Der BigBrotherAward 2012 in der Kategorie „Kommunikation“ geht an die Cloud als Trend, den Nutzerinnen und Nutzern die Kontrolle über ihre Daten zu entziehen.
Aber warum das denn? So eine Schäfchenwolke – die sieht doch nett aus! Und die sind voll im Trend! Bei der diesjährigen CeBIT wurde über kaum was anderes als über das so genannte „Cloud-Computing“ gesprochen. Na, dann gucken wir sie uns doch mal genauer an, diese Schäfchenwolke …
Wo ist denn da der Preisträger? Es sieht so aus, als sei da niemand so richtig verantwortlich. Näher herangehen … mal gucken …. aber auch von Nahem besehen ist das vor allem Nebel … Bevor Sie jetzt blind der Nebelschlussleuchte Ihres Vordermannes nachfahren und auch Ihre Daten ach-so-einfach in der Cloud abspeichern, versuchen wir mal etwas Aufklarung – und Aufklärung – zu bringen.
Was ist überhaupt eine Cloud?
Eigentlich ist das gar nicht so schwer. Eine Cloud ist ein Computer, oder mehrere Computer, das weiß man nicht, weil man die Cloud eben nicht sehen kann. Klingt komisch, ist aber so. Cloud bedeutet, dass man irgendeine Infrastruktur, irgendeine Software oder irgendeinen Speicherplatz auf irgendeinem Rechner oder mehreren Rechnern benutzt, die diesen Service übers Netz anbieten, und zwar immer so viel, wie ich gerade brauche. Wer? Was? Wo? Wieviele? Kann mir doch egal sein, das ergibt sich irgendwie und solange es funktioniert, ist doch alles super. Frei nach dem Motto: „Was interessiert mich die Atomkraft, mein Strom kommt aus der Steckdose.“
Die Cloud ist undurchsichtig – zumindest für die Nutzer/innen: Was passiert eigentlich wo? Für die Nutzer/innen geht inzwischen der Unterschied zwischen „Dies habe ich auf meinem Rechner gespeichert „ und „Das wird irgendwo online abgelegt“ verloren. Und den Anbietern dieser Dienste ist das ganz recht so. Es soll ja vor allem alles einfach sein, oder?
Aber wer doch mehr wissen will, bei seinem Flug durch die Wolke, der sucht vergeblich nach dem Kabinenpersonal. Kennen Sie die schöne Geschichte aus der Netz-Frühzeit, in der Computer-Betriebssysteme (DOS, Windows, Mac, Unix etc.) mit Fluglinien1 verglichen werden? Windows sieht nett aus, stürzt aber unvermittelt ab, bei Unix müssen alle Fluggäste beim Bau des Flugzeugs mit anfassen. Bei der Macintosh-Airline sehen alle Angestellten gleich aus, egal ob Bodenpersonal, Pilot oder Steward. Und wenn Sie eine Frage haben, dann klopft man Ihnen auf die Finger und sagt „Das brauchen Sie nicht zu wissen, das wollen Sie auch gar nicht wissen – und jetzt gehen Sie zurück an Ihren Platz und schauen einen Film.“ So ungefähr läuft das auch bei der Cloud. Die Grenze zwischen Nutzerfreundlichkeit und Bevormundung durch Technik ist nicht nur bei Apple seit längerem überschritten.
Die persönlichen Daten, irgendwo im Bits-und-Bytes-Nebel – viele fürsorglich umwölkte Nutzerinnen denken, dass ihre Daten ihnen gehören und dass nur sie selbst sie wieder aus den Wolken holen könnten. Weit gefehlt!
Wer sich ein bisschen mehr Gedanken macht, sucht sich einen Cloud-Anbieter, dessen Rechnerparks in Europa stehen. Und denkt: „Server in Europa, alles gut, denn hier sind die Datenschutzgesetze ja viiiiiiiiel besser als auf der anderen Atlantikseite.“ Pustekuchen!
Anders als viele Privatanwender und auch Firmenkundinnen denken, ist es egal, ob sich die Rechner der Cloud in Europa, in den USA oder anderswo befinden: Sobald die Betreiberfirma eine amerikanische ist, muss sie den amerikanischen Behörden Zugriff auf die Daten auch europäischer Kund/innen geben. Dazu ist sie nach dem US-Antiterrorgesetz „Patriot Act“ und dem „FISA Amendments Act of 2008“ (Foreign Intelligence Surveillance Act) Absatz 1881 verpflichtet. Die Nennung von „remote computing services“ meint unter anderem „Cloud Computing“. Caspar Bowden, ehemaliger Datenschutzbeauftragte von Microsoft Europe, 2011 gefeuert, wird nicht müde, auf diesen Punkt hinzuweisen und den Datentransfer von Europa in die USA anzuprangern.
Auch ENISA, die EU-Agentur für Netzsicherheit, warnt, dass europäische Unternehmen beim Cloud Computing leichtfertig sensible Daten aus der Hand gäben.
Ganz konkret: Microsoft räumte im Juni 2011 ein, europäische Daten aus seinem Cloud-Dienst Office 365 an US-amerikanische Regierungsstellen weiterzureichen. Microsoft könne auch nicht garantieren, dass die betroffenen Nutzer davon benachrichtigt würden. Denn die Geheimdienste können sie per Maulkorberlass („gagging order“) zwingen, die Maßnahme zu verschweigen. Ein Unternehmenssprecher von Google folgte im August 2011 und erklärte, dass Google schon mehrfach Daten europäischer Nutzer an US-amerikanische Geheimdienste weitergeleitet habe.
Und an dieser Stelle wird die Schäfchen- zur Gewitterwolke: Hier kollidiert amerikanisches Recht mit dem deutschen Grundrecht, das 2008 vom Bundesverfassungsgericht im Urteil gegen die Online-Durchsuchung von Computern postuliert wurde: Das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme.
Dabei gibt es da doch das „Safe Harbor“ Abkommen zwischen USA und EU, durch das amerikanische Unternehmen zusichern, europa-ähnliche Datenschutzregeln einzuhalten. Microsoft, Amazon, Google, Hewlett-Packard und Facebook gehören dazu. Doch die Unternehmen zertifizieren sich selbst – ohne unabhängige Kontrolle. Die sogenannte Galexia-Studie stellte 2008 fest, dass von 1.597 amerikanischen Unternehmen, die in der Safe Harbor Liste stehen, tatsächlich nicht mehr als 348 auch nur die formalen Voraussetzungen für diese Zertifizierung erfüllten. „Safe Harbor“ ist mitnichten ein „sicherer Hafen“, sondern eher eine Fata Morgana.
Denn lüften wir den Nebel einmal weiter und blasen wir uns den Blick auf die Beweggründe der Cloud-Anbieter frei: Denn warum schützen die Cloud-Anbieter die Daten ihrer Kundinnen und Kunden nicht besser? Da gibt es doch mittlerweile viele schöne Worte in den Nutzungsbedingungen a la „Ihre Privatsphäre ist uns wichtig …“ „Wir sind uns des Vertrauens bewusst, das unsere Nutzer in uns setzen und unserer Verantwortung, ihre Privatsphäre zu schützen …“ und so weiter und so fort. Der Datensicherheitsexperte Christopher Soghoian nennt diese Prosa passenderweise „Privacy Theatre“. Tatsächlich machen die Cloud-Anbieter keinerlei Anstrengungen, die Nutzerinnen und Nutzer zu schützen und eine starke Verschlüsselung für die gespeicherten Daten anzubieten. Aber warum eigentlich?
Da gibt es mehrere Gründe. Der Cloud-Anbieter Dropbox zum Beispiel spart schlicht Speicherplatz, indem er die Hashwerte der Dateien der Nutzer vergleicht – und wenn der gleich ist, die Datei nur einmal abspeichert, auch wenn sie vielen Nutzerinnen „gehört“. Dropbox versprach Nutzern eine sichere Verschlüsselung, doch tatsächlich hat Dropbox den Generalschlüssel. Auch Apple kann verschlüsselte iCloud-Daten einsehen und behält sich in den Nutzungsbedingungen vor, die Daten zu entschlüsseln und weiterzugeben, wenn sie es für „angemessen“ halten.
Google, Amazon, Facebook etc. haben noch einen anderen wichtigen Grund: Ihre Dienste sind „gratis“ und finanzieren sich durch Werbung. Und um die Werbung auf die Nutzerinnen und Nutzer gezielt psychologisch und kontextabhängig abzustimmen, müssen die Firmen deren Inhalte lesen können. So einfach ist das.
Warum aber lassen sich so viele Menschen und Firmen auf das Cloud-Computing ein? Vielleicht, weil sie einfach ihren Verstand ausschalten, sobald ein Angebot gratis ist. Erstmal alles nehmen, kostet ja nix. Bei der Wahl zwischen kurzfristigem ökonomischen Vorteil und einem langfristigen abstrakten Wert wie der Privatsphäre zieht der abstrakte Wert fast immer den Kürzeren.
Klar, die Cloud ist praktisch und günstig. Aber sie bedeutet eben auch, sich der Kontrolle eines gewinnorientierten Konzerns auszuliefern, der die Regeln bestimmt und bei Bedarf willkürlich auslegen kann. Wer viel über mich weiß, hat mich in der Hand.
Sorry, liebe investigative Journalisten, wer einen GMail-Account zur Kommunikation mit Informanten nutzt und seine Dokumente mit der Redaktion auf Google Docs teilt, handelt fahrlässig. Wer wie Wikileaks Speicherplatz bei Amazon als Mirror mietet, darf sich nicht wirklich wundern, wenn der unter politischem Druck plötzlich gesperrt wird2. Und der Aachener Fotograf, der künstlerische erotische Fotografien (wohlgemerkt keine Pornografie) im persönlichen Bereich einer Cloud abspeicherte und sich dann wunderte, als ihm mit Sperrung des Zugangs gedroht wurde, sollte er das Material nicht binnen 48 Stunden entfernt haben – na, der hatte halt die Nutzungsbedingungen nicht gelesen – (ich vermute, irgendwo auf Seite 68 von 71, in hellgrau, 3 Punkt Schrift) – wo steht, dass anstößiges Material nicht in der Cloud gespeichert werden darf3. Diese Beispielreihe könnten wir endlos fortsetzen.
Die Cloud kommt modern, bequem und flexibel daher. Tatsächlich markiert die Cloud als Trend einen Rückschritt: Vom intelligenten Personal Computer zurück zum dummen Terminal am Großrechner – nur dass das dumme Terminal jetzt „Smartphone“ heißt und der Großrechner „Internet“. All diese Geräte werden dafür designt, dass sie uns ständig „online“ – an der Leine – halten – soll heißen mit ständiger Verbindung zum und in Abhängigkeit vom Internet.
Richard Stallman, Gründer der „Free Software Foundation“, hat es auf den Punkt gebracht: Er nannte die Cloud eine Verschwörung, um den Nutzerinnen die Kontrolle über ihre Daten zu entziehen. Und es spricht einiges dafür, dass er damit Recht hat.Und jetzt alle im Chor: „Wenn ich für den Service einer Firma nichts bezahlen muss, bin ich nicht die Kundin, sondern das Produkt, das verkauft wird.“ Den sollten wir uns alle als Merksatz an den Badezimmerspiegel kleben.
So schön es wäre, sich Speicher- und Rechnerkapazitäten ganz nach Bedarf mit anderen zu teilen – ob vertrauenswürdige Cloud-Dienste überhaupt geben kann, das muss erst erforscht werden. Ein entsprechendes EU-Projekt läuft gerade beim Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein an, wo wir es in guten Händen wissen.
Um zwei andere Punkte werden wir uns selber kümmern müssen: Wir müssen uns energisch in die gerade laufende Gestaltung der neuen europäischen Datenschutzrichtlinie einmischen und uns für eine Einschränkung des Datentransfers in die USA stark machen. Dafür wollen wir mit mehr Kräften nach Brüssel. Die amerikanischen Lobbyisten sind längst dort. Und wir müssen unsere eigene digitale Mündigkeit bewahren – und das bedeutet vor allem, uns technisch und juristisch kundig machen und nicht immer den bequemsten Weg gehen.
Eigentlich mögen wir Wolken – wie langweilig wäre der Himmel ohne sie und Regen braucht ja auch ein Transportmittel. Und wir lieben die ebenso verschrobene wie charmante britische „Cloud Appreciation Society“ (Gesellschaft zur Wertschätzung der Wolken).
Aber vielleicht ist die Wolke ja auch das falsche Bild und es handelt sich eigentlich um eine alte Bekannte: Eine Datenkrake, die sich nur mit einer Wolke aus Tinte vernebelt.
Herzlichen Glückwunsch zum BigBrotherAward!
Laudator.in
1 http://www.eecis.udel.edu/~zurawski/humor/new_os_air.html [Link nicht verfügbar]
2 heise.de: Amazon bestreitet politischen Druck wegen Wikileaks (Web-Archive-Link)
3 Aachener Zeitung: Wie ein Handy-Fan von Wolke Sieben fiel [Inhalt nicht mehr verfügbar]
Zum Weiterlesen empfohlen:
Foreign Intelligence Surveillance Act (auf Deutsch) (Web-Archive-Link)
FISA Amendments Act of 2008 (also called the Foreign Intelligence Surveillance Act of 1978 Amendments Act of 2008 (Web-Archive-Link)
Caspar Bowden: A brief history of Internet surveillance policy: and what may happen [Inhalt nicht mehr verfügbar]
zdnet.com: Microsoft gibt zu, dass amerikanische Dienste Zugriff auf Daten auch in EU-basierter Cloud haben (30.6.2011) (Web-Archive-Link)
heise.de: US-Behörden dürfen auf europäische Cloud-Daten zugreifen (Web-Archive-Link)
Home Business Companies Microsoft
zdnet.com: Microsoft: 'We can hand over Office 365 data without your permission' (Web-Archive-Link)
Wirtschaftswoche: Google-Server in Europa vor US-Regierung nicht sicher (Web-Archive-Link)
heise.de: Auch Google übermittelt europäische Daten an US-Behörden (Web-Archive-Link)
Galexia Studie: The US Safe Harbor – Fact or Fiction? (2008) (Web-Archive-Link)
Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (Web-Archive-Link)
Prof. Peter Bräutigams Argumentation, dass sowieso überall Geheimdienste auf die Daten zugreifen könnten und dass im Zweifelsfall auch europäische Unternehmen von den USA unter Druck gesetzt werden können, wirkt nicht gerade vertrauensbildend …
heise.de: Microsoft will beim Datenschutz in der Cloud Maßstäbe setzen (Web-Archive-Link)
heise.de: Chef von EU-Netzsicherheitsagentur ENISA warnt vor Cloud Computing (Web-Archive-Link)
Apple holds the master decryption key when it comes to iCloud security, privacy – By Chris Foresman (Web-Archive-Link)
heise.de: Wikileaks gerät in den USA immer stärker unter Druck (Web-Archive-Link)
Christopher Soghoian: How Dropbox sacrifices user privacy for cost savings [Inhalt nicht mehr verfügbar]
Christopher Soghoian: An End to Privacy Theater. Exposing and Discouraging Corporate Disclosure of User Data to the Government. Minnesota Journal of Law, Science & Technology. 2011;12(1):191-237. (PDF) [Inhalt nicht mehr verfügbar]
Vint Cerf, einer der Väter des Internets und derzeit „Chief Internet Evangelist“ bei Google, bestätigt, dass Googles Geschäftsmodell es notwendig macht, die Inhalte der Nutzer/innen lesen zu können
Google business model is in conflict with privacy by design [Inhalt nicht mehr verfügbar]
