In einem offenen Brief an US-Präsident Obama hat sich Cisco-CEO John Chambers vehement über versteckte Eingriffe beklagt, die die NSA offenbar an Netzwerk-Equipment vorgenommen hat, das an Kunden seines Unternehmens verschickt wurde. Chambers warnt vor einem massiven Vertrauens- und Glaubwürdigkeitsverlust für die gesamte IT-Branche – zu Recht, findet Dr. Clemens Plieth.
Als Anfang des Sommers in den Nachrichten Bilder von Angela Merkel zu sehen waren, wie sie zusammen mit drei anderen europäischen Regierungschefs im Ruderboot auf einem See in Schweden unterwegs war, drängte sich unwillkürlich die Frage auf: Haben die vier die Bootspartie unternommen, um endlich mal in Ruhe miteinander reden zu können, ohne von der NSA abgehört zu werden? Und kommen möglicherweise zur Nachrichtenübermittlung bald wieder Brieftauben in Mode, nur dass sie anstelle von Papier Mini-USB-Sticks oder Datenchips transportieren?
Spaß beiseite – die Eingriffe der National Security Agency sind nicht nur für Regierungen und Bevölkerungen in Europa ein Ärgernis. Auch Schwergewichte aus der US-amerikanischen IT/TK- und Internet-Branche zeigen sich alles andere als erfreut. Anscheinend sind Vorwürfe gerechtfertigt, wonach die NSA Netzwerk-Equipment und Server abfängt, die von US-Unternehmen weltweit an Kunden versandt werden, um darauf mithilfe ihrer Hacker-Expertentruppe TAO (“Tailored Access Operations”) Spionage-Software zu installieren. Nach vollbrachter Tat werden die Geräte wieder eingepackt und auf den Versandweg gebracht. Auf Fotos, die die Eingriffe beweisen sollen, sind Techniker – offenbar TAO-Mitarbeiter – zu sehen, die sich an Cisco-Equipment zu schaffen machen. Auch interne NSA-Dokumente zur “Postversandpraxis”, die der bekannte Enthüllungsjournalist Glenn Greenwald veröffentlichte, untermauern die Anschuldigungen, die bereits Anfang 2014 der auch nicht gerade unbekannte Aktivist und IT-Sicherheitsexperte Jacob Appelbaum erhoben hatte. Laut Greenwald leiten die manipulierten Server und Router “große Teile des Internetverkehrs in die Sammlung der NSA”.
Geschäftsgrundlage beschädigt
“We simply cannot operate this way”, “So können wir einfach nicht arbeiten” – mit diesen Worten machte Cisco-CEO John Chambers seinem Ärger über die Manipulationen in einem offenen Brief an US-Präsident Obama Luft. Und fordert ihn gleichzeitig dazu auf, neue Verhaltensmaßregeln für die globalen Spionageoperationen der NSA zu definieren. Denn der Skandal betreffe letztendlich nicht nur Cisco, sondern die gesamte US-amerikanische IT- und Internet-Branche, und beschädige die wichtigste Basis im Verhältnis zwischen Anbieter und Kunde: Vertrauen. Gelinge es nicht, dieses Vertrauen der weltweit verteilten Kundschaft in die US-Hightech-Industrie wiederherzustellen, sei ihre Marktführerschaft in Gefahr und drohe ein fragmentiertes Internet, warnt Chambers.
Der Cisco-CEO ist nicht der einzige, der sich Sorgen macht. Auch in Redmond sind die Alarmglocken angegangen. Microsoft-Syndikus Brad Smith fordert von der US-Regierung eine verbindliche Zusicherung, dass ihre Dienste und Behörden künftig das Einhacken in Rechenzentren, IT-Produkte und -Services von Unternehmen unterlassen. Andernfalls, so Smith, werde man gerichtlich gegen NSA & Co. vorgehen, um die Zugriffsrechte der Geheimdienste zu stutzen. Auch aus Sicht von Microsoft steht das Kundenvertrauen auf dem Spiel, das durch das enorme Ausmaß der Überwachung und Datenabsaugung erheblich gelitten hat.
Wie weit dürfen Regierungen gehen?
Mit Klagen gegen die US-Regierung hat Microsoft Erfahrung, aber nicht immer Erfolg. Eine besonders empfindliche Niederlage kassierte Microsoft bei einem New Yorker Bundesgericht: Es urteilte, dass US-Unternehmen im Falle einer richterlichen Anordnung dazu verpflichtet sind, Daten eines Kunden herauszugeben, auch wenn sich dessen Server nicht auf dem Gebiet der USA befinden. Aus europäischer Sicht bestätigt ein solches Urteil eindeutig die Vorbehalte all derjenigen Unternehmen, die bei der Auslagerung ihrer Daten und Anwendungen lieber auf einen einheimischen Dienstleister als auf einen US-amerikanischen Anbieter setzen.
Denn natürlich ist Vertrauen die wichtigste Währung in Geschäftsbeziehungen – das gilt für IT- und TK-Unternehmen außerhalb der USA ganz genauso. Nicht umsonst zeigen etwa seriöse Cloud-Dienstleister ihren Geschäftskunden als vertrauensbildende Maßnahme ihr Rechenzentrum von A bis Z. Welche Schäden verloren gegangenes Vertrauen anrichten kann, belegten etwa Ciscos Quartalszahlen im Mai dieses Jahres. Die Aufträge in den aufstrebenden BRIC-Ländern fielen um 13 Prozent, dabei in Russland und Brasilien um jeweils mehr als 25 Prozent. Zurückgeführt wurden diese signifikanten Rückgänge vor allem auf die aggressiven NSA-Methoden. Die Analysten von Forrester Research schätzen bereits im vergangenen Jahr, kurz nachdem das Ausmaß der US-Cyberspionage bekannt geworden war, die Umsatzausfälle der gesamten US-Branche bis 2016 auf 180 Milliarden Dollar.
Doch Schadenfreude kann bei diesen Zahlen in Europa nicht aufkommen, zumal neuere Umfragen zeigen, dass auch hierzulande der Branche Imageschäden und Vertrauensverluste durch die NSA-Affären drohen. Laut einer aktuellen Bitkom-Umfrage misstrauen 67 Prozent der befragten Internetnutzer der “Wirtschaft allgemein”, wenn es um den Umgang mit ihren Daten im Web geht. Vor drei Jahren zuvor waren es mit 46 Prozent weniger als die Hälfte. Unternehmen in Deutschland tun daher gut daran, weiterhin auf strikte Richtlinien für Datensicherheit und Datenschutz zu setzen und die Stärken des hiesigen Datenstandorts offensiv zu kommunizieren.
apropos: Auch in Deutschland haben Anbieter auf richterliche Anordnung und ohne Wissen des Betroffenen Kundendaten herauszugeben bzw. dem Staat Zugang zu Kundendaten zu verschaffen, und das inzwischen bekanntlich nicht nur bei “scheren Straftaten” und die VDS dürfte es nach neuen Anläufen auch wieder ins Portfolio der Sicherheitsbehörden gelangen.
Das dagegen auch die achsotollen deutschen Produkte wie “email made in germany” schützen, sollte auch nicht unerwähnt bleiben.
Dem Anwender bleibt so nur zu überlegen, welchem der beiden Staaten er mehr “traut”, aber vor allem warum, denn das beide Staaten im Rechtshilfeabkommen arbeiten, sollte dabei auch bedacht werden.
“Datenschutz”
…für mich DAS Unwort des Jahrzehnts.
Vertrauen in Cloud-Dienstleister?
Mit nichten, weil die “Five Eyes” sowieso machen was sie wollen, nach dem Prinzip: wenn’s denn geht, warum nicht?
Und Sicherheit “made in Germany”?
Hak’s ab, der BND wird’s schon richten, wenn “die anderen” etwas benötigen…