PlusMinus über die Übernahme von Brainloop durch den US-Riesen Diligent: Industriespionage durch den CLOUD Act?
Loomion hat im Blog schon öfter über Datensicherheit, DSGVO (GDPR) und den CLOUD-Act geschrieben und auf die Gefahren durch das Abhorchen von der NSA und anderen U.S. Geheimdienstbehörden hingewiesen. Kürzlich ist nun ein interessanter Beitrag bei PlusMinus auf „Das Erste“ mit dem Titel „Industriespionage: Wie hochsensible Daten von Europa in die USA wandern“ gesendet worden. Brainloop wird in diesem Artikel als anschauliches Beispiel herangezogen, was passieren kann, wenn plötzlich ein U.S.-Riese wie Diligent ein deutsches Unternehmen kauft.
Industriespionage mit dem CLOUD Act?
Wenn es um Russen und Chinesen geht, die versuchen deutsche Unternehmen zu hacken, dann ist das heute schon fast Normalität. Etwas anders ist es wenn es um unsere „verbündeten“ USA geht, obwohl diese in großem Stil hochsensible und streng vertrauliche Daten abhorchen und das meist sehr still und leise über den großen Teich hinweg. Florian Oelmaier hat Spionage-Abwehr zu seinem Geschäft gemacht und u.a. die Enthüllungen von Whistleblower Eduard Snowdon ausgewertet. Das Ergebnis deckt Oelmaier in seinem erschreckenden NSA-Report auf: „Für die USA gehört Spionage zum täglichen Geschäft. Aber die USA hat Mittel und Wege dies meist unbemerkt zu tun, denn sie ist weltweit präsent bzw. repräsentiert.“
Dank dem Patriot Act und dem CLOUD Act haben amerikanische Geheimdienstbehörden die Voraussetzungen geschaffen, Zugriff auf U.S.-Amerikanische Cloud Unternehmen und den dort gelagerten Kundendaten zu erhalten, auch wenn diese außerhalb der USA gespeichert sind. Thil Weichert, ehemaliger Landesschutzbeauftragter, äußert sich dazu im Bericht von PlusMinus: "Nach meiner Einschätzung besteht eine reale Gefahr, dass die Daten dann direkt weitergegeben werden an US-Geheimdienste und dass die Geheimdienste diese Informationen dann auch der US-Wirtschaft zur Verfügung stellen."
Der weitere Beitrag nimmt die Firma Brainloop AG aus München unter die Lupe. Das Unternehmen ist wie Loomion ein Hersteller von Board Portalen und sicheren Datenräumen über die hochsensible Dokumente ausgetauscht werden können. Brainloop wirbt damit, dass „Vertrauliches vertraulich bleibt“ und geben auf der Website an, dass ca. 70 Prozent der DAX-Unternehmen die Produkte von Brainloop im Einsatz haben.
Der Brainloop-Vorstand Thomas Deutschmann wies im unternehmenseigenen Blog noch im April 2018 explizit darauf hin, dass eine erhöhte Unsicherheit in Bezug auf die Datensouveränität bei der Zusammenarbeit mit US-Unternehmen zu erwarten ist. Kurz darauf wurde Brainloop als ein Geheimnisträger der deutschen Wirtschaft von dem US-Riesen Diligent gekauft.
Wie im Tagesspiegel geäußert wurde, wird Brainloop das Siegel „IT-Security made in Germany“ abgeben müssen und tatsächlich ist es nicht mehr auf der aktuellen Startseite präsent, wie man das noch letztes Jahr sehen konnte (Quelle: Webarchive). Und wie gehen die Kunden von Brainloop damit um, dass hochsensible Firmendaten still und heimlich an die USA gesendet werden könnten? Die Europäische Zentralbank schreibt: "Die für unsere Zwecke genutzten Server des Dienstleisters Brainloop müssen innerhalb der EU stehen." Wie schon erwähnt, kommt es auf den Standort des Servers für die Wirksamkeit des CLOUD Acts nicht an. Der Datenschützer Thilo Weichert findet die Sicht der EZB daher zu blauäugig: „Wir wissen seit Snowden, dass die US-Geheimdienste auf alles zugreifen, was irgendwie erreichbar ist.“ Interessanter Weise gab es wohl auch einen Kaufinteressenten aus Paris: Oodrive. Mit einer deutsch-französischen Fusion wäre ein Anbieter entstanden, der vor gesetzlich legitimierten Zugriffsversuchen aus den USA geschützt gewesen wäre. Der Geschäftsführer Stanislas de Rèmur von Oodrive war überrascht, dass der Brainloop-Verkauf in die USA von den deutschen Behörden zugelassen wurde und hat sogar die Bundesregierung auf mögliche Folgen hingewiesen. In einem vertraulichen Brief warnen die Franzosen: "Hochsensible Daten könnten von den US-Behörden abgerufen werden."
Auch wenn die EZB noch der Meinung ist, dass die Speicherung der Daten in Europa ausreicht, der Beitrag endet mit dem Satz: „Für Naivität bleibt keine Zeit mehr!“
Übrigens ist Loomion twelve nicht dem CLOUD-Act unterlegen wie unser Wettbewerber Sherpany im Artikel Wählen Sie ein sicheres Board Portal in 2019 bestätigt. Hier finden Sie auch wichtige Punkte, auf was bei der Wahl von Board Portalen und sicheren Datenräumen zu achten ist und sehen welche Anbieter dem CLOUD Act unterliegen.
Loomion is cybersecurity.
Loomion is notCLOUD-Act.
Loomion is on-premise.
Loomion is Europe.
I’m Loomion.
Quellen:
https://factorynet.at/a/cloud-act-gefaehrdet-datensouveraenitaet-von-us-unternehmen
https://www.brainloop.com/de-de/
https://web.archive.org/web/20180729001736/https://www.brainloop.com/de-de/
https://www.daserste.de/information/wirtschaft-boerse/plusminus/sendung/industriespionage-100.html
https://success.sherpany.com/de/sicheres-board-portal-2018
#BoardMatters #Loomion_Kolumne #Loomion #Board_Portal #Virtual_DataRoom #CorpGov #papierlos #Boardroom #FreeYourBoard #Digitalisierung #Corporate #Governance #Compliance #CSR #Aufsichtsrat #SecureDataRoom #DSGVO #CLOUD-Act #on-premise #cybersecurity
