FBI wollte auch CloudFlare zur Datenherausgabe zwingen

CloudFlare hat im Zuge seines aktuellen Transparenzberichts auch Dokumente zu einer Anordnung des FBI von 2013 veröffentlicht. Sie belegen den Zugriffswunsch der US-Behörde auf Kundendaten von CloudFlare. Die Veröffentlichung erfolgt, nachdem das FBI die ursprünglich mit einer derartigen, National Security Letter (NSL) genannten Anforderung einhergehenden Verpflichtung, Stillschweigen zu bewahren, in Teilen aufgehoben hat.

CloudFlare ist einer der großen Anbieter von Diensten für Content Delivery Networks (CDN), DNS-Services und DDoS-Schutz. Zu den Kunden zählten eine Zeit lang auch der Deutsche Bundestag sowie andere Webseiten staatlicher Einrichtungen in Deutschland. Da CloudFlare-Kunden, sei es um Inhalte bestmöglich auszuliefern oder um DDoS-Angriffe abzuwehren, allen Traffic über Server des Dienstleisters umleiten, ist der Zugriff darauf für Ermittler oder Geheimdienste durchaus hochinteressant.

Wie TechCrunch berichtet, wurden 2013, dem Jahr, aus dem auch der nun veröffentlichte National Security Letter an CloudFlare stammt, nach Angaben der US-Regierung (PDF) pro Tag im Durchschnitt 60 solcher Briefe versandt. Die Empfänger wurden darin zum Stillschweigen sowohl über den Inhalt als auch die Tatsache verpflichtet, dass sie solch einen Brief erhalten haben.

Erst im Sommer vergangenen Jahres veröffentlichte Yahoo als erste Firma drei dieser Briefe. Es nutzte dabei die Tatsache, dass dem “USA FREEDOM Act” zufolge nach einem gewissen Zeitabstand das FBI überprüfen muss, ob die Stillschweigepflicht für die Ermittlungen immer noch erforderlich ist.

Mit den FBI-Briefen wurde die Herausgabe von zahlreichen Kundeninformationen, darunter, Namen, Adressen, Zeiten in denen der Service in Anspruch genommen wurde, sowie Metadaten von Nachrichten und für die Abrechnung genutzten Aufzeichnungen verlangt. Dabei muss es nicht immer um terroristische oder ähnlich staatsgefährdende Aktivitäten gegangen sein. CloudFlare hatte damals auch Probleme, weil seine CDN-Dienste gebucht wurden, um illegale Inhalte, etwa urheberrechtsverletzende Streaming-Angebote, auszuliefern. Da CloudFlare sich wehrte, zog das FBI seine bereits 2013 Anfrage zurück. Die Schweigepflicht wurde jedoch erst jetzt aufgehoben.

Zusätzlich zu dem nun veröffentlichten NSL hat CloudFlare 2013 mindestens einen weiteren erhalten, wie TechCrunch zufolge aus Gerichtsunterlagen hervorgeht. Über den darf das Unternehmen aber noch keine Auskunft geben. Mit der Veröffentlichung des einen Briefes will CloudFlare wohl auch seine zusammen mit dem US-TK-Anbieter CREDO Mobile und der Electronic Frontier Foundation (EFF) laufenden Bemühungen unterstützen, mit denen die Verfassungskonformität der National Security Letter bestritten wird.

So lange dieses Verfahren aber nicht zum Erfolg geführt hat, müssen sich diese und viele andere Firmen wohl oder übel den Anordnungen der Behörden beugen. Worum es dabei jeweils genau geht, ist auch nach der teilweisen Veröffentlichung der Unterlagen noch unklar, denn Teile unterliegen immer noch der Schweigepflicht.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.