Wie netzpolitik.org berichtet, arbeiten das deutsche Bundesfinanzministerium sowie das Bundesinnenministerium an der Überwachung von Daten in der Cloud. Ebenso arbeiten das Zollkriminalamt (ZKA) sowie das Bundesamt für Verfassungsschutz im Rahmen internationaler Arbeitsgruppen an Methoden, um Daten aus der Cloud abzuhören. Zusammen mit der Bundesnetzagentur gehören beide dazu dem „European Telecommunications Standards Institute“ (ETSI) an. Zwar sei das Bundeskriminalamt (BKA) nicht direkt mit involviert, sei aber in Kontakt mit dem ZKA und habe Einfluss auf Entwicklungen und Beschlüsse.
Das ETSI soll Datenschutz umgehen
Bereits im August hatte ich darüber geschrieben, dass sich das ETSI mit Technologien beschäftigt, um den Datenschutz trotz Mechanismen wie z.B. SSL auszuhebeln.
Das ETSI soll dazu „eine geheime Hintertür für die Cloud“ entwickeln. Dabei soll es darum gehen, den Sicherheitsbehörden das Abhören und Überwachen von Kommunikationsdaten in der Cloud zu erleichtern. Das soll neben Angeboten wie Facebook, Twitter usw. ebenfalls Unternehmensangebote wie die Amazon Web Services, Microsoft Windows Azure und andere Anbieter betreffen. Dazu habe sich das ETSI eine Backdoor überlegt, um unkompliziert den unautorisierten Zugriff zu ermöglichen.
SSL wird ausgehebelt
Bei der ETSI Idee handelt es sich, wie sonst oft diskutiert, allerdings nicht um rechtliche Themen wie bspw. dem „Patriot Act“. Hier geht es um reine Technik. Das ETSI will eine Schnittstelle definieren, mit der europäische Sicherheitsbehörden Zugriff auf die Cloud Services der Anbieter erhalten. Die ETSI-Arbeitsgruppe “TC Lawful Interception” stellt sich die Umsetzung so vor, dass die Internet-Anbieter sämtlichen Verkehr standardmäßig umleiten. Nutzt ein Anwender eine verschlüsselte HTTPS-Verbindung (was mittlerweile Standard ist), soll der Datenverkehr auf spezielle Server in das Rechenzentrum des Internet-Anbieter umgeleitet werden. Hier sollen die Sicherheitsbehörden dann den Zugriff auf die Daten erhalten. Um das zu realisieren, müssen die entsprechenden SSL-Zertifikate ausgehebelt werden. Der ETSI geht es nach eigenen Angaben nur um die Erfassung der Datenkommunikation und nicht um die Kontrolle der Inhalte. Der britische Sicherheitsspezialisten und Leiter des Computer Laboratory der Universität Cambridge Ross Anderson hingegen schreibt nach einer Analyse des ETSI-Entwurfs allerdings: „Wenn man die Infrastruktur baut, auf die sich das ETSI geeinigt hat, kann diese für Überwachungsaktivitäten genutzt werden.“
Konsortium hilft beim Forschen zum Schnüffeln
Wie netzpolitik weiter schreibt, arbeiten die Deutsche Telekom und die 1&1 Internet AG zusammen unter der Firma „Strategie- und Forschungszentrum Telekommunikation“ (SFZ TK) an dem gemeinsamen Projekt mit dem Namen „CLOUD“ an der Überwachung von Cloud-Diensten. Zwar geht es nur um die „Fragestellungen zu Cloud-Computing und dessen Implikationen auf die Telekommunikationsüberwachung“, aber was man zwischen den Zeilen lesen kann ist besorgniserregend:
„Die unter Umständen weltweite und nicht transparente Verteilung der Daten, Software, Betriebssysteme und Speicher sowie der in der Regel auf verschlüsselten Kommunikationsprotokollen basierende Zugang zu Cloud-Diensten erschwert einen Zugriff der Sicherheitsbehörden.“
Neben dem BKA und der Bundespolizei arbeitet ebenfalls das Bundesamt für Verfassungsschutz mit SFZ TK zusammen.
Deutschland verbaut sich selbst einen kleinen Wettbewerbsvorteil
Im Mai hatte ich im Verlauf der SecureCloud 2012 in Frankfurt noch die Gelegenheit mit mehreren Beratern zu sprechen. Die durchweg einstimmigen Aussagen waren, dass sich Cloud Angebote aus Deutschland mit dem Verkaufsargument des hohen Datenschutzniveau sehr gut verkaufen lassen.
Ein deutscher Patriot Act schadet dem deutschen Cloud Computing Markt
Einige Cloud Anbieter aus Deutschland werben u.a. mit solchen Geschichten wie „Made in Germany“ und hohen Datenschutzanforderungen in unserem Land. So ganz unrecht haben sie damit natürlich nicht. Im Vergleich zu anderen Ländern ist der Zugriff auf Daten bei einem deutschen Anbieter so ohne weiteres nicht möglich.
Dieser Wettbewerbsvorteil – TRUST (wir erinnern uns an die CeBIT 2012) – wird, geht es nach der deutschen Bundesregierung, jedoch bald verschwinden. Es geht dann nicht mehr darum, wer den besseren Datenschutz bieten kann oder vertrauenswürdig ist, sondern einzig und allein darum wer die besten Services und die innovativsten Produkte hat. Unternehmen müssen in Zukunft zudem noch besser darauf achten, ihre Daten zu klassifizieren und entscheiden, was in die Cloud soll und was doch lieber on-Premise bleibt. Darüber hinaus wird diese Entwicklung Einfluss auf den Markt haben, da sich immer mehr Unternehmen für eine eigene Private Cloud entscheiden.
Willkommen Private Cloud
Das Vertrauen in die Public Cloud wird weiter sinken und Public Cloud Services – die für das Cloud Computing in Reinform stehen – werden demnach einen weiteren Dämpfer erhalten! Interessant ist, dass die Marktforscher von Gartner für 2012 ein großes Wachstum in der Public Cloud sehen. Zudem sollen die Ausgaben für Enterprise Public Cloud Services bis 2016 die 207 Milliarden US-Dollar erreichen.
Ziehen wir diese neue Entwicklung heran, wird Gartner seine Prognosen wohl herunterschrauben müssen. Die Bedenken von CIOs, Public Cloud Services zu nutzen, sind derzeit eh schon höher als gedacht. Der Hauptgrund sind die Befürchtungen vor Datenlecks in der Public Cloud. Deutsche Unternehmen werden die Gedanken der deutschen Regierung ebenfalls nicht gerne hören. Eine Umfrage von IDC ergab vor kurzem, das ein Drittel der befragten deutschen Unternehmen in 2013 zwischen 26% – 50% ihres IT-Budget in die Private Cloud investieren wollen. Allerdings interessieren sich 90% der Unternehmen nicht(!) für die Public Cloud.
