Wo auf der Welt sind meine Daten und wie sicher sind sie?
Als Max Schrems, ein österreichischer Datenschutzaktivist, Einsicht in seine persönlichen Daten verlangte, die Facebook auf seinen Servern gespeichert hatte, erhielt er eine CD-ROM mit einem 1.222 Seiten starken Dokument.
Diese Datei, die fast eine Viertelmeile lang wäre, wenn man sie ausdrucken und aneinander legen würde, bot einen Einblick in den Appetit von Facebook auf die privaten Daten seiner 1,65 Milliarden Nutzer.
Die Informationen umfassten Telefonnummern und E-Mail-Adressen von Herrn Schrems‘ Freunden und seiner Familie, eine Liste aller Geräte, die er zum Einloggen in den Dienst verwendet hatte, alle Veranstaltungen, zu denen er eingeladen worden war, alle Personen, mit denen er „befreundet“ war (und die er anschließend wieder entfreundet hatte), und ein Archiv seiner privaten Nachrichten.
Es enthielt sogar Abschriften von Nachrichten, die er gelöscht hatte.
Aber Herr Schrems, der sagt, er habe Facebook über einen Zeitraum von drei Jahren nur gelegentlich genutzt, glaubt, dass ihm ein beträchtlicher Teil der Informationen vorenthalten wurde.
Er hat Datensätze für etwa 50 Kategorien erhalten, glaubt aber, dass es mehr als 100 sind, sagt er der BBC.
„Sie haben mir meine Gesichtserkennungsdaten vorenthalten, das ist eine Technologie, die mich durch meine Bilder identifizieren kann. Sie geben auch keine Tracking-Informationen preis, was noch unheimlicher ist – Dinge wie, ob man eine Webseite über einen Sportwagen gelesen hat und wie lange man sie gelesen hat.“
Facebook kann sogar die Internetnutzung von Nicht-Mitgliedern durch die Verwendung von Cookies auf deren Computern verfolgen, wie ein kürzlich ergangenes Gerichtsurteil in Belgien bestätigt hat.
Die Erfahrung von Herrn Schrems veranschaulicht anschaulich die Herausforderungen, mit denen wir in einem digitalen Zeitalter voller Messaging-Apps, sozialer Netzwerke, maßgeschneiderter Suchmaschinen, E-Mail-Clients und Banking-Apps konfrontiert sind, die alle persönliche Daten über uns sammeln und sie irgendwo in der Cloud speichern.
Aber wo befinden sich all diese Daten genau, wie werden sie verwendet und wie sicher sind sie?
Die großen Vier
Mehr als die Hälfte des weltweit mietbaren Cloud-Speichers wird von vier großen Unternehmen kontrolliert. Amazon ist bei weitem der größte, mit etwa einem Drittel des Marktanteils und mehr als 35 Rechenzentren auf der ganzen Welt.
Die nächsten drei großen Anbieter sind Microsoft, IBM und Google, und jeder von ihnen verwendet ein ähnliches globales Muster von Serverfarmen.
Einige dieser großen öffentlichen Cloud-Anbieter duplizieren üblicherweise Nutzerdaten in ihren Netzwerken. Das bedeutet, dass Informationen, die beispielsweise im Vereinigten Königreich oder in den USA in die Cloud hochgeladen werden, wahrscheinlich irgendwann auf Server in Großstädten auf der ganzen Welt übertragen werden, von Sydney bis Shanghai.
Das Problem dabei ist, so Prof. Dan Svantesson, ein Spezialist für Internetrecht an der Bond University in Australien, dass „immer das Risiko besteht, dass das Land, in das Ihre Daten gehen, nicht das gleiche Schutzniveau hat.
„Wenn Ihre Daten in einem anderen Land landen, kann es unklar sein, wer darauf Zugriff hat, sei es der Netzbetreiber oder die Strafverfolgungsbehörden“, sagt er.
Benjamin Caudill, ein Berater für Cybersicherheit bei Rhino Security Labs in Seattle, hat ebenfalls Bedenken, wie diese Daten verteilt werden.
„Niemand weiß wirklich, wie die Wurst gemacht wird“, sagt Herr Caudill, dessen Arbeit das Testen der Verteidigungsmaßnahmen von Unternehmen durch „ethisches Hacking“ umfasst.
„Es ist sehr schwierig zu verstehen, wo Ihre Daten gespeichert sind.
Er berichtet, dass einer seiner Kunden, der den Cloud-Dienst Azure von Microsoft nutzte, Opfer eines Hacks wurde – alle Daten und Backups wurden gelöscht.
Nach einigen Nachforschungen stellte sich jedoch heraus, dass ein Teil der verlorenen Daten an anderer Stelle auf den Azure-Servern gespeichert worden war. Das war zwar eine Erleichterung für den Kunden von Herrn Caudill, aber die scheinbar willkürliche Verteilung der Daten auf den Microsoft-Servern stimmte ihn nicht gerade zuversichtlich.
„Niemand weiß wirklich, wie sicher die Cloud-Dienste der großen Anbieter sind“, sagt Herr Caudill, der vermutet, dass „sowohl Amazon als auch Azure irgendwann größere Sicherheitslücken hatten.“
Sicherheitslücke?
Alle großen Public-Cloud-Anbieter sagen, dass Sicherheit für sie Priorität hat.
In der Serveranlage von Google in South Carolina zum Beispiel patrouillieren Wachen an den Türen und setzen biometrische Iris-Scanner an den Eingängen zum Allerheiligsten ein. Unterirdische Laserstrahlen erkennen Eindringlinge.
Aber niemand würde behaupten, dass es noch nie zu Sicherheitsverletzungen gekommen ist.
Ein Microsoft-Sprecher sagte der BBC: „Microsoft hat sich verpflichtet, seinen Kunden dabei zu helfen, ihre Daten zu schützen und sie zu befähigen, Entscheidungen über diese Daten zu treffen. Wir empfehlen unseren Kunden, das Microsoft Trust Center zu besuchen, um mehr darüber zu erfahren, wie ihre Daten verwaltet und sicher gehalten werden.“
Amazon betont, dass die Kunden „das Eigentum und die Kontrolle über ihre Inhalte behalten. Sie wählen den Ort, an dem ihre Daten gespeichert werden, und sie werden nicht verschoben, es sei denn, der Kunde beschließt, sie zu verschieben.“
Diese Möglichkeit, die Region zu wählen, in der die Daten gespeichert werden, erfreut sich bei Unternehmen zunehmender Beliebtheit, insbesondere in der Europäischen Union, wo die neue strenge Allgemeine Datenschutzverordnung 2018 in Kraft treten soll.
Post auf eigene Gefahr
Aber wir Verbraucher haben diesen Luxus oft nicht.
„Die Daten Ihres Gmail-Kontos liegen absolut auf mehr als einem Server. Sie befinden sich auf jeden Fall in mehr als einem Land“, sagt Prof. Svantesson.
Aber warum sollte uns das interessieren?
Je mehr unserer Daten auf der ganzen Welt verstreut sind, desto anfälliger sind sie für Hacker, argumentiert Herr Caudill – eine Vermutung, die durch die Tatsache bestätigt wird, dass der Identitätsbetrug zunimmt.
Da die Menschen weiterhin ihre digitalen Informationen online hochladen, in einen Sumpf aus territorialer rechtlicher Komplexität und unbekannten nationalen Sicherheitsprotokollen, gibt Prof. Svantesson einige praktische Ratschläge – die viele Menschen immer noch nicht befolgen.
„Ich würde vorschlagen, niemals etwas Sensibles in die Cloud zu stellen, wie z. B. Kreditkarteninformationen oder persönliche Bilder, von denen man nicht möchte, dass andere sie sehen.
„Manche Dinge sollte man einfach für sich behalten“, rät er.
Folgen Sie Technology of Business-Redakteur @matthew_wall auf Twitter
Klicken Sie hier für weitere Technology of Business-Beiträge