Europa und die Cloud: Standard zur Überwachung und Kritik von Datenschützern

Die Auslagerung von Daten in die Cloud bereitet den Behörden Sorge. Um weiterhin Abhören zu können, werden europaweite Standards zur Überwachung von Cloud-Diensten erarbeitet. Falls Verschlüsselung eingesetzt wird, soll die umgangen werden. Datenschützer hingegen kritisieren die Cloud, da nie klar ist in welcher Jurisdiktion die Daten liegen.

Das von der Europäischen Kommission gegründete Europäische Institut für Telekommunikationsnormen (ETSI) arbeitet derzeit an einem Standard zur Überwachung von Cloud-Diensten. Laut dem Entwurf sollen die Cloud-Anbieter Schnittstellen zur Verfügung stellen, mit denen Behörden die Daten und Aktivitäten der Nutzerinnen abhören können – in Echtzeit.

Erich Moechel berichtet auf ORF.at:

Wegen des „nomadischen Zugangs zu Diensten in der Cloud“ sei es unwahrscheinlich, dass ein Internet-Zugangsprovider alle Überwachungsanfragen bedienen könne. Um dennoch „die Überwachbarkeit zu gewährleisten, muss der Cloud-Anbieter eine Überwachungsfunktion einbauen“, heißt es einen Abschnitt weiter (4.3)

Mit „nomadischem Zugang“ ist gemeint, dass Facebookbenutzer über alle möglichen Wege daherkommen können, ob es das eigene DSL ist, drahtlose Breitbanddienste oder ein offenes WLAN-Netz. Man müsste also die Daten eines Facebook-Benutzers nicht nur bei mehreren Zugangsprovidern einsammeln, was nahe an der Echtzeit unmöglich ist. Zudem würde das nur einen Teil der Informationen bringen, die an einer Schnittstelle direkt bei Facebook abgegriffen werden könnten.

Dazu soll auch die SSL-Verschlüsselung angegriffen werden. Und zwar wollen Behörden mit „Deep Packet Inspection“-Systemen (DPI) „Man-in-the-Middle“-Attacken gegen die Verschlüsselung durchführen. Aus dem Entwurf:

Erich Moechel weiter:

„Deep Packet Inspection wird wahrscheinlich ein konstituierendes Element dieses Systems sein“, heißt es denn auch unter 4.3 im ETSI-Dokument unter den „Herausforderungen der Anforderungen“ „(„Requirement Challenges“). Darüber wird als nächstes ebenso berichtet werden, wie über die Szenarien der staatlich sanktionierten Angriffe auf Skype, VoIP und Tauschbörsen, denen sämtlich sogenannte Peer-To-Peer-Protokolle zu Grunde liegen.

Skype hat übrigens gerade wieder auf die Frage, ob sie Gespräche abhören können, geantwortet: Kein Kommentar.

Eine andere EU-Institution sieht das mit dem Cloud-Computing kritischer. Die Artikel 29 Datenschutzgruppe veröffentlichte Anfang des Monats eine Stellungnahme mit ihrer Einschätzung der Cloud.

Die Datenschützer sehen „eine Reihe von Datenschutz-Risiken, vor allem einen Mangel an Kontrolle über persönliche Daten sowie unzureichende Informationen über die Fragen, wie, wo und von wem die Daten (weiter-)verarbeitet werden.“ Da in der Cloud nie klar ist, wo die Daten physisch liegen ist auch die Jurisdiktion darüber unklar. Die europäische Datenschutzrichtlinie verbietet es jedoch, personenbezogene Daten in Staaten mit schwächerem Datenschutz auszulagern.

Dass dürfte jedoch bei Cloud-Diensten eher die Regel als die Ausnahme sein. Die existierenden Safe Harbor-Vereinbarung zwischen EU und USA sind daher unzureichend. Hier sehen die Datenschützer dringenden Klärungsbedarf.

Bis dahin sollten europäische Firmen ihre Cloud-Dienstleister ganz genau evaluieren und gegebenenfalls schriftlich versichern lassen, wohin die eigenen Daten übermittelt werden.

9 Ergänzungen

  1. Wieso muss „man“ alle Zugriffe aufs Internet/die „Cloud“ überwachen können? Gehts noch? Wie hart haben sie diesen Falken/Hardlinern ins Gehirn geschissen? Ich hätte gerne von all diesen Überwachungsfanatikern die Haustürschlüssel, damit ich schauen kann, was die alles so zuhause rumliegen haben, gefährliche Sachen wie Urlaubsfotos, Einkaufslisten, Adressbücher, Tagebücher etc.

    Die müssen echt Angst haben vor ihren Wählern…

  2. Wenn ihr immer noch nicht gemerkt habt, woher der Wind bläst, dann ist euch nicht mehr zu helfen.
    Ich denke nicht, dass langfristig auf rein parlamentarischem Wege Lösungen im Interesse des Bürgers erzielt werden können.
    Ich verweise auf meinen Text, den ich hier in diesem Portal geschrieben habe.https://netzpolitik.org/2012/skydrive-microsoft-durchsucht-nutzer-daten-in-der-cloud-nach-agb-verletzungen-und-sperrt-accounts/
    Es ist der bis dato letzte Text…

  3. post-1984-era
    Ich mag nicht mehr!
    Nicht, dass ich ein geeintes Europa nicht toll finde, aber bitte nicht unter diesen Bedingungen…
    Ich bin schockiert und traurig zu gleich! Aber hey, wir haben ja nichts zu verbergen… Schwachsinn!

  4. Das ganze ist doch Fruchtlos wenn der Nutzer seine Daten vorher selber Verschlüsselt und genau das wird er zukünftig vermehrt geschehen und sicher gerade von diejenigen gegen welche solche Gesetze gedacht sind.
    Hängen bleibt da wieder nur der „Otto-Normal“ welcher eine Filmkopie ect. bedenkenlos auf die Cloud schob und dann vom den Providern dafür Angezeigt wird.

  5. Verstehe das nicht so ganz, Erich Moechel schreibt in seinem Artikel:

    „…Dafür muss er allerdings zu drastischen Mitteln greifen, über die nur professionelle Schadsoftware der Oberklasse verfügt: Die Fähigkeit, Sicherheitszertifikate einer offiziellen Zertifizierungsstelle zu fälschen.“

    Kann mir mal jmd erklären, wie das in der Praxis technisch aussehen soll?
    Jeder Cloud-Dienst weltweit wird gezwungen jeder Regierung seine Zertifikate zur Verfügung zu stellen?
    Jede Regierung versucht selbstständig die Zertifikate zu fälschen?

    Klingt für mich beides sehr unwahrscheinlich…

  6. Skype unterliegt seit 2005 dem CALEA Act (Communication Assistance for Law Enforcement Act) und muss Ueberwachungsschnittstellen anbieten. Das gilt fuer alle VoIP Anbieter, die ins Festnetz Gesspraeche ins Festnetz oder Handynetz routen koennen.

    1. Soviel weiss ich. Wo ich mir unsicher bin, ist ob der CALEA Act, dessen genauere Details ich nicht kenne, nur bei Telefonaten von Skype ins Fest/Handynetz tatsächlich greift, oder ob die Schnittstellen auch für reine VoIP Telefonate existieren müssen.

  7. einfachste Lösung:
    eigenen Server mieten und Cloud-Software instalieren.
    alles ohne Überwachungsschnittstellen!
    Kosten: ca 10€ für den Server
    Serverstandort am besten im Ausland…

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.