außerdem gibt es eine Initiative, die das Qualitätssiegel "German Cloud" vergibt und mit dem Satz "Meine Firmendaten bleiben in Deutschland" wirbt. Nicht zu vergessen eine weitere Initiative mit dem Namen, so viel Konsequenz muss sein, "Deutsche Wolke".

Die Botschafte dahinter: Bleiben die Firmendaten in Deutschland, kann ihnen wenig bis nichts passieren, sind sie in den USA oder auf dem Weg dahin, dann Gute Nacht! Aus Marketingsicht ist das sicher der richtige Weg, schlichte, Botschaften kommen an. Ob sich Kunden aber wirklich auf diese einfache Wahrheit verlassen sollten, zweifeln Experten an.

Eingriffe gibt es überall

Wo die Daten phyisch gelagert sind, spielt nach Ansicht vieler Experten für die Sicherheit keine so große Rolle.
Foto: SAP AG

Überaus erhellend ist in diesem Zusammenhang eine Untersuchung, die die Amerikanisch-Britische Wirtschaftskanzlei Hogan Lovells bereits im Mai 2012 vorstellte, also etwa ein Jahr vor dem Auffliegen der PRISM-Affäre. Der Titel: "Eine globale Realität: Regierungsamtlicher Zugriff auf Daten in der Cloud." Die Anwälte untersuchten rechtliche Rahmenbedingungen und Realitäten in zehn Ländern, unter ihnen die USA, Deutschland und Frankreich. Natürlich fanden sich dabei diverse Unterschiede, darüber hinaus vermittelt die Untersuchung aber eine recht einheitliche Botschaft, die an Klarheit wenig zu Wünschen übrig lässt.

Zitat: "Es gibt sehr viele falsche Vorstellungen darüber, was Gesetze im eigenen Land und in anderen Ländern erlauben. Diese Missverständnisse schüren das Gerücht, der Zugriff von Behörden auf Daten in der Cloud sei in einigen Ländern grundsätzlich wahrscheinlicher als in anderen, und Firmen könnten sich davor schützen, indem sie Service Provider nutzen, die nur in sogenannten sicheren Ländern operieren....Nach unseren Erkenntnissen ist das aber nicht möglich. Die Frage, ob staatliche Stellen auf Daten zugreifen können, hängt nicht direkt davon ab, in welchem Land der betreffende Serviceprovider beziehungsweise seine Infrastruktur zu Hause sind. Die Fähigkeit von Regierungen, auf Cloud-Daten zuzugreifen, überwindet Grenzen. Es gibt keinen Grund, anzunehmen, dass die Regierung der USA mehr Zugriff auf solche Daten hat als die Regierungen anderer Länder."

Unter diese Länder fällt auch Deutschland, mit dessen Situation sich die Hogan Lovells-Autoren intensiv beschäftigt haben. Prinzipiell gibt es auch in Deutschland mehrere Wege, auf denen Behörden Einblick in Cloud-Dateien nehmen können. Der erste ist der des Audits, also zur Kontrolle der Einhaltung der Datenschutzbestimmungen. Zweitens können staatliche Stellen Metadaten anfordern, also Telefonnummern, Adressen und Geburtsdaten, mit der Begründung, diese Infors seien Notwendig, um Verbrechen aufzuklären oder generell Gefahren für die öffentliche Sicherheit abzuwehren.

Es geht auch ohne richterliche Anordnung

Eine Mitteilung an die Betroffenen ist zwar theoretisch vorgesehen, kann aber aus verschiedenen Gründen unterbleiben, einer davon ist die Gefahr eines terroristischen Angriffs. Insgesamt verschafft das sogenannte G 10-Gesetz von 1968, das die Verletzung des Post- und Fernmelde- beziehungsweise Telekommunikationsgeheimnisses durch staatliche Stellen in besonderen Fällen erlaubt, den Behörden große Zugriffsmöglichkeiten auf Datenbestände, die in Deutschland gelagert sind. Eine richterliche Anordnung ist dazu nicht unbedingt notwendig.

Dass es Vereinbarungen über die Zusammenarbeit zwischen dem Bundesnachrichtendienst und amerikanischen Geheimdiensten gibt, hat die Bundesregierung mittlerweile offiziell bestätigt. Details sind geheim....Wenn aber deutsche Stellen ohne Kenntnis der Unternehmen, um deren Daten es geht, Einblick nehmen können, und andere deutsche Stellen mit US-Geheimdiensten kooperieren, dann folgt daraus, dass auch in Deutschland in der Cloud gelagerte Daten nicht völlig sicher sein können vor dem Zugriff von wem auch immer.

Priorisieren und verschlüsseln

Microsoft - hier der Campus in Redmond - steht im Verdacht, besonders intensiv mit Geheimdiensten zu kooperieren.
Foto: Microsoft

Stellt sich die Frage, ob sich Firmen in Deutschland gar nicht vor dem Datenklau schützen können? Sie können zumindest die Risiken senken, und zwar mit einer abgestuften Vorgehensweise. Erstens sollten sie, analog zu Backup- and Recovery, Daten priorisieren. Jedes Unternehmen arbeitet mit vielen Informationen, bei denen es unkritisch ist, wenn Dritte mitlesen und die deshalb auch gefahrlos in die Cloud verlagert werden können.

Zweitens ist es sinnvoll, potentiellen Spionen das Leben so schwer wie möglich zu machen, zum Beispiel indem übermittelte Daten verschlüsselt werden. Drittens schließlich ist es (vermutlich) sinnvoll, als Cloud Provider nicht ausgerechnet Größen wie Amazon, Google oder Microsoft zu wählen. 100-Prozentige Sicherheit bietet das zwar aus den genannten Gründen nicht, aber es erschwert amerikanischen Schnüfflern die Arbeit. Denn die Großen werden von der US-Regierung offensichtlich als erstes dazu genötigt, grundsätzliche Vereinbarungen über die Weitergabe von Daten einzugehen und sich von diesen Partner sogar technisch beim Ausspähen unterstützen zu lassen. Das zeigt die offenbar recht weitreichende Zusammenarbeit von Microsoft mit den US-Geheimdiensten.

Und wie lautete doch die Begründung des Unternehmens für die Unterstützung? Man kooperiere mit den Behörden nur in den Fällen, in denen das gesetzlich vorgeschrieben sei. Wen das beruhigt, der hat nichts begriffen.