Categories: CloudCloud-Management

Cloud-Durchsuchungsbefehle: US-Justizministerium lenkt ein

Das US-Justizministerium (DOJ) will die Anzahl der Anordnungen einschränken, mit denen Technologiefirmen zur verdeckten Herausgabe von Daten ihrer Kunden gezwungen werden. Insbesondere Microsoft hatte sich vehement gegen diese Praxis gewehrt und sogar mehrfach dagegen geklagt. Das Unternehmen fürchtete, dass durch diese Anordnungen sein gesamtes Cloud-Geschäft gefährdet ist. In Deutschland hat es mit dem mit der Deutschen Telekom vereinbarten Datentreuhändermodell sogar schon einen Modus gefunden, die Anordnungen des US-Justizministeriums nicht erfüllen zu müssen.

Vergangene Woche forderte das US-Justizministerium öffentlich eine Wiederaufnahme des – von ihm verlorenen – Verfahrens, mit dem Microsoft in einem bestimmten Fall zur Herausgabe von in einem Rechenzentrum in Irland liegenden Daten eines Kunden gezwungen werden sollte. Gleichzeitig gab es jedoch ohne großes Aufsehen neue Richtlinien heraus, mit denen die Anzahl der Durchsuchungsbefehle, über die nur das Technologieunternehmen, nicht aber die betroffene Person informiert wird (sogenannte “Sneak-and-peak-order”), eingeschränkt werden soll. Als Reaktion teilte Microsoft gestern mit, dass es die Klage gegen das Ministerium, die von Mitbewerbern wie Google und Amazon unterstützt wurde, fallen lassen will.

Wie Bloomberg berichtet, erhielt alleine Microsoft in den 18 Monaten, bevor es im April 2016 gegen diese Praxis klagte, von US-Behörden 2756 Anfragen nach Daten seiner Kunden, bei denen es zum Stillschweigen verpflichtet wurde. Bei zwei Drittel davon wurde die zunächst befristete Schweigepflicht auf unbegrenzte Zeit ausgedehnt.

Mehr zum Thema

Microsoft, T-Systems und das Datentreuhändermodell

Deutsche Unternehmen standen Cloud-Angeboten von Microsoft bisher skeptisch gegenüber. Nun soll ein komplexes Vertragswerk Bedenken ausräumen. Dabei übernimmt T-Systems die Rolle als Datentreuhänder. Doch wie funktioniert dieses Konstrukt im Detail?

Im September hat Microsoft mit Azure Confidential Computing eine zusammen mit Intel entwickelte Verschlüsselungsmöglichkeit für Cloud-Daten vorgestellt. Offiziell wird die als Sicherheitsmaßnahme gegen Hackerangriffe beworben. Tatsächlich eignet sie sich aber auch, um allzu neugierige Behörden zu stoppen. Laut Microsoft-Azure-CTO Mark Russinovich ermögliche man mit dem Angebot, “dass Daten in der Cloud verarbeitet werden können mit der Gewissheit, dass sie immer unter der Kontrolle des Kunden sind.”

Falls Microsoft-Kunden das Angebot breit annehmen und auch andere Cloud-Provider ähnliche Möglichkeiten bieten, würde das letztendlich bedeuten, dass US-Behörden selbst wenn sie ihre Durchsuchungsbefehle durchsetzen können, in der Zukunft gar keine verwertbaren Daten mehr bekommen können. Diesem Horrorszenario aus Sicht der Behörden will man nun offenbar begegnen, indem man bescheidener wird und dadurch den Druck auf die Cloud-Provider, ihren Kunden Ausweichmöglichkeiten anzubieten, reduziert.

Beim Azure Confidential Computing von Microsoft können nur befugte Anwendungen auf die in einer Art Enklave geschützten Daten zugreifen. (Bild: Microsoft)

Die neuen Richtlinien des DOJ sehen vor, dass Staatsanwälte künftig in jedem Fall eine “individuelle und aussagekräftige Bewertung” vornehmen müssen, um zu ermitteln, ob die Geheimhaltung tatsächlich erforderlich ist. Das geht laut Bloomberg aus einer Notiz des stellvertretenden Generalstaatsanwalts Rod Rosenstein hervor. Internet-Nutzer, deren Daten bei einem Technologieunternehmen aufgrund einer behördlichen Anordnung ausgeforscht wurden, sollten demnach außer in besonders ungewöhnlichen Umständen nicht später als ein Jahr danach darüber informiert werden.”

Nimmt nun den US-Kongress in die Pflicht: Microsoft-Präsident und Chefanwalt Brad Smith (Bild: Microsoft)

Brad Smith, Präsident und Chief Legal Officer bei Microsoft, begrüßte die neuen Richtlinien. Bisher hätten schwammige rechtliche Vorgaben es der Regierung erlaubt, routinemäßig eine unbegrenzte Anzahl an geheimhaltungspflichtigen Durchsuchungsbefehlen herauszugeben. Die Besonderheiten des Falles, mit dem sie in Zusammenhang standen, hätten dabei meist keine Rolle gespielt. Das sei nun jedoch vorbei.

Allerdings fordert das Unternehmen trotz des Rückziehers des Justizministeriums nach wie vor, dass der Kongress die betreffenden Gesetze ändert. Microsoft unterstützt den im Juli eingebrachten Entwurf eines “ECPA Modernization Act”. Mit ihm soll der aus dem Jahr 1986 stammende Electronic Communications Privacy Act (ECPA) aktualisiert werden. Gleichzeitig kündigte Smith an, dass die Zugeständnisse des Justizministeriums Microsoft nicht davon abhalten würden, bei Bedarf erneut vor Gericht zu ziehen.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

2 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

3 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

4 Tagen ago