Vernichtet eure Dropbox, vermeidet Facebook und Google.
Mit diesen klaren Worten mahnte Edward Snowden Ende 2014 unter anderem vor der Verwendung amerikanischer Cloud Dienste.
Das Schlimme daran? Seit dem hat sich gefühlt nicht viel getan. Ein Großteil hoch sensibler Daten wird auch in Deutschland weiterhin auf Dropbox, Google Drive und Microsoft OneDrive gespeichert.
Aber wie gelangen die Geheimdienste jederzeit an meine Daten?
Safe Harbor
Sicherlich haben Sie schon mal von vom sogenannten Safe Harbor Abkommen gehört? Nun, auf den ersten Blick scheint der Name ja für Sicherheit zu stehen. Leider weit gefehlt …
In der Realität steht er für eine Auslieferungsvereinbarung zwischen EU und USA. Und zwar für personenbezogene Daten.
Dieses räumt Unternehmen wie z.B. Dropbox oder Facebook das Recht ein, personenbezogene Nutzerdaten aus einem Land der Europäischen Union in die USA zu übermitteln.
Glücklicherweise wurde dieses Abkommen am 06.12.2015 für ungültig erklärt. Allerdings existiert mit dem EU-US Privacy Shield ein nicht weniger bedenkliches Nachfolge-Abkommen.
U.S.-Swiss Safe Harbor Framework
Schweizer Banken stehen schon seit Jahrzehnten für Sicherheit. Aber trifft das auch auf Daten zu?
Unabhängig vom europäischen Safe Harbor bzw. EU-US Privacy Shield Abkommen existiert auch hier eine Variante zwischen Schweiz und USA.
Nach Abschaffung des Safe Harbor Abkommens in der EU bat der schweizer Datenschutz- und Öffentlichkeitsbeauftragte den Bundesrat, die Vereinbarung zu kündigen – bis heute ohne Ergebnis.
USA PATRIOT Act
Terrorüberwachung ist gerade in der heutigen Zeit eines der wichtigsten Aufgaben des Staates. Als Reaktion auf die Terroranschläge vom 11.09.2001 wurde in den USA daher der PATRIOT Act verabschiedet. Dieser regelt innerhalb der USA unter anderem folgende Befugnisse:
- Überwachung von Telefon und Internet auch ohne richterliche Zustimmung
- Hausdurchsuchungen ohne Wissen der betreffenden Person
- Einsicht des FBI in finanzielle Daten von Bankkunden
Leider gefährdet der PATRIOT Act damit auch Ihre Daten:
- Zugriff von FBI, NSA und CIA auf Server von US-Unternehmen (z.B. Cloud Dienste)
- Ausländische Tochterfirmen (z.B. in Deutschland) sind ebenfalls verpflichtet den Zugriff zu gewähren
- Regelung greift unabhängig von lokalen Gesetzen
Dieses Abkommen geht somit deutlich weiter und betrifft nicht „nur“ personenbezogenen Daten. Die Geheimdienste haben damit Vollzugriff auf Ihre Daten.
PRISM
Seit 2005 existiert ein weiteres Top Secret Programm zur Auswertung elektronischer Medien und elektronisch gespeicherter Daten – so auch PRISM genannt.
Der Artikel in der Washington Post und dem Guardian wurde mittlerweile gelöscht. Auch hier ist – wer hätte es gedacht – die NSA zuständig.
In den USA sind unter anderem diese 6 bekannten Dienste und Konzerne am Programm beteiligt:
- Microsoft (Skype, OneDrive)
- Google (Drive, YouTube)
- Yahoo
- Apple
- AOL
117.675 Menschen standen weltweit durch die NSA unter Echtzeit-Überwachung.
Aber wie funktioniert PRISM jetzt genau? Diese Frage können wir leider nicht so leicht beantworten. Aus diversen Quellen geht nur hervor, dass z.B. alle Verbindungsdaten von Telefonaten aufgezeichnet werden.
Beispielsweise hat die NSA bei Facebook Zugriff auf die internen Suchoptionen. Konkret werden bei Google die Fotodatenbanken, GMail und Google Drive durch die NSA überwacht.
Spionage an allen Fronten
Als Kombination der bisherigen Abkommen und Regelungen geht die Überwachung noch viel weiter.
So werden beispielsweise die Unterseekabel für die weltweite Vernetzung an über 100 Punkten von der NSA in Kooperation mit dem britischen Geheimdienst abgehört.
Im Projekt Tempora wurde das transatlantische Unterseekabel TAT-14 angezapft. Über dieses verläuft ein Großteil der europäischen Kommunikation.
Auch werden weitere Kooperationen mit den Geheimdiensten der EU Länder vermutet.
Beispiel: Sie sind geschäftlich in den USA unterwegs. Ein Kunde ruft bei Ihnen an und möchte von Ihnen schnellstmöglich ein Angebot haben.
Perfekt, denn Sie haben Ihre gesamten Verträge mit Lieferanten, Preislisten in einer Cloud Lösung in Deutschland gespeichert und können ganz bequem darauf zugreifen.
Aber bietet diese Lösung auch einen gesicherten Übertragungsweg (VPN, SSL) mit verlässlicher Authentifizierung? Denn Ihre Daten übertragen Sie über einen (abhörbaren) US Provider nach Deutschland …
Die eigentliche Gefahr
Das weltweit Geheimdienste Ihre (hoffentlich) harmlosen Daten abhören und auswerten mag für manchen noch OK sein – bleiben die Daten doch letztendlich in einem geschlossenen Kreis.
Aber denken Sie auch an die Folgen der Überwachung?
Was ist mit potentiell gefährlichen Angreifern?
Keiner weiß wie die Daten bei den Geheimdiensten gespeichert werden oder ob Dritte Zugriff auf diese erhalten. Hier können potentielle Wirtschaftsinteressen liegen:
- Weitergabe interner Daten an US Firmen (Betriebsspionage)
- Nutzung für eigene Zwecke der Geheimdienste (Software, Erfindungen, Forschungsergebnisse)
- Abgriff der Daten durch Hacker aus China, Russland
- Von Geheimdiensten eingebaute Sicherheitslücken werden von Dritten ausgenutzt
Fazit
Alle der genannten Programme haben die Terrorabwehr zum Ziel. Allerdings gehen die Geheimdienste schon seit Jahrzehnten über die Ländergrenzen hinweg und verletzen damit eine Vielzahl an Gesetzen.
Die betroffenen Regierungen schauen nur untätig zu. Auch vermeintlich sichere Standorte wie die Schweiz sind mittlerweile davon betroffen.
Durch die „Sicherheitslücken“ für NSA und Co. machen sich die beteiligten Dienste natürlich auch für Cybercrime / Betriebsspionage Attacken aus China und Russland interessant.
Um Ihre Daten sicher zu speichern bleiben also nur zwei Faktoren – Verschlüsselung und (rechts-)sichere Standorte wie z.B. Deutschland.