Ziemlich genau ein halbes Jahr ist es nun her, dass die Snowden-Lawine ins Rollen kam. Durch sie haben wir Gewissheit über scheinbare Ungeheuerlichkeiten: Staaten, innerhalb und außerhalb der EU, überwacht und ausspioniert durch amerikanische und britische Geheimdienste; das Handy der Bundeskanzlerin als Privatwanze der Anti-Terror-Schnüffler, mit dem Segen des mächtigsten Mannes der Welt; deutsche Bürger, vielleicht stärker kontrolliert als zu Stasi-Zeiten die DDR-Gesellschaft. Stellt sich eine Frage: Wie konnte es nur soweit kommen?
Stichtag 9/11
Die gesamte Chronik des NSA-Skandals nachzuzeichnen, ist unmöglich. Wir können nur Fragmente der Geschichte wieder geben, die mutmaßlich am 11. September 2001 (ein Datum, das seither auch als "Nine/Eleven" oder "9/11" bezeichnet wird) in New York und Washington ihren Anfang nimmt. Damals werden die USA Opfer mehrerer terroristischer Angriffe, bei dem viele Tausend Menschen – Amerikaner wie Nicht-Amerikaner – ihr Leben verlieren. Ein Ereignis, nach dem "nichts mehr so sein wird wie früher", wie es in allen Medienberichten übereinstimmend heißt.
Was folgt, ist ein weltweiter Feldzug der USA und ihrer Verbündeter, öffentlich umschrieben als "Kampf gegen den Terror". Dieser bringt nicht nur mehrere Kriege und weitere Terroranschläge hervor, sondern auch den Aufbau einer nie gekannten Spionage-Infrastruktur. Mit der immmer besser werdenden Technik und den Möglichkeiten, die besonders die amerikanischen Geheimdienste im Internet besitzen, wird heimlich, still und leise ein globales Abhörnetzwerk installiert, mit dessen Hilfe sich die US-Regierung die totale Kontrolle über die Aktivitäten offensichtlicher und vermeintlicher Terrorverdächtiger zurückholen will. Damit eben so etwas wie am 11. September 2001 nie wieder geschieht.
Von Hawaii in die Welt
Zeitsprung. Ende Mai 2013. Der junge Systemadministrator Edward Snowden, noch keine 30, arbeitet seit fast vier Jahren im Auftrag der NSA für das Beratungsunternehmens Booz Allen Hamilton auf Hawaii. Im Rahmen dieser Tätigkeit hat er Zugriff auf streng geheime Informationen über amerikanische und britische Regierungsprogramme zur Überwachung der weltweiten Internetkommunikation - medial bekannt mittlerweile als "Prism" und "Tempora". Er fasst den Entschluss, sein Wissen öffentlich zu machen und kontaktiert den britischen Journalisten Glenn Greenwald, der für den "Guardian" arbeitet. Dieser veröffentlicht sie Anfang Juni – nur teilweise und ohne Quellenangabe. Die Lawine rollt los. Am 9. Juni beschließt Snowden von Hongkong aus, seine Identität preiszugeben, einen Tag später wird er von Booz Allen Hamilton gekündigt. Snowden flieht nach Moskau, bevor das FBI nur vier Tage später einen Haftbefehl wegen Spionage gegen ihn erwirkt. Bis heute sitzt Snowden in Russland fest, erhält dort Asyl.
Soweit die äußeren Umstände. Was sich genau in den von Snowden kopierten Dokumenten befindet und wie sich immer größere Kreise um die medialen Veröffentlichungen zogen, können Sie in der folgenden Zeitleiste nachvollziehen. Hier haben wir alle NSA-relevanten Meldungen seit Anfang Juni zusammengestellt:
Was die Anbieter sagen
Doch wie steht es um die IT-Unternehmen, die mit unseren Kundendaten hantieren und möglicherweise der amerikanischen Rechtssprechung unterliegen? Wir haben bereits zu Beginn des Skandals im Juni bei IBM, Google, Salesforce.com, HP und anderen nachgefragt, wie es bei ihnen denn so um den Datenschutz bestellt ist. Die Antworten verwundern zwar nicht, sollten aber tunlichst als das angesehen werden, was sie sind - als Aussagen betriebswirtschaftlich denkender und agierender Anbieter:
Datenschutz in Deutschland
Datenschutz in Deutschland
Der Prism-Skandal beschäftigt die IT-Branche weiterhin. Wir haben bei Providern wie HP, IBM, Telekom und Google angefragt, wie sie es mit dem Schutz ihrer deutschen Kundendaten halten. Hier kommen die Antworten:
Hewlett-Packard (HP): Werden selten angefragt
„Weder HP global noch HP Deutschland gewähren hier Zugangsrechte zu Kundendaten im Rahmen des „Project Prism“. <br /><br /> Grundsätzlich gilt: In jedem Land werden den staatlichen Sicherheitsbehörden Zugriffsrechte gewährt, wenn die nationale Sicherheit bedroht ist. (…) Anfragen zur Übermittlung von Daten in diesem Kontext beziehen sich zumeist auf Telekommunikationsunternehmen. IT-Infrastrukturanbieter wie HP sind hier äußerst selten betroffen.“
Fujitsu: Deutsche Rechenzentren unterliegen dem deutschen Gesetz.
„Ein Zugriff auf Kundendaten durch Verfolgungsbehörden oder nationale und internationale Geheimdienste wird ausschließlich auf Grundlage eines deutschen Gerichtsbeschlusses gewährt. Die deutschen Rechenzentren unterliegen dem deutschen Datenschutzgesetz, das dies eindeutig regelt. <br /><br /> Da die Muttergesellschaft von Fujitsu Technology Solutions ein japanisches Unternehmen ist, kommt auch der US-amerikanische Patriot Act bei Kunden unseres Unternehmens nicht zur Anwendung.“
Salesforce: Wir ermöglichen keinen Regierungen direkten Zugang.
„Nichts ist für Salesforce.com wichtiger als die Privatsphäre und die Sicherheit der Daten unserer Kunden. Wir sind nicht in das PRISM-Programm involviert und wir ermöglichen keinen Regierungen direkten Zugang zu den Servern von Salesforce.“
Google: Wir prüfen alle Anfragen gewissenhaft.
"Google sorgt sich intensiv um die Sicherheit der Daten unserer Kunden. Wir legen Kundendaten gegenüber den Behörden offen gemäß geltender Gesetze offen, und wir prüfen alle Anfragen gewissenhaft.“
Auf der folgenden Seite haben wir weitere Stimmen von IT-Security-Experten zusammengestellt.
Was die Beobachter sagen
Aber nicht nur bei Anbietern und Herstellern schlagen die Wellen bis heute hoch, die gesamte IT-Branche hat einiges zur NSA-Affäre zu sagen. Wir haben Statements und Empfehlungen von IT-Analysten, Evangelisten und Unternehmensanwendern zusammen getragen:
Die Lehren aus der NSA-Affäre
Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation
"Es geht nicht mehr um das Ausspähen der Gegenwart, sondern um einen Einblick in die Zukunft. Das ist der Kern von Prism. Präsident Obama hat schon recht, wenn er sagt, die von Prism gesammelten Daten seien doch für sich genommen recht harmlos. Er verschweigt freilich, dass sich daraus statistische Vorhersagen gewinnen lassen, die viel tiefere, sensiblere Einblicke gewähren. Wenn uns nun der Staat verdächtigt, nicht für das was wir getan haben, sondern für das was wir – durch Big Data vorhersagt – in der Zukunft tun werden, dann drohen wir einen Grundwert zu verlieren, der weit über die informationelle Selbstbestimmung hinausgeht."
Prof. Dr. Gunter Dueck, Autor und ehemaliger CTO bei IBM
"Ich glaube, die NSA-Unsicherheitsproblematik ist so ungeheuer übergroß, dass wir uns dann lieber doch gar keine Gedanken darum machen wollen, so wie auch nicht um unser ewiges Leben. Das Problem ist übermächtig. Wir sind so klein. Wir haben Angst, uns damit zu befassen, weil genau das zu einer irrsinnig großen Angst führen müsste. Wir haben, um es mit meinem Wort zu sagen, Überangst."
Oliver Peters, Analyst, Experton Group AG
"Lange Zeit sah es so aus, als würden sich die CEOs der großen Diensteanbieter im Internet leise knurrend in ihr Schicksal fügen und den Kampf gegen die Maulkörbe der NSA nur vor Geheimgerichten ausfechten. [...] Insbesondere in Branchen, die große Mengen sensibler Daten von Kunden verwalten, wäre ein Bekanntwerden der Nutzung eines amerikanischen Dienstanbieters der Reputation abträglich. [...] Für die deutschen IT-Dienstleister ist dies eine Chance, mit dem Standort Deutschland sowie hohen Sicherheits- und Datenschutzstandards zu werben."
Dr. Wieland Alge, General Manager, Barracuda Networks
"Die Forderung nach einem deutschen Google oder der öffentlich finanzierten einheimischen Cloud hieße den Bock zum Gärtner zu machen. Denn die meisten Organisationen und Personen müssen sich vor der NSA kaum fürchten. Es sind die Behörden und datengierigen Institutionen in unserer allernächsten Umgebung, die mit unseren Daten mehr anfangen könnten. Die Wahrheit ist: es gibt nur eine Organisation, der wir ganz vertrauen können. Nur eine, deren Interesse es ist, Privatsphäre und Integrität unserer eigenen und der uns anvertrauten Daten zu schützen - nämlich die eigene Organisation. Es liegt an uns, geeignete Schritte zu ergreifen, um uns selber zu schützen. Das ist nicht kompliziert, aber es erfordert einen klaren Willen und Sorgfalt."
James Staten, Analyst, Forrester Research
"Wir denken, dass die US-Cloud-Provider durch die NSA-Enthüllungen bis 2016 rund 180 Milliarden Dollar weniger verdienen werden. [...] Es ist naiv und gefährlich, zu glauben, dass die NSA-Aktionen einzigartig sind. Fast jede entwickelte Nation auf dem Planeten betreibt einen ähnlichen Aufklärungsdienst [...] So gibt es beispielsweise in Deutschland die G 10-Kommission, die ohne richterliche Weisung Telekommunikationsdaten überwachen darf."
Benedikt Heintel, IT Security Consultant, Altran
"Der Skandal um die Spähprogramme hat die Akzeptanz der ausgelagerten Datenverarbeitung insbesondere in den USA aber auch in Deutschland gebremst und für mehr Skepsis gesorgt. Bislang gibt es noch keinen Hinweis darauf, dass bundesdeutsche Geheimdienste deutsche IT-Dienstleister ausspäht, jedoch kann ich nicht ausschließen, dass ausländische Geheimdienste deutsche Firmen anzapfen."
Viktor Mayer-Schönberger, Professor für Internet Governance and Regulation
"Die NSA profitiert von ihren Datenanalysen, für die sie nun am Pranger steht, deutlich weniger als andere US-Sicherheitsbehörden, über die zurzeit niemand redet. Das sind vor allem die Bundespolizei FBI und die Drogenfahnder von der DEA. [...] Es gibt in der NSA eine starke Fraktion, die erkennt, dass der Kurs der aggressiven Datenspionage mittelfristig die USA als informationstechnologische Macht schwächt. Insbesondere auch die NSA selbst."
Aladin Antic, CIO, KfH Kuratorium für Dialyse und Nierentransplationen e.V.
"Eine der Lehren muss sein, dass es Datensicherheit nicht mal nebenbei gibt. Ein mehrstufiges Konzept und die Einrichtung zuständiger Stellen bzw. einer entsprechenden Organisation sind unabdingbar. [...] Generell werden im Bereich der schützenswerten Daten in Zukunft vermehrt andere Gesichtspunkte als heute eine Rolle spielen. Insbesondere die Zugriffssicherheit und risikoadjustierte Speicherkonzepte werden über den Erfolg von Anbietern von IT- Dienstleistern entscheiden. Dies gilt auch für die eingesetzte Software z.B. für die Verschlüsselung. Hier besteht für nationale Anbieter eine echte Chance."
ein nicht genannter IT-Verantwortliche einer großen deutschen Online-Versicherung
"Bei uns muss keiner mehr seine Cloud-Konzepte aus der Schublade holen, um sie dem Vorstand vorzulegen. Er kann sie direkt im Papierkorb entsorgen."
Erhöhte Aufmerksamkeit
Welche Auswirkungen die NSA-Affäre letztlich haben wird, wird sich erst nach und nach zeigen. Eine erhöhte Aufmerksamkeit für das Thema IT- und Datensicherheit ist derzeit aber schon erkennbar. So zeigt eine aktuell noch laufende Studie der E-Commerce-Messe "Internet World" in Zusammenarbeit mit dem Institut ibi Research an der Universität Regensburg schon jetzt, dass in den Bereichen Cloud-Services und Social Media die Nutzer ein bewussteres Verhalten im Umgang mit ihren Daten an den Tag legen. Besonders die Altersgruppe der 36- bis 55-Jährigen geht nach eigenem Bekunden seit dem Bekanntwerden der NSA-Spähaktionen mit Webdiensten sensibler um.
Die weiteren Aussichten
Es wird noch einiges ans Tageslicht kommen, was die Abhöraktionen der Geheimdienste angeht. Und ob es nur die amerikanischen und britischen Behörden betrifft, oder nicht auch andere Ähnliches tun, ist eine nach wie vor offene Frage. Wer sich ein wenig mit der politischen und wirtschaftlichen Situation auseinander setzt und IT-Kenntnisse mitbringt, wird sich die Frage sicherlich schnell selbst beantworten können.