Das US-Unternehmen Ring musste Mitarbeitenden kündigen, weil sie unerlaubt auf sensible Kund:innendaten zugegriffen haben. Das geht aus einem Antwortschreiben der Heimüberwachungsfirma an fünf US-Senatoren [PDF] hervor, über das US-Medien wie Vice am Dienstag berichteten. Die Mitarbeitenden haben demzufolge Videos aus privaten Überwachungskameras geschaut, die auf den Servern von Ring gespeichert waren.
Ring ist ein Tochterunternehmen von Amazon. Die Firma stellt Überwachungssysteme für den privaten Gebrauch im eigenen Zuhause her. Per App können Nutzer:innen beispielsweise über das Türklingel-Modell der Firma von überall aus sehen, wer vor ihrer Tür steht, die Gegensprechfunktion nutzen und öffnen. Außerdem gibt es Indoor-Modelle.
Bisher vier Fälle bekannt
In besagtem Brief antwortet Amazon auf die Fragen von fünf US-Senatoren. Daraus geht hervor, dass Angestellte von Ring auf Videos zugriffen, die sie nicht hätten anschauen dürfen. In den vergangenen vier Jahren habe das Unternehmen vier Beschwerden aus diesem Grund entgegengenommen.
Amazon ist in dem Schreiben um Schadensbegrenzung bemüht. Allen fraglichen Angestellten sei das Ansehen von Videodaten grundsätzlich erlaubt gewesen, stellt der Internetkonzern klar. Doch „der versuchte Zugriff auf diese Daten überstieg das Maß, das in der beruflichen Funktion notwendig gewesen wäre.“ Ring sei allen Fällen sofort nachgegangen und habe diesen Mitarbeitenden gekündigt. Außerdem sei die Anzahl der Personen, die überhaupt Zugriff auf Kund:innenvideos habe, minimiert worden: Im ganzen Unternehmen seien nur noch drei Angestellte hierzu berechtigt. Konkreter schildert das Unternehmen die Sicherheitsmaßnahmen nicht und wollte auch auf Rückfrage von Vice nichts Näheres sagen.
Da Ring die Fälle erst durch Beschwerden von Betroffenen aufgefallen sind, ist davon auszugehen, dass die Dunkelziffer deutlich höher liegt. In vielen Fälle dürften Betroffene gar nicht merken, dass Angestellte von Ring auf ihre in der Cloud gespeicherten Überwachungsvideos zugreifen.
There is no Cloud
Mit dem Vormarsch des Cloud-Computings werden immer mehr Fälle dieser Art bekannt. Netzaktivist:innen machen deshalb mit dem Slogan „There is no Cloud, just other people’s computers“ darauf aufmerksam, dass auch in der Cloud gespeicherte Daten auf den Servern von Firmen liegen. Wer ihnen sensible Daten und Informationen anvertraut, muss mit dem Risiko leben, dass dort Unbefugte auf die Daten zugreifen. Seien es Kriminelle, die sich unbefugt Zugang zu den Systemen verschaffen, oder Mitarbeitende, die ihre Kompetenzen überschreiten.
Besonders Ring steht wegen notorischer Datenschutz- und Sicherheitsprobleme immer wieder in der Kritik. Bereits letzten Herbst berichteten wir über zweifelhafte Geschäftspraktiken des Unternehmens, da es Videoausschnitte an die Polizei weitergab. Vice thematisierte ebenfalls schon vergangenes Jahr die Häufung von Hacking-Angriffen auf Ring-Kameras.
Einem Bericht von The Intercept zufolge gewährt Ring außerdem einem Forschungs-Team in der Ukraine unbeschränkten Zugriff auf Videos, was Amazon in seinem Brief an die Senatoren jedoch relativiert: Es gehe hier lediglich um Daten von Angestellten und deren Freund*innen sowie Familie, wenn diese zugestimmt hätten.
Geschieht den elenden Überwachern ganz recht, selbst überwacht zu werden!
Zur Cloud: Ja, die ist unsicher. Deshalb sollten Daten, die einem schützenswert erscheinen, selbst geschützt werden, z.B. durch Verschlüsselung. Die harte Faust des Gesetzgebers sehe ich höchstens darin, die Möglichkeit zur Verschlüsselung vorzuschreiben.