Benutzerspezifische Werkzeuge
Sie sind hier: Startseite Presse Pressemitteilungen des FIfF PRISM – Welche Rolle spielen US-IT-Firmen?

PRISM – Welche Rolle spielen US-IT-Firmen?

Pressemitteilung des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.

Bremen, 11. Juni 2013


Laut Guardian soll die NSA seit Jahren einen direkten Zugriff auf die Server und somit auf Kommunikations- und Internetdaten von Millionen KundInnen vieler wichtiger Internetdienstleister  besitzen. Es sollen verdachtsunabhängig alle ausländischen KundInnenen betroffen sein, US-BürgerInnen „nur“, soweit sie mit AusländerInnen kommunizieren. Die US-Regierung wiegelt ab. Der Director of National Intelligence, James Clapper, gibt die Existenz von PRISM zu, spricht aber „nur“ von Verkehrsdaten und ausschließlich von Fällen mit einem konkreten Verdacht. Die meisten der im Guardian erwähnten Firmen haben inzwischen ebenfalls dementiert, in der dargestellten Form mit der US Regierung zusammen zu arbeiten.

Nehmen wir an, dass die Darstellung des Guardian korrekt ist und tatsächlich ein direkter Zugriff der NSA auf die KundInnendaten der genannten Firmen erfolgt. Die Dementis der Firmen können dann in zwei Varianten interpretiert werden:

Variante 1: Die Unternehmen kooperieren nicht in der dargestellten Form mit der NSA. Wie ist es der NSA gelungen, die Schnüffelkomponenten unbemerkt zu installieren? Es gab bereits Fälle, in denen IT-Systeme von größeren Organisationen über mehrere Jahre unbemerkt mit Schadsoftware kompromittiert waren.  Allerdings war die Sachlage eine andere. In diesem Fall handelt sich es um Unternehmen, deren Kernkompetenz im Bereich Internet/IT liegt. Und dort  soll es gelungen sein,  fast  alle Daten, die vom Unternehmen verarbeitet werden, über Jahre an externe Server zu übertragen, ohne dass es bemerkt wurde? Sämtliche Sicherheitsmechanismen und Systeme, Virenscanner, Netzwerkanalysetools und Monitoringsysteme, etc. hätten völlig versagt. Keinem dieser Programme und der gesamten MitarbeiterInnen, die die Systeme betreuen, wäre aufgefallen, dass Ressourcen von einem hohen Ausmaß aufgewandt werden, ohne dass es eine Erklärung also einen dazugehörigen Geschäftsprozess dafür gibt. Das käme einem Offenbarungseid der IT-Sicherheitsabteilungen der Unternehmen gleich. In Zeiten von Kosteneinsparungen muss es auffallen, wenn Kosten entstehen, die keinen monetären Nutzen bringen. Jedes Jahr finden Konsolidierungsrunden statt in denen unter anderem Serverkosten hinterfragt werden. Spätesten die Controller sollten hinterfragen, wie das höhere Datenvolumen zu erklären ist.

Variante 2: Die beteiligten Firmen haben mit der NSA kooperiert und zugelassen, dass die NSA  PRISM  installiert hat und dass fortan sämtliche Informationen direkt an die NSA in Echtzeit übermittelt wurden. Dies wirft andere Fragen auf: Zu wem ist die NSA gegangen? Warum hat der oder die Verantwortliche der Installation nicht widersprochen, zumal der Umfang selbst in den USA nicht legal wäre, wenn auch US-BürgerInnen überwacht wurden. Wie ist es dem Mitarbeiter oder der Mitarbeiterin gelungen innerhalb der normalen Prozesse eines Unternehmens die Schnüffelprogramme  „unauffällig“ installieren zu lassen, ohne dass andere beteiligte MitarbeiterInnen Fragen stellen. In Unternehmen wie Google, Microsoft, YouTube, Apple, Facebook etc. ist eine Vielzahl von MitarbeiterInnen in Installations-und Changeprozesse involviert. Beteiligte MitarbeiterInnen werden informiert, selbst wenn ein Vorstandsmitglied Aktivitäten persönlich anordnet und höher priorisiert. Allen  Menschen, die die Systeme betreuen, hätte man eine Story erzählen müssen: Warum oder weshalb gibt es eine Software, die relativ offensichtlich nicht von internen MitarbeiterInnen genutzt wird, dafür aber sehr viel Bandbreite benötigt und alle Informationen einer Anwendung an einen externen Server überträgt? Facebooks wichtigstes Asset sind z.B. die Daten ihrer Mitglieder und diese Daten werden an einen externen Server übermittelt.

Obwohl beide Varianten viele Fragen aufwerfen, ist leider die zweite die wahrscheinlichere. Die MacherInnen dieser Unternehmen sind nahezu fast ausschließlich von egomanischer Struktur, vielfach treten die Unternehmen nach außen liberaler auf, als sie es innen sind. Apple hat z.B. eine strikte Geheimhaltungskultur entwickelt. MitarbeiterInnen werden, wenn sie das Firmengelände betreten oder verlassen, kontrolliert und dürfen nur wenig mitbringen und noch weniger wieder herausbringen. Google kooperiert (zwangsweise) mit chinesischen Regierungsstellen, warum dann nicht auch mit der NSA? Es ist wahrscheinlich, dass diejenigen MitarbeiterInnen, die Fragen stellten, mit einer Geheimhaltungsklausel klein gehalten wurden, möglicherweise mit der Lüge, dass nur Daten von AusländerInnen übermittelt werden.

Sollten sich die Informationen des Guardian bewahrheiten, muss spätestens jetzt jedem europäischen Unternehmen klar sein, dass  Daten, die es bei US-amerikanischen Unternehmen speichert, im Zugriff  von amerikanischen Sicherheitsbehörden sind. Firmengeheimnisse sind dort direkt der Wirtschaftsspionage ausgesetzt. Auch datenschutzrechtlich hat dies Konsequenzen. Es dürfen keine personenbezogenen Daten von Dritten, etwa KundInnen- oder MitarbeiterInnen-Daten, mehr bei den kooperierenden Unternehmen verarbeitet werden. Die im Bericht genannten Unternehmen wären für Auftragsdatenverarbeitung nach §11 BDSG wegen nachgewiesener Unzuverlässigkeit ungeeignet. Wurden in den im Bericht genannten Zeiträumen bereits sensible KundInnendaten, etwa Kontoinformationen in den Clouddiensten der Firmen gespeichert, so müssen die KundInnen gemäß §42a
BDSG über die Kompromittierung durch die Übertragung zur NSA informiert werden. Das Safe-Harbor-Abkommen ist nichts wert, wenn Firmen wie Apple, Facebook, Microsoft, Google, etc. zwar einen gewissen Schutz zusagen, aber nicht einhalten.

Selbst wenn sich die Vorwürfe nicht vollständig beweisen lassen, werden die Bedenken und Vorbehalte gegen die Unternehmen wachsen. Viele KundInnen und BenutzerInnen werden sich nach Alternativen umsehen oder sparsamer in der Weitergabe ihrer Daten werden.

Kontakt: kai (at) fiff.de