Archiv für Oktober 2011

Bundesrepublik lagert Daten in den USA aus

Montag, 10. Oktober 2011

Der Bericht über den vom „Chaos Computer Club“ (CCC) geknackten Staatstrojaner beschäftigt in den letzten Tagen die (IT-) Welt (http://www.heise.de/newsticker/meldung/CCC-knackt-Staatstrojaner-1357670.html). Das die Geheimdienste und Regierungen dieser Welt ein gewisses Grundbedürfnis an Informationen haben, ist vielleicht noch erklärbar bzw. eventuell auch legitimierbar. Das die dafür vorhandenen Regeln aber nicht eingehalten werden, ist schlichtweg eine Katastrophe. Das Vertrauen in den Staat und vor allem auch in unseren IT Berufsstand nimmt dadurch erheblichen Schaden an.

Wesentlich dramatischer an den vom CCC geknackten Erkenntnissen ist meiner Meinung nach eine andere Tatsache: „Der in den uns vorliegenden Trojanern hart einkodierte Command-and-Control-Server (C+C-Server) befindet sich auf der IP 207.158.22.134. Diese IP liegt im Rechenzentrum des kommerziellen Hosting-Anbieters Web Intellects in Columbus, Ohio, USA.“ (Quelle: http://www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf). Somit werden die unter sowieso schon ungeklärten Umständen ausgespähten Daten in einem Land zumindest zwischengespeichert, dass in punkto Datenhoheit und Datenschutz klaffende Lücken aufweist (s. auch http://blog.making-it-easy.de/2011/10/in-welcher-wolke-sind-meine-daten/).

Die gesamte Diskussion und die gewonnenen Erkenntnisse sollten nun in der breiten Bevölkerung zu einer erhöhten Sensibilisierung führen und deutlich die bestehenden Rechtslücken und Spielräume der Regierungen aufzeigen. Auch hier ist sicherlich zu unterstreichen, dass wir in Deutschland hierfür die besten politischen und freiheitlichen Voraussetzungen haben. Sicherlich wird nicht nur in Deutschland Jagd auf Daten gemacht.

In welcher Wolke sind meine Daten?

Sonntag, 02. Oktober 2011

Die USA halten so für manches Thema unangenehme Überraschungen bereit. In einem aktuellen Heise.de Beitrag (http://www.heise.de/newsticker/meldung/Deutschen-Unternehmen-droht-Aerger-bei-der-Nutzung-von-US-Clouds-1353083.html) wird auf die Problematik hingewiesen, wenn deutsche Unternehmen Ihre Daten in US-amerikanische Wolken verlagern. Im Gegensatz zu den Gesetzen hierzulande gibt es über dem Atlantik deutlich andere und wesentliche luftigere Möglichkeiten, die Wolken spurlos zu durchfliegen.

So können in den USA geltende Gesetze zum Datenschutz bzw. zur Dateneinsicht durchaus mit den europäischen oder deutschen Gesetzen in Konflikt geraten und als Unternehmer können dann unangenehme rechtliche Überraschungen drohen. Aber nicht nur das: Nach dem „11. September“ wurden in den USA eine Reihe von (für die Behörden dort) interessante Gesetze verabschiedet, u.a. der so genannte „Patriot Act“ (http://de.wikipedia.org/wiki/USA_PATRIOT_Act). Einer der wesentlichsten Punkte dort besagt, dass US amerikanische Behörden jederzeit bei Providern Daten verlangen können, die dann auch ohne weitere Protokollierung oder Information an den Dateneigner auch ausgeliefert werden müssen. Das ist ungefähr so, also würde unsere Polizei im Auftrag des Finanzamts ohne Durchsuchungsbeschluss bei Ihnen im Unternehmen „einbrechen“, Datenkopien auf USB Sticks ziehen und diese dann ohne weitere Spuren zu hinterlassen Ihrem „Auftraggeber“ zu überlassen. Zugegebenermaßen ein leicht überspitztes Beispiel, aber gerade in diesem für manche abstrakten IT Umfeld eher nachvollziehbar wie eine „Cloud“. Um diesen Möglichkeiten ein Sahnehäubchen aufzusetzen denken Sie bitte mal nach was passieren könnte, wenn ein mittelständisches Unternehmen (z.B. ein kleiner Zulieferer von elektronischen Kleinteilen für Airbus) seinen Mailverkehr inkl. Konstruktionsplänen auf Servern von Microsoft, Apple oder Google abwickelt und eine Finanz- oder Wirtschaftsbehörde mit fraglichen „Sponsoren“ dann diese Pläne dem Konkurrenten zuspielt!? Auch hier überspitzt und sicherlich auch nicht Alltag, aber immerhin möglich.

Fairerweise muss man natürlich sagen, dass diese geschilderten Probleme nicht nur in den USA aufwarten können. So ziemlich jedes Land hat für den Datenschutz verschiedene Gesetze oder klaffende Lücken. Manchmal bewusst und manchmal auch unbewusst. Bevor Sie Ihre Daten außer Haus geben, sollten Sie auch bei Ihrem gewählten Provider so lange auf die Finger klopfen, bis Sie eine unterschriebene Garantie für den „Datenstandort“ Deutschland erhalten. Nur dann können Sie sicher sein, dass Ihnen als Unternehmer zumindest in diesem Bezug niemand rechtlich Schaden zufügen kann. Wie Ihr Provider dann mit den Daten umgeht, steht natürlich auf einem anderen Blatt. Hier muss genauso Vertrauen vorhanden sein wie bei der Vergabe der Reinigungsleistungen im eigenen Unternehmen. Denn immer noch ist es so, dass die höchste Gefahr von Datenspionage direkt im Unternehmen besteht, weil die Putzfrau das „leere“ Kennwort kennt und von einem kriminellen Kleingeist getrieben wird und Daten ab und zu von den Rechnern der Geschäftsleitung oder der Konstrukteure per USB Stick still und heimlich weitergibt. Fast wie in den USA.

Anmerkung in eigener Sache von Thomas Buck:

„Wir betreiben unser Rechenzentrum schon seit fast 10 Jahren in Reutlingen (Baden-Württemberg) und „produzieren“ folgende Produkte nach ISO 27001 und 9001 selbst und unabhängig von Drittanbietern:

  • Benutzerkonten und Netzwerkverwaltung (Active Directory)
  • SQL Dienste
  • Exchange Postfachdienste
  • ERP Dienste
  • Webserver / Mailserver Dienste
  • Firewall- und SPAM-Schutz

Die Daten werden aus Sicherheitsgründen noch an einen zweiten Standort in Deutschland repliziert. Das gebe ich Ihnen als Geschäftsführer gerne auch schriftlich und stehe mit meinem Namen dazu. „