Cloud-Durchsuchungsbefehle: US-Justizministerium lenkt ein

US-Justizministerium (Bild: US Department of Justice)

Vergangene Woche kündigte das Ministerium rechtliche Schritte gegen Microsoft an. Gleichzeitig gab es neue Richtlinien heraus, denen zufolge Anordnungen mit Schweigepflicht in Zukunft wesentlich seltener und nur nach eingehender Prüfung ausgestellt werden sollen. Damit versucht das DOJ zu retten, was noch zu retten ist.

Das US-Justizministerium (DOJ) will die Anzahl der Anordnungen einschränken, mit denen Technologiefirmen zur verdeckten Herausgabe von Daten ihrer Kunden gezwungen werden. Insbesondere Microsoft hatte sich vehement gegen diese Praxis gewehrt und sogar mehrfach dagegen geklagt. Das Unternehmen fürchtete, dass durch diese Anordnungen sein gesamtes Cloud-Geschäft gefährdet ist. In Deutschland hat es mit dem mit der Deutschen Telekom vereinbarten Datentreuhändermodell sogar schon einen Modus gefunden, die Anordnungen des US-Justizministeriums nicht erfüllen zu müssen.

Gerichtsurteil (Bild: Shutterstock)

Vergangene Woche forderte das US-Justizministerium öffentlich eine Wiederaufnahme des – von ihm verlorenen – Verfahrens, mit dem Microsoft in einem bestimmten Fall zur Herausgabe von in einem Rechenzentrum in Irland liegenden Daten eines Kunden gezwungen werden sollte. Gleichzeitig gab es jedoch ohne großes Aufsehen neue Richtlinien heraus, mit denen die Anzahl der Durchsuchungsbefehle, über die nur das Technologieunternehmen, nicht aber die betroffene Person informiert wird (sogenannte “Sneak-and-peak-order”), eingeschränkt werden soll. Als Reaktion teilte Microsoft gestern mit, dass es die Klage gegen das Ministerium, die von Mitbewerbern wie Google und Amazon unterstützt wurde, fallen lassen will.

Wie Bloomberg berichtet, erhielt alleine Microsoft in den 18 Monaten, bevor es im April 2016 gegen diese Praxis klagte, von US-Behörden 2756 Anfragen nach Daten seiner Kunden, bei denen es zum Stillschweigen verpflichtet wurde. Bei zwei Drittel davon wurde die zunächst befristete Schweigepflicht auf unbegrenzte Zeit ausgedehnt.

Mehr zum Thema

Microsoft, T-Systems und das Datentreuhändermodell

Deutsche Unternehmen standen Cloud-Angeboten von Microsoft bisher skeptisch gegenüber. Nun soll ein komplexes Vertragswerk Bedenken ausräumen. Dabei übernimmt T-Systems die Rolle als Datentreuhänder. Doch wie funktioniert dieses Konstrukt im Detail?

Im September hat Microsoft mit Azure Confidential Computing eine zusammen mit Intel entwickelte Verschlüsselungsmöglichkeit für Cloud-Daten vorgestellt. Offiziell wird die als Sicherheitsmaßnahme gegen Hackerangriffe beworben. Tatsächlich eignet sie sich aber auch, um allzu neugierige Behörden zu stoppen. Laut Microsoft-Azure-CTO Mark Russinovich ermögliche man mit dem Angebot, “dass Daten in der Cloud verarbeitet werden können mit der Gewissheit, dass sie immer unter der Kontrolle des Kunden sind.”

Falls Microsoft-Kunden das Angebot breit annehmen und auch andere Cloud-Provider ähnliche Möglichkeiten bieten, würde das letztendlich bedeuten, dass US-Behörden selbst wenn sie ihre Durchsuchungsbefehle durchsetzen können, in der Zukunft gar keine verwertbaren Daten mehr bekommen können. Diesem Horrorszenario aus Sicht der Behörden will man nun offenbar begegnen, indem man bescheidener wird und dadurch den Druck auf die Cloud-Provider, ihren Kunden Ausweichmöglichkeiten anzubieten, reduziert.

Beim Azure Confidential Computing von Microsoft können nur befugte Anwendungen auf die in einer Art Enklave geschützten Daten zugreifen. (Bild: Microsoft)
Beim Azure Confidential Computing von Microsoft können nur befugte Anwendungen auf die in einer Art Enklave geschützten Daten zugreifen. (Bild: Microsoft)

Die neuen Richtlinien des DOJ sehen vor, dass Staatsanwälte künftig in jedem Fall eine “individuelle und aussagekräftige Bewertung” vornehmen müssen, um zu ermitteln, ob die Geheimhaltung tatsächlich erforderlich ist. Das geht laut Bloomberg aus einer Notiz des stellvertretenden Generalstaatsanwalts Rod Rosenstein hervor. Internet-Nutzer, deren Daten bei einem Technologieunternehmen aufgrund einer behördlichen Anordnung ausgeforscht wurden, sollten demnach außer in besonders ungewöhnlichen Umständen nicht später als ein Jahr danach darüber informiert werden.”

Microsoft-Präsident Brad Smith (Bild: Microsoft)
Nimmt nun den US-Kongress in die Pflicht: Microsoft-Präsident und Chefanwalt Brad Smith (Bild: Microsoft)

Brad Smith, Präsident und Chief Legal Officer bei Microsoft, begrüßte die neuen Richtlinien. Bisher hätten schwammige rechtliche Vorgaben es der Regierung erlaubt, routinemäßig eine unbegrenzte Anzahl an geheimhaltungspflichtigen Durchsuchungsbefehlen herauszugeben. Die Besonderheiten des Falles, mit dem sie in Zusammenhang standen, hätten dabei meist keine Rolle gespielt. Das sei nun jedoch vorbei.

Allerdings fordert das Unternehmen trotz des Rückziehers des Justizministeriums nach wie vor, dass der Kongress die betreffenden Gesetze ändert. Microsoft unterstützt den im Juli eingebrachten Entwurf eines “ECPA Modernization Act”. Mit ihm soll der aus dem Jahr 1986 stammende Electronic Communications Privacy Act (ECPA) aktualisiert werden. Gleichzeitig kündigte Smith an, dass die Zugeständnisse des Justizministeriums Microsoft nicht davon abhalten würden, bei Bedarf erneut vor Gericht zu ziehen.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.