Debatte Datensicherheit: Grenzenloser Zugriff
Ein US-Gericht erweitert den Datenzugriff für die Strafverfolgung über die USA hinaus. Der Vertrauensverlust wird anwachsen.
Facebook-Server in Schweden: Auch hier sind die Daten vor den US-Behörden nicht sicher. Bild: reuters
Das Urteil ist so absurd, dass es an schrägen Vergleichen nicht mangelt: Da hat eine Richterin in New York entschieden, dass ein IT-Unternehmen Nutzerdaten von einem Server außerhalb der USA an die US-Strafverfolgungsbehörden weitergeben muss. Die Judikative dehnt also den Machtbereich der Exekutiven auf die ganze Welt aus.
Der Nachhall im Netz ist voll Häme und Spott: Könnte dann nicht auch China Zugriff auf die Daten von dort produzierten Geräten verlangen? Oder das Land, in dem der Anbieter sitzt, der die Software hergestellt hat?
Das Urteil kommt für die großen IT-Konzerne der USA zum denkbar schlechtesten Zeitpunkt. Denn so gerne sie mit den Behörden kooperieren – siehe Google, das Mails auf kinderpornographischen Bilder hin durchleuchtet und mutmaßliche Funde weitermeldet – so wenig vergessen die Unternehmen ihr Geschäftsmodell. Und das lautet: Viele Nutzer, viele Daten. Auch wenn es oft nicht danach aussieht: Die Voraussetzung dafür ist immer noch ein Mindestmaß an Vertrauen der Nutzer in den Anbieter. Aber dieses Vertrauen geht nach und nach verloren.
Der Nutzer eines Free-Mail-Accounts mag noch recht wenig über Vertrauen nachdenken. Aber schon der oder diejenige, die eine Abschlussarbeit in der Cloud speichert, will sich sicher sein, dass sie nicht bei einem Festplattencrash verloren geht.
Und wenn ein Unternehmen seine Mitarbeiter von unterschiedlichen Standorten in der Cloud eines anderen Anbieters arbeiten lässt, muss es darauf vertrauen können, dass die Daten auch ausschließlich dort bleiben. Und nicht womöglich an die Konkurrenz gelangen, zum Beispiel über ein fingiertes Strafverfahren, in dessen Folge Dateien beschlagnahmt werden und der Kläger aus den USA dann in der Akte findet, was er sucht. Ja, das klingt nach Verschwörungstheorie. Aber für Wirtschaftsspione ergeben sich hier tatsächlich Möglichkeiten.
Und es gibt Zahlen, die einen Vertrauensverlust vor allem bei den Geschäftskunden zeigen. Besonders beim Cloud-Computing. Das zentrale Speichern von Daten außerhalb des eigenen Rechners gewinnt bei Unternehmen zunehmend an Bedeutung.
Zum Jahresanfang waren es laut Branchenverband Bitkom bereits 40 Prozent der Unternehmen in Deutschland, die Cloud-Dienste nutzten. 15 Prozent bevorzugten eine Lösung außerhalb der eigenen Unternehmens-Infrastruktur. Und da ist schon der Knick aufgrund der NSA-Debatte drin: Jedes zehnte Unternehmen hat bestehende Cloud-Lösungen aufgegeben, noch mehr haben bereits geplante Cloud-Projekte zurückgestellt.
Dieser Vertrauenverlust wird zunehmen, wenn Kunden nicht mehr sicher sein können, dass ihre physisch in Europa gespeicherten Daten vor dem Zugriff durch US-Behörden geschützt sind. Hieß es bisher noch, dass der Serverstandort maßgeblich ist, wird es dann auf den Unternehmensstandort ankommen. Und zwar nicht den Standort einer Unternehmenstochter, sondern der Zentrale.
Sag nur leise https
Vielleicht reicht nicht einmal das, und das nächste Gericht verlangt Zugriff auf sämtliche Server, sobald ein Unternehmen überhaupt in den USA tätig ist. So gesehen hat das Urteil aus New York – so es denn rechtskräftig wird – das Potenzial, sich zu einem Konjunkturprogramm für europäische IT-Unternehmen zu entwickeln.
Dass US-Anbieter aber nach und nach versuchen, verlorenes Vertrauen zurückzugewinnen, zeigt nicht nur das konsequente Vorgehen von Microsoft gegen das Urteil. Laut jüngsten Ankündigungen der großen Konzerne scheint die Privatsphäre der Nutzer zumindest ein bisschen an Bedeutung zu gewinnen.
So kündigte Google an, das Verschlüsseln von Webseiten fortan im Suchindex zu belohnen: Wer verschlüsselt, landet weiter oben. Noch sind die Auswirkungen gering – lediglich bei ein Prozent der Suchanfragen sollen sich die Ergebnisse ändern. Doch Google kündigt bereits an, die Verschlüsselung stärker zu gewichten. Und angesichts der Marktmacht von Google kann man getrost davon ausgehen, dass die Suchmaschinenoptimierer ihren Kunden schneller eine Verschlüsselung einbauen, als diese https sagen können.
Yahoo mit Selbstkritik
Ein weiteres Beispiel ist die Kooperation von Google und Yahoo, die ankündigten, ihren Nutzern ab dem kommenden Jahr komfortable Lösungen für eine Email-Verschlüsselung mittels PGP anzubieten. Der Yahoo-Manager, der die Pläne Anfang August auf einer Konferenz in Las Vegas vorstellte, übte in seinem Vortrag ausgiebig Selbstkritik. Man habe es bisher nicht geschafft, die Nutzer angemessen zu schützen; man habe als Branche versagt.
Recht hat er. Interessant ist der Zeitpunkt der Selbstkritik. Auf einmal, mehr als ein Jahr nach den ersten NSA-Enthüllungen, wird die Angst um verlorene Nutzer tatsächlich größer als die um Teile des Geschäftsmodells, nämlich Emails auf Stichwörter scannen, um Werbung einzublenden.
Wie schön wäre es, wenn auch die großen Player in Deutschland, die zwar nicht scannen, aber sonst gegenüber Behörden freigiebig sind, in Sachen Datenschutz mit vorne dabei wären und nicht immer nur nachziehen. Denn klar: Voraussetzung für ein funktionierendes Konjunkturprogramm ist auch, dass es bessere, im Sinne von privatsphärenfreundlichere, aber sonst eben nicht schlechtere Angebote gibt.
Kundendaten im Ausland
Die Zahlen, die den Vertrauensverlust bei der Cloud-Nutzung belegen, sind vor allem interessant, weil es dabei in der Regel um unternehmenseigene Daten geht. Im Unterschied zu Kundendaten, deren Verarbeitung Firmen ebenfalls gerne auslagern. Da ist man weniger zögerlich.
Zum Beispiel der Versicherungskonzern Allianz: Seit April ist der US-Konzern IBM für die Rechenzentren des Münchner Versicherungsriesen zuständig. Darin werden die vertraulichen Daten von 78 Millionen Kunden verarbeitet. Keine Sorge, hieß es, die Server mit den Daten stünden schließlich in Deutschland und Frankreich.
Eine gewagte Argumentation. Das sieht auch die Bundesregierung so, die schon im Januar nicht ausschließen konnte, dass die NSA darauf zugreifen kann. Aber Konsequenzen? Seitens der Bundesregierung? Oder von der Allianz? Keine.
Alle Artikel zum Thema
Debatte Datensicherheit: Grenzenloser Zugriff
Ein US-Gericht erweitert den Datenzugriff für die Strafverfolgung über die USA hinaus. Der Vertrauensverlust wird anwachsen.
Facebook-Server in Schweden: Auch hier sind die Daten vor den US-Behörden nicht sicher. Bild: reuters
Das Urteil ist so absurd, dass es an schrägen Vergleichen nicht mangelt: Da hat eine Richterin in New York entschieden, dass ein IT-Unternehmen Nutzerdaten von einem Server außerhalb der USA an die US-Strafverfolgungsbehörden weitergeben muss. Die Judikative dehnt also den Machtbereich der Exekutiven auf die ganze Welt aus.
Der Nachhall im Netz ist voll Häme und Spott: Könnte dann nicht auch China Zugriff auf die Daten von dort produzierten Geräten verlangen? Oder das Land, in dem der Anbieter sitzt, der die Software hergestellt hat?
Das Urteil kommt für die großen IT-Konzerne der USA zum denkbar schlechtesten Zeitpunkt. Denn so gerne sie mit den Behörden kooperieren – siehe Google, das Mails auf kinderpornographischen Bilder hin durchleuchtet und mutmaßliche Funde weitermeldet – so wenig vergessen die Unternehmen ihr Geschäftsmodell. Und das lautet: Viele Nutzer, viele Daten. Auch wenn es oft nicht danach aussieht: Die Voraussetzung dafür ist immer noch ein Mindestmaß an Vertrauen der Nutzer in den Anbieter. Aber dieses Vertrauen geht nach und nach verloren.
Der Nutzer eines Free-Mail-Accounts mag noch recht wenig über Vertrauen nachdenken. Aber schon der oder diejenige, die eine Abschlussarbeit in der Cloud speichert, will sich sicher sein, dass sie nicht bei einem Festplattencrash verloren geht.
Und wenn ein Unternehmen seine Mitarbeiter von unterschiedlichen Standorten in der Cloud eines anderen Anbieters arbeiten lässt, muss es darauf vertrauen können, dass die Daten auch ausschließlich dort bleiben. Und nicht womöglich an die Konkurrenz gelangen, zum Beispiel über ein fingiertes Strafverfahren, in dessen Folge Dateien beschlagnahmt werden und der Kläger aus den USA dann in der Akte findet, was er sucht. Ja, das klingt nach Verschwörungstheorie. Aber für Wirtschaftsspione ergeben sich hier tatsächlich Möglichkeiten.
Und es gibt Zahlen, die einen Vertrauensverlust vor allem bei den Geschäftskunden zeigen. Besonders beim Cloud-Computing. Das zentrale Speichern von Daten außerhalb des eigenen Rechners gewinnt bei Unternehmen zunehmend an Bedeutung.
Zum Jahresanfang waren es laut Branchenverband Bitkom bereits 40 Prozent der Unternehmen in Deutschland, die Cloud-Dienste nutzten. 15 Prozent bevorzugten eine Lösung außerhalb der eigenen Unternehmens-Infrastruktur. Und da ist schon der Knick aufgrund der NSA-Debatte drin: Jedes zehnte Unternehmen hat bestehende Cloud-Lösungen aufgegeben, noch mehr haben bereits geplante Cloud-Projekte zurückgestellt.
Dieser Vertrauenverlust wird zunehmen, wenn Kunden nicht mehr sicher sein können, dass ihre physisch in Europa gespeicherten Daten vor dem Zugriff durch US-Behörden geschützt sind. Hieß es bisher noch, dass der Serverstandort maßgeblich ist, wird es dann auf den Unternehmensstandort ankommen. Und zwar nicht den Standort einer Unternehmenstochter, sondern der Zentrale.
Sag nur leise https
Vielleicht reicht nicht einmal das, und das nächste Gericht verlangt Zugriff auf sämtliche Server, sobald ein Unternehmen überhaupt in den USA tätig ist. So gesehen hat das Urteil aus New York – so es denn rechtskräftig wird – das Potenzial, sich zu einem Konjunkturprogramm für europäische IT-Unternehmen zu entwickeln.
Dass US-Anbieter aber nach und nach versuchen, verlorenes Vertrauen zurückzugewinnen, zeigt nicht nur das konsequente Vorgehen von Microsoft gegen das Urteil. Laut jüngsten Ankündigungen der großen Konzerne scheint die Privatsphäre der Nutzer zumindest ein bisschen an Bedeutung zu gewinnen.
So kündigte Google an, das Verschlüsseln von Webseiten fortan im Suchindex zu belohnen: Wer verschlüsselt, landet weiter oben. Noch sind die Auswirkungen gering – lediglich bei ein Prozent der Suchanfragen sollen sich die Ergebnisse ändern. Doch Google kündigt bereits an, die Verschlüsselung stärker zu gewichten. Und angesichts der Marktmacht von Google kann man getrost davon ausgehen, dass die Suchmaschinenoptimierer ihren Kunden schneller eine Verschlüsselung einbauen, als diese https sagen können.
Yahoo mit Selbstkritik
Ein weiteres Beispiel ist die Kooperation von Google und Yahoo, die ankündigten, ihren Nutzern ab dem kommenden Jahr komfortable Lösungen für eine Email-Verschlüsselung mittels PGP anzubieten. Der Yahoo-Manager, der die Pläne Anfang August auf einer Konferenz in Las Vegas vorstellte, übte in seinem Vortrag ausgiebig Selbstkritik. Man habe es bisher nicht geschafft, die Nutzer angemessen zu schützen; man habe als Branche versagt.
Recht hat er. Interessant ist der Zeitpunkt der Selbstkritik. Auf einmal, mehr als ein Jahr nach den ersten NSA-Enthüllungen, wird die Angst um verlorene Nutzer tatsächlich größer als die um Teile des Geschäftsmodells, nämlich Emails auf Stichwörter scannen, um Werbung einzublenden.
Wie schön wäre es, wenn auch die großen Player in Deutschland, die zwar nicht scannen, aber sonst gegenüber Behörden freigiebig sind, in Sachen Datenschutz mit vorne dabei wären und nicht immer nur nachziehen. Denn klar: Voraussetzung für ein funktionierendes Konjunkturprogramm ist auch, dass es bessere, im Sinne von privatsphärenfreundlichere, aber sonst eben nicht schlechtere Angebote gibt.
Kundendaten im Ausland
Die Zahlen, die den Vertrauensverlust bei der Cloud-Nutzung belegen, sind vor allem interessant, weil es dabei in der Regel um unternehmenseigene Daten geht. Im Unterschied zu Kundendaten, deren Verarbeitung Firmen ebenfalls gerne auslagern. Da ist man weniger zögerlich.
Zum Beispiel der Versicherungskonzern Allianz: Seit April ist der US-Konzern IBM für die Rechenzentren des Münchner Versicherungsriesen zuständig. Darin werden die vertraulichen Daten von 78 Millionen Kunden verarbeitet. Keine Sorge, hieß es, die Server mit den Daten stünden schließlich in Deutschland und Frankreich.
Eine gewagte Argumentation. Das sieht auch die Bundesregierung so, die schon im Januar nicht ausschließen konnte, dass die NSA darauf zugreifen kann. Aber Konsequenzen? Seitens der Bundesregierung? Oder von der Allianz? Keine.
Fehler auf taz.de entdeckt?
Wir freuen uns über eine Mail an fehlerhinweis@taz.de!
Inhaltliches Feedback?
Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.
Kommentar von
Svenja Bergt
Redakteurin für Wirtschaft und Umwelt
schreibt über vernetzte Welten, digitale Wirtschaft und lange Wörter (Datenschutz-Grundverordnung, Plattformökonomie, Nutzungsbedingungen). Manchmal und wenn es die Saison zulässt, auch über alte Apfelsorten. Bevor sie zur taz kam, hat sie unter anderem für den MDR als Multimedia-Redakteurin gearbeitet. Autorin der Kolumne Digitalozän.
Themen