Am 06. Juni 2013 veröffentliche die Washington Post einen Artikel von Barton Gellman and Laura Poitras, welche in diesem über Überwachungsmethoden der US-Bundesbehörde NSA (National Security Agency) schreiben.
Laut dem Informanten Edward Snowden, einem NSA Techniker, läuft das Programm der NSA unter dem Code Namen PRISM und es werden bereits seit 2007 Daten gesammelt. (Sehen Sie hierzu auch das Interview).
Die gespeicherten Daten von genannten und auch nicht genannten Unternehmen beziehen. sich auf E-Mail, Chat, Videos, Photos, gespeicherte Daten, VoIP, Datentransfer, Video Konferenzen, Anmelde- und Logindaten, Social Media und speziellen Anfragen.
Was für Unternehmen sehr delikat sein dürfte, ist die Tatsache, dass auf gespeicherte Daten, E-Mails, Datentransfers und Anmeldedaten zugegriffen und diese auch gespeichert werden. Somit gestaltet sich das PRISM Programm nicht nur als Antiterrormaßnahme, sondern auch als professionelle Industriespionage. Unter dem Deckmantel Patriot Act, welcher 2001 von US-Präsident Bush durchgesetzt wurde, findet das „Daten sammeln“ weltweit statt. Dem Patriot Act sind alle US-Unternehmen oder Unternehmen mit einem Sitz in den USA unterworfen.
Safe Harbor
Als sichere Ausnahmeregelung wurde für einen Datentransfer personenbezogener Daten ursprünglich das Safe Harbor Abkommen zwischen der EU und den USA getroffen. Dieses Abkommen gibt den Mitglieds-Unternehmen ein gewisses Rahmenwerk an Regeln vor, wie mit personenbezogenen Daten, umzugehen ist. Dies bedeutete für Firmen aus Deutschland, welche mit den USA personenbezogene Daten austauschen wollte, dass dieses US-Unternehmen hier auch Mitglied sein sollte. Das Problem an der Sache ist allerdings, dass sich die Unternehmen recht wenig daran halten und die Regeln auch nur bei Aufnahme einmal geprüft werden. Eine regelmäßige Überprüfung auf Einhaltung der Regeln findet nicht statt. (Lesen Sie hierzu einen Artikel des Instituts für IT-Recht). Ebenso bewertet das unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein das Safe Harbor Abkommen als „das Papier nicht wert, auf dem es geschrieben steht“.
Was nutzen andere Bundesbehörden?
Ein weiterer Punkt ist, dass die US-Bundesbehörden sich nicht an Regeln halten. Es gibt zahlreiche Artikel, in denen nicht nur die Methoden der NSA dargestellt werden, wie das PRISM Programm, sondern auch andere Methoden und Fakten liefern.
Das FBI nutzt beispielsweise sogenannte National Security Letters (NSL). Mit einem NSL kann das FBI im Namen der nationalen Sicherheit ohne richterlichen Beschluss Zugriff auf Daten von Internet-, Telefon- oder Finanzdienstleistern nehmen. Die NSL werden vom FBI ausgestellt und ein Richter lediglich informiert. Laut der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat die US-Regierung seit 2000 rund 300.000 dieser Sicherheitsbriefe ausgestellt.
Zusammengefasst
Alles in allem zeigt dies, welch extreme Überwachung durch die USA stattfindet und das Daten in einer Cloud, die in Europa steht, nicht vor Zugriffen sicher sind. Und das hier keinerlei Garantien von einem Unternehmen auf den Schutz der Daten gegeben werden kann, belegt ein Zitat von Gordon Frazer, dem Managing Director von Microsoft Großbritannien, welches er in einem Interview gab. Hier meint Frazer wörtlich zum Datenschutz: “Microsoft kann diese Garantien nicht geben. Noch kann das ein anderes Unternehmen.”
Wie massiv die Angriffe sind bezeichnet auch die Webseite von ATLAS (Active Threat Level Analysis System), welche einen Report zu den größten Cyberangriffen herausgegeben hat.
Folgen
Eines ist klar, die Sicherheitslücken beziehen sich nicht nur auf Cloud Lösungen, sondern auch auf andere Sicherheitslösungen, wie beispielsweise die im Trend stehenden Mobile Device Management Systeme zur Verwaltung von mobilen Endgeräten.
Es gibt zahlreiche Lösungen, die meist aus den USA stammen. Hier werden benutzerbezogene Daten in den Systemen gespeichert und durch Zusatzmodule auch der vermeintlich sichere Zugriff auf das Intranet gewährt. Doch obwohl diese Zugriffe verschlüsselt sind, haben zumindest die US-Behörden die Mittel, um auch diese Verbindungen zu überwachen. Wie oben bereits dargestellt, finden hier durchaus Zugriffe auf E-Mails, Login- und gespeicherte Daten statt.
Die Zugriffe sind deswegen möglich, da nach den „Export Administration Regulations“ (EAR) der USA, ein Verschlüsselungskey größer 56 Bit beim US-Handelsministerium eine Genehmigung benötigt. Da das Handelsministerium allerdings wenig mit Verschlüsselungstechnik zu tun hat, unterstützt die NSA und nimmt das technische Review vor. Bei diesem darf davon ausgegangen werden, dass entweder der Key zur Entschlüsselung direkt vom Hersteller übergeben wird, oder die NSA das Produkt auf die richtige Entschlüsselungstechnik hin überprüft.
Fazit
Was bedeutet dies für Unternehmen? Die Bedeutung ist ganz klar. Setzen Sie deutsche Lösungen ein, oder zumindest Lösungen, welche aus Europa kommen und die dem deutschen Datenschutz entsprechen.