NSA-Überwachungsskandal: Google, Yahoo, GMX - wirklich sicher ist man nicht

Die "Washington Post" berichtet unter Berufung auf Unterlagen des früheren NSA-Mitarbeiters Edward Snowden, dass der US-Geheimdienst Millionen von Emails gespeichert hat, die unverschlüsselt auf den Servern großer Anbieter wie Google und Yahoo lagerten. Das bedeutet: Auch wenn beispielsweise eine über den Dienst Googlemail geschickte Email beim Versenden verschlüsselt ist, landet sie dann auf einem Server, der das interne Google-Rechenzentrum mit dem öffentlichen Internet verbindet. Und an dieser Schnittstelle wird die Entschlüsselung aufgehoben, im Rechenzentrum lagern die Emails im Klartext. Genau dort wurden sie wohl von der NSA angezapft. "Die Art und Weise, wie hier möglicherweise vorgegangen wurde, schlägt dem Fass den Boden aus", sagte ein Sprecher von Google Deutschland.

Florian Glatzner vom Bundesverband der Verbraucherzentralen zieht daraus den Schluss: Die einzige Maßnahme, die tatsächlich die Vertraulichkeit einer Email sichert, sei die direkte Verschlüsselung der Email durch den Absender selbst. Allerdings auch nur dann, wenn der Empfänger ebenfalls die entsprechende Verschlüsselungstechnik verwendet. Glatzner warnt auch davor, jetzt nur auf die US-Provider zu blicken. Kabelsicherheit und Cloud-Anbieter in Europa sind eben genauso angreifbar.

In Deutschland rät das Bundesamt für Sicherheit in der Informationstechnik (BSI), beispielsweise bei der Wahl des Email-Providers auf "vertrauenswürdige Anbieter" zu setzen und empfiehlt vier vom BSI zertifizierte Dienste, darunter die Telekom AG und die 1&1 Gruppe, zu der GMX gehört. Der so genannte De-Mail-Dienst soll die "Grundlage für den vertraulichen Versand elektronischer Dokumente" sichern. Emails werden demnach ausschließlich über verschlüsselte Kanäle übertragen und verschlüsselt abgelegt. Allerdings, sagt Verbraucherschützer Glatzner, auch bei De-Mail entschlüsselt die Anbieter kurz die Mail. Theoretisch könnte es also auch zu so einer Situation kommen, wie es offenbar bei Google oder Yahoo der Fall war.

Sein Wunsch an die Politik neben stärkeren Datenschutzregelungen ist es, "Alternativen zur US-Dominanz im Internet" zu schaffen. Und zwar nicht, in dem der Staat den Aufbau einer eigenen Suchmaschine finanziert. Sondern durch ein "angenehmes Klima" für Unternehmen und Entwickler von Open-Source-Software und viel Transparenz.

Im technischen Bereich der digitalen Kommunikation ist also sehr viel möglich. Da aber Sicherheits- und Datenschutzfragen in den Anfangsjahren des Internets eine untergeordnete Rolle gespielt haben, hinken nun die Versuche einer rechtlichen Regelung der technischen Realität hinterher. Der Datenschutzbeauftragte des Bundes, Peter Schaar, und Verbraucherschützer haben deshalb gerade erst zu Wochenbeginn von der Bundesregierung gefordert, den Datenschutz auf europäischer Ebene zu fördern.

Der Rechtsausschuss des EU-Parlaments hatte Montag vor einer Woche die Reform der EU-Datenschutzverordnung verabschiedet. Unter anderem sollen Verbraucher explizit auf die Weiterverwendung ihrer Daten von Onlinediensten und Unternehmen hingewiesen werden, um Datenmissbrauch vorzubeugen. Zudem sollen die Verbraucherrechte gestärkt werden, beispielsweise was das Löschen ihrer Daten betrifft. Auch sollen die Bestimmungen auf Unternehmen ausgeweitet werden, die ihren Hauptsitz nicht in der EU haben - darunter Google. Mit dem Gesetzespaket will die EU ihre gemeinsamen Datenschutzregeln aus dem Jahr 1995 auf den neuesten Stand bringen.

Der Datenschutz auf EU-Ebene wird verschoben

Allerdings scheint sich das Projekt erst einmal wieder hinzuziehen: Denn die Staats- und Regierungschefs der EU haben das ganze Projekt vor einigen Tagen verschoben. Offiziell formulierten sie es so: Die Reform solle „rechtzeitig“ für die Vollendung des digitalen EU-Binnenmarktes im Jahr 2015 angenommen werden. Ursprünglich sollte sie aber 2014 sogar noch vor der Europawahl umgesetzt werden. Völlig ausgeschlossen ist das zwar noch nicht, aber wirklich zu erwarten auch nicht.

Zwar sind sich die Europäer im Grundsatz einige, dass man einheitliche Datenschutzregeln benötigt. Gestritten aber wird über das Wie. So beklagen auch Kritiker auf deutscher Seite wie Bundesinnenminister Hans-Peter Friedrich (CSU), dass sich die EU-Kommission zuviel Macht greifen wolle. Denn einige Regelungen sollen über so genannte delegierte Rechtsakte beschlossen werden, das heißt ohne die Zustimmung des EU-Parlaments. Das wird als "Blankoscheck" kritisiert.

Google wird aber nicht nur von der NSA ausspioniert, sondern wird auch regelmäßig offiziell von den Sicherheits- und Strafverfolgungsbehörden angesprochen. Die Zahl der Auskunftsersuche von staatlicher Stelle steigt rapide, heißt es bei Google. Man prüfe jedesmal im Einzelfall, ob eine Einsichtnahme gesetzeskonform sei. Google informiert über die Zahl der Auskunftsersuche von staatlicher Stelle in einem "Transparencyreport". So hat es laut diesem Bericht in Deutschland im Zeitraum Juli bis Dezember 2012 1550 Ersuche zu Nutzerdaten gegeben. 42 Prozent davon wurden laut Google bewilligt.