Neudeutsch, germish oder denglish heißt das Ding Dropbox, der “Einwurfkasten” und ist den meisten Leuten bekannt als eine bequeme Art auch große Datenmengen in der Cloud zu speichern und ebenso andere darauf zugreifen zu lassen. Ob damit auch lichtscheue Elemente zugreifen können, von denen man in der Regel nicht weiß, dass sie existieren, wird dabei gerne vergessen.
Auf der anderen Seite gibt es dann Leute wie mich, die, wenn es denn unbedingt die Dropbox sein muss, dieses System nur für Daten nutzen, die zuverlässig verschlüsselt sind. Damit ist aber der Vorteil einer Dropbox hinfällig, weil nur der Inhaber des betreffenden Schlüssels die Daten lesen kann. Und nun wurde schon vor ein paar Wochen berichtet, dass die Dropbox ein Zertifikat nach ISO 27018 erhalten hat und damit datenschutzrechtlich alles in Butter ist. Jedwede Bedenken, auch der vom Guardian kommende Hinweis, dass die Dropbox ein Prism-Provider und damit ein Zulieferer der NSA sei, könnten damit ja ausgeräumt werden, denn die ISO 27018 ist eine Norm, die Datenschutz im internationalen Umfeld gewährleistet. Aber ist das wirklich so?
Ein Zertifikat ist nur so gut, wie sein Aussteller und viel wichtiger ist die Frage, was zertifiziert wird. In den entsprechenden Fachkreisen ist oft die Rede von einem “ToE”, dem Target of Evaluation, oder auch einem “Scope of Services”. Mit anderen Worten eine Eingrenzung des Prüfobjektes. Damit wird das Zertifikat auf den zertifizierungsfähigen Teil eines Produktes oder Verfahrens eingeschränkt. Im Ergebnis bekommt das Zertifizierungsobjekt einen Stempel und der geneigte Nutzer muss sich selbst darum kümmern, wofür der Stempel tatsächlich aufgedrückt wurde. Im Fall der Dropbox beziehen sich die “Services in scope” nur im Rahmen einer registrierten geschäftlichen Nutzung auf:
- Den Dropbox software client (desktop/laptop access)
- Die Dropbox web application (desktop and mobile browser access)
- Die Dropbox mobile application (mobile device access)
- und die API der Dropbox, die sogenannte Programm-Applikations-Schnittstelle (application programming interface), die dazu dient auch andere Progamme, wie z.B. Google Chrome oder Gmail, direkt auf die Dropbox zugreifen zu lassen.
Alles andere gehört nicht zu den zertifizierten Teilen des Systems. Somit sind private oder auch unregistrierte geschäftliche Nutzungen der Dropbox vom Zertifikat nicht erfasst, ebensowenig der Webdienst S3 von Amazon Web Services, den Dropbox Inc. für die Dateien der Nutzer verwendet. Zwar werden die Daten nach Angaben von Dropbox Inc. mit einem 256 bit AES – Schlüssel versehen. Dropbox Inc. selbst hat jedoch vollen Klartextzugriff auf die Daten der Nutzer. Und damit auch die Nachrichtendienste der Amerikaner. Süffisant ist in diesem Zusammenhang sicherlich auch, dass Condoleezza Rice, die ehemalige US-Außenministerin, vormalige nationale Sicherheitsberaterin des George W. Bush und damit eine Architektin der US-amerikanischen Überwachungsmaßnahmen nach 09/11, im April 2014 in den Dropbox – Verwaltungsrat berufen wurde. Man kennt sich offensichtlich… Und jetzt gibt es auch ein Zertifikat dazu.
Isset nich‘ schön? Und macht so einen schicken Eindruck.
Lassen Sie sich nicht vorführen. Der Gedanke sich mit einem Zertifikat, einem Güte- oder Prüfsiegel aus dem Markt hervorzuheben, ist nicht neu. Ich sage nicht, dass das eine schlechte Sache ist, es gibt gute Anbieter und gute Produkte oder Verfahren, die es verdienen, ein Zertifikat zu bekommen. Allerdings bescheinigen Stempel oftmals nicht die vollständige Unbedenklichkeit eines Produktes, sondern im Vergleich mit anderen nur das “geringste Übel”. Ein Motto, das man hier zugrunde legen könnte, wäre, so wenig wie möglich in den Fokus einer Zertifizierung rücken, und so viel wie nötig, um den Stempel zu bekommen und daran zu partizipieren, dass Verbraucher und andere Anwender nur auf das Deckblatt schauen. Denn solange Verbraucher daran glauben, dass z.B. ein TÜV eine gute Sache ist, wird auch die Notwendigkeit der Überprüfung eines Zertifikates auf der Strecke bleiben.
Anbei, wussten Sie, dass der TÜV auch Finanzdienstleister zertifiziert? Ich fand diese Entwicklung schon sehr erstaunlich, denn ein TÜV ist ein technischer Überwachungsverein, dessen Geschichte mit Dampfmaschinen begann. Jetzt müsste ich nur noch jemanden finden, der mir erkären kann, was technische Überwachungen mit Finanzdienstleistungen zu tun haben. Wahrscheinlich geht es dabei um die Computer, mit denen die Finanzdienstleistungsbranche arbeitet. Aber das muss man privaten Anlegern, die um ihre Ersparnisse gebracht wurden, weil sie auf einen TÜV-Stempel vertraut haben, ja nicht erzählen. Schließlich sollten mündige Bürger selbst in der Lage sein, solche Fragen zu stellen, und nicht blind auf einen Stempel vertrauen, den sie irgendwo schon einmal gesehen haben…
Und genau so ist das mit ISO-Normen und Zertifikaten in der IT-Welt. Wer lesen kann, ist klar im Vorteil. Denn am Ende des Tages ist es nicht der Produkt- oder Verfahrensanbieter, der kritische Fragen beantworten muss, sondern der, der den Auftrag erteilt hat.