Die Angst vor dem Zugriff de US-Behörden – das spielt Linkedin derzeit massiv in meine Storyline.
Sehr oft geschrieben von europäischen Cloud-Anbietern – natürlich völlig objektiv und sachlich geschrieben und immer mit dem zarten Hinweis, dass man selber eine europäische, datenschutzkonforme Lösung anbietet.
Das Thema „digitale Souveränität“ und die Frage, warum Europa es bislang nicht geschafft hat, ähnliche Lösungen zu entwickeln ist ein sehr wichtiges Thema. Auch die Abhängigkeit von großen Anbietern ist etwas, worüber wir diskutieren sollen. Aber bitte nicht mit unbegründeter Angstmache, Panik und dem Schlecht-Machen der Anderen. (Das hat noch nie wirklich funktioniert).
Bleiben wir bei den Fakten.
Die Verordnung, die US Behörden erlaubt, Suchanfragen an US-Telekomanbieter zu stellen (unabhängig davon, wo die Daten liegen) ist Foreign Intelligence Surveillance Act (FISA), insbesondere Section 702.
Wo finden wir die Originaldokumente zu FISA
- GovInfo.gov – Enthält den vollständigen Gesetzestext des FISA von 1978 und seiner Änderungen:
FISA Originaltext (PDF) - Congress.gov – Bietet offizielle Berichte des Congressional Research Service (CRS), die das Gesetz und seine Anwendung erklären: CRS-Bericht zu FISA
- U.S. Department of Justice (DOJ) – Veröffentlicht regelmäßig Berichte und Informationen zur Anwendung von FISA, insbesondere zu Section 702:
FISA-Seite des DOJ
Was darf nach FISA durchsucht werden
1. Zielpersonen und Datenquellen
- Zielpersonen: Nicht-US-Personen, die sich außerhalb der Vereinigten Staaten befinden und von denen angenommen wird, dass sie relevante ausländische Geheimdienstinformationen besitzen oder kommunizieren
- Datenquellen: Elektronische Kommunikationsdienste mit Sitz in den USA, wie z. B. Internet- und Telekommunikationsanbieter, werden verpflichtet, bei der Datenerhebung zu helfen
2. Konkret durchsuchbare Datenbestände
Die NSA und andere Behörden dürfen folgende Datenbestände durchsuchen:
- E-Mail-Kommunikation
- Telefonverbindungen
- Cloud-Daten (z. B. gespeicherte Dateien, Chatverläufe)
- Internetaktivitäten (z. B. Suchanfragen, Webseitenbesuche)
- Metadaten (z. B. Verbindungszeiten, IP-Adressen, Geräteinformationen)
Diese Daten werden anhand von spezifischen Identifikatoren wie E-Mail-Adressen oder Telefonnummern selektiert, die mit Zielpersonen in Verbindung stehen
3. Zugriffsverfahren
- Die NSA stellt eine Liste von Ziel-Identifikatoren zusammen.
- Diese wird dem FISA Court zur Genehmigung vorgelegt.
- Nach Genehmigung müssen die Anbieter die Kommunikation dieser Identifikatoren bereitstellen.
- U.S.-Personen dürfen nicht gezielt überwacht werden, ihre Daten können aber inzidentell erfasst werden, wenn sie mit Zielpersonen kommunizieren
Gibt es eine genaue Definiton des Begriffes „Cloud Data“ ?
In den offiziellen Dokumenten zur FISA-Verordnung, insbesondere zu Section 702, wird der Begriff „Cloud-Daten“ nicht explizit und technisch definiert. Stattdessen wird allgemein von „electronic communications“ und „stored electronic data“ gesprochen, die über US-amerikanische Kommunikationsdienste zugänglich sind
Wie viele Anfragen durch FISA gibt es ?
USA FREEDOM Act, Section 604
Erlaubt Unternehmen, regelmäßig Berichte („Transparency Reports“) zu veröffentlichen, in denen sie die Anzahl der Anfragen nach FISA, NSL (National Security Letters) und anderen Überwachungsmaßnahmen angeben dürfen – in Bandbreiten (z. B. 0–499, 500–999).
Für Microsoft finden wir diesen Bericht hier:
Government Requests for Customer Data Report | Microsoft CSR
Für die Zugriffe durch FISA müssen wir auf dieser Seite etwas weiter runter scrollen bis hierher:
Startet man den Download, bekommt man ein Excel mit den Zugriffszahlen.und findet die schon öfter von mir geposteten Zahlen von unter 500 Anfragen im letzten Halbjahr 2023 mit unter 22.500 betroffenen Accounts.
3 kleine Einschätzungen dazu von mir
(Interpretation der Fakten)
Was bedeutet das für IaaS/PaaS Dienste ?
Wir sehen aus den obigen Fakten, dass die Zugriffe durch FISA auf die Kommunikationsdaten fokussiert sind. Ja, der Begriff der „Cloud daten“ ist weitläufig gefasst, die Suchkriterien sind aber ganz klar Mailadressen bzw Telefonnummern. Von meinem technischen Verständnis ist es für zb eine Microsoft auch extrem schwierig bis unmöglich, in den IaaS/PaaS Services gezielt nach Mailadressen/Telefonnummern zu suchen – im Gegensatz zu den PaaS Services wie Exchange/Teams und Co. Dh MEINE Einschätzung (!) ist, dass IaaS/Paas Daten nicht wirklich durch FISA betroffen sind. Ich lasse mich hier aber gern durch Argumente vom Gegenteil überzeugen.
Einordnung der Zugriffszahlen durch FISA
Im Schnitt sind im Monat 3.750 Accounts betroffen.
Microsoft hat ca. 400 Millionen Consumer Accounts im Consumer Outlook (Schätzung, es gibt keine offziellen Zahlen, aber in mehreren Quellen wird diese Zahl genannt) – nimmt man alle Accounts der Consumerdienste Outlook/Onedrive/Skype/XBOX Live zusammen, werden es mehr sein, aber bleiben wir mal bei den 400 Millionen.
Und Microsoft hat ca. 380 Millionen aktive Business User (auch hier nur Schätzungen)
Rechnen wir das nun zusammen, kommen wir auf 780 Millionen Accounts. Davon sind monatlich 3.750 betroffen. Dh die Wahrscheinlichkeit das ein Account betroffen ist, liegt bei 0,0004846
Schaut man sich die law enforcement Berichte von Microsoft an, sieht man, dass nur 1% aller betroffenen Accounts im Businessbereich liegen – legt man das auf die FISA Anfragen um, sind wir bei 0,00001 %
Aber egal wie wir es rechnen – das Risiko ist nicht 0, aber sehr gering.
Vorteile vs Risken
Nur auf Risken beim Einsatz von Cloud Diensten zu schauen, ist zu kurz gedacht. Das Risiko durch den Zugriff durch FISA muss anderen Risken gegenübergestellt werden. Wie hoch schätzen Sie folgende Risken beim OnPrem Betrieb ein?
- Einsatz von Schattencloud
Erfahrungen zeigen, dass User, die keine modernen Arbeitsmittel (Chat, Videokonferenz, Cloudspeicher für Dateien, …) zur Verfügung gestellt bekommen, auf Schattenclouddienste (WhatsApp, Dropbox, …) ausweichen.
Wie viel Risiko bedeutet der Einsatz von Schattenclouddienste für die Daten ? - 2 Faktor Zugriff
In den allermeisten Unternehmen, die ich kenne, ist zumindest der Zugriff auf Maildaten onPrem ohne zweiten Faktor möglich. Oft auch auf andere OnPrem Systeme.
Umgekehrt ist bei den allermeisten Unternehmen, die zu M365 gewechselt haben, der Zugriff auf diese Dienste ausschliesslich mit einem zweiten Faktor möglich…
Wie viel Risiko ist der fehlende Einsatz eines zweiten Faktors beim Zugriff auf Daten? - Securitypersonal
Wie viele Personen im Unternehmen sind ausschliesslich für die Sicherheit der IT-Systeme zuständig? Gibt es eine 7×24 Überwachung ? Ein SOC ? Zertifizierungen ? Audits ?
Wenn nein, was bedeutet das für das Risiko der Daten ? - Patchstand der OnPrem Systeme
Sind alle onPrem Systeme auf dem neuesten Stand ? Wie lange ist die Zeitdauer zwischen dem Release von Securitypatches bis zum einspielen ? Wird die Aktualistät für ALLE Syteme onPrem regelmässig überprüft ?
Was bedeuten nicht gepatchte Systeme für das Risiko der Daten ?
Und zum Abschluss noch ein ganz persönliche Anmerkung:
Immer wieder wird mir zum Vorwurf gemacht, ein „Microsoft Fanboy“ zu sein. Durch meine 9 Jahre Microsoft eine Gehirnwäsche bekommen zu haben. Marketing für Microsoft zu machen. Nur Microsoft zu sehen und keine Alternativen. Und „Du kennst ja sonst nix“
Ja, ich bin ein Microsoft Fanboy – Microsoft beschäftigt mich mein gesamtes Berufsleben und ich mag die Plattform, die Firma, die Produkte, das Ökosystem dahinter, das was die Plattform in Unternehmen bewirkt und bei den Usern. das bestreite ich gar nicht. Wäre auch schwierig als MVP..
Und ja, die 9 Jahre bei MS und die jahrzehntelange Beschäftigung mit der Thematik haben mir sehr sehr sehr viel Informationen und Wissen gegeben. Das Thema Datenschutz diskutiere ich seit 15 Jahren mit Kunden. Aber Gehirnwäsche ? Nein, ich habe gelernt: „Get the facts“
All das bedeutet aber NICHT, dass ich kritiklos alles gutheisse, was von Microsoft kommt. Die Argumentation von MS ungeschaut übernehme. Microsoft Produkte als das Beste seit der Erfindung des geschnittenen Brotes finde. Alles andere schlecht finde. Letzters kann ich gar nicht, weil ich die anderen Lösungen viel zu wenig kenne.
Aber mich triggert extrem (und wer mich kennt und bis hier durchgehalten hat, wird jetzt wissend lächeln) wenn Microsoft Bashing betrieben wird. Wenn mit Vermutungen statt mit Fakten argumentiert wird. Wenn Behauptungen einfach nachweisbar falsch sind.
Argumentiert mit mir mit Fakten. Gebt mir Quellen. (Aber bitte Originalquellen, keine Heise Artikel) Ich behaupte nicht, dass ich immer Recht habe, mich nicht irren kann. Lerne wirklich gern dazu. Aber hört bitte auf, andere schlecht zu machen nur um euch besser dastehen zu lassen….
