Das Thema Datensicherheit in der Cloud beschäftigt uns weiter –  David Pachali beleuchtet die Situation grundsätzlich. Quellenschutz, Strafverfolgung und rechtliche Grauzonen…

„Unsere Cloud ist sicher”. Wer sich die Seiten der Anbieter von Clouddiensten ansieht, wird diese und ähnliche Hinweise nicht übersehen. Der eine wirbt mit „TÜV-geprüfter” Sicherheit, der nächste mit „AES–256 bit”-Verschlüsselung. Das klingt beeindruckend. Was kann da schon schief gehen?

Die Erfahrung zeigt: Irgend etwas geht immer schief: Im letzten Jahr demonstrierte die Geschichte des Technikjournalisten Mat Honan, das dies vorzugsweise gerade dort passiert, wo man es nicht erwartet. Hacker übernahmen seine Accounts bei Google, Apple und Twitter; per Fernlöschung verlor er dann auch noch seine Daten auf Laptop, Smartphone und Tablet.

Dafür mussten die Angreifer gar nichts knacken – jedenfalls nicht im technischen Sinn. Sie hatten eine neue Schwachstelle ausfindig gemacht: Den Kundensupport bei Apple. Sie gaben sich als Honan aus und konnten so ein neues Passwort für seinen iCloud-Account einrichten. So konnten sie sich von Account zu Account, von Gerät zu Gerät weiterhangeln, weil am Ende alle Dienste an einer Mailadresse hingen.

Wann gilt der Quellenschutz?

Für Journalisten hat Datensicherheit doppeltes Gewicht: Neben dem Schutz der eigenen Daten geht es für sie auch um die Daten Dritter. Der Quellen- und Informantenschutz, wie er etwa im Pressekodex festgehalten ist, fordert: „Die vereinbarte Vertraulichkeit ist grundsätzlich zu wahren.” (Ziffer 5).

Was heißt das im Alltag? Ist etwa das eigene Archiv bei Cloudspeicherdiensten bereits eine Gefahr? Der Bundesdatenschutzbeauftragte Peter Schaar warnte kürzlich davor, Recherchedaten überhaupt bei Clouddiensten zu lagern. Denn die Privilegien für den Quellenschutz würden nur dann gelten, wenn sich die Daten unmittelbar beim Journalisten oder in der Redaktion befinden. Daten in der Cloud dagegen könnten nicht nur von Angreifern, sondern auch von Strafverfolgern abgegriffen werden – der Quellenschutz gelte hier nicht.

Der Internetrechtler Niko Härting widersprach Schaar allerdings. Auch Daten in der Cloud sind nach seiner Auffassung vom Quellenschutz umfasst und könnten nicht einfach beschlagnahmt werden. Dahinter stecken vor allem unterschiedliche Auffassungen über die Frage, wann Daten sich im „Gewahrsam” eines Geheimnisträgers – also etwa eines Journalisten – befinden.

Behörden in der Cloud

Die Kontroverse führt aber auch auf ein grundsätzliches Problem: Wann, wie und unter welchen Umständen Strafverfolger auf Daten in der Cloud zugreifen dürfen, ist ziemlich ungeklärt. Dahinter stecken mehrere Entwicklungen: Zum einen operieren die Dienste über Ländergrenzen hinweg. Wo die Daten liegen und wo die Rechenzentren stehen, weiß man häufig gar nicht. So kommt es in der Cloud zum Clash der Jurisdiktionen und ihrer nationalen Regelungen über Datenschutz und Zugriffsbefugnisse.

Aber selbst, wenn das geklärt ist, bleiben Fragen offen. Viele Anwendungen vermischen, was vormals getrennt war. Dokumente etwa, die früher als Aktenordner materialisiert waren, werden über Webdienste bearbeitet. Gespräche, die früher übers Telefonnetz geführt wurden, wandern zu internetbasierten Diensten, die zum Beispiel Videochat-Funktionen gleich eingebaut haben. Die Regelungen für Beschlagnahme oder das Telekommunikationsgeheimnis aber gehen noch von getrennten Welten aus – also Dokumente hier, Telekommunikation da.

Neue Regeln für Strafverfolgungsbehörden beschäftigen auch schon den Gesetzgeber: Im Rahmen der EU-Datenschutzreform wird neben der Verordnung für Unternehmen auch an einer neuen Richtlinie gearbeitet. Diese regelt, wie Polizei und Justiz mit den Daten der Bürger umgehen dürfen, welche überhaupt gesammelt und wann und wie sie ausgetauscht werden dürfen.

Die richtige Strategie finden

Solche Reformen bringen zwar hoffentlich mehr Klarheit, doch die allein nützt nicht immer. Einer Quelle hilft es im Zweifel wenig, wenn ein Gericht etwa später feststellt, dass eine Durchsuchung oder Beschlagnahme rechtswidrig war. Der Schaden ist entstanden. So oder so: Sensible Daten sollten Journalisten selbst verschlüsseln – ob auf dem heimischen Rechner oder in der Cloud. Zum Beispiel mit Programmen wie Truecrypt oder Boxcyptor (hier im Torial-Test).

Neben dem Einsatz solcher Tools gilt es für Journalisten aber auch eine Frage im Auge zu behalten, die das New Yorker Committee to Protect Journalists in seinem Sicherheits-Ratgeber festhält: Vor wem müssen Informationen eigentlich geschützt werden, wer könnte ein Interesse an ihnen haben und auf welchem Weg könnte er versuchen, sie zu erlangen? „Man kann sich leicht einen Orwellschen Überwachungsapparat vorstellen, der jede E-Mail mitliest. Häufiger aber haben sich Journalisten Gegner in bestimmten Regierungskreisen, bei einem lokalen Polizeichef oder einem korrupten Beamten geschaffen”.

Das heißt: Technische Mittel sind zwar nützlich, helfen aber nicht allein, wie auch der Fall Mat Honan zeigt. Aber auch einfache Schritte – zum Beispiel nicht eine Mailadresse für alle Dienste verwenden – können schon viel bewirken. Wann welche Schritte für mehr Datensicherheit nötig sind, muss man dennoch im Einzelfall abwägen. Und im Auge behalten, ob man die selbstgesetzten Regeln im Alltag auch durchhalten kann. Im Zweifel sollte der Schutz der Daten von Dritten dabei immer Vorrang haben.