Euro­pas Abhän­gig­kei­ten von US-Unter­neh­men bei sämt­li­chen The­men rund um Tech­no­lo­gie und Kom­mu­ni­ka­tion birgt ent­spre­chende Gefah­ren. Aktu­elle Bei­spiele und zumin­dest tech­nisch mög­li­che Annah­men beleuch­ten die mög­li­chen US-Ein­griffs­sze­na­rien bei Tech­no­lo­gien wie bei zuge­hö­ri­gen Diensten.

Quer über alle gän­gi­gen tech­no­lo­gi­schen Anwen­dun­gen und Dienste sind Euro­pas Unter­neh­men, seine öffent­li­che Ver­wal­tung und Euro­pas Bür­ger also zu exakt 91 Pro­zent von US-ame­ri­ka­ni­schen Tech-Kon­zer­nen abhän­gig, die diese Tech­no­lo­gien mit den dazu­ge­hö­ri­gen Dienst­leis­tun­gen anbie­ten und/​oder ver­wal­ten. Ein Groß­teil der Dienste betrifft auch das Spei­chern und Manage­ment der Daten die­ser euro­päi­schen Unter­neh­men, Behör­den und Pri­vat­per­so­nen, spe­zi­ell über das soge­nannte Cloud-Computing. 

Euro­päi­sche DSGVO ver­sus US-Regularien

Diese Abhän­gig­kei­ten von US-Com­pa­nies wer­fen ins­be­son­dere im Kon­text mit recht­li­chen Fra­gen und Gege­ben­hei­ten immer wie­der kon­tro­ver­si­elle Fra­gen und Dis­kus­sio­nen auf. Für Europa wird die recht­lich-juris­ti­sche Basis in der gel­ten­den Daten­schutz-Grund­ver­ord­nung (DSGVO) gese­hen, für US-Fir­men mit Stamm-Sitz in den USA gel­ten wie­derum US-Regu­la­rien wie etwa der soge­nannte Cloud-Act (Cla­ri­fy­ing Lawful Over­seas Use of Data Act).

Die­ser Cloud-Act wurde 2018 unter, rich­tig, Donald Trumps ers­ter Prä­si­dent­schaft ins US-Leben geru­fen. Ver­ein­facht und glei­cher­ma­ßen zen­tral aus­ge­drückt kön­nen US-Straf­ver­fol­gungs- und Sicher­heits­be­hör­den US-Unter­neh­men ver­pflich­ten, Daten her­aus­zu­ge­ben, auch wenn diese Daten außer­halb der USA gespei­chert sind, etwa in einem Rechen­zen­trum von Micro­soft in Öster­reich oder von aws in Deutschland. 

Der US Cloud-Act und der US FISA-Act

Rele­vant in dem Zusam­men­hang ist auch, dass die US-Cloud-Anbie­ter in bestimm­ten Fäl­len nicht offen­le­gen dür­fen, wenn Daten an US-Behör­den her­aus­ge­ge­ben wer­den. Der Cloud-Act erlaubt zudem auch den direk­ten Zugriff von Behör­den. Einige der US-Tech-Com­pa­nies haben gegen die­ses Gesetz pro­tes­tiert, ohne Erfolg. Einige der US-Tech-Com­pa­nies wie etwa aws oder Micro­soft grün­den nun etwa in Deutsch­land eigene Fir­men-Nie­der­las­sun­gen mit deut­schen Staats­bür­gern im Manage­ment, um so den Cloud-Act even­tu­ell zu umge­hen (eco­nomy berich­tete). 

Noch pro­ble­ma­ti­scher als der US-Cloud-Act ist der ver­gleichs­weise nicht so geläu­fig For­eign Intel­li­gence Sur­veil­lance Act (FISA). Im dor­ti­gen Abschnitt 702 ist gere­gelt, dass US-Sicher­heits­be­hör­den wie FBI, NSA & Co. Nicht-US-Bür­ger außer­halb der USA über­wa­chen dür­fen, und das, ohne rich­ter­li­che Geneh­mi­gung. US-Tech-Unter­neh­men müs­sen im Anwen­dungs­fall Kom­mu­ni­ka­ti­ons­da­ten bereit­stel­len und/​oder bei der Über­wa­chung tech­nisch mitwirken. 

Der Fall am Inter­na­tio­na­len Gerichts­hof in Den Haag (NL)

EU-Bür­ger haben hier kei­nen Anspruch auf Infor­ma­tio­nen und de facto auch kei­nen Rechts-Behelf, da die etwaig anwend­ba­ren US-Grund­rechte (ins­bes. Arti­kel 4/​4th Amend­ment) nur für US-Bür­ger gel­ten. Der Euro­päi­sche Gerichts­hof für Men­schen­rechte (EuGH) stellte einen nicht aus­rei­chen­den Schutz der EU-Bür­ger fest und kri­ti­sierte diese – Zitat : „unver­hält­nis­mä­ßige Mas­sen­über­wa­chung“ mas­siv. Ebenso ohne Erfolg, zumin­dest bis dato.

Wie so ein US-Ein­griff tat­säch­lich in der Pra­xis pas­siert, zeigt als war­nen­des Bei­spiel der bekannt gewor­dene Fall eines Juris­ten am Inter­na­tio­na­len Straf­ge­richts­hof (ICC) in Den Haag (NL). Der dor­tige Chef­an­klä­ger hatte in Ver­bin­dung mit dem Gaza-Krieg Kla­gen gegen füh­rende israe­li­sche Regie­rungs­mit­glie­der erho­ben. Die US-Regie­rung reagierte dar­auf sehr scharf und setzte die­sen Chef­an­klä­ger auf eine US-Sank­ti­ons­liste (auf Basis von gel­ten­den US-Sanktionsgesetzen).

Reale und wei­tere tech­nisch mög­li­che Eingriffe

Die­ser Schritt hatte dann auch prak­ti­sche Aus­wir­kun­gen auf das täg­li­che Arbeits­um­feld des lei­ten­den ICC-Staats­an­wal­tes. Er konnte ganz plötz­lich nicht mehr auf Micro­soft-Dienste wie E‑Mail oder Cloud zugrei­fen, die er dienst­lich nutzte. Um nicht selbst gegen das US-Sank­ti­ons­recht zu ver­sto­ßen, musste Micro­soft hier ent­spre­chend han­deln. Nach poli­ti­schem und diplo­ma­ti­schem Druck konnte der Chef­an­klä­ger dann wie­der seine tech­ni­schen Dienste nutzen.

Nach die­sem rea­len Erleb­nis hat sich eco­nomy noch wei­tere real mög­li­che Ein­griffs-Sze­na­rien ange­schaut. Real, weil sowohl tech­no­lo­gisch wie auch im Kon­text mit US-Sank­tio­nen jeder­zeit anwend­bar. Als ers­tes der Bereich von Cloud-Diens­ten : lan­det ein Unter­neh­men oder eine Insti­tu­tion auf einer US-Sank­ti­ons­liste, dann könn(t)en US-Tech-Com­pa­nies wie aws, Azur/​Microsoft oder Google(Cloud) gezwun­gen wer­den, Accounts zu sper­ren oder Ver­träge zu kündigen. 

Fak­ti­scher Still­stand der betrieb­li­chen IT-Infrastruktur

Für viele Unter­neh­men oder Insti­tu­tio­nen würde das (zumin­dest) fak­ti­schen Still­stand in Tei­len der IT-Infra­struk­tur oder bei der Nut­zung wich­ti­ger Daten bedeu­ten. Als nächs­tes Sze­na­rio die Sperre von E‑Mail und Office als Büro-Soft­ware-Anwen­dung. Wer kom­plett auf Micro­soft 365 oder Google Workspace stan­dar­di­siert ist, ver­liert bei einer Sperre schlag­ar­tig E‑Mails, Kalen­der, Doku­mente, Teams- oder Meet-Sit­zun­gen und das inklu­sive Iden­ti­täts- und Zugriffsmanagement.

Genau in diese Kate­go­rie fällt auch der ICC-Fall. Ein Beschluss in Washing­ton – und eine inter­na­tio­nale Jus­tiz­or­ga­ni­sa­tion kann ihre Kom­mu­ni­ka­ti­ons­in­fra­struk­tur nicht mehr benut­zen bzw. muss diese umbauen. Als nächste theo­re­tisch prak­ti­sche Annahme der wich­tige Bereich von Appli­ka­tio­nen, vulgo Apps. Apple und Google ver­trei­ben (und kon­trol­lie­ren) zusam­men über ihre App-Stores 99 Pro­zent der genutz­ten Applikationen.

Apps und Finanz­sank­tio­nen als beson­ders pro­ble­ma­ti­sche Bereiche

Auf Anwei­sung könn­ten sie dann bei­spiels­weise auch Apps von Ban­ken oder ande­ren kri­ti­schen Diens­ten aus ihren Stores ent­fer­nen. Für die breite Masse der Nut­zer ist die App dann de facto ver­schwun­den. Beson­ders rele­vant im Kon­text mit der Sperre von Anwen­dun­gen ist der Bereich Daten und hier gibt es dann auch eine geson­derte Ver­bin­dung zu den hier oft­mals genutz­ten Cloud-Diens­ten. Via Cloud-Act und FISA 702 kön­nen US-Behör­den jeder­zeit auf Daten zugrei­fen, die bei US-Cloud-Dienst­leis­tern lie­gen – und das auch, wenn die Ser­ver mit die­sen Daten in Europa lie­gen und es um euro­päi­sche Nut­zer geht.

Abschlie­ßend noch die Berei­che Finanz­sank­tio­nen und Sekun­där­sank­tio­nen, die über das Dol­lar-Sys­tem und das inter­na­tio­nale Geld-Trans­fer­sys­tem SWIFT wir­ken. Hier kön­nen Unter­neh­men gezwun­gen wer­den sich an US-Lini­en/­Re­geln zu hal­ten. Alle diese Hebel sind heute kein theo­re­ti­sches Droh­ar­se­nal, sie wer­den regel­mä­ßig ein­ge­setzt, zumeist gegen andere (feind­li­che) Staa­ten. Tech­nisch gese­hen gäbe es aber keine Bar­riere sie auch gegen­über euro­päi­schen Akteu­ren schär­fer zu nutzen. 

Keine Infor­ma­ti­ons­pflicht über US-Eingriffe

Wie im US-For­eign Intel­li­gence Sur­veil­lance Act (FISA) gere­gelt, muss über der­ar­tige Anwen­dungs­fälle nicht ein­mal infor­miert wer­den. Die glei­che Struk­tur, die Abschal­ten per Knopf­druck erlaubt, ermög­licht auch unbe­merk­tes Mit­hö­ren oder, beson­ders ver­werf­lich, Daten unbe­merkt zu ver­än­dern. Beim Abhö­ren gibt es drei Ebe­nen : ers­tens die Cloud-Ebene, wo Pro­gramme wie PRISM die Kom­mu­ni­ka­tion direkt bei US-Inter­net­kon­zer­nen abholt – also E‑Mails, Chats oder gespei­cherte Daten­for­mate. For­mal gestützt auch hier durch den FISA-Act.

Als zwei­tes die Netz­werk-Ebene : Rou­ter, Fire­walls und Tele­kom-Anla­gen haben soge­nannte Ser­vice- und Lawful-Inter­cept-Schnitt­stel­len. Wenn dort soge­nannte hart­ko­dierte Zugänge oder Back­doors auf­tau­chen – wie bei der Cisco-Schwach­stelle 2025 im Uni­fied Com­mu­ni­ca­ti­ons (UC)-Manager – dann ist das ein „per­fek­ter“ Kanal, um Kom­mu­ni­ka­tion „mit­zu­schnei­den“ oder Sys­teme gleich kom­plett zu über­neh­men. Einen der­ar­ti­gen „War­tungs­ka­nal“ gab es schon bei der älte­ren ISDN-Tech­no­lo­gie (Anm. pri­mär für Telefonie/​Fax) in den 1970^er und 1980^er Jahren.

Der digi­tale Hebel der USA funk­tio­niert differenziert

Bei der drit­ten Ebene geht es um die End­ge­räte. Smart­phones und Lap­tops sind das schwächste Glied in der Kette. Das abge­hörte Handy von Angela Mer­kel war kein Unfall, son­dern ein bewuss­tes Ziel. Wer so ein End­ge­rät kom­pro­mit­tiert, braucht weder Cloud noch Back­bone – er (oder sie) liest oder hört direkt „aus der Hosentasche“. 

Die Ebe­nen Cloud, Netz­werk und End­ge­räte über­lap­pen sich, zusam­men bil­den sie eine Spio­na­ge­platt­form, die es in die­ser Dichte oder Viel­falt vor­her noch nie gab. Der digi­tale Hebel der USA funk­tio­niert dif­fe­ren­ziert. Er ist fein jus­tier­bar und ziel­ge­nau anwend­bar — auf ein­zelne Per­so­nen, Unter­neh­men oder Insti­tu­tio­nen, auf Gerichte, NGOs, Jour­na­lis­ten oder Poli­ti­ker. Es gibt aber Wege aus die­sen Gefah­ren­zo­nen und das behan­delt in die­sem Dos­sier der dritte Text mit dem Titel “Wege aus der Abhän­gig­keit”. (red/​rucz, red/​laucz, red/​cc)