tom's networking guide
 
Anzeige
Eset: Sicherheits-Tipps gegen mobile Schutzgeld-Trojaner >
< D-Link: Cloud-Router für anspruchsvolle Aufgaben
03.06.14 14:17 Alter: 6 Jahre
Kategorie: Unternehmens-News, KMU, Heim-Anwender, Gamer, SOHO, Administratoren, Cloud Computing, Verschlüsselung
Von: Maurice Hempel

Datenschutz: Microsoft-Klage blieb erfolglos

Ein erstinstanzliches Urteil in den USA verpflichtet Microsoft, Kunden-Daten an die US-Regierung zu liefern, unabhängig davon, in welchem Land die Server stehen, auf denen diese Daten liegen.


Ralf Rieken, Geschäftsführer Uniscon

Ralf Rieken, Geschäftsführer Uniscon.

München – Die amerikanische Rechtssprechung ist eindeutig: US-Internet-Service-Provider sind dazu verpflichtet, auf Anfrage jegliche Informationen über deren Kunden herauszugeben, selbst wenn sich die Daten auf Servern außerhalb der USA befinden. Microsoft hatte sich gegen die Herausgabe der privaten Daten eines Email-Nutzers gewehrt und zog vor Gericht. Nun ist erstinstanzlich ein Urteil gesprochen: Microsoft muss die geforderten Daten an die US-Regierung liefern. Das vorläufige Ergebnis könnte die Regeln für den Datenschutz in Cloud-Diensten verändern.

Microsoft argumentierte gegen die Herausgabe der Daten mit der Begründung, dass die geforderten Emails des Kunden außerhalb der USA auf einem Server in Dublin (Irland) gespeichert sind und somit nicht der US-Gerichtsbarkeit unterliegen. Was in der realen Welt gilt, trifft für die Netzwelt scheinbar nicht zu. Das Gericht entschied in erster Instanz, dass Microsoft der US-Behörde die gewünschten Daten liefern müsse. Was das Urteil für deutsche Internet- und Cloud-Dienst-Nutzer bedeuten kann, erklärt Datenschutz-Experte Dr. Ralf Rieken, Geschäftsführer des Münchner Unternehmens Uniscon:

"Das Erstinstanz-Urteil aus den USA dürfte den Datenschutz für deutsche Internet-Nutzer beeinträchtigen. Die endgültige Entscheidung könnte in fast identischer Weise gegen Speicherdienste von Microsoft, Amazon, Apple, Google und andere US-Konzerne gefällt werden. Diese werden in Deutschland bereits umfassend genutzt, um teilweise höchst vertrauliche Daten zu speichern. Aber US-amerikanischen Cloud-Unternehmen Daten anzuvertrauen, ist offenbar mit äußerst hohen Risiken behaftet, wie das Urteil beweist. Unternehmen sollten stattdessen standardmäßig auf verschlüsselten E-Mails, verschlüsseltem Datenaustausch und verschlüsselter Speicherung mittels deutscher Cloud-Dienste bestehen. Diese unterliegen der deutschen Datenschutz-Gesetzgebung.

Normalerweise werden Daten auch in den Rechnern eines deutschen Datenzentrums (Anwendungsservern) immer unverschlüsselt verarbeitet. Das ist gefährlich, weil die Mitarbeiter der Betreiberfirma eines Datenzentrums selbst oder ein Angreifer von außen die Daten abzapfen könnten. Die in Deutschland entwickelte und weltweit patentierte Sealed Cloud Technologie verschließt diese Sicherheitslücke auf rein technische Weise. Das Bundeswirtschaftsministerium (BMWi) hatte einen Wettbewerb ausgeschrieben. Die Sealed Cloud war dabei im Wettbewerb der 116 Bewerber (Konsortien) erfolgreich. Seither wird die Weiterentwicklung der Technologie für die deutsche Industrie vom BMWi gefördert.  

Auf Basis des Sealed-Cloud-Konzepts lässt sich auch die gesamte Kommunikation via Internet, bis hin zu den Verbindungsdaten, komplett durch rein technische Maßnahmen schützen, wie der Dienst IDGARD von Uniscon zeigt. Egal ob Nutzer von IDGARD große Dateien versenden, vertrauliche Nachrichten austauschen oder unkompliziert chatten möchten, mit diesem Kommunikationsdienst haben Unternehmen sichere Team- und Projektarbeitsbereiche für Mitarbeiter und externe Partner und steigern so gleichzeitig Informationssicherheit und Produktivität in der firmenübergreifenden Zusammenarbeit.“

Microsoft Deutschland äußert sich derzeit dazu nicht und verweist darauf, dass es sich um ein Urteil in erster Instanz handelt, das lediglich die Rechtmäßigkeit des Durchsuchungsbefehls bestätigt. Microsoft sieht darin noch keine Niederlage, wenn es um die Herausgabe von Daten geht, die in anderen Ländern gespeichert liegen. Bezüglich genereller Privacy-Richtlinien verweist man auf einen Blog-Artikel von Brad Smith, General Counsel & Executive Vice President, Legal & Corporate Affairs bei Microsoft, in dem er einen grundlegenden Wechsel in der Bewertung von Privacy durch Microsoft präsentiert.

Wir haben auch bei einigen anderen Unternehmen nachgefragt und um Statements zu dieser Entscheidung gebeten. 

Trend Micro gibt an, dass die US-Konzerngesellschaft Beschlüsse US-amerikanischer Gerichte mit solch extraterritorialen Auswirkungen zumindest für Europa gar nicht befolgen könne. Alle europäischen Firmen Trend Micros gehören direkt oder indirekt vollständig der japanischen Mutter und nur diese könne verpflichtet werden, ihre gesellschaftsrechtlich begründete Herrschaftsmacht in diesem Sinne auszuüben. Trend Micro Japan unterliegt aber nicht der US-amerikanischen Rechtsprechung und somit sind Daten, die deutsche Kunden in den deutschen Rechenzentren von Trend Micro speichern, davon nicht betroffen, da die Daten verschlüsselt gesendet und dort abgelegt werden können ohne den deutschen Rechtsraum zu verlassen.

SSP Europe ließ uns auf Anfrage folgendes Statement zukommen:

"Die praktische Auswirkung des Urteils liegt vor allem darin, dass die Nutzer von Cloud-Diensten US-amerikanischer Anbieter nicht davor geschützt sind, dass ihre personenbezogenen Daten auf Anordnung der US-Behörden an diese herauszugeben sind. Ebenso verhält es sich für Unternehmens-, Forschungs- oder Entwicklungsdaten.

Alternativen sehen wir durch den Wechsel zu deutschen Emaildiensten bzw. Cloudanbietern, die vergleichbare Services nach deutschen Datenschutzrichtlinien anbieten.

Solch mittlerweile offiziellen Bedrohungen der Sicherheit sind nur die Spitze des Eisbergs. Auch Spionageaktivitäten (staatliche und nicht-staatliche) zielen weltweit auf Daten in der Cloud ab. Dies erfordert, dass der Anwender entsprechende Sicherheitstechnologien nutzt oder sich Anbieter auswählt, die ausreichende Sicherheit garantieren. Hier sind allen voran Verschlüsselungsmechanismen, wie die TripleCrypt Technology wirksam. Nicht zuletzt muss sich aber auch der Nutzer aktiv über den verantwortungsbewussten Umgang mit sensiblen Daten informieren. Die größtmögliche Sicherheit hilft wenig, wenn der Laptop ohne aktivierte Verschlüsselung verloren geht."


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige