Überwachungsprogramm PRISM: US-Regierung und Webfirmen wiegeln ab
Als Reaktion auf die Medienberichte zu PRISM hat die US-Regierung hat Informationen über das geheime Überwachungsprogramm PRISM veröffentlicht. James R. Clapper, Direktor der NSA erklärt in einer Stellungnahme, dass die Regierung nicht wie behauptet Informationen von Unternehmensservern abschöpfe. Alle Aktivitäten in Bezug auf PRISM seien “rechtmäßig” und “durch den Kongress autorisiert”.
PRISM sei “ein internes Computersystem der Regierung, das benutzt wird, um die durch die Verfassung genehmigte Sammlung ausländischer Geheiminformationen von Anbietern elektronischer Kommunikationsdienste unter gerichtlicher Kontrolle zu ermöglichen”, so Clapper weiter. Als rechtliche Grundlage nennt er Absatz 702 des US-Gesetzes Foreign Intelligence Surveillance Act (FISA). Alle Informationen erhalte die Regierung durch einen FISA-Gerichtsbeschluss und mit Kenntnis des jeweiligen Providers auf Basis einer schriftlichen Anordnung des Generalstaatsanwalts und des Nationalen Geheimdienstdirektors.
Die Überwachungsmaßnahmen wiederum hätten lediglich das Ziel, Informationen zu erhalten, um unter anderem terroristische Angriffe und Cyberattacken gegen die USA und seine Verbündeten abzuwehren. Die Medienberichte enthalten laut Clapper “erhebliche Fehlinterpretationen”. Allerdings könnten nicht alle Ungenauigkeiten korrigiert werden, “ohne dass weitere Geheiminformationen offengelegt werden”, gibt sich der Geheimdienstchef geheimnisvoll.
Die Washington Post und der britische Guardian hatten Ende vergangener Woche auf Grundlage einer ihnen zugespielten Präsentation der National Security Agency (NSA) über PRISM berichtet. Demnach hat der Geheimdienst Zugriff auf Datenbanken nahezu aller großer US-Webfirmen, darunter Apple, Facebook, Google, Microsoft und Yahoo Daten.
Konzerne dementieren Beteiligung an PRISM
Die Konzerne dementieren dies. “Ich möchte persönlich auf diese haarsträubenden Presseberichte über PRISM antworten”, schrieb Facebook-CEO Mark Zuckerberg. Das Social Network nehme an keinem solchen Programm teil und gebe weder der US-Regierung oder einer anderen Regierung “direkten Zugang” zu seinen Servern. “Wir haben nie eine pauschale Anforderung oder gerichtliche Verfügung von irgendeiner Regierungsbehörde bekommen, in der massenhaft Informationen oder Metadaten verlangt wurden, wie sie Verizon angeblich erhielt. Und hätten wir so etwas bekommen, würden wir vehement dagegen kämpfen.”
Den Google-Nutzern versicherte Larry Page mit ganz ähnlichen Worten, sein Unternehmen gewähre keiner Regierung direkten Zugriff auf seine Server. “Wir haben bis gestern nicht von einem Programm namens PRISM gehört”, beteuerte er. Tatsächlich habe die US-Regierung keinen “direkten Zugriff” oder eine “Hintertür” zu den in Googles Datenzentren gespeicherten Informationen.
“Zweitens geben wir Nutzerdaten nur in Übereinstimmung mit den Gesetzen an Regierungen heraus”, schrieb er weiter. “Unsere Rechtsabteilung überprüft jede einzelne Anforderung und lehnt sie oft ab, wenn sie zu breit formuliert oder nicht rechtlich einwandfrei sind.” Er verwies auf die Transparenzberichte, mit denen Google über Behördenanfragen nach Nutzerdaten informiert, soweit das rechtlich möglich ist.
Microsoft erklärte, Kundendaten nur auf rechtlich bindende Anordnung und nur zu eindeutig bezeichneten Konten herauszugeben. Auch Apple erklärt, man habe nie von PRISM gehört und Yahoo beteuerte “Wir geben der Regierung keinen direkten Zugriff zu unseren Servern, unseren Systemen oder unserem Netzwerk”, beteuerte Yahoo.
Dem Guardian zufolge schienen angesprochene Spitzenmanager dieser Firmen tatsächlich überrascht und verwirrt durch die Behauptungen in dem internen NSA-Dokument, das an die Öffentlichkeit gelangte.
New York Times veröffentlicht neue Aspekte
Einem Bericht der New York Times zufolge gaben aber manche Technologiefirmen den Behördenforderungen zumindest teilweise nach. Sie beruft sich dabei auf “Personen, die über die Verhandlungen informiert wurden.” Die Behörden wollten demnach “getrennte, sichere Portale” mit angeforderten Daten bekommen, auf die sie zugreifen konnten. Die Unternehmen sollten dazu digital etwas wie einen verschlossenen Briefkasten bereitstellen, zu dem nur die Regierung einen Schlüssel hat.
Die Daten sollten jedoch erst weitergegeben werden, wenn Firmenanwälte die Anforderungen überprüft hatten – es sei also eher um die sichere und effiziente Datenübermittlung gegangen. Den Times-Informanten zufolge hat beispielsweise Facebook ein solches System eingerichtet.
Dunkelziffer durch “Foreign Intelligence Surveillance Act”
Der tatsächliche Umfang der Datenübermittlung bleibt vor allem dann im Dunkeln, wenn sich Behörden dabei auf den “Foreign Intelligence Surveillance Act” (FISA) berufen können. Dieses Gesetz sieht geheime gerichtliche Verfügungen vor, deren Existenz nicht einmal bestätigt werden darf. Solche FISA-Anforderungen können sich auf bestimmte Personen beziehen, aber auch auf Rasterinformationen wie etwa Logs zur Abfrage bestimmter Suchbegriffe. Die Zahl solcher Anforderungen nahm im vergangenen Jahr um 6 Prozent auf 1856 zu.
Diese Anfragen tauchen auch in den Transparenzberichten von Google, Microsoft und Twitter nicht auf, da die Unternehmen zum Stillschweigen verpflichtet sind. In den Unternehmen, ist es sogar den Mitarbeitern die FISA-Anforderungen bearbeiten verboten, mit ihren Kollegen über Einzelheiten zu sprechen.
Neben den US-Geheimdiensten hat auch die Bundespolizei ein gesteigertes Interesse am direkten Zugriff auf Datenbanken großer Webfirmen. Im März hatte das Magazin Slate berichtet, das Federal Bureau of Investigation (FBI) dränge darauf Dienste wie Gmail, Google Voice und Dropbox laufend zu überwachen. Der Behörde reicht der auf Grundlage des Electronic Communications Privacy Act mögliche Zugriff auf Archive von E-Mail-Konten nicht mehr aus.
[mit Material von Bernd Kling, News.com, und Stefan Beiersmann, ZDNet.com]