May 15, 2018

Nichts zu verbergen, aber etwas zu verlieren

Lange Zeit habe ich mit meinem Umfeld Gespräche und Diskussionen über das Für und Wider von Diensten wie Facebook, WhatsApp, GMail und anderen geführt. Gerade in der Zeit wo Edward Snowden aufgezeigt hat, dass es etwas wie Massenüberwachung gibt waren die Diskussionen häufig und teils auch heftig. Ein Argument, welches ich immer wieder gehört habe ist.

Ich habe doch nichts zu verbergen.

Ich bin zwar noch immer einer anderen Meinung aber ich versuche nicht mehr Menschen vom Gegenteil zu überzeugen.

Letzte Woche saß ich in einer geschäftlichen Besprechung in dem es darum ging, warum Firmen in der heutigen Zeit ein Interesse daran haben sollten ihre Daten nicht bei Google, Microsoft, Amazon oder ähnlichen Anbietern zu speichern.

Die offensichtlichen Argumente waren z.B. die Datenschutz-Grundverordnung - kurz DSGVO - bzw. das Unwissen, was diese für den Alltag in Unternehmen bedeutet. Bei großen Datenmengen die anfallenen Kosten und in Regionen mit schlechter Internetanbindung ganz einfach die Prak­ti­ka­bi­li­tät solcher Dienste im Alltag.

Diese Argumente lassen sich mit entsprechenden Aufwand in Form von Geld und Zeit sehr schnell entkräften. Gute Juristinnen vorausgesetzt meistert das betroffene Unternehmen die DSGVO. Den Kosten stehen die Einsparungen durch den Verzicht auf eigene Infrastruktur entgegen. Und mit ein bisschen mehr Geld kann man sich als Unternehmen auch eine schnelle Internetanbindung an seinen Standort legen oder wenn möglich den Firmensitz umziehen.

Firmen wie Microsoft haben in der Vergangeneheit sehr viel Aufwand betrieben um die bei Ihnen gespeicherten Kundendaten vor Zugriffen zu schützen [1]. Apple hat z.B. verweigert eine Zugriffsmöglichkeit für Ermittlungsbehörden der USA in iOS einzubauen [2].

Mir fehlt zwar der Einblick in diese Firmen. Aber ich möchte ihnen für den Moment glauben, dass sie die Daten ihrer Kunden mit Respekt behandeln - sprich nicht darauf zugreifen und auch alle anderen am Zugriff hindern.

Nun ist es aber so, dass Firmen den jeweiligen Gesetzen des Landes in dem sie beheimatet sind unterstehen. Damit entfernt sich die Frage ob eine Firma Dienste wie z.B. Dropbox nutzen sollte oder nicht endgültig von technischen Gegebenheiten und wird politisch.

Am 8. Mai 2018 hat die USA den Ausstieg aus dem Atomabkommen mit dem Iran verkündet [3]. Mit dem Ausstieg wurden auch Sanktionen gegen den Iran verhängt. Diese Sanktionen beziehen sich auch auf geschäftliche Beziehungen zu Firmen im Iran. Offizielle Vertreter der USA, unteranderem der Präsident und der Aussenminister haben anschließend Firmen aus verbündeten Ländern davon abgeraten bzw. davor gewarnt die von den USA verhängten Sanktionen zu ignorieren.

Jetzt könnte man die Meinung vertreten, dass es sich hier vielmehr um eine seltsam formulierte Bitte und weniger um eine ernsthafte Warnung handelt. Immerhin hat die Justiz der USA keine Handhabe gegen eine z.B. Firma aus Deutschland, die mit dem Iran bzw. dort beheimateten Firmen Geschäftsbeziehungen flegt. Insbesondere dann nicht, wenn Deutschland und andere Länder an dem Abkommen mit dem Iran festhalten wollen.

Am 23. März 2018 wurde in den USA der CloudAct [4] verabschiedet. Dieses Gesetz ermöglicht unteranderem der US Justiz von IT Unternehmen in den USA Zugriff auf Kundendaten zu verlangen auch wenn diese nicht im Hoheitsgebiet der USA gespeichert werden.

Gesetze dieser Art gibt es inzwischen einige. Die USA haben z.B. den Patriot Act, den USA Freedom Act oder das Gesetzespakt SESTA/FOSTA. In anderen Ländern gibt es ähnliche Gesetze bzw. die Bestrebung die Befugnisse der Ermittlungs- und Strafverfolgungsbehödern ebenfalls, teilweise sehr stark, auszuweiten. Als Beispiel sie hier der Polizeiaufgebengesetz in Bayern genannt.

Ich gebe zu, dass ich keins der Gesetze vollumfänglich gelesen habe. Dennoch habe ich mich über alle genannten Gesetze informiert. Und ja bei all den Gesetzen geht es mutmaßlich darum, dass Behörden lediglich Zugriff auf die Daten bekommen. In vielen dieser Gesetze und Gesetzesentwürfen ist dazo noch vorgesehen, dass die betroffenen Benutzer, egal ob Privatperson oder Unternehmen, nicht über einen Zugriff auf die Daten informiert werden dürfen.

Bei Diensten wie Dropbox, Google Drive und ähnlichen kann ein Zugriff dadurch verhindert werden, dass die dort abgelegten Daten vor dem Hochladen auf die jeweilige Plattform verschlüsselt werden. Bei der Nutzung von Google Mail oder Office365 von Microsoft kann mit dem Einsatz von E-Mailverschlüsselung ebenfalls dafür Sorge getragen werden, dass weder der Diensteanbieter noch andere Zugriff auf den Inhalt der abgelegten Daten bekommen.

Verzichtet eine Privatperson oder ein Unternehmen durch den Einsatz von Verschlüsselung also auf die Komfortfunktionen von Google Mail (Suche) Google Docs (einfaches Bearbeiten) kann auch kein Diensteanbieter und keine Regierung der Welt mehr auf die Daten zugreifen (die technische Frage wie sicher die eingesetzten Verschlüsselungsmethoden sind lasse ich hier mal außen von).

Mit der Sensibilisierung der Mitarbeiterinnen und der Schaffung von technisches Voraussetzungen sollte es also auch Firmen, die etwas zu verbergen haben möglich sein Dieste auf Servern anderer (ugs. Cloud Dienste) frei von Bedenken zu nutzen. An dieser Stelle würde ich sagen, ja das ginge.

Bei der bisherigen Betrachtung wird immer davon ausgegangen, dass andere Parteien (Diensteanbieter, Regierungen, Mitbewerber und andere) auf die Daten Zugriff erhalten. Eine weitere wichtige Frage ist jedoch, was oassiert wenn die Parteien, die auf die Daten Zugriff haben sollen diesen verlieren.

Damit ist gemeint, dass der Zugriff auf meine E-Mails bei Google von einem Moment auf den anderen nicht mehr möglich ist. Der Dienst Google Mail ansich ist verfügbar, ich bzw. die Mitarbeiter einer Firma können sich nicht mehr einloggen. Oder Dokumente, die bei Dropbox abgelegt wurden sind nicht mehr verfügbar.

Warum sollte Google Mail oder Dropbox oder ein anderer Diensteanbieter mir bzw. einem anderen Kunden nun aber den Zugriff verweigern? Zum einen handelt es sich bei all den genannten Diensten um Privatfirmen. Diese haben zwar einen Vertrag mit ihren Kunden. Aber das hilft in der akuten situation recht wenig.

Wer jetzt glaubt, dass ich schwarzmale und das ja nie vorkommen würde, dem möchte ich zwei Beispiele nennen.

Ende 2010 hat die Firma PayPal ein Konto auf dem Spenden für Wikileaks eingegangen sind gesperrt [5]. PayPal begründete die Sperrung derzeit mit einem Verstoß gegen die Nutzungsrichtlinien des Unternehmens.

Im März 2018 hat Google Videomaterial aus den Accounts von Sexarbeiterinnen gelöscht [6]. Die Löschung erfolgte meines Wissens nach ohne Antrag von dritten. Vielmehr scheint es so als ob Google so vorauseilenden Gehorsam in Bezug auf das Gesetzespaket SESTA/FOSTA leiste wollte.

In beiden Fällen ist nicht nachweisbar, dass der jeweilige Diensteanbieter von einer oder mehreren Behörden angehalten wurde so zu handeln. In jedem Fall aber ist es sehr schwer sich gegen dieses Vorgehen zu wehren.

Aber auch wenn man als Firma nicht gegen die Nutzungsrichtlinien seines Dienstleisters verstößt, ist es nicht unmöglich, dass einem der Zugriff verwehrt auf seine Daten verwehrt werden könnte. Sei es nun in Folge einer Fehleinschätzung auf Seiten des Diensteanbieters. Vielleicht kommt es aber auch dazu, dass eine Regierung wie z.B. der USA die Sperrung des Zugriffs einfordert.

Hier ein Beispielgedanke bei dem jede Leserin selbst entscheiden mag ob und wie realistisch sie dieses Szenario sieht.

Die Beispiel GmbH aus Deutschland ist eine von wenigen Spezialfirmen für den Bau von Industrieanlagen. Ein Kunde der Beispiel GmbH ist am Bau eines Fertigungshalle im Iran beteiligt. Im September 2018 stellt die Beispiel GmbH fest, dass sie nicht mehr auf ihre Emails zugreifen kann. Die Beispiel GmbH fragt bei ihrem E-Mailprovider Microsoft an, wie es zu der Sperrung kam. Microsoft entschuldigt sich und teilt mit, dass sie dazu keine Auskunft geben kann.

Erst durch den Gang an die Öffentlichkeit kann die Beispiel GmbH Microsoft dazu bewegen, ein Statement abzugeben. Microsoft beruft sich in diesem Statement auf seine Nutzungsbedingung. In diesen steht geschrieben, dass der Dienst nicht für illegale Zwecke genutzt werden darf. Durch das Inkrafttreten der US-Sanktionen gegenüber dem Iran wird das Unterhalten von Geschäftsbeziehungen mit Firmen im Iran als illegal angesehen.

Für viele mag ich wie ein Verschwörungstheoretiker klingen. Und ganz ehrlich ich habe selbst manchmal den Gedanken, dass ich es zu schwarz sehe. Am Ende muss jeder Mensch und jede Firma für sich entscheiden wie sie das ganze bewertet. Die Frage die hierbei helfen kann lautet meiner Meinung nach.

Bin ich bereit durch Entscheidungen dritter den Zugriff auf meine Daten zu verlieren?

Wer nach meinen Gedankengängen diese Frage mit ja beantworten kann, der möge gerne weiter diese Deinste benutzen. Und das meine ich komplett ernst und ohne Unterton.

Sollten jetzt jetzt jedoch Zweifel aufgekommen sein, kann ich nur dazu raten, dass man sich entweder selber über Alternativen informiert oder aber einen Dienstleister findet, der einen dabei hilft solche Systeme auf eigener Infrastruktur zu betreiben.

An alle die jetzt der Meinung sind, dass ich doch bitte Alternativen nennen soll:

  1. Für eine seriöse Produktauwahl müssen die jeweiligen individuellen Parameter eines solchen Setups betrachtet werden.

  2. Schickt mir gerne eine E-Mail ( mail at arl4223 Punkt de) und ich lasse euch ein Angebot zu kommen ;)

© 2018 CC BY-SA 4.0 | Impressum | Datenschutzerklärung