Die Ministerien von Wolfgang Schäuble und Hans-Peter Friedrich arbeiten auf verschiedenen Ebenen an der Überwachung von Daten in der Cloud. Auch das Bundesamt für Verfassungsschutz mischt mit. Dies geht aus den Antwort auf parlamentarische Initiativen von Abgeordneten der Linksfraktion und der SPD hervor.
Das Zollkriminalamt (ZKA) und das Bundesamt für Verfassungsschutz arbeiten im Rahmen internationaler Arbeitsgruppen an der Ausforschung von Cloud-Daten. Beide Behörden sind hierfür mit der Bundesnetzagentur im „European Telecommunications Standards Institute“ (ETSI) organisiert. Das Bundeskriminalamt (BKA) ist nicht direkt an Bord, stimmt sich aber mit dem ZKA über Entwicklungen und Beschlüsse ab. Das ETSI betreibt zur Telekommunikationsüberwachung zwei eigene Arbeitsgruppen: Im „Technischen Komittee TC LI“ (steht für „Lawful Interception“) tragen Behörden ihren Bedarf für Abhörtechnologie vor. Das dürfte vor allem beim Aachener Zweig des Internetzulieferers Utimaco auf offene Ohren stoßen: Die auf Abhörschnittstellen („Lawful Interception Management Systeme“) spezialisierte Firma ist ebenfalls an der Arbeitsgruppe TC LI beteiligt und richtet entsprechende Treffen in Aachen aus. Ziel des ETSI ist die Normierung von Überwachungstechnik, die danach möglichst weltweit gültig sein soll. Eine andere Arbeitsgruppe „SA3 LI“ setzt deshalb die zuvor erarbeiteten Rahmenbedingungen und Vorgaben in Überwachungsstandards um.
Das soll nun auch für Anbieter von Cloud-Diensten gelten. Laut der Bundesregierung wird im ETSI ein „Technischer Report“ zu Clouddiensten „unter dem Aspekt der Telekommunikationsüberwachung“ erarbeitet. Eine besondere Rolle kommt anscheinend der Bundesnetzagentur zu, mit der zur Vorbereitung „ein gemeinsames Gespräch“ erfolgte. Von Unternehmensseite wurde die Deutsche Telekom und Telefonica O2 angesprochen. Ausweislich eines Protokolls der Arbeitsgruppe „SA3 LI“ zu Vorratsdatenspeicherung und Überwachung von Cloud-Daten hat im November ein Treffen in Düsselsorf stattgefunden, das von Nordrhein-Westfalen ausgerichtet worden sein soll. Dabei handelt es sich womöglich um das Landesamt für Zentrale Polizeiliche Dienste (LZPD), die für ihre Schnüffeldienste auch für andere Landes- und Bundespolizeien bekannt ist. Ein anderes Dokument des ETSI weist eine „LZPD“ tatsächlich als Mitglied aus.
Auch hierzulande ist die Telekom zusammen mit der 1&1 Internet AG mit der Überwachung von Cloud-Diensten befasst. Innerhalb des letztes Jahr lancierten „Strategie- und Forschungszentrum Telekommunikation“ (SFZ TK) ist die Firma an einem Projekt mit dem Namen „CLOUD“ beteiligt, das sich mit „Fragestellungen zu Cloud-Computing und dessen Implikationen auf die Telekommunikationsüberwachung“ beschäftigt:
Die als Cloud Computing bekannte Idee, IT-Infrastrukturen (Rechenkapazität, Speicher, Software) über das Internet bereitzustellen, erfährt vor dem Hintergrund allgegenwärtiger breitbandiger Internetzugänge derzeit eine rasante Verbreitung. Die TK-/Cloud-Anbieter vermarkten ihre Angebote in den unterschiedlichsten funktionalen Bereichen, teilweise kostenfrei. Die unter Umständen weltweite und nicht transparente Verteilung der Daten, Software, Betriebssysteme und Speicher sowie der in der Regel auf verschlüsselten Kommunikationsprotokollen basierende Zugang zu Cloud-Diensten erschwert einen Zugriff der Sicherheitsbehörden.
Das SFZ TK ist ein weiteres Beispiel für die zunehmende Verzahnung von Polizei und Geheimdiensten: Neben dem BKA und der Bundespolizei arbeitet auch hier das Bundesamt für Verfassungsschutz mit. Die Bundesregierung nennt diese Aufweichung des Trennungsgebots „Kooperationsplattform“.
Die Anstrengungen des ETSI und des SFZ TK drehen sich um „Zugangsmechanismen“, „Authentifizierung“ oder der „Nutzbarmachung von Diensten“. Das Zentrum ist auch mit Forensik befasst, also der Analyse und Erschließung erlangter Daten. Sofern Daten in der Cloud per Fernzugriff von Polizeien mittels Trojaner-Programmen ausgeforscht werden, wäre das aber eine unzulässige Zwangsmaßnahme im Hoheitsgebiet einer anderen Regierung: jedenfalls dann, wenn die Anbieter von Cloud-Diensten ihren Sitz in einem anderen Land haben. Seitens der Geheimdienste werden derartige Spionagemaßnahmen im Ausland bislang nur vom Bundesnachrichtendienst vorgenommen. Wahrscheinlicher ist, dass die Studie des SFZ TK auf die notwendige, juristische Prozedur zur Herausgabe von Daten fokussiert. Zwar gibt es auf Ebene der G8-Staaten ein 24/7‑Netzwerk, das die sofortige Sicherung von inkriminierten Inhalten im Ausland umsetzen soll. Auch das Übereinkommen über Computerkriminalität des Europarates trifft in seinen Paragrafen 29 bis 35 allerlei Bestimmungen zur „Umgehenden Sicherung gespeicherter Computerdaten“. Verkehrsdaten wie Inhaltsdaten können gemäß dem Übereinkommen des Europarates sogar „in Echtzeit“ übermittelt werden. Dies dürfte auch für Cloud-Daten gültig sein.