Interview mit Jan Oetjen:
Nach den Enthüllungen des Whistleblowers Edward Snowden müssen Sicherheitsparadigmen neu ausgelotet werden. Jan Oetjen, Geschäftsführer Web.de und GMX, geht davon aus, dass E-Mails, die zwischen Web.de- und GMX-Nutzern versendet werden, vor Geheimdienst-Zugriffen geschützt sind. IT-BUSINESS hakte nach, gibt aber keine Gewähr.
ITB: Herr Oetjen, eine aktuelle Studie aus Ihrem Hause, die nach den Prism-Enthüllungen vorgenommen wurde, zeigt, dass immer mehr Internet-Nutzer in Folge des Überwachungsskandals amerikanische Anbieter meiden. Überrascht Sie das Ergebnis?
Oetjen: Nein. Das Vertrauen in ausländische Onlinedienste ist seit Jahren rückläufig. 2010 äußerten bereits lediglich 22 Prozent keine Bedenken zu haben bei US-Anbietern private Daten zu speichern, letztes Jahr waren es sogar nur noch 15 Prozent. Bei den übrigen dominieren Misstrauen oder Unsicherheit. Dieses Unbehagen hat jetzt durch Prism und Tempora eine völlig neue Qualität bekommen. Ich bin überzeugt, dass die Entwicklung sich weiter verstärkt.
ITB: Zumal die Gerüchteküche brodelt und wir das tatsächliche Ausmaß der Spionageprogramme noch nicht kennen.
Oetjen: Das fördert sicher noch einmal die Gerüchteküche. Die Tatsache, dass scheinbar gerade Deutschland im Fadenkreuz der Überwachung steht, verstärkt das wachsende Misstrauen sicher weiter.
ITB: Ganz direkt gefragt: Hat die NSA auch Zugriff auf Nutzerdaten von GMX und Web.de und auf Mail-Inhalte?
Oetjen: Einen direkten Zugriff auf unsere eigene Server- Infrastrukturgemäß der Prism-Enthüllung ist in Deutschland schon rein juristisch ausgeschlossen, weil unsere Rechtsprechung nur Einzelanfragen deutscher Behörden aufgrund einer richterlichen Anordnung erlaubt. Für E-Mails, die unsere eigene sichere Infrastruktur verlassen, zum Beispiel Mails an US-Anbieter, können wir dies natürlich nicht ausschließen. Hier sind sowohl der Übertragungsweg wie auch der Speicherort des US-Anbieters im möglichen Zugriff.
ITB: Auch ein indirekter Zugriff wäre möglich. Geht man bei GMX und Web.de denn tatsächlich davon aus, dass Geheimdienste keinen Zugriff auf die Mails zwischen GMX- und Web.de-Nutzern haben? Immerhin deutet einiges darauf hin, dass dafür die gesamte Kommunikation wohl über verschlüsselte Verbindungen über Backdoor-freie Router (am besten mit BSI-Zertifikat) ablaufen müsste. Woran machen GMX und Web.de also eine Abhörsicherheit der eigenen Produkte fest? Der Stempel „Internet made in Germany“ dürfte dafür nicht reichen…
Oetjen: Aufgrund unserer vielfältigen Sicherheitsvorkehrungen können wir ausschließen, dass Unbefugte direkten Zugang zu den Serverräumen in unseren Hochleistungs-Rechenzentren haben. In der Regel werden E-Mails unverschlüsselt übers Internet verschickt, und die Mailserver befinden sich in räumlich getrennten Rechenzentren. Typische Angriffspunkte für Geheimdienste sind der Speicherort der Mails in den Rechenzentren, die Transportwege sowie die Metadaten. Diese beinhalten unter anderem die für Geheimdienste besonders relevante Absender- und Empfängerkennung. E-Mails, die zwischen Teilnehmern von Web.de und GMX versendet werden, sind vor allen drei möglichen Angriffspunkten geschützt. Denn zum einen erfolgt die Speicherung der Daten nach dem strengen deutschen Datenschutz. Zweitens stehen die Mailserver in ein- und demselben Rechenzentrum, so dass der Übertragungsweg zwischen den Servern sicher ist. Und drittens ist der Transportweg vom Nutzer zum Mailserver (und umgekehrt) standardmäßig SSL-verschlüsselt, so dass Inhalte und Metadaten geschützt sind.
ITB: Gibt es denn offizielle Anfragen von US-Behörden zu deutschen Nutzern?
Oetjen: Anfragen der US-Behörden wie CIA, FBI und NSA kommen durchaus vor, sind allerdings eher selten. Wir verweisen dann an die entsprechenden Ermittlungsbehörden in Deutschland, zum Beispiel an das BKA, und teilen den US-Geheimdiensten mit, dass sie sich dort Amtshilfe holen können, wir aber nie Daten ohne richterlichen Beschluss herausgeben.
ITB: Was passiert, wenn deutsche Behörden anschließend die Herausgabe der gewünschten Bestands- oder Verkehrsdaten verlangen?
Oetjen: Bei einem richterlichen Beschluss sind wir gesetzlich zur Herausgabe der Daten verpflichtet. Wir teilen diese jedoch nie den US-Behörden direkt mit, sondern immer nur den deutschen Behörden.
+49 (0)6324