PRISM gegen Unternehmen

Widerstand zwecklos - Selbstschutz nicht

10.07.2013 von Christoph Lixenfeld
Juristisch ist es für Unternehmen schwer, sich gegen Ausspähversuche zu wehren. Deshalb sollten IT-Verantwortliche auf jeden Fall wissen, bei welchen Anwendungen die Lecks am größten sind.
Undurchschaubar: Wir wissen nicht, wer wann was warum über uns erfahren will.
Foto: Photosani - shutterstock.com

Manchmal machen genau jene Aussagen, die eigentlich beruhigen sollen, die meiste Angst: Die Deutsche Post hatte auf Anfrage der Welt am Sonntag mitgeteilt, man übermittle "Daten im Zusammenhang mit Sendungen in die USA." Es gehe hier um Testzwecke mit dem Ziel einer Vereinfachung der Zollabfertigung. "Darüber hinaus stellen wir den amerikanischen Sicherheitsbehörden in seltenen Fällen und nur nach expliziter Aufforderung weitere Informationen über die Sendungen zur Verfügung," erklärte das Unternehmen weiter. Betroffen seien nur Unternehmenskunden, nicht aber private Postkarten und Briefe.

Beruhigen wird das niemanden, vor allem weil diese Aussagen mehr Fragen aufwerfen als dass sie Antworten geben. Zum Beispiel: In welchen "seltenen Fällen" stellt die Post warum welche "weiteren Informationen" zur Verfügung?
Unternehmen in Deutschland werden seit Jahren überwacht, daran kann es keinen Zweifel geben. "Das weiss man doch im Grunde alles schon lange." Oder: "Wer das Netz jemals für sicher hielt, ist ein Naivling." So lautet der Tenor unzähliger Artikel, die seit Auffliegen der PRISM-Affäre erschienen sind.

Arglose Facebook-Nutzung

Diese Haltung ist wenig hilfreich, und ein wenig unfair ist sie auch. Denn viele Unternehmen haben sich in den zurückliegenden Jahren quasi zwangsweise verletzlich und angreifbar gemacht. Denn neben BYOD, tausendfach beschrieben und als gefährlich eingestuft, gab und gibt es eben auch 'Bring your own Application': Mitarbeiter forcieren die Nutzung von Anwendungen, die sie privat für nützlich oder gar unersetzlich halten, auch an ihrem Arbeitsplatz, und Firmen geben diesem Druck nach. Gemeint sind hier die beiden wohl größten Datenschleudern von allen: Google und Facebook. Vor allem bei Letzterem lassen viele Unternehmen offenbar jede Vorsicht vermissen.

Wie eine repräsentative Befragung des Meinungsforschungsinstituts Aris im Auftrag des Bundesverbandes Informationswirtschaft (BITKOM) unter 854 Unternehmen in Deutschland ergab, setzt jedes fünfte von ihnen externe soziale Netzwerke wie Facebook oder Xing zur Mitarbeiterkommunikation ein. Dreizehn Prozent haben eigene, interne soziale Netzwerke aufgebaut. Auch wenig beruhigend: Zum Teilen von Fotos und Videos innerhalb des Unternehmens greifen sieben Prozent auf öffentliche Online-Services wie Flickr oder YouTube zurück. Catharina van Delden aus dem BITKOM-Präsidium sagt dazu, der Einsatz von Social-Media-Werkzeugen zur Mitarbeiter-Kommunikation stehe oft für einen tiefgreifenden Kulturwandel. "Anstatt nur in eine Richtung zu kommunizieren, findet ein Austausch von Informationen und Meinungen quer durch alle Hierarchie-Ebenen statt."

Datenschutz in Deutschland
Der Prism-Skandal beschäftigt die IT-Branche weiterhin. Wir haben bei Providern wie HP, IBM, Telekom und Google angefragt, wie sie es mit dem Schutz ihrer deutschen Kundendaten halten. Hier kommen die Antworten:
Hewlett-Packard (HP): Werden selten angefragt
„Weder HP global noch HP Deutschland gewähren hier Zugangsrechte zu Kundendaten im Rahmen des „Project Prism“. <br /><br /> Grundsätzlich gilt: In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist. (…) Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf Telekommunikationsunternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen.“
Fujitsu: Deutsche Rechenzentren unterliegen dem deutschen Gesetz.
„Ein Zugriff auf Kundendaten durch Verfolgungsbehörden oder nationale und internationale Geheimdienste wird ausschließlich auf Grundlage eines deutschen Gerichtsbeschlusses gewährt. Die deutschen Rechenzentren unterliegen dem deutschen Datenschutzgesetz, das dies eindeutig regelt. <br /><br /> Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung.“
Salesforce: Wir ermöglichen keinen Regierungen direkten Zugang.
„Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“
Google: Wir prüfen alle Anfragen gewissenhaft.
"Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft.“

Rasterfahndung für Jedermann

Bei Facebook ist man stolz auf die eigenen Schnüffeltools.
Foto: Facebook

Die Überwacher vom NSA wird’s freuen, wenn auch der Chef mitmacht und von Zeit zu Zeit mal was Spannendes über die Unternehmensstrategie oder aktuelle Entwicklungen postet ...

Eine vergleichbare Studie bezüglich der Nutzung Sozialer Medien im Kontakt nach außen ergab schon im vergangenen Jahr, dass sieben Prozent der Befragten Social-Media-Plattformen zur kollaborativen Produktentwicklung nutzen. Gerade Facebook und die darin gespeicherten Profile sind aber für die US-Spionagebehörde NSA eine wichtige Quelle, so der PRISM-Whistleblower Edward Snowdon in einem aktuellen Interview. Und Industriespionage ist für amerikanische Geheimdienste "ein normaler Teil ihrer Tätigkeit." Das sagte von einigen Wochen der CIO eines auch in den USA engagierten deutschen Unternehmens zu CIO.de. Und Facebook ist ja überaus stolz auf die Fahndungsmöglichkeiten in seinem Daten-Ozean, stellte am 8. Juli mit der Social-Graph-Suche für die US-Version des Sozialen Netzwerks selbst ein mächtiges Schnüffel-Tool vor, Medien bezeichneten das Ganze als "Rasterfahndung für Jedermann."

Juristische Gegenwehr ist schwierig

Auch einer weiteren besorgniserrengenden NSA-Leckage begegnen viele Unternehmen nicht mit der gebotenen Vorsicht: Dem Mailverkehr, insbesondere Google Mail. Natürlich betrifft die Überwachung von Mails nicht nur Google, aber mit einem großen Provider zu kooperieren ist für die Spione natürlich weit weniger aufwändig und damit effizienter als mit vielen kleinen.

Wirklich erschreckend ist dabei, wie viel sich aus der Überwachung des elektronischen Postverkehrs auch dann herauslesen lässt, wenn man den Inhalt des Mailverkehrs ignoriert. Das hat jetzt keine geringere Institution als das MIT Media Lab des renommierten Massachussetts Institute of Technology deutlich gemacht. Das Institut hat ein Tool online gestellt, mit dem G-Mail-Nutzer in ca. 30 Sekunden testen können, was sie potentiellen Spähern mit ihrem Schriftverkehr alles verraten...(siehe Textkasten). Google Mail und Facebook konsequent aus dem Unternehmenseinsatz zu verbannen, schützt natürlich nicht vollständig vor dem Überwachtwerden, wäre aber ein erster wichtiger Schritt.

Nicht wenige Verantwortliche in Unternehmen fragen sich natürlich ebenso wie Privatpersonen, ob und wie sie sich juristisch gegen Attacken von Big Brother wehren können, anstatt nur hilflos die Situation zu beklagen. Michael Kamps, Anwalt für Informationsrecht bei der Großkanzlei CMS Hasche Sigle, sieht hier allerdings nur geringe Erfolgsaussichten. "Das erste Problem liegt darin, dass die Tätigkeit von Geheimdiensten tatsächlich geheim ist. Das gilt auch für Deutschland, wo zwar eine "Mitteilung an den Betroffenen" im Gesetz vorgesehen ist, aber durch vielfältige Ausnahmen im Einzelfall auch unterbleiben kann. Auch durch die parlamentarische Kontrolle der Geheimdienste ist keineswegs sichergestellt, dass ein von geheimdienstlicher Überwachung Betroffener - egal ob Privatperson oder Unternehmen - hiervon auch erfährt."

Verworrene Rechtslage

Echte IT-Sicherheit im Sinne von Privatheit gibt es nicht mehr.
Foto: Fotolia/PhotographyByMK

Was unter Juristen derzeit diskutiert werde, so Michael Kamp, sei die Frage nach der rechtlichen Legitimation für diverse Spähprogramme. "Ob solche Aktivitäten legal sind oder nicht, hängt zunächst vom Recht desjenigen Landes ab, dessen staatliche Stellen tätig werden. In Deutschland bestimmt das G10-Gesetz, dass Überwachung in einem bestimmten Rahmen durchaus legal ist. In der Regel fragwürdig ist wohl das planmäßige Ausspähen von Unternehmen im Ausland, also die staatliche Wirtschaftsspionage."

Das heißt aber keineswegs, dass die Rechtslage hier irgendwie eindeutig wäre. Denn das Spähen bezieht sich ja, wie oben erläutert, oft nicht auf den Server, der im Keller eines Unternehmens auf der schwäbischen Alb steht, sondern auf Facebook- oder G-Mail-Daten. Und die liegen in den USA. Oder wo auch immer.

Was Gmail verrät

Google weiß über seine User fast alles.
Foto: Google

Das Projekt 'Immersion' des MIT Media Laboratory öffnet Nutzern von Googles Mailprogramm durch eine Art Schnelltest ruckartig die Augen. Denn es zeigt auf, welche Details sich allein aus den META-Daten von Gmail – also ohne Zugriff auf den Inhalt der Mails – gewinnen lassen. Und das in weniger als einer Minute.
Wer sich mit seinem Gmail-Account auf der Immersion-Seite einlogged, bekommt eine interaktive Grafik zu sehen, die jene Ströme und Verbindungen zeigt, die sich aus der Auswertung der Felder „von“ , „an“, „Cc“ und von Datum und Uhrzeit der Mails ergeben.

Ablesen lässt sich hier erstaunlich viel . Neben den rein quantitativen Angaben wie Anzahl der gesendeten Mails oder Anzahl der kontaktierten Personen zeigt die Statistik zum Beispiel:
Eine Liste der Top-Kontakte
Den Zeitpunkt der ersten und der letzten Konversation mit einem Kontakt
Die Zahl der pro Kontakt gespeicherten Mails
Die Anzahl der pro Kontakt gesendeten und empfangenen Gruppenmails
Die Person, über die ein Kontakt entstanden war
Und vieles mehr. All das lässt sich, wohlgemerkt, ermitteln, ohne den Inhalt einer einzigen Mail zu lesen. Selbstverständlich stelle ich diese Daten auch zur Verfügung, wenn ich einen anderen E-Mail-Serviceanbeiter nutze. Ob sich die NSA allerdings die Mühe macht, die Daten sämtlicher kleinen, vielleicht lokalen Provider in einem fernen Land zu scannen, darf getrost bezweifelt werden.