PRISM und der Datenschutz

"Überwachung ist kein exklusives US-Phänomen"

17.06.2013 von Christoph Lixenfeld
Eine Woche nach Enthüllung von PRISM, der Ausspähung privater Nutzerdaten durch die US-Regierung, sind weitere Details durchgesickert. Grund zur Sorge hatten IT-Verantwortliche aber schon vorher.
Die Wenigsten sind sich des Ausmaßes der Überwachung bewusst.
Foto: fotolia.com/asrawolf

Ottawa. Verteidigungsminister Peter MacKay versuchte es gar nicht erst mit einem Dementi. "Das geschieht seit Jahren", lautete der lakonischer Kommentar des Kanadiers zu einem Bericht der Zeitung "Globe and Mail", dem zu Folge auch der kanadische Geheimdienst Internet- und Telefondaten im Ausland abfange. Die Kommunikation von Kanadiern werde allerdings nicht überwacht.

Europäer kann diese Bemerkung nicht beruhigen, zumal der aktuelle Skandal vielen Menschen auf dem Alten Kontinent zum ersten Mal vor Augen geführt haben dürfte, welche Folgen es hat, dass große (und entscheidende) Teile der globalen Internetarchitektur in den USA beheimatet oder in den Händen von US-Firmen sind oder beides.

Gefährlich ist das insofern, als nicht nur Unternehmen wie Facebook und Google Datenschutz und Privatsphäre ganz anders definieren als wir Deutsche, sondern auch die US-Regierung hier sehr eigene Prioritäten setzt.

In der vergangenen Woche hatten Guardian und Washington Post eine geheime Präsentation veröffentlicht, derzufolge Google, Microsoft, Yahoo, Apple und andere am Überwachungsprogramm "PRISM" teilnehmen und dadurch dem US-Geheimdienstes NSA Zugang verschaffen zu privaten Nutzerdaten wie Suchhistorien oder den Inhalten von E-Mails, Datei-Transfers und Live Chats.

Facebook & Co. fürchten um ihren Ruf

Offene Türen: US-Behörden haben auch Zugriff auf deutsche Nutzerdaten.
Foto: Rene Schmöl

Die geleakte Präsentation enhielt ausdrücklich den Hinweis, die USA habe einen "Heimvorteil", weil die weltweit wichtigsten Providerunternehmen amerikanisch sind. Glaubt man den Quellen, dann hatte PRISM an den Daten deutscher User ein besonders großes Interesse.

Alle in der Quelle genannten Unternehmen haben mittlerweile dementiert, vorsätzlich und bewusst im Zusammenhang mit PRISM Nutzerdaten weitergegeben zu haben. Dass die US-Behörden grundsätzlich an solche Daten kommen können, war bekannt. Gemäß dem sogenannten "Patriot Act" ist dazu allerdings ein Gerichtsbeschluss samt offizieller Anfrage beim betreffenden Provider erforderlich.

Inwieweit jetzt darüber hinaus, womöglich unbemerkt und systematisch, Daten abgesaugt und ausgewertet wurden, ist unklar, Google, Facebook und Co. äußern sich dazu nicht eindeutig. Große Angst um ihren Ruf haben sie auf jeden Fall, deshalb gehen sie mittlerweile in die Offensive, fordern von der Regierung die Erlaubnis, alle geheimen Anfragen der Behörden nach Nutzerdaten veröffentlichen zu dürfen.

Das sie diese erhalten, ist eher unwahrscheinlich. Barack Obama hatte jüngst gesagt, man könne eben nicht 100 Prozent Sicherheit und 100 Prozent Privatsphäre und null Unannehmlichkeiten haben. Eine Mehrheit der amerikanischen Bevölkerung sieht die Sache ähnlich: Wie eine aktuelle Umfrage ergab, halten 62 Prozent der Menschen in den USA den Kampf gegen den Terrorismus für wichtiger als den Schutz der Privatsphäre.

In Deutschland sind die Prioritäten andere, und gerade IT-Verantwortliche von Unternehmen machen sich große Sorgen um ihre Daten. Stellt sich die Frage, was sie tun können, um möglichst wenig vom aktuellen Skandal und den bekannt gewordenen Risiken tangiert zu werden.

Selbst hosten bietet Sicherheit

Wer echte Sicherheit will, behält alle Daten auf dem eigenen Rechner.
Foto: Fotolia/PhotographyByMK

Carsten Ulbricht, Anwalt für IT- und Internetrecht bei der Stuttgarter Kanzlei Diem & Partner, sagt, die Affäre zeige vor allem, dass es grundsätzlich eine Illusion ist, zu glauben, wir hätten noch in allen Bereichen die volle Kontrolle über unsere Daten. Unternehmen müsse klar werden, dass vieles, was auf Facebook gepostet wird, kaum vor dem Zugriffe Dritter geschützt werden kann.

"Dabei ist auch zu berücksichtigen, dass die deutschsprachige Version der Seite nicht deutschem, sondern irischem Datenschutzrecht unterliegt, weil der europäische Sitz des Unternehmens von Mark Zuckerberg Irland ist", klärt er Anwalt auf.

Das Nutzerdaten von hier unbemerkt zum US-Geheimdienst gelangen, sollte eigentlich nicht passieren, weil gemäß dem sogenannten Safe Harbour-Abkommen Firmen aus Europa Daten nur unter eng begrenzten Voraussetzungen in die USA transferieren dürfen.

Echte Sicherheit bietet das nicht, räumt Ulbricht ein. "Wir wissen ja nicht, wo genau die Daten der Facebook-Nutzer verabeitet werden. In Irland? Oder vielleicht doch in den USA?" Seiner Ansicht nach hätte schon vor der PRISM-Affäre klar sein sollen, das sensible Unternehmensinformationen grundsätzlich nicht in soziale Netzwerke gehören, und dass sich auch Mitarbeiter nicht über Kunden und Geschäftspartner via Facebook austauschen sollten.

Bei der professionellen Nutzung von Social Media Services oder Cloud-Lösungen empfiehlt Ulbricht, sich für einen europäischen Anbieter zu entscheiden, entsprechende Sicherheitsmechanismen einführen und vor allem abgestufte Sicherheitsrichtlinien bei der Verarbeitung festzulegen. "Wer es sich leisten kann, sollte den sensibelsten Teil seiner Daten gar nicht herauszugeben, sondern selbst hosten", lautet sein Rat.

Deutsche Geheimdienste lesen mit

Geheimdienste interessieren sich auch für die Datenspeicher innovativer Unternehmen.
Foto: Fotolia / Spectral-Design

So geht der CIO eines großen deutschen Unternehmens vor, der nicht namentlich genannt werden will, weil sein Arbeitgeber wichtige Kunden in den USA hat. Die aktuelle Aufregung versteht er nicht ganz: "Es ist seit vielen Jahren bekannt, wie amerikanische Geheimdienste mit Daten ausländischer Firmen umgehen und dass Industriespionage ein normaler Teil ihrer Tätigkeit ist." Seine Devise lautet: Keine Cloud-Lösungen, keine Nutzung von Facebook im Unternehmen, kein Auslagern sensibler Daten an Dritte, völlig egal, ob diese nun in Europa sitzen oder wo auch immer.

Sinnvoll kann so viel Vorsicht deshalb sein, weil beileibe nicht nur US-Geheimdienste Einblick in Nutzerdaten nehmen. Darauf weist Michael Kamps, Anwalt für Informationsrecht bei der Großkanzlei CMS Hasche Sigle aus Berlin, hin. "Auch deutsche Geheimdienste sind befugt, Telekommunikationsdaten zu überwachen", warnt er. Dazu sind zwar bei uns für die Inlandsgeheimdienste Verdachtsmomente für bestimmte schwere Straftaten erforderlich, für den Auslandsgeheimdienst BND gelten aber geringere Anforderungen.

Wenn man sich die Aktivitäten ansieht, dann scheint es ausreichende Anhaltspunkte ziemlich oft zu geben. "Im Jahre 2011 sind 37 Millionen Mails durch deutsche Geheimdienste ausgewertet worden", berichtet Kamps. "Den wenigsten Menschen in Deutschland ist bewußt, dass dies passiert und in welchem Umfang."

Niemand könne per se davon ausgehen, dass sein Datenverkehr nicht überwacht wird, betont Kamps: "Geheimdienste haben eben die Eigenschaft, geheim zu arbeiten. Das ist auch in Deutschland nicht anders." Ein lückenlose Überwachung finde aber - jedenfalls bei uns - nicht statt.

Neu an der PRISM-Geschichte ist nach Ansicht von Kamps, dass in einem Land in signifikantem Maße der Datenverkehr mit dem Ausland kontrolliert wird. Außerdem war hierzulande vorher nur wenigen bewußt, dass so viele Mitarbeiter von Privatfirmen Zugang zu geheimen Informationen haben.

Digitaler Fußabdruck Größe 52

Die Angst, dass fast alle Daten am Ende bei US-Geheimdiensten zusammenlaufen, ist nicht unbegründet.
Foto: pixeltrap - Fotolia.com

Die US-Internetzeitung Huffington Post rechnete ihren Lesern jüngst vor, dass in den USA mehr als eine Million Menschen Zugang zu Daten mit dem Stempel "vertraulich und geheim" haben, die nicht bei der Regierung angestellt sind. Edward Snowdon, jener Whistleblower, der die ganze Geschichte ins Rollen gebracht hatte, war Mitarbeiter der Consultingfirma Booz Allen Hamilton.

Man muss nicht unter Paranoia leiden, um jetzt mehr Angst vor Industriespionage zu haben als vorher. Rechtsanwalt Kamps sagt, das auch deutsch Behörden seit Jahren warnen, Deutsche Unternehmen stünden international im Fokus von Industriespionen.

Was also tun? Ähnlich wie sein Kollege Ulbricht rät auch Kamps den Unternehmen, sich genau anzusehen, in welchem Rechtsraum sich ein gewählter Provider bewege. "Die Frage ist, ob ich den sensiblen Teil meiner Datenverarbeitung unbedingt an ein US-Unternehmen auslagern muss", betont Kamps. "Das kann auch jenseits der Geheimdienstüberwachung riskant sein, weil in den USA gespeicherte Informationen nach US-Recht in regulären Gerichtsverfahren unter bestimmten Umständen offen gelegt werden müssen"

Nächste Frage: Muss ich bestimmte, populäre, aber riskante Dienste unbedingt nutzen? Google Docs zum Beispiel wird auch von Unternehmen häufig eingesetzt, um mit Teams Inhalte zu erarbeiten und gemeinsam Dokumente zu verwalten. Die Gefahr des Mitlesens ist gegeben, außerdem hat Google sogar öffentlich gesagt, dass es sich vorbehält, Daten aus unterschiedlichen Quellen zu einem einzigen Nutzerprofil zusammenzuführen. Und wer will schon einen Fußabdruck Größe 52 hinterlassen?

Auf EU-Ebene wird aktuell um ein neues Datenschutzrecht gerungen, dass sich stark an der Situation in Deutschland orientiert. Ziel ist es, dass jeder, der europäische Nutzer adressiert, sich auch an europäisches Datenschutzrecht halten muss. Verstöße werden mit empfindlichen Strafen bedroht. Ob dieser Vorstoß auch die US-Regierung beeindrucken wird, steht allerdings auf einem anderen Blatt.