Der Schutz von personenbezogenen Daten und von geschäftskritischem geistigen Eigentum ist wichtig. In einer globalen Wirtschaft, in der Daten, Informationen und Wissen DIE kritischsten Erfolgsfaktoren sind, ist beides wahrscheinlich wichtiger denn je. Es ist wichtig zu verstehen, dass Gefahr für die genannten Informationen nicht nur von Kriminellen und Hackern, sondern auch von Geheimdiensten ausgeht – in den USA sogar legalisiert durch Gesetze wie den USA FREEDOM Act, der 2015 den berühmteren USA PATRIOT Act ablöste. Die Auswirkungen dieser Gesetze auf die Vertrauenswürdigkeit US-amerikanischer IT-Provider sind katastrophal.

Der folgende Text ist die aktualisierte Fassung eines Blogs, den ich am 08.03.2017 anlässlich der Veröffentlichung des so genannten „Vault 7-Leaks“ durch Wikileaks veröffentlicht hatte. Im Laufe einer Übersetzung des Blogs ins Englische am 20.08.2017 habe ich den Blog mit den Erkenntnissen der letzten Monate aktualisiert und inhaltlich ergänzt.

Denjenigen unter Ihnen, die nicht gerne mit unangenehmen Fakten konfrontiert werden möchten, empfehle ich, sich die folgende Episode von John Olivers „Last Week Tonight“ anzusehen, die im April 2015 veröffentlicht wurde, einschließlich eines Interviews mit dem Whistleblower Edward Snowden in Moskau (siehe: https://youtu.be/XEVlyP4_11M). Das Video vermittelt Ihnen auf unterhaltsame Weise zumindest einen Eindruck von potenziellem Missbrauch, der durch staatliche Massenüberwachung verursacht wird.

Ich betrachte die folgende Aussage von Edward Snowden als das überzeugendste Argument, warum Ihnen Datenschutz wichtig sein sollte: „Zu sagen, dass Ihnen das Recht auf Privatsphäre egal ist, weil Sie nichts zu verbergen haben, ist ungefähr so, als wenn Sie sagen würden, dass Ihnen die Meinungsfreiheit egal ist, weil Sie nichts zu sagen haben“ (siehe: http://www.businessinsider.de/edward-snowden-privacy-argument-2016-9). Und für diejenigen unter Ihnen, die Edward Snowden als Verräter betrachten, empfehle ich die Lektüre, des folgenden Kommentars von James Sensenbrenner, dem Autor des USA PATRIOT Act, vom 09.06.2013 unter der Überschrift „The abuse of the USA PATRIOT Act must end“: https://www.theguardian.com/commentisfree/2013/jun/09/abuse-patriot-act-must-end.

Doch nun ist es an der Zeit, die Fakten genauer unter die Lupe zu nehmen.

Am 07.03.2017 hat die Enthüllungsplattform Wikileaks begonnen, unter der Bezeichnung „Vault 7“ (https://www.wikileaks.org/ciav7p1/) knapp 9.000 Dokumente und Dateien zu veröffentlichen, die belegen, wie sich der US-Auslandsgeheimdienst CIA in den vergangenen Jahren ein Repertoire an Cyber-Waffen aufgebaut hat, mit denen iPhones von Apple, Android-Geräte von Google, Windows-Rechner und auch mit dem Internet vernetzte Fernseher gehackt werden werden können, um die Nutzer dieser Geräte auszuspionieren.

So soll etwa der Samsung-Smart-TV F8000 von der CIA in einen Zustand des „Fake Off“ versetzt werden können. Der Nutzer denkt dann, das Gerät sei ausgeschaltet, heißt es. Die CIA kontrolliert laut Wikileaks in der Operation mit dem Codenamen „Weeping Angel“ aber das Mikrofon und die Webcam des TV-Geräts. Weitere Dokumente deuten darauf hin, dass die CIA die Steuerung von vernetzten Autos übernehmen könnte. So könnte der Geheimdienst nach Spekulationen von WikiLeaks schwer aufzuklärende Mordanschläge verüben.

Nach den Enthüllungen des Whistleblowers Edward Snowden im Sommer 2013 zu den Spionageaktivitäten der National Security Ageny (NSA) ist dies der zweite herbe Schlag, der das Vertrauen in US-amerikanische IT-Provider sowie das Internet als Plattform für globale Kommunikation und Wirtschaftsbeziehungen in ihren Grundfesten erschüttert.

  • Warum sollten europäische Unternehmen ihre geschäftskritischen Daten US-amerikanischen IT-Providern oder Industrieunternehmen anvertrauen, wenn sie befürchten müssen, dass diese Daten ausspioniert und von den US-Geheimdiensten an US-Mitbewerber weitergegeben werden?
  • Warum sollte ich als Anwender ruhigen Gewissens noch Smartphones, Notebooks oder andere Geräte mit den Betriebssystemen Android von Google, iOS/OSX von Apple oder Windows (Mobile/Phone) von Microsoft nutzen, wenn ich befürchten muss, dass diese Geräte missbraucht werden, um mich, meine privaten Daten oder meinen Freundeskreis auszuforschen? Warum sollte ich immer noch Apps wie WhatsApp verwenden, die standardmäßig alle meine Kontakte von meinem Smartphone auf einen Server in den USA übertragen? Hinweis: Der potenzielle Schaden, der durch ein Smartphone als Spionagewerkzeug verursacht werden kann, ist riesig, wie ich bereits in meinem Blog „Der Spion in Ihrer Tasche“ vom 25. April 2017 dargestellt habe (siehe: https://kubraconsult.blog/2017/04/25/der-spion-in-ihrer-tasche/).
  • Warum sollten europäische Automobilfirmen die Betriebssysteme von Google, Apple oder Microsoft als Grundlage für Multimedia-Anwendungen in ihren Fahrzeugen nutzen, wenn das Risiko besteht, dass die US-Geheimdienste über diesen Weg die Kontrolle über die Fahrzeuge (und deren Nutzer) übernehmen können?
  • Warum sollten europäische Unternehmen die Sensor-, Industrieautomatisierungs- oder Big Data-Analytics-Technologien von US-amerikanischen Unternehmen, wie IBM, Microsoft oder General Electric, zum Aufbau von Internet of Things (IoT)-Lösungen nutzen, wenn sie befürchten müssen, dass ihre Industrieanlagen oder Kraftwerke durch die US-Geheimdienste angegriffen und abgeschaltet werden können?

Ich hatte bereits an anderer Stelle auf die Problematik der Wirtschaftsspionage durch Geheimdienste hingewiesen (vergleiche: https://kubraconsult.blog/2017/01/26/usa-patriotfreedom-act-vs-schutz-personenbezogener-daten-und-geistigen-eigentums/). Das seinerzeitige Fazit hat durch die aktuellen Wikileaks-Enthüllungen zu „Vault 7“ nochmals an Bedeutung gewonnen:

ZITAT ANFANG

„Die Kombination folgender Faktoren ist ein absolutes Desaster sowohl für die Glaubwürdigkeit und Vertrauenswürdigkeit datenverarbeitender US-amerikanischer Unternehmen (wie z. B. wie Apple, Google, Microsoft, Amazon, HP, IBM, Accenture, Oracle, Cisco, AT&T, Verizon oder General Electric), als auch der US-amerikanischen Regierung:

  • Massenüberwachungsmaßnahmen, die ohne Gerichtsbeschluss von US-Bundesbehörden auch außerhalb der Landesgrenzen der USA durchgeführt werden dürfen (exterritorialer Rechtsanspruch),
  • Verpflichtung der datenverarbeitenden US-Unternehmen unter Strafandrohung zur Verschwiegenheit gegenüber den Betroffenen und der Öffentlichkeit,
  • Leugnung und Relativierung der Überwachungsmaßnahmen durch US-Politiker und Repräsentanten von US-Bundesbehörden in der Öffentlichkeit und gegenüber Kontrollgremien,
  • die nicht auszuschließende Existenz geheimer Richtlinien des US-Justizministeriums, die den US-Bundesbehörden weitergehende Befugnisse zugestehen,
  • und die mögliche Weitergabe von geistigem Eigentum, das die US-Bundesbehörden im Rahmen ihrer Überwachungsmaßnahmen gesammelt haben, an die US-amerikanischen Wettbewerber ausländischer Unternehmen

Die Risiken durch den potenziellen Missbrauch personenbezogener Daten bzw. Diebstahl geistigen Eigentums sind für europäische Unternehmen so groß, dass die Auftragsvergabe an US-Unternehmen oder die Nutzung US-amerikanischer Cloud-Services (z. B. von Amazon Web Services, Microsoft, HP, IBM oder Dell) zumindest für kritische Anwendungsfälle nicht geboten erscheint, solange Gesetze, wie der USA FREEDOM Act, geltendes Recht verkörpern.

Umso erstaunlicher ist es, dass die Öffentlichkeit in Deutschland und der EU sowie die Verantwortlichen in den meisten deutschen bzw. europäischen Unternehmen kaum Notiz von diesen gravierenden Fehlentwicklungen und den damit einhergehenden Risiken nehmen, geschweige denn dagegen aufbegehren – wenn nicht gerade das Mobiltelefon der Bundeskanzlerin durch die Abhöraktionen betroffen ist (oder die Forschungs- und Entwicklungsabteilung des eigenen Unternehmens).“

ZITAT ENDE

Die US-Regierung ist auf dem besten Wege, das Vertrauen in das Internet als Plattform für globale, digitale Kommunikation, Innovation und Wirtschaftsbeziehungen zu zerstören. De facto ist der Rubikon schon überschritten. Es ist höchste Zeit, sich dagegen zu wehren.

P.S.:

Diejenigen, die gehofft hatten, dass die von der EU-Kommission am 12.07.2016 verabschiedete Endfassung des „EU-US Privacy Shield“-Abkommens einen wirksamen Schutz vor den ungebührlichen Absichten der US-Bundesbehörden gewähren würde, wurden enttäuscht. Die Regelungen des „EU-US Privacy Shield“ ersetzten das „Safe Harbor“-Abkommen – eine Entscheidung der EU-Kommission aus dem Jahr 2000, die es europäischen Unternehmen ermöglichen sollte, personenbezogene Daten gemäß der Europäischen Datenschutzrichtlinie an die Vereinigten Staaten von Amerika und/oder US-amerikanische Anbieter zu übermitteln. Die „Safe Harbor“-Vereinbarung wurde vom Europäischen Gerichtshof (EuGH) in seinem Urteil vom 06.10.2015 aus formalen Gründen für rechtsunwirksam erklärt.

Das „EU-US Privacy Shield“-Abkommen, das von der US-amerikanischen Fachpresse als „Deal“ bezeichnet wurde, wurde von Anfang an heftig kritisiert. Maximilian Schrems, dessen Klage vor dem EuGH das „Safe Harbor“-Abkommen zu Fall brachte, kritisierte, dass sich aus seiner Sicht die Rechtslage nach Inkrafttreten des „EU-US Privacy Shield“-Abkommens nicht wesentlich von der Rechtslage des „Safe Harbor“-Abkommens unterscheidet. Schrems sagte: „Im EU-US Privacy Shield Agreement ist die Vormachtstellung des US-Rechts ebenso formuliert, wie im Safe Harbor-Abkommen und wenn das US-Recht bestimmt, dass das Abfangen von Daten erlaubt ist, dann werden Daten abgefangen“.

Nach intensiver Prüfung der Dokumentation wurde der „EU-US Privacy Shield“ auch von 27 zivilrechtlichen Gruppen und Datenschutzexperten abgelehnt. Sie kritisierten die fehlende rechtliche Verbindlichkeit des Abkommens, da es sich nur um eine Sammlung von Briefen handele. Die von der US-Regierung initiierten Maßnahmen zur Massenüberwachung sind nach wie vor zulässig und die betroffenen Personen und Unternehmen sind noch immer nicht in der Lage, ihre Rechte wirksam durchzusetzen, z. B. weil sie nicht über die Überwachungsmaßnahmen informiert werden.

Last but not least bietet die am 14.04.2016 vom EU-Parlament abschließend gebilligte EU „General Data Protection Regulation“ (GDPR) zur Festlegung EU-weit einheitlicher verbindlicher Regeln für die Verarbeitung personenbezogener Daten durch Privatunternehmen und EU-Bundesbehörden keinen wirksamen Schutz vor Ausforschung durch US-Bundesbehörden. Die GDPR wird ab 25.05.2018 die EU-Richtlinie 95/46/EG aus dem Jahr 1995 ersetzen, die zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und bei der uneingeschränkten Datenübermittlung verabschiedet wurde. Ziel dieser EU-Richtlinie war es, einerseits personenbezogene Daten innerhalb der Europäischen Union zu schützen und andererseits eine uneingeschränkte Datenkommunikation innerhalb des europäischen Binnenmarktes zu gewährleisten.

Der unangemessene Umgang mit dem Schutz personenbezogener Daten durch die EU-Kommission bei den Verhandlungen mit der US-Regierung über den „EU-US Privacy Shield“ ist leider ein weiteres Beispiel, welches zeigt, dass grundlegende Bürgerrechte von EU-Bürgern nicht als ebenso wichtig angesehen und bewertet werden wie wirtschaftliche Interessen privater Unternehmen.

2 Kommentare zu „Wie die US-Regierung die US-amerikanische IT-Industrie diskreditiert

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s