Nun kommt es, wie es kommen muss. Der erste Fall wurde heute bekannt gegeben, bei dem ein eMail Provider “auf drängen der Regierung” seinen teilweise kostenfreien eMail Webdienst einstellt. Die Darstellung lässt offen, ob dies mit einer direkten Anordnung zusammen hängt oder dies als “Massnahme” wegen “ungehorsam” gegenüber nationaler Gesetze statt findet.

Link: Lavabit: E-Mail-Anbieter von Edward Snowden schließt

Nun stellt sich gleich die Frage, welche Variante wäre die bessere?

Wie immer, werden die einen von ihren tollen Erfahrungen einer eigenen Serverinstallation bei sich zu Hause sprechen. Man hat ja eh alle Komponenten schon unter dem Schreibtisch. Das dies kein “cloudbasierter” eMail Serverbetrieb ist, werden diese Personen eventuell noch lernen. Hinzu kommt, das eben auch hier die Meta Daten eventuell mitgelesen werden und so ein eMailserver unter Verdacht geraten könnte. ist ja nicht so, das die Behörden diese Möglichkeit der Kommunikation nicht kennen.

Stellen wir uns also ersteinmal die Frage, in welchem Land überhaupt ein “sicherer” Betrieb möglich ist. Eine Studie zeigt hier die Möglichkeiten auf. Die folgende Tabelle ist eine Zusammenfassung, der vollständige Text (insbesondere über die deutschen) ist hier im Link zu finden

A Hogan LovellsWhite Paper:
A Global Reality: Governmental Access to Data in the Cloud


 

May

Government require a Cloud provider to disclose customer data in the course of a government investigation?

May a Cloud provider voluntarily disclose customer data to the government in response to an informal request?

If a Cloud provider must disclose customer data to the government, must the customer be notified?

May government monitor electronic communications sent through the systems of a Cloud provider?

Are government orders to disclose customer data subject to review by a judge?[1]

If a Cloud provider stores data on servers in another country, can the government require the Cloud

provider to access and disclose the data?

Australia

Yes

Yes, except for personal data without a legal purpose

No

Yes

Yes

Yes

Canada

Yes

Yes, except for personal data without a legal purpose

No

Yes

Yes

Yes

Denmark

Yes

Yes, except for personal data without a legal purpose

No

Yes

Yes

Yes

France

Yes

Yes, except for personal data without a legal purpose, electronic communications

No

Yes

Yes

Yes

Germany

Yes

Yes, except for personal data without a legal purpose, electronic communications

Yes, except may withhold until

disclosure no longer would compromise

the investigation or in investigation of

serious criminal

offenses, national security, or terrorism

Yes

Yes

No, not without cooperation from

the other country’s

government, except for telecommunication

s customer non-

content data

Ireland

Yes

Yes, except for personal data without a legal purpose

No

Yes

Yes

Yes

Japan

Yes

No – must request data through legal process

No

Yes

Yes

No, not without cooperation from

the other country’s government[2]

Spain

Yes

Yes, except for personal data without a legal purpose

No

Yes

Yes

Yes

United Kingdom

Yes

Yes, except for personal data without a legal purpose

No

Yes

Yes

Yes

United States

Yes

No – must request data through legal process

Yes, for content data, except when the

government obtains a search warrant or unless disclosure

would compromise the investigation

Yes

Yes

Yes



[1]“Review by a judge” encompasses either an initial review when issuing the court order, warrant, etc. or subsequent review when the court order, warrant, etc. is challenged by the service provider or customer.

[2]Under a recently revised criminal procedure law, Japanese law enforcement officials may obtain copies of data located on a remote server if a computer in Japan is able to create, change, or delete data on the server, even if the server is located outside of Japan. Although computers of Cloud providers may be able to change or delete customer data, the Japanese Ministry of Justice currently takes the position that computers of Cloud providers are not subject to the law. It is not certain, however, whether Japanese courts would read this same limitation into the law.

Ich möchte ja nichts suggerieren, aber die Zeile für die deutschen Vorgänge ist schon interessant…

Aufgrund dieser Darstellung kann die Anforderung nach einem reinen deutschen Serverstandort gar nicht immer mit “ja, natürlich” beantwortet werden. Zumindest, solange auch die deutschen Behörden (unabhängig einer politischen Regierung) intransparent eventuell unzulässige Daten ansammelt und eventuell verwertet. Die Aufregung um den Deutschen Staatstrojaner ist doch noch gar nicht so lange her.

Bitte nicht falsch verstehen, auch ich bin für den Schutz eines Bürgers und bin ebenfalls dankbar, dass es Menschen gibt, die nicht nur durch elektronische Hilfsmittel, sondern auch mit Ihrem Leben das Land und die Menschen schützen, in dem ich lebe. Doch wie immer in der IT, entstehen mit den vielen Möglichkeiten manchmal unkontrollierte Begehrlichkeiten.

Es geht jetzt auch nicht darum, das nun jeder Bundesbürger oder Internet Benutzer nur noch eine Punkt-zu-Punkt Verbindung mit der Person seines Vertrauens aufbaut, denn damit wäre der eigentliche Grundgedanke des Internets hinfällig. Es geht aber darum, dass Internet Benutzer immer mehr darauf achten sollten, wo sie welche Daten preisgeben und eventuell an der einen oder anderen Stelle nicht schreiben.

Auch ist zu beachten, dass eine generelle Kommunikation über Verschlüsselung auch nicht vor berechtigtem Zugriff von Behörden schützt. Doch wem interessiert es eigentlich, dass Fräulein Mond sich mit Herrn Wolke zu einem Regenstammtisch verabreden? Niemanden, sofern dass keine gesuchten Stichwörter sind :-) Wenn aber Herr Mond seine Kreditkartendaten für die Hotelbuchung nutzt und eventuell der vertrauenswürdigen Frau Mond per eMail sendet, dann sollte bzw. darf dass nur in verschlüsselter Form statt finden.

Und das ist eigentlich schon alles. Generell sollten alle Dokumente in einer Cloud verschlüsselt sein. Dann ist es fast egal, ob der Betreiber nun eine Deutsche Firma ist oder eine französische oder gar eine amerikanische. Die Daten müssen (dürfen) allerdings nur in Europa gespeichert sein. Warum ist es nun egal, ob es auch eine amerikanische Firma ist? Na weil der Inhalt der eMail schon vorher oder danach sowieso an ein amerikanisches Unternehmen weitergeleitet wird… Zur Erinnerung, in der verschlüsselten eMail stehen die Informationen der Hotelbuchung mit Zahlung über Kreditkarte… Ich kenne kein deutsches Kreditkartenunternehmen, welches international auf dem markt ist bzw. von Hotels akzeptiert wird…

Daher werden in der eMail zusammenhängende Informationen schriftlich festgehalten. Dies möglichst in verschlüsselter Form, damit eine unberechtigte Person nicht auf den Inhalt zugreifen kann. Der eigentliche Vorgang findet ja ganz woanders statt und liegt auch nicht mehr in der Gewalt von Herrn Mond.

Wie hier beschrieben: Bieten Cloud-Dienste aus Deutschland mehr Rechtssicherheit und Datenschutz?
(zitat) “Innerhalb des Europäischen Wirtschaftsraumes (EWR) kann von einem dem deutschen Niveau entsprechendem Datenschutz ausgegangen werden, wie auch die Orientierungshilfe Cloud Computing der Aufsichtsbehörden für den Datenschutz betont. Datenschutzrechtlich ist es also unerheblich, ob der Cloud-Betreiber in Deutschland oder im EU/EWR-Raum die Daten verarbeitet.

Ich hoffe, ich konnte mit diesem Artikel etwas Verwirrung über die derzeitigen Nachrichten wie “das unsichere Internet” oder so vermindern.

Herzliche Grüße
Michael

The short URL of the present article is: http://wp.me/p1MQAv-Os

Tagged with:

Filed under: CloudSecurity