Aktuelles & Hintergründe für Ihre IT

Was der Patriot Act und Cloud-Computing Services gemeinsam haben

Immer mehr Personen und Unternehmen setzen auf Cloud-Lösungen. Bedenken Sie bitte wer mitliest!

FrommEDV | News Cloud-Computing

Der Patriot Act verpflichtet Firmen mit Hauptsitz in den USA Kundendaten auf Antrag von US-Behörden herauszugeben. Und zwar auch solche Informationen, die auf IT-Systemen in Europa oder anderen Ländern lagern.

Nachdem Edward Snowdon darauf hinwies, dass der amerikanische Geheimdienst Datenleitungen von amerikanischen Service-Providern anzapft, reagierten Google, Yahoo, Microsoft, Amazon und Co. mit gutgemeinten Selbstverpflichtungen. Microsoft ging sogar so weit eine Art Ehrenerklärung abzugeben, in der sie Geschäftskunden Ihrer Cloud-Dienste aus den EU-Staaten zusicherten die volle Kontrolle über Ihre Daten zu behalten. Zudem räumte Microsoft ausdrücklich ein, dass diese Informationen den Datenschutzbestimmungen unterliegen, die in der Europäischen Union gelten. Dies betrifft insbesondere Microsofts Cloud-Angebote Microsoft Azure, Office 365, Microsoft Dynamics CRM sowie Windows Intune, eine Cloud-Lösung für das Management von IT-Systemen.

Alle Ehrenerklärungen und Selbstverpflichtungen könnten durch ein Urteilsspruch vom 25. April 2014 ad absurdum geführt werden. Richter James C. Francis vom Distriktgericht des Southern District of New York, vertritt die Auffassung: Durchsuchungsbefehle geben amerikanischen Behörden das Recht von einem Cloud-Service-Provider die Herausgabe aller Daten zu verlangen, die Privatpersonen oder Unternehmen bei ihm gespeichert haben. Das gilt unabhängig davon, wo sich diese Daten befinden, sprich in welchen Rechenzentren.

Francis beruft sich in seiner Entscheidung auf das Stored Communications Act (SCA), ein Gesetz, das 1986 als Teil des Electronic Communications Privacy Act verabschiedet wurde. Die Argumentation der Richters ist bemerkenswert: Amerikanischen Behörden sei nicht zuzumuten, den üblichen Weg über Rechtshilfeverfahren zu beschreiten. Dies sei zu zeitaufwändig und könne dazu führen, dass Ermittlungen ins Leere liefen.

Das heißt, her mit den Daten Verdächtiger, und zwar ALLER Daten – und ohne Rücksicht darauf, wo eine amerikanische IT-Firma diese Informationen speichert. Und welch Ironie des Schicksals: Das Urteil von James C. Francis betrifft ausgerechnet Microsoft. Amerikanische Ermittlungsbehörden wollten Zugriff auf E-Mails eines Verdächtigen. Doch die Mails lagen auf Servern in Microsofts Rechenzentrum in Dublin (Irland). Der standhaften Weigerung Microsofts, diese Daten herauszugeben, machte James C. Francis vorerst ein Ende.

Was also tun? Ganz einfach: Jedes Unternehmen, auch Kleinfirmen, sollten sich gut überlegen, welchem Cloud-Service-Provider sie geschäftskritische Daten anvertrauen. Anbieter mit Hauptsitz in der EU sind sicherlich keine schlechte Wahl. Denn eine Tatsache lässt sich nicht wegdiskutieren: Cloud-Computing-Firmen aus den USA unterliegen US-Recht. Punkt! Daran ändern auch gut gemeinte Selbstverpflichtungen nichts.

Microsoft kündigte umgehend an, gegen die Entscheidung Francis Rechtsmittel einzulegen. Dennoch hat das Urteil die Debatte um die Zugriffsrechte ausländischer Behörden, speziell solcher aus den USA, auf Daten von Cloud-Computing-Kunden amerikanischer Firmen neu entfacht. Und das zu Recht. Denn sollte das Urteil Bestand haben, steht US-Behörden neben dem Patriot Act eine weitere gesetzliche Handhabe zur Verfügung, die ihnen den Zugriff auf Daten in Cloud-Rechenzentren von Microsoft, Google, Amazon, Rackspace et cetera einräumt.

(Quelle: all-about-security.de)