Online-Speicherdienste sind als Folge des Überwachungsskandals und der Enthüllungen durch Edward Snowden in den vergangenen Monaten in Verruf geraten. Viele Internetnutzer fragen sich, ob ihre Daten in der Cloud sicher sind. Sind die Systeme der deutschen Anbieter gar besser geschützt und verschlüsselt als die ihrer Mitanbieter im Ausland? Die Stiftung Warentest hat Ende Juli einen aktuellen Test “Daten in der Cloud: „Online-Speicherdienste im Test“ veröffentlicht, politik-digital.de sprach mit dem verantwortlichen Projektleiter Gunnar Schwan.
politik-digital.de: Viele deutsche Unternehmen speichern ihre Kundendaten weltweit in Clouds und anderen Online-Datenbanken. Glauben Sie, dass die Unternehmen wissen, wie und wo ihre Kundendaten auf Servern verschlüsselt werden?
Gunnar Schwan: Ehrlich gesagt, habe ich keine Ahnung. Wenn diese Unternehmen aber personenbezogene Daten, wie z.B. Kundendaten, nicht selbst, sondern durch andere Anbieter verarbeiten lassen, sind sie auch dort für den ordnungsgemäßen Ablauf verantwortlich. Es wird nur die Abwicklung ausgelagert, nicht die Haftung. Die sogenannte Auftragsdatenverarbeitung ist in Deutschland streng geregelt. Sie beinhaltet nicht nur eine sorgfältige Auswahl des Anbieters, sondern auch eine regelmäßige Kontrolle der beim ausgewählten Anbieter getroffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten. Diese Kontrollanforderung kann nur erfüllt werden, wenn die Unternehmen entsprechend über Abläufe und Strukturen beim Anbieter informiert sind. Die Unternehmen müssen sich also so oder so mit dem Thema beschäftigen.
politik-digital.de: Was raten Sie den Nutzern von Clouds? Können Sie z.B. aus dem Testbericht „Daten in der Cloud“ einen besonders zuverlässigen Provider hervorheben, der Datenschutz gewährleisten kann?
Gunnar Schwan: Das eigentliche Problem scheint gerade nicht das Verhalten der Provider zu sein, sondern welchen Zugriff Dritte auf die vom Provider verwalteten Daten haben. Wenn der Provider Einsicht in die hochgeladenen Daten hat, haben potentiell auch Dritte Einsicht. Dies kann durch richterlichen Beschluss legitim durchgesetzt werden oder ist anscheinend im Rahmen von geheimdienstlichen Methoden (auch ohne konkreten Verdacht) möglich. Insofern ist ein guter Provider der, der keine Einsicht in die Daten hat. In unserem Testfeld traf das nur auf LaCie Wuala zu. Bei diesem Dienst werden die Daten des Nutzers vor dem Upload zum Anbieter verschlüsselt, und zwar mit einem Schlüssel, den nur der Nutzer hat. Bei anderen Diensten ohne diese Verschlüsselungspraxis bietet sich alternativ der Einsatz von Zusatzsoftware an. So kann man den bei LaCie eingebauten Schutz bei anderen Diensten beispielsweise mit BoxCryptor nachrüsten.
politik-digital.de: Neben vielen technischen Sicherheitsmechanismen gibt das deutsche Bundesdatenschutzgesetz (BDSG) unter anderem die Datenhaltung in Deutschland vor. Hat das BDSG die juristische Möglichkeit, einen Riegel vor die Überwachungsprogramme der Amerikaner zu schieben?
Gunnar Schwan: Ob Deutschland oder nicht, ist gar nicht die zentrale Frage. Viel wichtiger ist, ob das in Deutschland geltende Datenschutzniveau erreicht wird. Als Nutzer sollte man darauf achten, dass die Anbieterserver ausschließlich im Europäischen Wirtschaftsraum (EWR) stehen. Der EWR ist quasi eine erweiterte EU, Norwegen gehört beispielsweise auch dazu.
politik-digital.de: Ist aus Ihrer Sicht mit den Enthüllungen Edward Snowdens der volle Umfang der Überwachung durch Prism, Tempora und Xkeyscore auf dem Tisch oder vermuten Sie, dass uns noch weitere Überraschungen bevorstehen?
Gunnar Schwan: Die bisherigen Veröffentlichungen sind dramaturgisch aufgebaut. Das jeweils neu veröffentlichte Material ist immer brisanter bzw. erschreckender als das zuvor. Ich gehe davon aus, dass wir noch lange nicht alles gehört und gelesen haben. Interessanterweise sind die Paranoiker von gestern aus heutiger Sicht sehr hellsichtig gewesen – womöglich sind sie sogar noch zu vorsichtig mit ihren Prognosen.
politik-digital.de: Wenn die Überwachungsprogramme selbst Opfer von Hackerangriffen werden und die Daten somit in falsche Hände geraten, was wäre die Konsequenz für die Nutzer?
Gunnar Schwan: Das Problem der verdachtsunabhängigen Vorratsdatenspeicherung ist folgendes: Wenn die Daten erst einmal vorhanden sind, werden sie auch genutzt. Außerdem passieren ständig technische oder organisatorische Fehler, egal wie zuverlässig die Sicherheitsmechanismen sein mögen. Die Daten sind dann auch noch gestreut, ein Zurückholen ist unmöglich. Diejenigen, die argumentieren, dass sie nichts zu verbergen haben, werden sich dann vielleicht bei der nächsten Einreise in die USA wundern, warum sie intensiver als normal kontrolliert werden oder ihnen sogar die Einreise verwehrt wird – natürlich ohne eine Begründung.
Der Spiegel berichtete vor kurzem, dass ein Beamter aus Baden-Württemberg fast seinen Job verlor, weil er sich in seiner Magisterarbeit mit dem Islam beschäftigt hat und dafür auch ein Interview mit einem Islamisten führte. Der Landesverfassungsschutz bekam Kenntnis, verfolgte die Spur und zog anscheinend falsche Schlüsse. Ein Bericht in den Stuttgarter Nachrichten hätte dann fast das berufliche Aus für den Beamten bedeutet, obwohl er sich nichts zu Schulden kommen ließ.
Eigentlich sollte es so sein wie in der Wissenschaft üblich: Man fängt mit einer Hypothese oder wenigstens einer Fragestellung an und interpretiert die gesammelten Daten entsprechend. Erst die Daten zu sammeln und in diesen dann nach Mustern zu suchen, führt zu Missverständnissen. Das ist vergleichbar mit einem längeren Blick in die Wolken. Irgendwann sieht man Figuren, die eigentlich gar nicht da sind.
politik-digital.de: Die nun geplante „E-Mail made in Germany“ der Anbieter Telekom und United Internet (u.a. Web.de und GMX) verspricht verbesserte Datensicherheit beim E-Mail-Verkehr. Das Problem ist, dass die E-Mails den ausländischen Providern weiterhin im Volltext vorliegen. Wie könnte eine „Ende-zu-Ende-Verschlüsselung“ gewährleistet werden?
Gunnar Schwan: „E-Mail made in Germany“ verkauft einen eigentlichen Standard als angebliche Neuerung. Dass E-Mails auf dem Weg vom Absender zum Anbieter, zwischen den Anbietern und dann vom Anbieter zum Empfänger verschlüsselt übertragen werden, gehört normalerweise zum technischen Standard. Problematisch ist, dass die Anbieter jederzeit Einsicht in die Nachrichten haben. Bei Google Mail beruht das Geschäftsmodell sogar darauf, die Nachrichten automatisch nach Stichworten zu durchsuchen. Am Seitenrad der Nachricht erscheint dann vermeintlich passende Werbung. Das ginge nicht, wenn Nachrichten per PGP oder S/MIME verschlüsselt wären. Denn dann können nur Absender und Empfänger Einsicht nehmen, so wie das bei Briefen Standard ist und bei E-Mails auch sein sollte. Dummerweise hat stärkerer Schutz momentan auch immer eine geringere Funktionalität zur Folge. Zum einen muss man auch seine Kommunikationspartner dazu bringen, sich mit Verschlüsselung/Entschlüsselung zu beschäftigen, andererseits fällt dann das schnelle Schreiben einer E-Mail im Browserfenster aus. Man darf dann nur noch eine Mail-Software mit Verschlüsselung benutzen, z. B. Thunderbird mit der Erweiterung Enigmail.
politik-digital.de: Wie können deutsche Nutzer den eigenen Anbieter zu mehr Datensicherheit bewegen?
Gunnar Schwan: Besser ist es, selbst zu verschlüsseln – wie eben skizziert – und dem Anbieter gar nicht erst in die Situation zu versetzen, Daten einsehen zu können. Denn bei Ansätzen wie Tempora haben die Anbieter offenbar auch gar keinen Einfluss auf die Datensicherheit und Datenweitergabe. Einen guten Überblick, wie man sich bei E-Mail schützen kann, gibt das Projekt „Verbraucher sicher online“ der Technischen Universität Berlin.
politik-digital.de: Seien Sie bitte einmal kurz visionär. Sagen Sie uns, welche Konsequenzen der Überwachungsskandal aus Ihrer Sicht längerfristig für Nutzer und Politik haben wird bzw. sollte?
Gunnar Schwan: Im Augenblick sieht es für mich so aus, als wenn die in Deutschland nicht geduldete Vorratsdatenspeicherung durch die Zusammenarbeit der internationalen Geheimdienste eigentlich doch stattfindet. Leider sind viele rechtliche Vorgaben nur auf nationaler Ebene bindend, das Internet funktioniert aber international. Tatsache ist, Internetnutzer können sich nicht sicher sein, was mit ihren Daten passiert und wer sie irgendwann aus welchem Grund auswertet und welche Interpretationen sich daraus ergeben. Welche Konsequenzen aus dem Überwachungsskandal von der Politik gezogen werden, hängt letztlich auch von den Bürgern ab. Wenn man aber aktuelle Umfragen ansieht, sind die Deutschen zwar nicht gerade glücklich über die ganzen Datenskandale, eine Auswirkung auf ihr Wahlverhalten hat das aber anscheinend nicht. Ich würde mir wünschen, dass sich Nutzer mehr mit dem Schutz der Privatsphäre beschäftigen und vor allem sollten jüngere Menschen für das Thema sensibilisiert werden: in der Schule und in der Familie. Beim Thema Datenschutz geht es schließlich immer auch um unsere Bürgerrechte, auf die unsere Demokratie fußt – das sollten sich die Bürger und die Politiker, aber auch die Unternehmen bewusst machen.
Bilder: Guorun (CC BY-ND 2.0), Stiftung Warentest