Die von IT-Riesen unterstützten Spionage-Aktivitäten des US-Geheimdienstes National Security Agency (NSA) hielten wochenlang die Welt in Atem. Der ja auch für Datensicherheit verantwortliche CIO mag sich aber immer noch fragen, welche Schlüsse er eigentlich konkret aus dem PRISM-Skandal ziehen kann. In einem Gastbeitrag für unsere amerikanische Schwesterpublikation CIO.com fasst Jonathan Hassell, Chef des Beratungshauses 82 Ventures, fünf Lehren für IT-Chefs zusammen. Drei davon darf man als konkrete Tipps verstehen, zwei Lehren stimmen eher nachdenklich.
1. Alles hinterlässt Spuren: Jeder genutzte Service generiert Metadaten. Es werden also Informationen über Personen, Transaktionen und mehr gespeichert, die lange später noch abgerufen werden können. Das weiß selbstverständlich jeder IT-Chef. Aber PRSIM ist ein guter Anlass, sich diese Tatsache nochmals bewusst zu machen. Davon geht Hassell aus und leitet daraus zwei Handlungsempfehlungen ab. Zum einen sollte intern die Modifizierung von Data Retention-Regeln auf die Agenda rücken; zum anderen sollte man sich bei externen Providern vergewissern, welche Metadaten für wie lange und wo dort gespeichert werden.
2. Die PRISM-Berichterstattung hat ihre Mängel: Hassell formuliert das sogar noch schärfer: Man dürfe annehmen, dass die Presseberichte falsch seien. Er meint das allerdings nicht wirklich so, dass etwa der Guardian falsche Dinge über Edward Snowdens Enthüllungen berichtet hätte. Allerdings seien die Erkenntnisse unscharf, wenn man sie durch die technologische Brille betrachtet. Man wisse beispielsweise, dass Microsoft die NSA bei der Entschlüsselung von Outlook- und Hotmail-Kommunikation unterstützt habe. Es sei aber unbekannt, ob Microsoft während des Datenverkehrs der NSA beim Durchlöchern SSL-basierter Verschlüsselung geholfen habe, oder ob das Unternehmen Chats bei sich verschlüsselt gespeichert und die Schlüssel dann an die NSA weitergeben habe. Über die Medien erfahre man zwar etwa über Ausmaß und Tiefe der Spionage-Aktivitäten, aber wenig über die konkreten technischen Details. Und das mache es schwierig, für die IT adäquate Schlüsse daraus zu ziehen.
3. Eine Pause für die Cloud-Migration: Offenkundig gelangen Geheimdienste wie die NSA mit Hilfe von Microsoft, Google und anderen Cloud-Providern leichter an Daten als an solche, die im eigenen Rechenzentrum gespeichert sind. Man bekäme jedenfalls mit, wenn dort irgendwer eine Black Box versteckt oder eine Kabelleitung in den Server-Raum legt, so Hassell. Diese Erkenntnis klingt trivial, zieht aber Konsequenzen nach sich, die durchdacht sein wollen. Ein CIO kann darauf verschiedenste Antworten geben, die alle strategisch sinnvoll sein können, aber Folgen haben. Man kann die Bedrohung für das eigene Unternehmen aus guten Gründen ignorieren; man kann zu dem Ergebnis gelangen, dass die Chancen in der Cloud größer sind als die Risiken; oder man kann entscheiden, Pläne für die Cloud-Migration nochmals zu überdenken.
4. Verschlüsselung nutzen: Auch Snowden habe berichtet, dass anständig implementierte Verschlüsselung prinzipiell funktioniert, so Hassell. Nun sei es mühselig – und nicht wirklich benutzerfreundlich – den gesamten E-Mail-Verkehr zu verschlüsseln. Allerdings sollten zumindest die im Hause abgespeicherten Daten – Files auf der Festplatte beispielsweise – verschlüsselt werden. Wenn sie später doch via Internet versendet werden, ist es so zumindest aufwändig, sie zu entschlüsseln. Falls man die Cloud nutzt, sollte man beim Provider nachhaken, ob und zu welchen Bedingungen eine Verschlüsselung auf den fremden Servern möglich ist.
5. Viel kann man eigentlich nicht machen: Hassells letzter Gedanke klingt beinahe resignativ. „Wenn wir ehrlich sind, können wir wenig ausrichten, um Spionage durch die Regierung zu verhindern", so der Berater. Klar fahre man sicherer, wenn man Daten möglichst im eigenen Hause behält und nicht über den virtuellen Äther jagt. Aber Big Brother sei so mächtig, dass auch derlei Maßnahmen verpuffen können. „Wenn obskure Regierungsorganisationen Daten ausschnüffeln wollen, können sie das auch", so Hassell.