Third Country Intercept Risk in der Cloud

Wie sicher sind Daten in der Cloud? Diese Frage beschäftigt vermehrt sicherheitsverantwortliche Personen. Dabei spielen der Sitz des Cloud-Anbieters und die dort geltenden Bestimmungen eine entscheidende Rolle. Dies gilt insbesondere für die grossen unter den Anbietern: die Hyperscaler. Die meisten davon sind in den USA ansässig. Die dort geltenden Bestimmungen beschränken sich jedoch nicht nur auf herkömmliche Rechtskörperschaften, sondern sind massgeblich durch verwaltungsrechtliche Bestimmungen geprägt. Im Besonderen geht es um nationales Sicherheitsrecht. Im Zusammenhang mit dem Abfluss- respektive Abfangrisiko von Daten in der Cloud sind zwei Rechtsgrundlagen besonders relevant. Einerseits ist dies die EO 12333 (Executive Order) und andererseits der FISA Section 702 (Foreign Intelligence Surveillance Act). (Da sich der Cloud Act wesentlich von diesen beiden Gesetzen dadurch unterscheidet, dass dieser einen gefestigten Verdacht und justizielle Prüfung voraussetzt und vorwiegend von Strafverfolgungsbehörden genutzt wird, stellt er im Kontext der Auslandsnachrichtenbeschaffung unter Umgehung von Datenschutzgesetzen in Zielländern ein weniger gravierendes Abfangrisiko dar.)

Beide Rechtsgrundlagen dienen vor allem der Auslandsnachrichtenbeschaffung. Im Lichte dieses Sachverhalts ist das Argument naheliegend, dass es beim Abfangrisiko primär um ein Sicherheits- und nicht um ein Datenschutzthema geht. Datenschutzverletzungen sind denn auch eine Konsequenz eines erstinstanzlichen Sicherheitsrisikos.

Anhand von EO 12333 und FISA soll aufgezeigt werden, warum das Abfangrisiko in der Cloud gemeinhin noch unterschätzt wird. EO 12333 wurde von Ronald Reagan ins Leben gerufen und ist unter anderem auch die Mandatsgrundlage für die NSA sowie andere US-Nachrichtendienste. Primäre Anwendung des EO ist die Auslandsnachrichtenbeschaffung, sofern es sich in der Regel um "non-US persons" handelt, die etwa der organisierten Kriminalität oder des Terrorismus verdächtigt werden. Dies betrifft auch die Kommunikation aus den USA ins Ausland. An der Auslandsnachrichtenbeschaffung unter dem EO sind die CIA, NSA, der NCTC und das FBI beteiligt. Lediglich zwei Verwaltungsmitarbeiter – der Generalstaatsanwalt und der Director of National Intelligence – müssen ihr Fiat geben, um einem Nachrichtenbedürfnis der US-Exekutive, -Legislative und -Judikative nachzugehen und die gewünschten Informationen zu beschaffen.

Unter Ausschluss der Öffentlichkeit

1978 führte Senator Ted Kennedy den FISA ein. Section 702 ist die Schlüsselbestimmung, die der Regierung erlaubt, gezielt Personen im Ausland zu überwachen. Dieselben Ämter wie unter dem EO sind im 702-Programm aktiv. Ein Unterschied zum EO ist, dass die Autorisierung für ein Nachrichtenbedürfnis durch ein FISA-Gericht (FISC) "in camera", also unter Ausschluss der Öffentlichkeit, erteilt wird. Die Nachrichten werden bei sogenannten "electronic communication service provider", das heisst auch bei Cloud-Hyperscalern, durch die Ermächtigung zur "compelled assistance" (geheime Mitwirkungspflicht) beschafft. Cloud-Provider dürfen sodann keine Auskunft zur Auslandsaufklärung über ihre Dienste an die betroffenen Kunden weitergeben. Es ist nicht auszuschliessen, dass Zuwiderhandlungen gegen die geheime Mitwirkungspflicht durch Cloud-Provider etwa unter dem "Espionage Act" (1917) drakonisch geahndet werden könnten. Gemäss US Courts wurden zwischen 1979 und 2006 22 990 Beschaffungsanträge gestellt, 22 985 angenommen und nur 5 zurückgewiesen. Das hat sich auch in der jüngeren Vergangenheit nicht verändert. (Ersichtlich im "Report of the Director of the Administrative Office of the US Courts on Activities of the Foreign Intelligence Surveillance Courts for 2023".) Die Statistik sagt jedoch nichts zur Qualität der Beschaffungsanträge aus. Diese variieren zwischen der Abklärung einer Personalie bis hin zu einem "PRISM"-ähnlichen Massenüberwachungssystem, wie etwa die Offenbarungen von Edward Snowden 2013 zeigten. 

Eine weitere Komplikation der Situation für Cloud-Kunden in Europa ergibt sich aus dem Nachspiel von Schrems II (2020), welches das EU-US-Privacy-Shield-Abkommen rund um die Sicherung von Datentransfers in die USA zu Fall brachte. Das Abkommen forderte unter anderem, dass ausser den sogenannten Standard Contractual Clauses (SCCs) auch zusätzliche Sicherungsmassnahmen getroffen werden sollten (additional safeguards), die jedoch durch die EU nie genauer definiert wurden. Die zentrale Frage rund um Schrems II war auch, ob Cloud-Service-Provider fähig wären, sich so weit von Kundendaten abzuschotten, dass dies auch den Ansprüchen des öffentlichen Sektors genügen würde.

Das European Data Protection Board befand 2020, dass es fraglich sei, ob die Provider dazu in der Lage wären, dass absolut keine Daten unter deren Kontrolle gelangen könnte, "... wenn unverschlüsselte personenbezogene Daten für die Erbringung der Dienstleistung durch den Auftragsverarbeiter technisch erforderlich sind, stellen die Transportverschlüsselung und die Data-at-Rest-Verschlüsselung, auch wenn sie zusammengenommen werden, keine zusätzliche Massnahme dar, die ein im Wesentlichen gleichwertiges Schutzniveau gewährleistet, wenn der Datenimporteur im Besitz der kryptografischen Schlüssel ist". (J. Hilden, Mitigating the Risk of US Surveillance; online verfügbar.)

Die Schlussfolgerung (des EDPB) lautete, dass keine US-amerikanische Software-as-a-Service-Lösung (SaaS) in der Lage sei, die Bedingungen von Schrems II zu erfüllen. Damit eine SaaS-Lösung funktionieren kann, muss der betreffende Dienstanbieter zumindest vorübergehend (wenn auch nur im Millisekundenbereich) Zugang zu den kryptografischen Schlüsseln haben. Dieses Problem konnte 2020 durch keine vertraglichen, organisatorischen oder technischen Massnahmen gelöst werden. Auch Versuche in der jüngeren Vergangenheit, eine zulängliche technische Massnahme zu entwickeln, sind bislang nicht anerkannt erfolgreich, etwa Hardware Security Modules und Client Side Agents. (Der Autor bemüht sich gegenwärtig um eine Abklärung der Nutzbarkeit von HSM- und CSA-Technologien zur Erfüllung der Schrems-II-Anforderungen.)

Auswirkungen auf Schweizer Unternehmen

Das US-Verwaltungsrecht, insbesondere das National Security Law, steht hierarchisch über anderen Rechtskörperschaften, in deren Rahmen Verträge zwischen den Cloud-Providern und ihren Kunden normalerweise auch international geschlossen werden – dies ist gerade in Bezug auf die Ermächtigung unter dem Titel der FISA Section 702 "compelled assistance" aus bereits erklärten Gründen ein pikantes Faktum.
Des Weiteren haben weder das neueste EU-US-Abkommen (DPF, 2023) noch der schweizerische Datenschutzrahmen vom 14. August 2024 (Swiss-US Data Privacy Framework) an dieser Situation massgeblich etwas geändert oder aber die Thematik der Auslandsnachrichtenbeschaffung unter EO 12333 und FISA Section 702 – zumindest in öffentlich zugänglichen Verlautbarungen – angemessen oder aber realistisch in ihren jeweiligen Anforderungen bislang berücksichtigt – Irrtum vorbehalten. 

Was sind nun die Fazite für Sicherheitsverantwort­liche in der Schweiz?

1. Mit EO 12333 und FISA Section 702 verfügen die USA über wirksame Rechtsinstrumente, die ihre Bemühungen um die Beschaffung ausländischer Informationen untermauern und die die Beschaffungsbehörden weit über den Cloud Act hinaus ermächtigen.
2. Das Verfahren zur Beschaffung nachrichtendienstlicher Informationen ist intransparent, die Entscheidung erfolgt unter Ausschluss der Öffentlichkeit (FISC) oder durch den Entscheid durch zwei Verwaltungskader, Berufungen sind nicht möglich, und alle US-amerikanischen (und anderen) Cloud-Anbieter unterliegen der geheimen Mitwirkungspflicht (compelled assistance); die US-Gerichte veröffentlichen nur die Quantität der FISA-Anträge, nicht aber deren Qualität; zur Zahl und Beschaffenheit der EO-Anträge ist dem Autor noch keine öffentliche Quelle bekannt. Ein Antrag kann auf eine Einzelperson abzielen oder ein Massenüberwachungsprogramm darstellen.
3. Schrems II SCCs, geheime Zusatzklauseln und zusätzliche Sicherheitsvorkehrungen können Daten in der Cloud nicht angemessen schützen (GDPR/DSGr23), unabhängig davon, ob die Schlüssel gemeinsam genutzt werden oder nicht.
4. Solange die beschaffenden Nachrichtendienste selbst nicht gehackt werden, hat dies möglicherweise keine direkten Auswirkungen auf das Vertrauen in Cloud-Anbieter und ihre Kunden oder auf ihren Ruf. Wir wissen jedoch, dass US-Behörden in der Vergangenheit wiederholt gehackt wurden – z. B. NSA-Toolkit Hack/Shadow Brokers (2016); Office of Personnel Management Breach (2015).
5. Geopolitische Ereignisse können dazu führen, dass über sogenannte "super empowered individuals" im Internet, etwa Cloud-Anbieter, Sanktionen verhängt werden, die sich auf Cloud-Dienste und vor allem auf ihre Kunden (auch in der Schweiz) im Internet auswirken.