Microsofts Stellungnahme zu PRISM

 

Brad Smith hat sich in einem Blogbeitrag zu Microsoft in Verbindung zu PRISM geäußert. Er ist Leiter der Rechtsabteilung von Microsoft (LCA) mit über 1100 Mitarbeitern in 55 Ländern.

Er erläutert, dass Microsoft den Generalstaatsanwalt der Vereinigten Staaten von Amerika persönlich gebeten hat die Informationen über die Weitergabe von Kundendaten zu veröffentlichen und wie man im Rahmen der nationalen Sicherheitsanforderungen mit Kundendaten umgeht.

In dem folgenden Blogeintrag erläutert er den Umgang und die Verbindung verschiedener Microsoft-Produkte. Er ist der Auffassung, dass die US Verfassung ihnen diese Freiheit gewährt und in Verbindung mit der Petition vom 19.62013 steht, dass man bittet alle Informationen zu veröffentlichen und dass diese Veröffentlichung nicht gegen die nationalen Sicherheitsanforderungen steht.

(grobe schnelle Übersetzung/inhaltlich leicht gekürzt/ kursiv = Anmerkungen)

Outlook.com (Hotmail)
Microsoft gestattet keiner Regierung direkten Zugriff auf E-Mails oder die Kommunikation über den Instant Messenger. Es besteht dementsprechend keine Möglichkeit die Daten der User direkt zu erhalten ohne die Durchführung  einer Prüfung durch Microsoft.

Sie sind jedoch wie alle anderen Kommunikationsunternehmen zur Einhaltung gesetzlicher Regelungen/Forderungen verpflichtet und müssen so manchmal Informationen preis geben. Dies erfolgt auf Grundlage eines Antrags  oder eines Gerichtsbeschlusses. Dies gilt für die USA und alle Länger in denen Daten gelagert werden, also zum Beispiel alle Länder in denen Microsoft Rechenzentren betreibt (z.B. Dublin, Amsterdam).

Nach dem Gerichtsbeschluss oder des Antrags prüft Microsoft jeden einzelnen Fall und erst nach dieser Prüfung werden Daten weitergegeben. Es werden nur Daten weitergegeben, die auf Grundlage des rechtlichen Prozesses identifizierter Konten ausgelesen werden, also nur die Daten die auch angefragt werden und die rechtlich überhaupt angefragt werden können.

Dieser Prozess ist sehr vergleichbar mit dem in Deutschland geltendem Prozess. Es werden Daten in Deutschland nur auf Basis eines Gerichtsbeschlusses oder bei “Gefahr im Verzug” weitergegeben. Als “Gefahr im Verzug” könnte man zum Beispiel eine konkrete Selbstmordabsicht oder einen konkreten Terroranschlag //z..B. Sauerland-Bomber oder auch die NSU// sehen.  

Weiterhin erläutert er, dass Microsoft keiner Regierung die Möglichkeit zum Brechen ihrer Verschlüsselungen bietet (HTTPS) oder die Verschlüsselungscodes bereitstellt. Diese Verschlüsselungen sollen eben zu einem besseren Schutz des Inhaltes führen. Erst bei einem rechtlichen einwandfreien Anforderungen von Behörden werden die Daten des Kunden unverschlüsselt vom Server direkt an die Behörde ausgehändigt.

In der vergangenen Woche begann Microsoft dahingehend Gespräche mit der Regierung der USA um zwei Dinge zu klären:
a) legal Compliance
Microsoft bietet und bot in keinem Gespräch an, direkten Zugang zu den Daten zu geben oder die Fähigkeit weiterzugeben die Verschlüsselung zu brechen.
b) Einhaltung von Gesetzen
Microsoft spricht über die fortlaufende Verpflichtung die Gesetz zu erfüllen und wie dieses konkret umzusetzen ist. Es werden und wurden spezifische Informationen in Reaktion auf die rechtmäßigen Anträge der Regierung erarbeitet um diese zu erfüllen.

Zusammengefasst:
Daten der NutzerInnen werden nur nach einem rechtlich einwandfreien Prozess auf Basis der geltenden Gesetz freigegeben.

Skydrive
Microsoft reagiert wie bei Outlook.com in der gleichen Weise bei Daten im Cloudspeicher Skydrive. Alle Storage-Service Anbieter sind seit jeher verpflichtet gespeicherte Daten auf Basis rechtlicher Verpflichtungen freizugeben. Im Jahr 2013 haben sie Änderungen in den Prozessen vorgenommen, um die wachsende Anzahl an Anfragen der Regierungen weltweit erfüllen zu können. Keine Regierung hat durch diese Änderung oder vorher direkten Zugriff auf die Daten der Kunden. Die Regierungen/Behörden haben den rechtlichen Verfahren zu folgen, um Daten zu erhalten. Der Prozess zur Erzeugung von Skydrive Daten ist derselbe, ob es sich um einen Durchsuchungsbefehl (Kriminell/Straftat) oder als Reaktion auf eine nationale Sicherheitsanordnung in den USA oder anderwo handelt.

Zusammengefasst:
Daten der NutzerInnen werden nur nach einem rechtlich einwandfreien Prozess auf Basis der geltenden Gesetz freigegeben.

Skype-Anrufe/Telefonie

Auch bei Skype und dessen Telefonie werden nur Daten auf Basis rechtmäßiger Anforderungen von Regierungen/Behörden auf ein bestimmtes Konto eines Nutzers rausgegeben.

Zu der Berichterstattung in der letzten Woche über Änderungen im Jahr 2012:
Microsoft verstärkte und entwickelt die Skype-Angebote weiter. Dazu gehärt eine Reihe von Verbesserungen für das technische Back-End für Skype, z.B. wurde in 2012 auf “Inhouse Hosting” – Superknoten und die Migration es Instant Messenger Verkehrs zu den Servern in eigene Rechenzentren von Microsoft verschoben. Diese Änderungen wurden eben nicht durchgeführt, um Regierungen/Behörden erleichterten Zugriff auf Audio, Video oder Chat-Nachrichten zu erleichtern.
Die Regierungen/Behörden haben ein Interesse an diesen Daten um Verbrechen und Terrorismus zu bekämpfen, da sich die internetbasiere Sprach- und Videokommunikation immer weiter erhöht. Microsoft bestätigt daher, dass alle Anrufe oder über das Internet oder per Festnetz oder per Handy ähnliche Maße an Privatsphäre und Sicherheit bietet. Microsoft bietet keinen direkten Zugriff auf diese Daten, es sei denn, dass eine rechtliche Anforderung bestimmte Benutzer-Account-Informationen beinhaltet. Sie liefern keiner Regierung/Behörde einen direkten oder uneingeschränkten Zugang zu Daten oder Verschlüsselungen der Kundenschlüssel.

Zusammengefasst:
Daten der NutzerInnen werden nur nach einem rechtlich einwandfreien Prozess auf Basis der geltenden Gesetz freigegeben.

 Enterprise/ Business Email und Datenspeicher

Wenn wir von einer Regierung/Behörde eine Nachfrage nach Daten im Besitz der Geschäftskunde erhalten. Nehmen wir diese und verbinden die Regierung direkt mit dem Kunden und benachrichtigen den Kunden, sofern dies nicht gesetzlich untersagt ist. Wir haben nie eine Regierung mit Kundendaten aus unseren Regierungskunden oder aus Gründen der nationalen Sicherheit vorsehen. Hinsichtlich der strafrechtlichen Durchsetzung Anfragen (Auskunftsanfragen) haben wir klar in unserem Gesetz-Durchsetzung-Anforderungen Bericht, dass im gesamten Jahr 2012 wir nur vier Anträge mit Bezug zu Geschäfts- oder Regierung Kunden erfüllt haben. In drei Fällen haben  den Kunden über die Nachfrage wir informiert, und sie baten uns, die Daten zu erstellen. Im vierten Fall hat der Kunde die Forderung direkt bekommen und gefragt Microsoft  die Daten zu produzieren. Wir bieten keine Regierung die Möglichkeit, zwischen unseren Geschäftskunden und deren Daten in der Cloud verwendete Verschlüsselung zu brechen, noch bieten wir die Regierung den Verschlüsselungsschlüssel.

Zusammenfassung:
Kurz gesagt, wenn Regierungen/Behörden Informationen von Microsoft über dessen Kunden will, wird Microsoft weiterhin dies transparent tun und die weitergegebenen Daten grundsätzlich begrenzten. Zusammenfassend summiert es sich auf folgende Software und Dienste:

  • Microsoft bietet keine Regierung/Behörde direkten und uneingeschränkten Zugriff auf unsere Kundendaten. Microsoft stellt nur dann die spezifischen Daten zur Verfügung, die durch die entsprechende Nachfrage beantragt sind.
  • Wenn eine Regierung/Behörde Kundendaten möchte – auch für Zwecke der Staatssicherheit – muss diese  geltenden rechtlichen Verfahren folgen, was bedeutet, dass es uns mit einem Gerichtsbeschluss für Inhalt oder Vorladung für Kontoinformationen auffordern muss.
  • Wir werden nur auf Anfragen für bestimmte Konten und-Besitzer reagieren. Es gibt keine Blankovollmacht oder willkürlichen Zugriff auf Microsofts Kundendaten. Die gesammelten Daten, die wir veröffentlichen konnten, zeigt deutlich, dass nur einen winzigen Bruchteil – haben Bruchteile eines Prozents – unserer Kunden immer vorbehaltlich einer Regierung Nachfrage Strafrecht oder die nationale Sicherheit weitergegeben worden ist.
  • Alle dieser Anforderungen sind explizit von Microsofts Compliance-Team, die dafür sorgen, dass die Anforderung vorliegen, lehnen diejenigen, die nicht vorliegen ab und stellen sicher, dass wir nur die Daten, die in der Bestellung angegebenen anbieten. Das Team ist verpflichtet auch weiterhin den Compliance-Prozess zu verwalten und zu erfüllen, indem Sie die Verfolgung der eingehenden Aufträge sicherstellen, dass auch nur die die gültig sind und nur die Daten erfasst werden, weitergegeben werden.

“Microsoft ist verpflichtet, die geltenden Gesetze einzuhalten, die Regierungen auf der ganzen Welt – nicht nur in den Vereinigten Staaten – zu übergeben, und dazu gehört, reagieren auf rechtliche Anforderungen für Kundendaten. Wir alle leben heute in einer Welt, in denen Unternehmen und Regierungsbehörden große Datenmengen verwenden und es wäre falsch anzunehmen, dies, irgendwie beschränkt sich auf die Vereinigten Staaten. Agenturen wahrscheinlich erhalten diese Informationen aus einer Vielzahl von Quellen und in eine Vielzahl von Möglichkeiten, aber wenn sie Kundendaten von Microsoft suchen müssen sie rechtsstaatliche folgen.

Die Welt braucht eine offene und öffentliche Diskussion über diese Praktiken. Während die Debatte über die Praktiken der alle Regierungen konzentrieren sollte, sollte es mit Praxen in den USA beginnen. Teilweise ist dies eine offensichtliche Reflexion der neuesten Geschichten in den Nachrichten. Es ist auch ein Spiegelbild der etwas mehr zeitlos. Die Vereinigten Staaten wurde ein Vorbild, durch die Gewährleistung einer verfassungsmäßigen Recht auf freie Meinungsäußerung. Wir wollen diesem Recht Gebrauch machen. Mit US-Regierung-Anwälten, die uns daran hindert, weitere Informationen mit der Öffentlichkeit teilen muß der Generalstaatsanwalt die Verfassung zu wollen.
Wenn wir die Genehmigung um weitere Informationen zu teilen erhalten, werden wir es sofort veröffentlichen.”

Quelle:
http://blogs.technet.com/b/microsoft_on_the_issues/archive/2013/07/16/responding-to-government-legal-demands-for-customer-data.aspx

Übersetzung:
http://microsoftpolitik.wordpress.com/2013/07/17/medienberichte-ueber-us-sicherheitsprogramm/