Cloud Computing Überwachung in der Wolke

Müssen Anbieter von Cloud-Diensten bald eine Schnittstelle anbieten, um Sicherheitsdiensten die Überwachung zu ermöglichen? Ein europäisches Papier sorgt für Wirbel und zeigt, wie verletzlich unsere Systeme bereits sind.

Von Johannes Kuhn

Der Tend geht zur Datenwolke, der Cloud. Das weckt auch Begehrlichkeiten von Strafverfolgungsbehörden.

(Foto: Reuters)

Das Dokument trägt den nichtssagenden Namen "Etsi Draft Technical Report DTR 101 657 v. 0.0.5" und ist eines dieser digitalen Papiere, die in den Tiefen des Netzes schlummern, ohne dass jemand etwas mit ihnen anzufangen wüsste.

Fast niemand, außer Erich Moechel. Der ehemalige Futurezone-Autor analysierte den Entwurf des "Europäischen Instituts für Telekommunikationsnormen" (Etsi) und schrieb daraufhin einen Artikel, in dem von einem "Facebook-Überwachungsstandard" die Rede war. Auch Christiane Schulzki-Haddouti griff das Thema auf und schrieb für das ZDF-Hyperlandblog von einer "geheimen Hintertür für die Cloud", die Europa gerade bastle.

Soweit, so beunruhigend. Worum geht es also genau? Etsi, das ist ein Zusammenschluss aus unterschiedlichster Player im Technologiebereich (Mitgliederliste hier), der europaweit einheitliche Standards im Telekommunikationsbereich schaffen soll. Dort diskutiert man derzeit auf Arbeitsgruppen-Ebene über eine Schnittstelle, um Sicherheitsbehörden im Rahmen der jeweiligen Gesetze die Überwachung von Cloud-Kommunikationsdaten in Echtzeit zu ermöglichen (der Untertitel des Papiers lautet "Lawful Interception; Cloud/Virtual Services").

Deep Packet Inspection spielt eine Rolle

Bislang gibt es noch keine einheitliche technische Lösung für solche Anfragen von Strafverfolgungsbehörden, die Arbeitsgruppe "TC Lawful Interception" soll hierfür nun Vorschläge machen. Betroffen sind Kommunikationsdienste wie Webmail-Anbieter; ob soziale Netzwerke in die Kategorie der Cloud Anbieter fallen und welche Daten die Behörden aus diesen Daten abfragen könnten, wird noch diskutiert.

In den Überlegungen soll vor allem der Tatsache Rechnung getragen werden, dass Nutzer zu Cloud-Diensten "nomadische Zugänge" haben - also über verschiedene Endgeräte darauf zugreifen. Um dennoch eine Überwachung durch Sicherheitsbehörden zu ermöglichen, sollen deshalb Anbieter von Cloud-Diensten eine API für den Zugriff bereitstellen, zur Umgehung der SSL-Verschlüsselung soll ein Rerouting der Anfrage an den Cloud-Server möglich sein. "Deep Packet Inspection wird wahrscheinlich ein konstituierendes Element dieses Systems sein", heißt es zudem.

Dass institutionelle Überwachungsmechanismen für Bauchschmerzen bei Internet-Nutzern sorgen, weiß man bei Etsi. Die Vorschläge, so betont man deshalb, würden nicht in Gesetzen oder technischen Vorschriften münden, zudem sei das veröffentliche Papier nur ein Zwischenstand. "Es handelt sich um einen technischen Bericht. Die Anforderung nach einer gesetzeskonformen Möglichkeit zur Überwachung kommt von Gesetzen, von Regierungen", sagt ein Sprecher. "Die Verpflichtung, diesem Wunsch nachzukommen, existiert - egal, ob es einen Standard gibt, oder nicht."

Übersetzt: Um Behörden die Quellen-TKÜ oder Online-Durchsuchung in der Cloud zu ermöglichen, versucht die Industrie gerade, kostengünstige und einheitliche Lösungen zu schaffen. Wer allerdings in dem dubiosen Gremium "TC Lawful Interception" sitzt, verrät Etsi nicht. Man wolle nicht den Eindruck erwecken, ein bestimmtes Unternehmen stecke hinter einem Bericht, zudem sei es auch bei anderen Standards wie ISO nicht üblich, die an der Ausarbeitung eines Standard beteiligten Firmen zu nennen. Und überhaupt: Kein Cloud-Anbieter sei verpflichtet, die Etsi-Vorschläge letztlich umzusetzen.

EU Kommission: Wir haben nichts damit zu tun

Transparenz sieht anders aus, zumal Etsi-Vorschläge eben häufig doch zu Branchenstandards werden. Unklar ist auch, ob neben Anbietern wie Amazon oder Google auch soziale Netzwerke wie Facebook zu Cloud-Anbietern gezählt werden. Im Dokument werden diese erwähnt, allerdings ist man sich unsicher, welche Daten man über eine solche Schnittstelle anzapfen könnte. Zum aktuellen Entwurf wollten sich Amazon, Facebook und Google nicht äußern.

In Brüssel kommt das Papier zu einem ungünstigen Zeitpunkt, legt es doch nahe, dass Etsi mit seinem Bericht die technische Basis für die angekündigte Cloud-Strategie von EU-Digitalkommissarin Neelie Kroes liefern könnte. Ein Sprecher Kroes' dementiert dies: Die Resultate der Etsi-Arbeitsgruppe würden "definitiv kein Teil unserer Strategie" sein. Zudem entwickle Kroes keine neuen EU-weiten Richtlinien zur Überwachung, auch aus anderen Ressorts sei nichts bekannt.

Niemand ist zum Cloud Computing gezwungen

Eine geheime Überwachungsverschwörung ist das alles nicht. Dass wir mit staatlich sanktionierten Eingriffen in digitale Kommunikationsmittel rechnen müssen, war auch vor dem Bericht bekannt. Dass Etsi im Bereich des Cloud Computing von sich aus Lösungen sucht, um den Aufwand gering zu halten, ist aus Sicht der Industrie logisch. Spannend wie strittig ist die Frage, wie der Zugriff auf Daten in der Cloud rechtlich zu regeln ist, da hier Ländergrenzen oft obsolet sind (was ist mit Cloud-Datenströmen, die durch ein Land fließen, aber dort weder Ausgangs- noch Endpunkt haben?).

Der entscheidende Punkt ist, dass wir als Bürger immer wieder Druck auf die Politik ausüben müssen, die entsprechenden Gesetze zur Legitimation solcher Eingriffe nicht zu weit zu fassen, Bereiche wie den der Verschlüsselung zu schützen und falsche Praxis-Umsetzungen wie im Falle des Staatstrojaners nicht zu tolerieren (Hallo, Herr Herrmann!). Als Nutzer haben wir zudem immerhin noch die Wahl, ob wirklich das Web als Ort für unsere persönlichen Daten und Kommunikationsvorgänge wählen.