Caspar Bowden: "Die größte Sicherheitslücke ist Microsoft"

People attend a presentation of the Xbox One by Microsoft as part of ChinaJoy 2014 in Shanghai
People attend a presentation of the Xbox One by Microsoft as part of ChinaJoy 2014 in ShanghaiReuters
  • Drucken

In den Händen von amerikanischen Konzernen sind die Daten von Europäern nicht sicher, warnt Caspar Bowden, der frühere Datenschutzberater von Microsoft. Die EU müsse sich endlich wehren und eigene IT-Riesen aufbauen.

Herr Bowden, Sie sind nicht leicht zu finden. Warum tragen Sie kein Mobiltelefon?

Caspar Bowden: Das ist keine große Sache. Als ich Microsoft verlassen habe, musste ich mein Diensthandy abgeben. Ich habe überlegt, mir ein neues zuzulegen. Aber allein das Wissen, dass meine Koordinaten nicht ununterbrochen gespeichert werden, gab mir ein unerwartetes Gefühl von Freiheit. Außerdem ist es angenehm, nicht immer erreichbar zu sein.

Das Gefühl der Freiheit wiegt den Verlust von Komfort für Sie also auf?

Natürlich ist es manchmal unpraktisch, wenn man ein Flugzeug oder einen Zug verpasst, aber nicht tragisch.

Ist das der Preis, den man für den Schutz seiner Privatsphäre heute bezahlen muss?

In gewisser Weise schon. Mit den heutigen Smartphones können Sie Ihre Privatsphäre nicht schützen. Wenn Sie ein Telefon haben und es ist eingeschaltet, werden Ihre Koordinaten ständig weitergesendet. Das könnte anders sein, aber dann würden die Telekomfirmen nicht so viel Geld verdienen.

Sie haben selbst lange für „Big IT“ gearbeitet. Warum haben Sie Microsoft verlassen?

Ich habe Microsoft lange Jahre beim Datenschutz beraten. Bis ich plötzlich für den Konzern Cloud-Computing (Auslagern von Daten ins Netz, Anm.) promoten sollte. Also habe ich die US-Gesetze genau studiert. Was ich im Foreign Intelligence Surveillance Act (FISA 702) gefunden habe, war erschütternd. Also bin ich zu Microsoft gegangen und habe gesagt: Wenn ihr Cloud-Computing in Europa verkauft, liefert ihr der NSA direkten Zugang zu den Daten der Europäer. Nach einer Schockstarre kam ein Manager zu mir und sagte: „Das darfst du nicht sagen bei Microsoft, ich lasse dich feuern!“ Ich sagte: „Probier es.“ Zwei Monate später war ich gefeuert.

Microsoft verkauft seine Cloud-Lösungen heute immer noch in Europa.

Nichts hat sich seither geändert. Auch die EU-Kommission hat nichts unternommen, obwohl sie alles weiß.

Das bedeutet, jeder Europäer, der Daten in die Cloud von US-Firmen wie Microsoft, Apple oder Google gibt, muss wissen, dass diese Daten zur US-Regierung gehen können?

Für Nichtamerikaner gibt es keinen Schutz dagegen. Die USA können deren Daten aus jedem Grund einsehen, der die nationalen Interessen bedrohen könnte. Das kann praktisch alles sein.

Wie haben EU-Politiker reagiert, als Sie sie mit Ihrer Entdeckung konfrontiert haben? Warum unternehmen sie nichts dagegen?

Ich warne sie seit dem Tag, an dem ich Microsoft verlassen habe. Ich habe Unmengen an E-Mails geschrieben, es kam keine Antwort. Nach 2012 habe ich bemerkt, dass die Datenschutzbehörden – jene Leute, von denen wir denken, dass sie unsere Privatsphäre schützen – Empfehlungen abgeben, in denen sie eine US-freundliche Gesetzgebung fordern. Während ich versucht habe, die EU zu warnen, haben sich die Datenschutzbehörden verschworen, um diese Schlupflöcher noch größer zu machen.

Dabei gilt Europa in puncto Datenschutz doch für die meisten als Insel der Seligen.

Wenn die Daten in Europa bleiben und nicht zu einem US-Unternehmen gehen, gibt es tatsächlich einen gewissen Schutz. Aber da fast jeder amerikanische IT-Dienste verwendet, fließen gewaltige Mengen von Daten aus der EU.

Andererseits gibt die EU auch selbst Millionen Euro für Projekte wie Indect aus, deren Ziel es ist, „denkende Kameras“ und andere Überwachungstechnologien zu bauen. Ist die EU dann wirklich so anders als die USA?

Ich habe das Forschungskonzept von Indect gelesen. Es war inkompetent. Wenn ein Schimpanse wahllos Wörter aus einem Computer-Science-Journal abtippen würde, käme etwas Sinnvolleres heraus. Diese Inkompetenz ist beruhigend. Es ist besser, die EU verschwendet Geld für sinnlose Dinge wie Indect, als sie investiert in Überwachungsprojekte, die Erfolg haben können.

Ist Europa zu dumm für gute Überwachung?

Die meisten Ergebnisse von EU-geförderten IT-Projekten sind mittelmäßig. Lustigerweise sind die Beratergruppen, die der EU helfen zu entscheiden, welche Projekte gemacht werden sollen, voll mit Menschen aus US-Konzernen wie Microsoft. Die sind glücklich, wenn die EU so ihr Geld verschwendet.

Was denken Sie über die europäische Datenschutz-Grundverordnung, die schon bald abgesegnet werden soll? Kann sie helfen?

Vor drei Jahren dachte ich das. Aber die Politiker haben den Entwurf zerstört. In der heutigen Fassung würde sie mehr schaden als nützen. Sie ist ein gewaltiges, ausuferndes Monster mit riesigen Schlupflöchern. Hinter den Kulissen sagen die USA der EU: „Wir fürchten uns doch alle vor dem Cyber-Krieg. Ihr wisst, wir sind die Experten, also wenn eure Bürger sicher sein sollen, macht keinen Wirbel um die Überwachung.“

Ist diese Sorge vor Terroristen, Jihadisten und Cyber-Angriffen unbegründet?

Die Bekämpfung von Terroristen und der Radikalisierung muss auf einem gewissen Level der Politik behandelt werden. Aber unser größtes Sicherheitsproblem, die größte Sicherheitslücke, ist Microsoft. Privat wechseln viele zu Apple, aber in Unternehmen und Verwaltungen ist Microsoft immer noch überall. Diese Monokultur ist das wahre Problem. Und sie ist unverzeihlich.

Wäre ein eigenes europäisches Betriebssystem die Lösung?

Es gibt sogar ein gutes Betriebssystem, Qubes-OS. Es ist freie Software, basierend auf GNU/Linux. Das Problem ist, dass heute eine Sicherheitslücke in einem einzigen Programm genügt, um den ganzen Rechner zu übernehmen. Qubes ist das einzige Betriebssystem, das jede Anwendung in einer eigenen Maschine isoliert. So kann ein einzelner Fehler nicht den ganzen Computer übernehmen. Es ist ein wenig schwieriger in der Handhabung, aber ein großer Fortschritt.

Klingt gut, aber ehrlich gesagt auch kompliziert. Viele sind jetzt schon mit ihren Computern überfordert. Wird da nicht die Bequemlichkeit von Apple und Co. siegen?

Es gibt in unserer Branche einen alten Witz: „Sicherheit, Freiheit und Bequemlichkeit. Wähle zwei!“ Das stimmt immer noch. Das System wird nicht ideal für jeden sein. Aber heute finden Menschen, die sich um ihre Sicherheit kümmern, nichts auf dem Markt. Andere Hilfsmittel wie Verschlüsselungssoftware ist immer nur so gut wie die Plattform, auf der sie läuft. Diese Art von Sicherheit ist eine Illusion.

Was ist mit den Menschen, die sagen: Ich habe nichts zu verbergen?

Ein Problem existiert dennoch. Vor 20 Jahren mussten Geheimdienste mehr Zeit und Mühe investieren, um Informationen zu erhalten oder Spione zu rekrutieren. Heute ist alles auf Facebook, Twitter und Gmail. Wenn die CIA eine neue Quelle in Europa sucht, muss sie nur fünf Minuten in den halb öffentlichen Daten auf Facebook oder Gmail suchen, um Menschen zu finden, die privat Probleme haben – klassisches Material für Geheimdienste.

Wie kann das gelöst werden?

Europa muss eine IT-Branche aufbauen. Wir brauchen Start-ups, Infrastruktur, aber auch große Softwarekonzerne mit zehntausenden Mitarbeitern, die ein europäisches Betriebssystem bauen. Das ist ein Zehnjahresprogramm, so wie Airbus. Vor Jahren hat die EU-Kommission die Länder gefragt: Wollt ihr eine EU-Cloud? Die Antwort war: Wir trauen unseren Nachbarn nicht mehr als den Amerikanern. Nach der Abhöraffäre um das Handy von Angela Merkel hat sich das geändert. Aber die EU-Kommission geht in die entgegengesetzte Richtung. Sie glauben dem US-Argument, dass es keinen Unterschied macht, wo die Cloud herkommt. Diese Inkompetenz ist unentschuldbar.

Gibt es Länder, die besser mit dieser Bedrohung aus den USA umgehen?

Russland und China wollen eigene Betriebssysteme und Computerchips bauen. Europa sollte dasselbe tun. 50 Millionen Euro würden für den Start genügen. Um es richtig zu machen, brauchten wir wohl das Hundertfache. Aber dann kann sich die EU endlich gegen US-Konzerne behaupten und sagen: Wenn ihr unsere Daten wollt, erkennt auch unsere Gesetze an! Und noch etwas muss passieren: Verantwortliche in Firmen und Regierungen müssen hart bestraft werden, wenn sie im Geheimen mit den USA kollaborieren. Im Moment riskiert der Chef eines US-Konzerns 20Jahre Gefängnis, wenn er (pflichtgemäß) einen EU-Datenschutzbeauftragten warnt, was mit den Daten seiner Kunden passiert. Das sagte Yahoo-Chefin Marissa Mayer letztes Jahr. Wie würden Sie sich entscheiden, wenn Sie Chef eines IT-Konzerns wären? 20 Jahre Haft unter dem US Espionage Act oder vielleicht zwei Prozent Strafe von der EU, wenn es irgendjemand in der Zukunft wirklich herausfinden sollte?

Steckbrief

Caspar Bowden
ist unabhängiger Datenschutzexperte. Er arbeitete lange für Microsoft. Als er den Konzern warnte, welchen Sicherheitsrisken er seine europäischen Kunden aussetzte, wurde er 2011 entlassen.

Bericht an die EU Caspar Bowdens Bericht an die EU über die Überwachungsprogramme der USA ist unter folgendem Link abrufbar: diepresse.com/caspar

("Die Presse", Print-Ausgabe, 31.08.2014)

Lesen Sie mehr zu diesen Themen:

Mehr erfahren


Dieser Browser wird nicht mehr unterstützt
Bitte wechseln Sie zu einem unterstützten Browser wie Chrome, Firefox, Safari oder Edge.