Microsoft, Google, Zoom: Bei diesen Plänen der Tech-Giganten schlagen Experten Alarm

Noch ist das gesamte Ausmaß des Angriffs nicht absehbar: Hacker hatten vor Kurzem einen Signaturschlüssel (Masterkey) von Microsoft (MS) geklaut und sich damit Zugriff zu Outlook-Konten von US-Behörden sowie auf Exchange-Konten europäischer Regierungsbehörden verschafft. Offenbar hatten die Angreifer auch freien Zugriff auf zahlreiche Dateien der Cloud sowie zu Anwendungen wie Teams und Sharepoint. Bei dem gestohlenen Schlüssel handelt es sich um einen OpenID Signing Key für das Azure Active Directory (Azure AD ist das zentrale Identitätsmanagement von MS, s.u.). Der Vorfall blieb wochenlang unentdeckt. Die Reaktion von Microsoft? Der Konzern hielt sich bedeckt, legte nur stückweise widerstrebend Details zu dem Sicherheitsdebakel offen.

Zur Einordnung:

100-prozentige Sicherheit gibt es nirgendwo. Allerdings fragt man sich schon:

1. Wie kann es sein, dass dieser Angriff lange unentdeckt blieb?
2. Wie kann es sein, dass nicht Microsoft selbst den Angriff bemerkt hat, sondern von einem Kunden darauf hingewiesen werden musste?
3. Wie kann es sein, dass Microsoft selbst bei einem derart umfangreichen Datenschutzversagen nur häppchenweise und nur unter Druck Aufklärung betreibt?
4. Wie kann es sein, dass dieses Cloud-Fiasko, mit dem Hacker quasi Zugriff auf das gesamte MS-Universum hatten, weiten Teilen der Öffentlichkeit und damit großen Teilen von MS-Usern offenbar verborgen blieb?

Es gäbe zahlreiche weitere Fragen, die wir hier auflisten könnten. Transparenz gegenüber dem Kunden und Datenschutz sieht in jedem Fall anders aus.

Cloud als Fluch und Segen

Cloud-Lösungen (Software as a Service / SaaS) sind Fluch und Segen zugleich. Ein Segen, weil sie uns viele positive Möglichkeiten, wie problemlose Kollaboration weltweit, ermöglichen. Ein Fluch, weil sie uns abhängig machen. Ebenso unreflektiert und unhinterfragt wie viele vor 20 bis 30 Jahren Windows und MS Office auf ihren Arbeitsplätzen und später ihren Servern installiert haben, buchen heute Privatpersonen wie Organisationen Microsoft 365 und ein Konglomerat aus weiteren Cloud-Diensten. Schnell wird dabei der Ruf nach einem zentralen Identitymanagement (IdM) laut: Ein User loggt sich nur einmal ein und kann dann alle Dienste sofort nutzen, ohne sich überall erneut anmelden zu müssen. Ist ebenso verlockend wie nützlich. Nur war im o.g. Fall eben genau dieses Microsoft-IdM „Azure AD“ gleichzeitig der Türöffner für den Spionage-Akt. Noch vor einiger Zeit galten zentrale IdM (bspw. das eigene, unternehmensinterne Active Directory (AD)) als Heiliger Gral, den niemand außerhalb des Unternehmensnetzwerks akzeptiert hätte.

Die Folge: Microsoft entscheidet heute nunmehr nicht mehr nur darüber, mit welcher Software ich arbeite (und was ich damit (nicht) tun kann). Der Konzern entscheidet nicht nur, wo meine Daten (völlig außerhalb MEINER Kontrolle!) liegen, er ÜBERWACHT nun sogar, welche Benutzer (und welche Unternehmen/Organisationen!!) WANN und WIE LANGE WELCHE Dienste verwenden und vor allem: WELCHE Dienste Anwender überhaupt und eben WIE INTENSIV nutzen. Das ist mehr als nur Marktbeobachtung oder umstrittene Nutzungsanalyse via Telemetriedaten. Das öffnet aus unserer Sicht elementarer Überwachung an zentraler Stelle und auf äußerst detailliertem Niveau Tür und Tor. Und war es nicht eigentlich immer schon so: Das was möglich ist, wird auch gemacht? (Wir können hier zwar nur vermuten, dass es so ist. Über die allgegenwärtige Datensammelwut und die damit verbundene Profilbildung von Usern hatten wir bereits geschrieben).

Übrigens steht schon der nächste Coup von Microsoft vor der Tür: Der Tech-Gigant will eine äußerst fragwürdige wie bereits umstrittene Funktion in seinem Edge-Browser etablieren (Edge Canary). Ziel ist, jede besuchte Website als Screenshot zu speichern – angeblich, um Nutzern das Wiederfinden von besuchten Seiten zu erleichtern. Unsere Vermutung ist jedoch: Die Screenshots bieten MS eine weitere Option, um Nutzerdaten und Nutzungsverhalten abzugreifen. Wer dies nicht möchte, sollte besser auf andere Browser ausweichen (siehe dazu auch „Fall 2“).

Unser Rat:

Ganz einfach: Vertrauen ist gut, Kontrolle ist besser. Und blindes Vertrauen kann enormen Schaden anrichten. Wer sich Datenschutz, Transparenz und Selbstbestimmtheit wünscht, kommt nicht umhin, sich auch mit dem Kleingedruckten zu beschäftigen. AGB zu lesen, gehört wohl für niemanden zur Lieblingsbeschäftigung. Gleichzeitig stehen dort alle relevante Informationen, die Sie benötigen. Darüber hinaus empfehlen wir:

1. Vor dem Einsatz einer Lösung mögliche Alternativen bewerten und vergleichen. Es muss nicht immer das nächstliegende Produkt sein oder die Lösung, die scheinbar jeder nimmt, weil es dem Eindruck nach einfach alle so machen.
2. Während große Anbieter sich oftmals einfach wegducken oder Geschehnisse aussitzen können (siehe oben), stehen kleinere und mittelständische Anbieter zu ihrem Wort. Denn welcher Mittelständler baut sich schon über Jahre mühsam Ruf und Reputation auf, um dieses Vertrauen dann einfach aufs Spiel zu setzen?
3. Fassen Sie immer auch Open Source-Lösungen ins Auge. Transparenz schafft Vertrauen. Bei Open Source Lösungen ist dieses Merkmal im Wesenskern enthalten. Das Vertrauen in eine große (unabhängige) Entwicklergemeinschaft kann gegenüber rein von wirtschaftlichen Interessen geleiteten Anbietern gerechtfertigt sein.

WEI: Drei Buchstaben, die harmlos klingen, jedoch großes Sprengpotenzial haben. Zumindest dann, wenn man sich nicht endgültig vom freien Internet verabschieden will. Sie denken, wir übertreiben? Dann machen Sie sich gerne selbst ein Bild von der Google Neueinführung „WEB Environment Integrity“ (WEI). Nicht nur wir, sondern vor allem unabhängige Sicherheitsexperten warnen zuhauf vor der Einführung, weil sie Datenmissbrauch salonfähig mache und das Ende des freien Internets einläute. Die Änderungen sind auch deshalb so schwerwiegend, weil fast alle modernen Browser auf Google Chromium basieren.  

Zur Einordnung:

Bei WEI handelt es sich um eine Programmierschnittstelle (API), mit der Google das Fingerprinting auf ein neues Level hebt. Google ermöglicht Entwicklern, bestimmte Kombinationen von Browser-Betriebssystemen zuzulassen oder eben zu verbieten. In Folge könnte Usern, die bestimmte Sicherheitseinstellungen (z.B. Adblocker) im Browser vorgenommen haben, Webseiten nicht mehr angezeigt werden. Oder es könnten andere Browser nach Ermessen von Website-Betreibern ausgeschlossen werden. Mit einem Anteil von Google Chrome am globalen Browser-Markt von mehr als 77 Prozent wird die Bedeutung der Einführung von WEI einmal mehr deutlich …

Unser Rat:

Wer sich dem Google-Diktat nicht unterwerfen und ein weiterhin zensurfreies und freies Internet erleben möchte, sollte sich zur Wehr setzen, z.B. indem Sie

1. einen alternativen Browser verwenden wie Brave, Firefox, LibreWolf, Vivaldi usw. Brave und Vivaldi basieren auf Chromium, der Open Source-Version von Google Chrome. Brave lehnt die WEI sehr deutlich und sehr entschieden ab und verspricht seinen Nutzern, das Brave alle Chromium-Funktionen, die die Privatsphäre oder den Komfort der Nutzer beeinträchtigen, entfernen oder deaktivieren würde – ein Vorteil, der ohne Open Source so überhaupt nicht umsetzbar wäre.
2. Bewusstsein schaffen, indem Sie andere Anwender informieren und möglichst vielen Menschen aufzeigen, welche gefährlichen Einschränkungen drohen, wenn diese digitalen Handschellen Anwendung finden würden.
3. die Augen nach einschlägigen Petitionen offenhalten und mit Entscheidungsträgern und Kontakten in Politik und Medien sprechen, um auf die Sachlage aufmerksam zu machen.

Im August hat auch Zoom aufmerksame User wie Datenschützer auf den Plan gerufen, und zwar mit höchst umstrittenen wie weitreichenden Änderungen der AGB. Der Videotelefonie-Anbieter plant nicht weniger, als die Nutzungsdaten von Zoom-Nutzern für KI-Trainings zu verwenden. Hierfür will Zoom sich den (das muss man sich auf der Zunge zergehen lassen!) vollen und zeitlich unbegrenzten Zugriff auf Telemetrie-, Produktionsnutzungs- und Diagnosedaten seiner Kunden sichern. Zwar ist das Unternehmen nach großem Shitstorm zurückgerudert, in den AGB bleibt jedoch weiterhin dieser fragwürdige Satz enthalten: „Sie erteilen Zoom eine unbefristete, weltweite, nicht exklusive, gebührenfreie, unterlizenzierbare und übertragbare Lizenz und gewähren Zoom alle anderen Rechte, die zur zulässigen Nutzung erforderlich oder notwendig sind.“

Zur Einordnung:

Wie so oft versucht auch Zoom durch eine Änderung der AGB, Datenschutzrechte seiner Kunden auszuhöhlen. Das Unternehmen bedient sich dabei einer Methode, die sich allgemein großer Beliebtheit erfreut: Sie ändert die Allgemeinen Geschäftsbedingungen, verweist Kunden zwar darauf, doch die verstehen nur Bahnhof. WAS diese Änderung ganz KONKRET für den Kunden bedeutet und inwieweit seine Datenschutz- und Nutzungsrechte beschnitten werden, ist ihm oft nicht klar. Es ist nicht das erste Mal, dass Zoom in die Kritik gerät. Während der Coronazeit stand das US-Unternehmen wegen mangelndem Datenschutz und Sicherheitsproblemen massiv in der Kritik. Auch deshalb, weil es auf Drängen von China unter anderem Gespräche von chinesischen Menschenrechtsaktivisten unterbrochen hatte.

Unser Rat:

Videotelefonie ist aus dem Arbeitsalltag nicht mehr wegzudenken und ein sehr hilfreiches Tool. Damit Sie mit Ihren Gesprächspartnern unbeschwert kommunizieren können, empfehlen wir Ihnen,  

1. die Open Source-Lösung BigBlueButton. Verschlüsselte Datenübertragung ist ebenso selbstverständlich wie die Möglichkeit zum DSGVO-konformen Betrieb. BigBlueButton kann auf eigenen Servern betrieben oder als SaaS-Lösung aus der Cloud bezogen werden.
2. bedarfsweise weitere Alternativen ins Auge zu fassen, z.B. OpenTalk, Jitsi, …
3. bei allen Angeboten (insbes. den „üblichen“ proprietären) genau hinzusehen und auf das Kleingedruckte (AGB usw.) zu achten. Das häufig anzutreffende Microsoft Teams dürfte hier nur begrenzt als Alternative geeignet sein, bestehen (außer beim Anbieter Microsoft selbst) doch begründete Zweifel daran, dass ein DSGVO-konformer Einsatz dieser Lösung möglich ist.