Archiv


Griff in die Wolke

Viele Unternehmen stehen Cloud-Computing misstrauisch gegenüber. Sie sorgen sich um den Schutz ihrer oft hoch vertraulichen Daten. Diese Bedenken werden durch die Strafverfolgungsansprüche des Staates noch einmal verstärkt. Denn der will unbemerkten Zugriff auf die virtuelle Wolke.

Von Holger Bruns |
    Die externe Festplatte im Netz funktioniert auch dann noch, wenn der PC bereits seinen Geist aufgegeben hat. Klingt beruhigend, aber was passiert, wenn die gespeicherten Daten in diesem sogenannten Cloud-Computing nicht wirklich sicher sind? Zukünftig sollen nämlich Polizei und Geheimdienste auf Passwörter und PIN-Codes zugreifen können, ohne Wissen der Betroffenen, und damit natürlich auch auf genau diese externen Festplatten im Netz. Das fordert derzeit ein Gesetzesentwurf der Bundesregierung zur Novellierung des Telekommunikationsgesetzes. Kritik kommt von den Datenschützern.

    "Für Betroffene ist es ein riesiges Problem, weil eben jetzt hier auch eine vermeintlich sichere Verschlüsselung auf einmal von der Polizei durch eben Beschaffung der entsprechenden Sicherungswörter und Sicherungsangaben geknackt werden kann; mit der Konsequenz, dass also dann eben Zugriff auf Inhaltsdaten, auf Kommunikationsdaten durch die Polizei auch möglich ist, obwohl die Daten verschlüsselt gespeichert sind."

    Thilo Weichert, Datenschutzbeauftragter des Landes Schleswig-Holstein. Er bemängelt vor allem den Umgang der Polizei mit sichergestellten Daten von Privatpersonen.

    "Wir hatten konkrete Fälle, wo die Polizei private Gutachter beauftragt hat, eben die Computer von Betroffenen von polizeilichen Beschlagnahmen auszuwerten. Und diese Daten wurden dann eben für Urheberrechtsabmahnungen dann genutzt. Das war definitiv unzulässig und zweckwidrig. Aber trotzdem ist es passiert, und ich hab die Befürchtung, dass dies nicht der einzige Fall gewesen ist."

    Im Gesetzesentwurf der Bundesregierung fehlen klare Richtlinien, wie Geheimdienste und Polizei mit den Daten aus der Cloud umgehen sollen. Mehr noch: Gegenüber den ausgespähten Cloud-Nutzern müssen die Cloud-Anbieter jeden Zugriff der Dienste auf deren Daten verschweigen. Kann ein Cloud-Anbieter dann noch vertrauenswürdig sein?

    "Das ist natürlich sehr problematisch. Man muss sich darüber im Klaren sein, welche Daten man dann nach draußen noch gibt. Weil, die Daten liegen dort irgendwo und können dann ohne mein Wissen von Geheimdiensten, Ermittlungsbehörden, Polizei und anderen Organisationen eingesehen, kopiert, gegebenenfalls verändert werden. Die Möglichkeiten bestehen."

    Thomas Kemmerich vom Bremer Technologiezentrum Informatik. Wenn man sich nach einer Abwägung der Risiken nun entscheidet, Cloud-Computing zu nutzen, so sollte man zweierlei beachten. Personenbezogene Daten deutscher Unternehmen speichert man besser bei einem deutschen Provider, weil hier das deutsche Datenschutzrecht gilt. Ausländische Provider sollte man daher besser meiden, sagt auch der Datenschützer Thilo Weichert.

    "Man sollte zunächst erst mal keine US-amerikanischen Dienste nutzen, weil nämlich dann der Zugriff nicht nur für deutsche und für europäische Sicherheitsbehörden, sondern insbesondere auch für US-amerikanische Sicherheitsbehörden offen liegt."

    Für Unternehmen könnte dies sogar den wirtschaftlichen Ruin bedeuten, wenn deren Interna an Mitbewerber weitergegeben werden, zum Beispiel durch amerikanische Geheimdienste. Die europäische Studie "Fighting cyber crime and protecting privacy in the cloud" weist ausdrücklich auf die Möglichkeit amerikanischer Behörden hin, im Rahmen des sogenannten Patriot Acts die Daten ausländischer Cloud-Kunden zu überwachen. Thomas Kemmerich.

    "Bauchschmerzen kriegen Sie vielleicht deswegen, weil Sie Angst haben, Ihre Daten wegzugeben und nicht wissen, was damit passiert. Es gibt die Möglichkeit, sich zu schützen. Man kann Daten verschlüsseln, bevor man sie weggibt. Man kann die Wege dorthin verschlüsseln, und man kann natürlich über rechtliche, vertragliche Bedingungen mit dem Anbieter auch klären, wie diese Daten sicher aufbewahrt, prozessiert, also bearbeitet, verarbeitet werden."

    Das setzt entsprechende Fachkenntnisse voraus, die in Unternehmen fehlen, die sich nicht selbst mit Informationstechnologien befassen. Doch auch der Laie kann mit geeigneter Software auf seinem privaten Computer seine Daten verschlüsseln, bevor er diese auf seine externe Festplatte im Netz schickt - passende Programme gibt es als Open-Source-Version für alle Betriebssysteme. Damit stellt er auch die Integrität seiner Daten sicher. Außer dem Besitzer kann diese Daten dann keiner sichten oder verändern. Den Willen zur Datenspionage schließt der Datenschützer Thilo Weichert bei deutschen Strafverfolgern allerdings aus.

    "Man kann hier in Deutschland der Polizei das Bestreben bescheinigen, dass sie sich an Recht und Gesetz zu halten versuchen. Und man muss da eben dann durch interne Kontrollmechanismen, aber auch durch die Datenschutzkontrolle und durch entsprechende Nachfragen der Betroffenen gewährleisten, dass die sich tatsächlich an die rechtlichen Regelungen halten."

    Zum Themenportal "Risiko Internet"