Sandra Schulz: Am Körper getragene kleine Videokameras, sogenannte Bodycams, die sehen und filmen alles, was der Träger sieht. Die Bodycams sind in einigen Bundesländern schon seit Längerem im Testeinsatz. Und da zeigen sich Netzpolitiker und Polizeigewerkschafter jetzt beunruhigt über das, was heute die "Neue Osnabrücker Zeitung" meldet, nämlich dass Bodycam-Aufnahmen der Bundespolizei auf Servern des US-Digitalunternehmens Amazon gespeichert werden. Von einem nicht kalkulierbaren Risiko spricht der FDP-Bundestagsabgeordnete Benjamin Strasser, er hatte schriftlich beim Innenministerium nachgefragt.
Darüber kann ich den kommenden Minuten mit Sven Herpig sprechen, bei der Stiftung Neue Verantwortung leitet er den Bereich Internationale Cyber-Sicherheitspolitik, und die Stiftung Neue Verantwortung, das ist ein Thinktank, der sich schwerpunktmäßig mit Fragen der Digitalisierung und neuer Technologien beschäftigt. Schönen guten Tag!
Sven Herpig: Guten Tag, hallo!
"State-of-the-Art-Sicherheitsmaßnahmen werden umgesetzt"
Schulz: Videoaufnahmen von Polizeieinsätzen, gespeichert mithilfe des US-Digitalkonzerns Amazon, ist das eine gute Idee?
Herpig: Ich glaube, das lässt sich, ohne die Details zu kennen, nicht so gut beurteilen. Was man sagen kann, ist zum einen, dass ja auch ausgesagt worden ist von der Bundespolizei, dass die Daten hier auf Servern in Deutschland gespeichert werden und nicht in den USA. Und gleichzeitig ist es ja auch so, dass sich die Bundespolizei dabei an den Mindeststandard des Bundesamts für Sicherheit in der Informationstechnik zur, ich zitiere hier mal, "Nutzung externe Cloud-Dienste in Verbindung mit dem Anforderungskatalog Cloud Computing" hält. Das heißt, dort werden natürlich die State-of-the-Art-Sicherheitsmaßnahmen umgesetzt, um diese Daten zu schützen.
Schulz: Das heißt, wenn die NSA sich für diese Daten interessiert, so verstehe ich Sie, dann würde das europäische Datenschutzrecht greifen?
Herpig: Also wenn sich die NSA für die Daten interessiert, dann sag ich mal so, dann kommen sie sowieso an die Daten ran meistens. Was wir hier betrachten müssen, sind natürlich alle Angriffsfälle – andere Nachrichtendienste, Kriminelle und so weiter –, und da ist es mir ehrlich gesagt viel lieber, dass ein amerikanischer Anbieter deutsche Server nach Stand der Technik, zertifiziert nach einer deutschen Bundesbehörde, nutzt, anstatt irgendeinen anderen Anbieter, von mir aus auch einen deutschen Anbieter, der diese IT-Sicherheitsanforderungen nicht erfüllt.
"Die Frage ist, sollte es eine Bundes-Cloud geben?"
Schulz: Sind Sie denn da so sicher, dass es auch für die Nutzer in Deutschland, dass das kein Problem ist, dieser Zugriff zum Beispiel von US-Geheimdiensten, der ja nun in Deutschland auch für ganz erhebliche Aufregung gesorgt hat, dass die Deutschen da alle so entspannt sind?
Herpig: Also wie gesagt, das ist natürlich nicht so, dass die NSA einfach an alles rankommt, was sie wollen, mit einem Gerichtsbeschluss oder so, aber natürlich darf man hier auch nicht naiv sein und muss einrechnen, dass solche Daten dann bei der NSA landen könnten. Aber dazu muss man auch sagen, die Daten, die übermittelt werden, werden ja nicht einfach so auf den Amazon-Webservices, also bei Amazon, bei dem Anbieter, abgelegt, sondern die werden extra verschlüsselt abgelegt. Die werden zusätzlich signiert, das heißt, man kann dann nachvollziehen, wenn die Daten verändert worden sind, was ja für Gerichtsfälle dann sehr wichtig ist. Also ich glaube, dass hier schon ein hohes Maß an Sicherheit und an Schutz gewährt ist.
Schulz: Die Daten liegen in einer sogenannten Cloud, also in einem virtuellen Speicherort, und da argumentiert jetzt eben die Bundespolizei damit, dass das technisch von niemand anderem überhaupt angeboten wird in der gleichen sicheren Form wie von Amazon. Warum kann man Daten in so einem Fall nicht einfach auf die Festplatte legen?
Herpig: Zum einen ist das basiert auf der Infrastruktur, wie diese Bodycams eben ihre Daten übermitteln. Da ist ja auch noch ein dritter Anbieter, ist ja nicht nur die Bundespolizei und Amazon, sondern auch der Anbieter dieser Bodycams, der miteingebunden werden muss. Und gleichzeitig sind das natürlich sehr, sehr große Datenmengen, die dann auch irgendwo gespeichert werden müssen. Die Frage ist hier eher, sollte es dafür einen Bundesanbieter geben, eine Bundes-Cloud, die ja auch diskutiert wird, die auch aufgesetzt wird – es gibt ja auch interne Systeme der Regierungsnetze. Die Frage ist halt, warum es zum Beispiel jetzt bei Amazon abgelegt wird und nicht in internen Netzen. Aber wenn wir vergleichen zwischen Amazon und anderen externen Anbietern, dann scheint es so, dass die im Moment die größten IT-Sicherheitsanforderungen erfüllen und damit auch der erste Wahlkandidat von mir wären, ehrlich gesagt.
"Wir sind viele, viele Jahre hinterher"
Schulz: Was sagt das über das Thema und auch über die Positionierung Deutschlands aus, dass es eben keine deutschen Anbieter gibt, die das Gleiche anbieten könnten?
Herpig: Es gibt wohl kleine Anbieter, die das anbieten, aber nicht genau den Umfang, den die Bundespolizei hier braucht. Natürlich wurde dann auch wieder von den Politikern ins Spiel gebracht, die deutsche Souveränität, die technologische Souveränität – warum produzieren wir keine CPUs mehr, warum haben wir keine eigenen Anbieter. Natürlich müssen wir uns das angucken, aber ich glaube, das ist einfach ein separates Thema. Da sind wir viele, viele Jahre hinterher, und da müssen wir uns generell mit befassen. Jetzt an diesem Punkt das Fass aufzumachen, halte ich für vollkommen nicht richtig.
Schulz: Aber wir haben jetzt seit einiger Zeit eine Diskussion über die Abhängigkeit und insgesamt auch die Macht der US-Digitalkonzerne. Ist es da nicht ein ganz fatales Signal, jetzt in dieser Situation, in dieser Diskussion zu sagen, das sind zwar höchst sensible Daten, aber die werden bei Amazon schon gut aufgehoben sein.
Herpig: Ja, ich glaube, so naiv geht man halt auch an das Thema nicht ran. Wie gesagt, die Daten sind ja extra noch mal verschlüsselt, das heißt, vor dem Zugriff von Amazon geschützt, vor dem Zugriff von anderen geschützt, die werden da signiert und so weiter. Natürlich ist das, wenn wir uns in das Gros der Diskussionen über die technischen Konzerne in den USA begeben und was Deutschland hier anzubieten hat, definitiv etwas, was wir besprechen sollten, wo wir drüber reden müssen, aber wir dürfen auch nicht naiv rangehen. Die Realität ist eben so, dass es die großen Tech-Unternehmen aus den USA sind, das ist der Stand heute, und der Stand heute ist, dass wir dieses Services eben brauchen, also müssen wir sie nutzen, so sicher wie möglich. Und dafür dürfen wir aber nicht davon abgehen, dass wir in Deutschland uns darüber klar werden müssen, welche Strategien wir hier haben – nicht nur in Deutschland, sondern eigentlich mit unseren europäischen Partnern.
Schulz: Haben wir denn eine Strategie?
Herpig: Mir ist nicht bekannt, dass es hierzu eine Strategie gibt, deswegen wäre der erste Schritt, zu überlegen, was möchte man machen, wie möchte da hinkommen, und das können wir nicht ohne unsere europäischen Partner.
Schulz: Sven Herpig, Cyber-Sicherheitsexperte der Stiftung Neue Verantwortung heute Mittag hier bei uns im Deutschlandfunk, danke Ihnen ganz herzlich!
Herpig: Vielen Dank!
Äußerungen unserer Gesprächspartner geben deren eigene Auffassungen wieder. Der Deutschlandfunk macht sich Äußerungen seiner Gesprächspartner in Interviews und Diskussionen nicht zu eigen.