Microsoft, OneDrive, Inhaltsscans und ‘Porno-Petze’

Zum Frühstück muss ich noch (bildzeitungsmäßig) einen kleinen Artikel zu den obigen Stichworten präsentieren. Es geht um den Cloud-Dienst OneDrive von Microsoft (bzw. Cloud-Dienste allgemein) und den Umstand, dass Microsoft (und die anderen Anbieter) die Inhalte standardmäßig scannt und was mit den gewonnenen Informationen passiert.

Gelegentlich flattern Meldungen durch's Netz, wo ich sage "bringst Du's im Blog". Die Info, dass der Pornokonsum bei Android Nutzern höher als bei iOS-Anwendern ist, habe ich euch deshalb genau so vorenthalten wie der Umstand, dass gestern in Bejing ein Sack Reis umgefallen ist. Aber zum Thema OneDrive (oder generell Cloud-Speicher) und Porno-Scan möchte ich zumindest eine kurze Meldung bringen, weil mir das Thema die letzten Tage mehrfach unter die Augen gekommen ist.

Dass Microsoft (und andere Cloud-Anbieter) die auf OneDrive hochgeladenen Inhalte standardmäßig durch einen Pornofilter scant, hatte ich letzten August im Artikel Auch Microsoft macht den Porno-Scan bereits thematisiert. Wird zwar Moral-Apostel mit "ganz richtig so" auf den Plan rufen – hat aber moralisch und juristisch einige Implikationen. OneDrive ist ein Dienst, der weltweit angeboten wird – und  da das Rechtsgefüge in den einzelnen Ländern unterschiedlich ist, führt das Ganze in eine ziemliche Grauzone. Wenn ich hier OneDrive schreibe, könnt ihr das auch durch DropBox, Google Drive, iDrive etc. ersetzen.

Juristen dürften das Ganze recht einfach sehen: Durchsuchung des OneDrive-Inhalts nur in konkreten Verdachtsfällen und auf Grund eines richterlichen Beschlusses – und nicht auf Grund von "Microsoft Gusto" (Apple Gusto, Google Gusto etc.) oder irgendwelchen willkürlichen Moralvorstellungen von US-Sittenwächtern (die anderen Vertreter dieser Gattung lasse ich mal außen vor).

Aktuell geht es um eine Hausdurchsuchung durch deutsche Behörden, die auf Grund einer Meldung Microsofts bezüglich OneDrive-Inhalte eingeleitet wurde. Microsofts Pornofilter hatten bei diesem OneDrive-Nutzer angeschlagen und es bestand der Verdacht auf Kinderpornografie. Der Falls wurde von Rechtsanwalt Udo Vetter in seinem Law-Blog publiziert. Udo Vetter schreibt treffend:

Viele amerikanische Anbieter scannen die von Nutzern hochgeladenen Inhalte von sich aus auf mögliche Kinderpornografie. Oder das, was man in den USA als solche definiert. Die Überprüfung geschieht offensichtlich automatisch und bringt auch in Deutschland Ermittlungen in Gang. Diese gehen bis zur Hausdurchsuchung, wie ein aktueller Fall aus meiner Praxis zeigt.

Um nicht falsch verstanden zu werden – Kinderpornografie billige ich in keinster Weise. Aber Udo Vetter hat's auf den Punkt gebracht: "was man in den USA als solche definiert". Und da kommen wir auf sehr glattes Pakett. Lädst Du Daten in die Cloud hoch, musst Du als Prämisse voraussetzen, dass alles und jedes gescant wird. Sprich: jeder vernünftige Mensch wird sensitives Material niemals in die Cloud hochladen – man fängt dann nur die Dummen oder technisch unbedarfte Menschen, deren Fotos ungefragt in einem Cloud-Speicher landen.

Tja, und da kommen wir auf vermintes Gelände: Mit dem Cloud-Wahn landet ja alles mögliche zukünftig auf den Cloud-Speichern, ohne dass der Nutzer da überhaupt einen Einfluss hat. Irgend welche gecachten Daten können auch darunter sein – und so kommen wir dann ganz schnell in "Vorratsdatenspeicherung III", ohne dass dies vom Benutzer gewollt ist. Browser, die präventiv Bilder und Objekte, die angezeigt werden könnten, vorab in einen Cache laden, könnten dazu führen, dass Informationen in der Cloud landen, von denen der Nutzer nicht mal was ahnt.

Ein gesperrter Online-Account – und schon ist der Zugriff auf eigene Daten weg – und Du kannst nichts machen. Wenn dann ein Microsoft-Konto für Windows oder Windows Phone dran hängt, siehst Du alt aus (der Begriff "Windows-Konto" lässt sich auch durch ein "Google-Konto" oder eine Apple ID ersetzen), dann kommt Du noch nicht mal mehr an deinen Rechner. Das ist die eine Seite.

Die andere Seite: Wer sagt mir denn, dass mein Cloud-Account nicht gehackt und dann missbraucht wird? Du bist als Aktivist irgendwo aktiv und machst dich missliebig. Also wird dir mal flugs kompromittierendes Material auf einen Online-Account geladen und dann braucht man nur noch dem Lauf der Dinge zu harren. Die iCloud-Hacks der letzten Monate und weitere Blog-Beiträge zeigen, wie einfach das mitunter ist. Hier in Deutschland kann das dann auf jede Menge Ärger hinauslaufen – in anderen Gegenden dieser Welt kann das lebensgefährlich werden. Der Plot ließe sich noch weiter spinnen: Ein Fake-Online-Account auf einen beliebigen Namen ist schnell angelegt. Facebook & Co. sind gute Quellen, um persönliche Fotos und Informationen abzugreifen – die E-Mail-Adresse ist auch leicht zu ermitteln. Das Ganze in einen Fake-Account eingespeist und mit kompromittierendem Material angereichert, fertig. Widerlege doch mal den Strafverfolgungsbehörden, dass das nicht dein Account ist. Zeuge in eigener Sache fällt flach, Logs des Providers sind im Zweifelsfall gelöscht und Du stehst ziemlich einsam da.

Drehen wir uns nun um 180 Grad und schauen auf den anderen Ansatz: Ich speichere Unternehmensdaten in der Cloud. Dann muss ich davon ausgehen, dass die Inhalte nicht offen wie ein Scheunentor jedem Dritten zur Einsicht zur Verfügung stehen. Industriespionage & Co. stehen da auf der Agenda. Und da passt es imho nicht (oder ist widersprüchlich), wenn Microsoft gegen die US-Regierung wegen die Herausgabe von Benutzerdaten klagt und von einer breiten Phalanx an US-Unternehmen wie Google, Amazon, Facebook & Co. unterstützt wird, im anderen Atemzug aber Daten mal automatisch auswertet und Meldungen an Strafverfolgungsbehörden weltweit absetzt. Denn: Auf der einen Seite gibt man den Saubermann, der private Online-Speicher "frei von Schmutz hält". Auf der anderen Seite geht es um harte geschäftliche Interessen – denn das Thema Safe Harbor, bei dem Daten europäischer Firmen und Kunden in Europa landen und nicht in die USA übertragen werden dürfen, ist eine harte Nuss für US-Unternehmen. Hier fürchtet man den Wettbewerb durch europäische Anbieter. Also versucht man dort alles juristisch mögliche, um seinen Kunden entsprechende Garantien präsentieren zu können. Wer meinen Artikel hier und dann den oben verlinkten Artikel eines deutschen Microsoft-Mitarbeiters liest, dem klingeln die Ohren:

In der Berufung gegen die Herausgabe der Daten, die am 8. Dezember 2014 beim zuständigen United States Second District Court eingereicht wurde, hat Microsoft noch einmal seine Argumente gegen das Urteil und die Rechtsauffassung des Unternehmens dargelegt. Nach Ansicht von Microsoft haben US-Behörden nicht die Befugnis, private E-Mail-Konten zu durchsuchen, die außerhalb der USA gespeichert sind – sie haben diese Befugnis genauso wenig wie das Recht, eine Hausdurchsuchung in einem anderen Land außerhalb der USA zu veranlassen.

Update: Ich habe über diesen Widerspruch nochmals nachgedacht und bin zum Schluss gekommen, dass das eigentlich zwangsläufig so sein muss. Mein Fehler war, Unternehmen wie Apple, Microsoft, Google etc. monolithisch zu sehen. Aber das sind multinationale Großunternehmen, die vielen sich widersprechenden Restriktionen unterliegen. Im Gesellschafts- und Rechtsgefüge der USA, wo die Unternehmen beheimatet sind, ist das Scannen von Fotos im Hinblick auf (im lokalen Rechtsrahmen) illegale Inhalte nachvollziehbar. Macht man nun den Schwenk, dass das gleiche Unternehmen im Ausland Dienste anbietet, muss es den dort geltenden Gesetzen Rechnung tragen. Das geht oft nicht zusammen – ich nenne nur mal die Stichworte Chinese Firewall oder der kürzlich erfolgte Rückzug von Google und Microsoft aus Russland, wo bestimmte Gesetzesänderungen den Betrieb bestimmter Einrichtungen nicht mehr ermöglichte. Udo Vetter will juristisch prüfen lassen, ob Microsoft überhaupt berechtigt ist, Daten deutscher Kunden zu scannen. Mir ist spontan der Gedanke gekommen, ob man Cloud-Angebote überhaupt rechtsicher gestalten kann, wenn der Anbieter in einem anderen Land wie der Abnehmer sitzt. Wäre ein interessantes Dissertationsthema an einer juristischen Fakultät, mal zu untersuchen, ob das Angebot im Hinblick auf sich widerstreitende gesetzliche Regelungen überhaupt rechtssicher gestaltet werden kann. Dass das Ganze aus technischen und sicherheitstechnischen Aspekten extrem wackelig ist, brauche ich nicht weiter auszuführen. Vor über 2 Jahrzehnten gehörte zum Arbeitsumfeld, dass bei der Planung chemischer Großunterlagen auch Riskikoanalysen mit bei den Genehmigungsbehörden eingereicht werden musste. Wäre mal spannend zu erfahren, ob in Punkto Cloud-Nutzung in Unternehmen auch Risikoanalysen hinsichtlich der involvierten Geschäftsprozesse durchgeführt werden. Ich kann's nicht beantworten. Recherchiert man etwas, findet man einzelne Dokumente wie dieses hier, die nicht gerade optimistisch stimmen.

Für mich habe ich den Schluss gezogen, dass ich zwar interessiert die neuen Entwicklungen beobachte, aber neue Produkte für meine Privat- und Geschäftseinsätze so gut es geht vermeide. Ein uraltes Motorola VT2288 reicht zum Telefonieren – und auf dem Rechner brauche ich auch keine Cloud (oder nur in ausgesuchten Fällen, wo es um Datenaustausch geht). Ich bin daher mal gespannt, wie Strategien "Cloud first, mobile first" so zukünftig ausgehen. (via, via, via)