Sicherheit

Überwachung der Kommunikation in der Cloud

© Foto-Ruhrgebiet - Fotolia.com
Überblick behalten schwierig

Die Auslagerung großer betrieblicher und privater Datenbestände in die Cloud hat in den letzten Jahren überproportional zugenommen. Allerdings zeigt sich mittlerweile, dass dabei die Kontrolle über den Speicherort und die Behandlung der meist sensitiven geschäftlichen und privaten Daten für den Nutzer oftmals verloren gegangen ist.

Es ist bekannt, dass der US-Nachrichtendienst NSA einen Großteil seiner Fähigkeiten in der Auswertung von Daten im Rahmen des Outsourcing an kommerzielle Dienstleister in den USA übertragen hat, die unter Umständen nicht den rigiden US-Bestimmungen unterliegen. Für den kommerziellen und privaten Nutzer derartiger Dienstleistungen ist meist nicht mehr nachvollziehbar, welcher Jurisdiktion seine, in der Cloud gespeicherten Datenbestände unterliegen.

Kryptierung bietet nicht genügend Sicherheit

Daran ändert auch eine mögliche Kryptierung dieser Datenbestände in der Cloud nichts, da davon auszugehen ist, dass die zur Verschlüsselung genutzten Algorithmen den Diensten bekannt sind. Auch stellt sich die grundsätzliche Frage, inwieweit derartige, fremdgelagerte Datenbestände gegen Manipulation gesichert sind. Dies erhält besondere Bedeutung in Verfahren der E-Discovery nach US-amerikanischem Recht, d.h., wenn derartige Datenbestände Kraft Gerichtsbeschlusses an Strafverfolgungsbehörden in den Vereinigten Staaten weitergegeben werden müssen.

Nationale Sicherheitsbehörden erhalten uneingeschränkten Zugriff

Die nationalen Sicherheitsbehörden der Staaten der Europäischen Union, darunter auch die deutschen Sicherheitsbehörden, unternehmen schon seit geraumer Zeit große Anstrengungen, die rechtlichen und technischen Rahmenbedingungen für den Zugriff auf die in der Cloud verwalteten Datenbestände zu schaffen bzw. zu erhalten.

Auch ein einheitliches europäischen Datenschutzrecht würde daran nichts ändern, da den nationalen Nachrichten- und Sicherheitsdiensten darin entsprechende Vorbehalts- und Zugriffsrechte auf Daten in der Cloud eingeräumt werden sollen. Abgesehen davon ist der Abstimmungsprozess über dieses einheitliche Datenschutzrecht innerhalb der EU  noch nicht abgeschlossen, wie aus einer Verlautbarung des Deutschen Bundestages aus dem Jahre 2012 ersichtlich wird. Von Bedeutung hierbei sind auch die Bemühungen des EU-Parlaments zum Abschluss einer „EU-Datenschutzrichtlinie“, die jedoch voraussichtlich erst nach der EU-Wahl im Mai 2014 parlamentarisch behandelt werden soll.

Kein ausreichender Schutz in der Cloud

Damit sind geschäftliche und private Datenbestände in der Cloud gegenwärtig nicht ausreichend gegen Maßnahmen der staatlichen Kommunikationsüberwachung und Ausspähung im Rahmen der Business Intelligence/Wirtschaftsspionage geschützt. Die aus einer möglichen Ausspähung geschäftlicher und privater Datenbestände erwachsenden Folgen können zwar nur sehr schwer abgeschätzt werden, aber für Unternehmen existenzbedrohend sein.

Für den privaten Nutzer von Clouds ergibt sich die Gefährdung aus folgenden Möglichkeiten: Höchst private, in der Cloud hinterlegte Daten können im Rahmen der Social Network Analysis mit anderen – von den Diensten oder beteiligten Unternehmen erhobenen – Metadaten (beispielsweise aus der Nutzung mobiler Datenendgeräte)  zusammengeführt und zu einem Profil verdichtet werden.

Überwachung mobiler Datenendgeräte 

Beispielhaft seien hier die Erfassungs- und Auswertemöglichkeiten der NSA und des GCHQ bei der Nutzung von Smart-/ iPhones und Android-Endgeräten beschrieben. Dabei werden im Rahmen der Programme „STRACKER SMURF/NOSEY SMURF/DREAMY SMURF“ folgende Informationen erhoben und verarbeitet:

  • Einstellungen der Endgeräte,
  • Daten des Service Providers verknüpft mit Daten zur Geo-Location,
  • Einwahl in Netzwerke,
  • besuchte Webseiten,
  • Adress-Listen,
  • heruntergeladene Dokumente,
  • genutzte Verschlüsselungs-Standards sowie
  • Verbindungsdaten.

Das Programm „DREAMY SMURF“ erlaubt überdies die „stille Aktivierung“ von Endgeräten, d.h., ohne das dies dem Nutzer bewusst wird. Damit wird auch die jederzeitige Ortung dieses Endgerätes möglich.

Praxishinweise
  • Grundsätzlich kann davon ausgegangen werden, dass Datenbestände in der Cloud nicht gegen Zugriff gesichert, aber den für den Betreiber der Server geltenden gesetzlichen Bestimmungen unterworfen sind.
  • Im Einzelfall mögen auch Dritte im Rahmen des Outsourcings von Dienstleistungen Zugriffsmöglichkeiten auf die in der Cloud gespeicherten Daten erhalten.
  • Allerdings haben sich entgegen den Aussagen von E. Snowden im Tagesschau-Interview keine Erkenntnisse ergeben, dass die Dienste der Vereinigten Staaten Industriespionage in Deutschland betreiben, wie dies der Präsident des Bundesamtes für Verfassungsschutz in einem Interview mit dem Handelsblatt erklärt hat.
Quellen
  1. Antwort der Bundesregierung auf die Kleine Anfrage der Abgeordneten Andrej Hunko, Jan Korte, Annette Groth, weiterer Abgeordneter und der Fraktion DIE LINKE; Drucksache 17/12259: Sicherheit, Datenschutz und Überwachung von Cloud-Daten, Deutscher Bundestag, 17. Wahlperiode, Drucksache 17/12651 vom 08.03.2013 (Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern vom 5. März 2013 übermittelt. Die Drucksache enthält zusätzlich – in kleinerem Schrifttyp – den Fragetext.)
  2. EU data bill delayed until after May elections, EU-Observer vom 24.01.2014
  3. Meet the ‘Spy Smurfs’, Here´s how the NSA, GCHQ target iPhones, ZD-Net vom 29.01.2014
  4. Schuldt, Rainer: Verfassungsschutz zweifelt Glaubwürdigkeit von Edward Snowden an, Computer-Bild vom 29.01.2014