Gerd R. Rueger 09.08.2012 
„Cloud“ ist mehr als ein Buzz-Word aus dem PR-Babbel des Netz-Biz. Es steht für eine Untergrabung von Privacy und Datenschutz durch Firmen. Daher haben die BBA-Juroren diesmal einen „Trend“ gekürt, der sich durch alle Webanbieter zieht…
BigBrotherAward der Kategorie Kommunikation: „an die Cloud“
Der BigBrotherAward in der Kategorie Kommunikation geht an die Cloud als Trend, Nutzerinnen und Nutzern die Kontrolle über ihre Daten zu entziehen. Wer Adressbücher und Fotos – und damit die Daten anderer Menschen – oder Archive, Vertriebsinfos und Firmeninterna unverschlüsselt in den undurchsichtigen Nebel der Cloud verlagert, handelt mindestens fahrlässig. Fast alle Cloud-Anbieter sind amerikanische Firmen – und die sind laut Foreign Intelligence Surveillance Act verpflichtet, US-Behörden Zugriff auf alle Daten in der Cloud zu geben, auch wenn sich die Rechnerparks auf europäischem Boden befinden. Das 2008 vom Bundesverfassungsgericht postulierte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme wird damit eklatant verletzt.
Der BigBrotherAward 2012 in der Kategorie „Kommunikation“ geht an die Cloud Laudatorin Rena Tangens:
„…geht an die Cloud als Trend, den Nutzerinnen und Nutzern die Kontrolle über ihre Daten zu entziehen.
Aber warum das denn? So eine Schäfchenwolke – die sieht doch nett aus! Und die sind voll im Trend! Bei der diesjährigen CeBIT wurde über kaum was anderes als über das so genannte „Cloud-Computing“ gesprochen. Na, dann gucken wir sie uns doch mal genauer an, diese Schäfchenwolke …
Wo ist denn da der Preisträger? Es sieht so aus, als sei da niemand so richtig verantwortlich. Näher herangehen … mal gucken …. aber auch von Nahem besehen ist das vor allem Nebel … Bevor Sie jetzt blind der Nebelschlussleuchte Ihres Vordermannes nachfahren und auch Ihre Daten ach-so-einfach in der Cloud abspeichern, versuchen wir mal etwas Aufklarung – und Aufklärung – zu bringen.
Was ist überhaupt eine Cloud?
Eigentlich ist das gar nicht so schwer. Eine Cloud ist ein Computer, oder mehrere Computer, das weiß man nicht, weil man die Cloud eben nicht sehen kann. Klingt komisch, ist aber so. Cloud bedeutet, dass man irgendeine Infrastruktur, irgendeine Software oder irgendeinen Speicherplatz auf irgendeinem Rechner oder mehreren Rechnern benutzt, die diesen Service übers Netz anbieten, und zwar immer so viel, wie ich gerade brauche. Wer? Was? Wo? Wieviele? Kann mir doch egal sein, das ergibt sich irgendwie und solange es funktioniert, ist doch alles super. Frei nach dem Motto: „Was interessiert mich die Atomkraft, mein Strom kommt aus der Steckdose.“
Die Cloud ist undurchsichtig – zumindest für die Nutzer/innen: Was passiert eigentlich wo? Für die Nutzer/innen geht inzwischen der Unterschied zwischen „Dies habe ich auf meinem Rechner gespeichert „ und „Das wird irgendwo online abgelegt“ verloren. Und den Anbietern dieser Dienste ist das ganz recht so. Es soll ja vor allem alles einfach sein, oder?
Aber wer doch mehr wissen will, bei seinem Flug durch die Wolke, der sucht vergeblich nach dem Kabinenpersonal. Kennen Sie die schöne Geschichte aus der Netz-Frühzeit, in der Computer-Betriebssysteme (DOS, Windows, Mac, Unix etc.) mit Fluglinien¹ verglichen werden? Windows sieht nett aus, stürzt aber unvermittelt ab, bei Unix müssen alle Fluggäste beim Bau des Flugzeugs mit anfassen. Bei der Macintosh-Airline sehen alle Angestellten gleich aus, egal ob Bodenpersonal, Pilot oder Steward. Und wenn Sie eine Frage haben, dann klopft man Ihnen auf die Finger und sagt „Das brauchen Sie nicht zu wissen, das wollen Sie auch gar nicht wissen – und jetzt gehen Sie zurück an Ihren Platz und schauen einen Film.“ So ungefähr läuft das auch bei der Cloud. Die Grenze zwischen Nutzerfreundlichkeit und Bevormundung durch Technik ist nicht nur bei Apple seit längerem überschritten.
Die persönlichen Daten, irgendwo im Bits-und-Bytes-Nebel – viele fürsorglich umwölkte Nutzerinnen denken, dass ihre Daten ihnen gehören und dass nur sie selbst sie wieder aus den Wolken holen könnten. Weit gefehlt!
Wer sich ein bisschen mehr Gedanken macht, sucht sich einen Cloud-Anbieter, dessen Rechnerparks in Europa stehen. Und denkt: „Server in Europa, alles gut, denn hier sind die Datenschutzgesetze ja viiiiiiiiel besser als auf der anderen Atlantikseite.“ Pustekuchen!
Anders als viele Privatanwender und auch Firmenkundinnen denken, ist es egal, ob sich die Rechner der Cloud in Europa, in den USA oder anderswo befinden: Sobald die Betreiberfirma eine amerikanische ist, muss sie den amerikanischen Behörden Zugriff auf die Daten auch europäischer Kund/innen geben. Dazu ist sie nach dem US-Antiterrorgesetz „Patriot Act“ und dem „FISA Amendments Act of 2008“ (Foreign Intelligence Surveillance Act) Absatz 1881 verpflichtet. Die Nennung von „remote computing services“ meint unter anderem „Cloud Computing“. Caspar Bowden, ehemaliger Datenschutzbeauftragte von Microsoft Europe, 2011 gefeuert, wird nicht müde, auf diesen Punkt hinzuweisen und den Datentransfer von Europa in die USA anzuprangern.
Auch ENISA, die EU-Agentur für Netzsicherheit, warnt, dass europäische Unternehmen beim Cloud Computing leichtfertig sensible Daten aus der Hand gäben.
Ganz konkret: Microsoft räumte im Juni 2011 ein, europäische Daten aus seinem Cloud-Dienst Office 365 an US-amerikanische Regierungsstellen weiterzureichen. Microsoft könne auch nicht garantieren, dass die betroffenen Nutzer davon benachrichtigt würden. Denn die Geheimdienste können sie per Maulkorberlass („gagging order“) zwingen, die Maßnahme zu verschweigen. Ein Unternehmenssprecher von Google folgte im August 2011 und erklärte, dass Google schon mehrfach Daten europäischer Nutzer an US-amerikanische Geheimdienste weitergeleitet habe.
Und an dieser Stelle wird die Schäfchen- zur Gewitterwolke: Hier kollidiert amerikanisches Recht mit dem deutschen Grundrecht, das 2008 vom Bundesverfassungsgericht im Urteil gegen die Online-Durchsuchung von Computern postuliert wurde: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
Dabei gibt es da doch das „Safe Harbor“ Abkommen zwischen USA und EU, durch das amerikanische Unternehmen zusichern, europa-ähnliche Datenschutzregeln einzuhalten. Microsoft, Amazon, Google, Hewlett-Packard und Facebook gehören dazu. Doch die Unternehmen zertifizieren sich selbst – ohne unabhängige Kontrolle. Die sogenannte Galexia-Studie stellte 2008 fest, dass von 1.597 amerikanischen Unternehmen, die in der Safe Harbor Liste stehen, tatsächlich nicht mehr als 348 auch nur die formalen Voraussetzungen für diese Zertifizierung erfüllten. „Safe Harbor“ ist mitnichten ein „sicherer Hafen“, sondern eher eine Fata Morgana.
Denn lüften wir den Nebel einmal weiter und blasen wir uns den Blick auf die Beweggründe der Cloud-Anbieter frei: Denn warum schützen die Cloud-Anbieter die Daten ihrer Kundinnen und Kunden nicht besser? Da gibt es doch mittlerweile viele schöne Worte in den Nutzungsbedingungen a la „Ihre Privatsphäre ist uns wichtig …“ „Wir sind uns des Vertrauens bewusst, das unsere Nutzer in uns setzen und unserer Verantwortung, ihre Privatsphäre zu schützen …“ und so weiter und so fort. Der Datensicherheitsexperte Christopher Soghoian nennt diese Prosa passenderweise „Privacy Theatre“. Tatsächlich machen die Cloud-Anbieter keinerlei Anstrengungen, die Nutzerinnen und Nutzer zu schützen und eine starke Verschlüsselung für die gespeicherten Daten anzubieten. Aber warum eigentlich?
Da gibt es mehrere Gründe. Der Cloud-Anbieter Dropbox zum Beispiel spart schlicht Speicherplatz, indem er die Hashwerte der Dateien der Nutzer vergleicht – und wenn der gleich ist, die Datei nur einmal abspeichert, auch wenn sie vielen Nutzerinnen „gehört“. Dropbox versprach Nutzern eine sichere Verschlüsselung, doch tatsächlich hat Dropbox den Generalschlüssel. Auch Apple kann verschlüsselte iCloud-Daten einsehen und behält sich in den Nutzungsbedingungen vor, die Daten zu entschlüsseln und weiterzugeben, wenn sie es für „angemessen“ halten.
Google, Amazon, Facebook etc. haben noch einen anderen wichtigen Grund: Ihre Dienste sind „gratis“ und finanzieren sich durch Werbung. Und um die Werbung auf die Nutzerinnen und Nutzer gezielt psychologisch und kontextabhängig abzustimmen, müssen die Firmen deren Inhalte lesen können. So einfach ist das.
Warum aber lassen sich so viele Menschen und Firmen auf das Cloud-Computing ein? Vielleicht, weil sie einfach ihren Verstand ausschalten, sobald ein Angebot gratis ist. Erstmal alles nehmen, kostet ja nix. Bei der Wahl zwischen kurzfristigem ökonomischen Vorteil und einem langfristigen abstrakten Wert wie der Privatsphäre zieht der abstrakte Wert fast immer den Kürzeren.
Klar, die Cloud ist praktisch und günstig. Aber sie bedeutet eben auch, sich der Kontrolle eines gewinnorientierten Konzerns auszuliefern, der die Regeln bestimmt und bei Bedarf willkürlich auslegen kann. Wer viel über mich weiß, hat mich in der Hand.
Sorry, liebe investigative Journalisten, wer einen GMail-Account zur Kommunikation mit Informanten nutzt und seine Dokumente mit der Redaktion auf Google Docs teilt, handelt fahrlässig. Wer wie Wikileaks Speicherplatz bei Amazon als Mirror mietet, darf sich nicht wirklich wundern, wenn der unter politischem Druck plötzlich gesperrt wird.² Und der Aachener Fotograf, der künstlerische erotische Fotografien (wohlgemerkt keine Pornografie) im persönlichen Bereich einer Cloud abspeicherte und sich dann wunderte, als ihm mit Sperrung des Zugangs gedroht wurde, sollte er das Material nicht binnen 48 Stunden entfernt haben – na, der hatte halt die Nutzungsbedingungen nicht gelesen – (ich vermute, irgendwo auf Seite 68 von 71, in hellgrau, 3 Punkt Schrift) – wo steht, dass anstößiges Material nicht in der Cloud gespeichert werden darf³. Diese Beispielreihe könnten wir endlos fortsetzen.
Die Cloud kommt modern, bequem und flexibel daher. Tatsächlich markiert die Cloud als Trend einen Rückschritt: Vom intelligenten Personal Computer zurück zum dummen Terminal am Großrechner – nur dass das dumme Terminal jetzt „Smartphone“ heißt und der Großrechner „Internet“. All diese Geräte werden dafür designt, dass sie uns ständig „online“ – an der Leine – halten – soll heißen mit ständiger Verbindung zum und in Abhängigkeit vom Internet.
Richard Stallman, Gründer der „Free Software Foundation“, hat es auf den Punkt gebracht: Er nannte die Cloud eine Verschwörung, um den Nutzerinnen die Kontrolle über ihre Daten zu entziehen. Und es spricht einiges dafür, dass er damit Recht hat.Und jetzt alle im Chor: „Wenn ich für den Service einer Firma nichts bezahlen muss, bin ich nicht die Kundin, sondern das Produkt, das verkauft wird.“ Den sollten wir uns alle als Merksatz an den Badezimmerspiegel kleben.
So schön es wäre, sich Speicher- und Rechnerkapazitäten ganz nach Bedarf mit anderen zu teilen – ob vertrauenswürdige Cloud-Dienste überhaupt geben kann, das muss erst erforscht werden. Ein entsprechendes EU-Projekt läuft gerade beim Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein an, wo wir es in guten Händen wissen.
Um zwei andere Punkte werden wir uns selber kümmern müssen: Wir müssen uns energisch in die gerade laufende Gestaltung der neuen europäischen Datenschutzrichtlinie einmischen und uns für eine Einschränkung des Datentransfers in die USA stark machen. Dafür wollen wir mit mehr Kräften nach Brüssel. Die amerikanischen Lobbyisten sind längst dort. Und wir müssen unsere eigene digitale Mündigkeit bewahren – und das bedeutet vor allem, uns technisch und juristisch kundig machen und nicht immer den bequemsten Weg gehen.
Eigentlich mögen wir Wolken – wie langweilig wäre der Himmel ohne sie und Regen braucht ja auch ein Transportmittel. Und wir lieben die ebenso verschrobene wie charmante britische „Cloud Appreciation Society“ (Gesellschaft zur Wertschätzung der Wolken).
Aber vielleicht ist die Wolke ja auch das falsche Bild und es handelt sich eigentlich um eine alte Bekannte: Eine Datenkrake, die sich nur mit einer Wolke aus Tinte vernebelt.
Herzlichen Glückwunsch zum BigBrotherAward!“
Anmerkungen/Fußnoten:
¹ http://www.eecis.udel.edu/~zurawski/humor/new_os_air.html
² heise.de: Amazon bestreitet politischen Druck wegen Wikileaks
http://www.heise.de/newsticker/meldung/Amazon-bestreitet-politischen-Druck-wegen-Wikileaks-4-Update-1146758.html
³ Aachener Zeitung: Wie ein Handy-Fan von Wolke Sieben fiel
http://www.aachener-zeitung.de/news/topnews-detail-az/1533902?&_jumps=0&_g=Wie-ein-Handy-Fan-von-Wolke-Sieben-fiel
Weitere Preise erhielten:
Behörden und Verwaltung: Innenminister Sachsen
Der BigBrotherAward 2012 in der Kategorie Behörden und Verwaltung geht an den Sächsischen Staatsminister des Inneren, Herrn Markus Ulbig, für Funkzellenabfragen im Raum Dresden. Nachdem am 19. Februar 2011 in Dresden 20.000 Menschen gegen einen Nazi-Aufmarsch demonstriert hatten, forderten das Landeskriminalamt und die Polizei in Dresden die Telekommunikationsverbindungsdaten für 28 Funkzellen an, die Masse davon aus dem örtlichen Bereich des Versammlungsgeschehens. Bald tauchten die erhobenen Daten in Strafverfahren auf, für die man sicher keine Funkzellenabfrage genehmigt bekommen hätte. Der Preisträger verteidigt den ausgelösten Daten-Tsunami von über einer Millionen Datensätze zu inzwischen mehr als 55.000 identifizierten Anschlussinhaberinnen und -inhabern bis heute als rechtmäßig.Mehr
Politik: Bundesinnenminister Hans-Peter Friedrich
Der BigBrotherAward 2012 in der Kategorie „Politik“ geht an Bundesinnenminister Dr. Hans-Peter Friedrich (CSU) für die Einrichtung eines Cyber-Abwehrzentrums ohne Legitimation durch den Bundestag, für die Einrichtung eines Gemeinsamen Abwehrzentrums gegen Rechtsextremismus (GAR), ebenfalls am Parlament vorbei, sowie für den Plan, alsbald eine gemeinsame zentrale Verbunddatei „gewaltbezogener Rechtsextremismus“ zu errichten. Mit der geplanten Verbunddatei und den neuen Abwehrzentren werden Polizei, Geheimdienste und teilweise das Militär auf problematische Weise vernetzt und verzahnt – unter Missachtung des historisch begründeten Verfassungsgebotes, nach dem diese Sicherheitsbehörden strikt voneinander getrennt sein und getrennt arbeiten müssen.Mehr
Verbraucherschutz: Blizzard Entertainment
Der BigBrotherAward 2012 in der Kategorie „Verbraucherschutz“ geht an die Firma Blizzard Entertainment für diverse Datenschutzverletzungen bei ihren Online-Spielen (z.B. World of Warcraft). Aus der protokollierten Spieldauer, erhobenen Rechnerdaten, dem Abgleich von Freundeslisten und dem zum Teil öffentlich im Netz einsehbaren Spielerverhalten (z.B. wie hat jemand eine bestimmte Aufgabe gelöst) lassen sich Persönlichkeitsprofile und Charakterstudien erstellen. Für eine entsprechende Auswertung wurde bereits 2007 ein US-Patent eingetragen – auf einen wissenschaftlichen Mitarbeiter von Google. Stück für Stück werden die Methoden zur Datenklauberei in den endlosen Nutzungsbedingungen weiter ausgeweitet. Immerhin: Der Versuch, den Zwang zu öffentlichen realen Klarnamen einzuführen, wurde durch Spielerproteste verhindert – noch.Mehr
Den BigBrotherAward in der Kategorie Technik erhält die Gamma Group, in Deutschland vertreten durch die Gamma International in München, namentlich den Prokuristen Stephan Oelkers, für ihre Software „FinFisher“. Gamma wirbt damit, dass Sicherheitslücken in iTunes und Skype genutzt werden, um z.B. per gefälschten Updates Spionagesoftware auf andere Rechner einzuschleusen und über ihre Software FinSpy Mobile auch auf Blackberrys zugreifen zu können. Gamma-Software wird an Geheimdienste und staatliche Institutionen im In- und Ausland verkauft. Gefunden wurde sie zum Beispiel bei der Erstürmung der Kairoer Zentrale des ägyptischen Geheimdienstes durch Bürgerrechtler.Mehr
Der BigBrotherAward 2012 in der Kategorie Arbeitswelt geht an die Firma Bofrost für die rechtswidrige Ausforschung von Daten auf einem Betriebsratscomputer. Bofrost hat die Dateiinformation eines dort gefundenen Schreibens verwendet, um einem Betriebsratsmitglied zu kündigen. Das Arbeitsgericht hat die Unzulässigkeit dieses Vorgehens bestätigt. Auf einem Computer eines anderen Betriebsrats wurde ohne Zustimmung des Betriebsrats die Fernbedienungssoftware Ultra VNC installiert und erst nach gerichtlichem Vergleich wurde zugesichert, dies in Zukunft zu unterlassen. Mehr
Jasminrevolution 