(17.07.2013) Die Medien berichten breit über das Sicherheitsprogramm der US-Regierung (PRISM) zur Sammlung und Auswertung von Nutzerdaten im Internet und spekulieren über eine Beteiligung von IT-Unternehmen an diesem Programm. 

Microsoft hat am 21. März 2013 in einem Transparenzbericht die Zahlen behördlicher Auskunftsersuchen und die Prinzipien für die Datenherausgabe dargelegt (http://www.microsoft.com/de-de/politik/artikel/behoerdliche-anfragen-zu-nutzerdaten.aspx).

Wie jedes Unternehmen unterliegt Microsoft der Verpflichtung, den rechtlich bindenden Anfragen von Strafverfolgungsbehörden nachzukommen. Microsoft respektiert selbstverständlich die besondere Rolle von Behörden für den Schutz der öffentlichen Sicherheit, sieht sich aber auch in einer besonderen Verantwortung gegenüber den Nutzern. Aus diesem Grund hat das Unternehmen folgende Prinzipien für die Bearbeitung der Anfragen erstellt:

  • Microsoft verlangt eine gültige Vollstreckungsermächtigung oder ein rechtliches Äquivalent, um die Herausgabe von Nutzerdaten zu prüfen.
  • Voraussetzung für die Prüfung der Herausgabe von Nutzerinhalten ist eine gerichtliche Anweisung oder Vollmacht.
  • Jeder Fall wird einzeln geprüft, um sicherzustellen, dass die erhaltenen Auskunftsersuchen der geltenden Rechtslage entsprechen.

Wenn die US-Regierung ein breiter angelegtes nationales Sicherheitsprogramm zur Sammlung von Kundendaten hat, nimmt Microsoft nicht daran teil.

Update #1 (13.06.2013):

Microsoft bewegt sich mit dem im März veröffentlichten Transparenzbericht am Limit des nach US-Rechtsprechung Erlaubten. Das Zulassen einer größeren Transparenz über die kumulierten Zahlen und den Umfang von nationalen Sicherheitsanfragen, einschließlich der FISA Anordnungen, durch die US-Regierung würde der Öffentlichkeit helfen, diese wichtigen Probleme zu verstehen und zu diskutieren.

Update #2 (17.06.2013):

Am Freitag, den 14.06.2013, haben wir die Erlaubnis der US-Regierung erhalten, zusätzliche Informationen über den Umfang  der von den US-Behörden an Microsoft gerichteten Anfragen, einschließlich Anordnungen auf Grund der US-Sicherheitsgesetze zu veröffentlichen. Zum ersten Mal wurde es uns gestattet, die Gesamtzahl der Anordnungen auf Grund der US-Sicherheitsgesetze, welche auch FISA-Anordnungen einschließen kann, in unseren Berichten aufzunehmen. Uns ist es immer noch nicht gestattet, den Erhalt von FISA-Anordnungen zu bestätigen, aber wenn wir solche erhalten haben sollten, wären sie jetzt miteingeschlossen.

Die Zahlen zeigen deutlich, dass US-Behörden-Anfragen jeglicher Art (strafrechtlicher und sicherheitsrechtlicher Natur) lediglich einen kleinen Teil der Millionen Nutzer der Microsoft-Dienste betreffen. In den letzten 6 Monaten bis 31.Dezember 2012, erhielt Microsoft von US-Behörden (einschließlich kommunaler, Einzelstaats- und Bundesbehörden)  zwischen 6.000 und 7.000  Anordnungen auf Grund der US-Sicherheitsgesetze, Zeugenladungen und Verfügungen, welche zwischen 31.000 bis 32.000 Nutzerkonten betrafen. 

Wir verhandeln weiter darüber, dass wir noch mehr Transparenz bezüglich dieser Gesamtzahlen bieten dürfen.

Weitere Informationen in unserem Blog Post (in Englisch)
Microsoft’s U.S. law enforcement and national security requests for last half of 2012

Unser Transparenzbericht 2012 enthält auch Details über Anfragen von deutschen Behörden:
http://www.microsoft.com/de-de/politik/artikel/behoerdliche-anfragen-zu-nutzerdaten.aspx 

Update #3 (12.07.2013):

Wir haben klare Grundsätze, die unternehmensweit regeln, wie wir Forderungen von Regierungen nach Kundeninformationen im Bereich der Strafverfolgung und in Fragen der nationalen Sicherheit nachkommen. Zunächst nehmen wir unsere Verpflichtungen gegenüber unseren Kunden und zur Einhaltung der geltenden Gesetze sehr ernst, weswegen wir Kundendaten nur im Rahmen eines  rechtlichen Verfahrens herausgeben. Unser Compliance-Team untersucht alle Anfragen sehr gründlich, und wir weisen unserer Auffassung nach unzulässige Anfragen zurück. Wir kommen nur solchen Anordnungen nach, die sich auf  spezielle Konten oder Identifikationsmerkmale  beziehen. Blankoanfragen, wie sie in den letzten Wochen in der Presse diskutiert wurden, würden wir nicht bearbeiten. Dies belegen auch unsere zuletzt veröffentlichten Zahlen. Microsoft bietet keiner Regierung unbeschränkten oder direkten Zugriff auf SkyDrive, Outlook.com, Skype oder andere Produkte aus unserem Haus. Bei der Aktualisierung (Update & Upgrade) unserer Produkte, gehört es  in einigen Fällen zu unseren rechtlichen Pflichten, sicherzustellen, dass wir in der Lage bleiben, bei berechtigten Anordnungen von Ermittlungs- und Sicherheitsbehörden Kundendaten zur Verfügung zu stellen. Es gibt Aspekte dieser Debatte, die wir gerne offener besprechen würden. Deshalb haben wir uns für zusätzliche Transparenz, die jedem helfen würde, diese wichtigen Fragen zu verstehen und zu diskutieren, massiv eingesetzt.

Update #4 (16.07.2013):

Am 16. Juli veröffentlichte Microsoft in einem ausführlichen Firmen-Blog seine Stellungnahme auf jüngste Berichte über Microsoft, die auf in die Öffentlichkeit gelangte Regierungsdokumente basieren. Bezüglich dieser Dokumente gibt es erhebliche Fehlinterpretationen , worauf in dem genannten Blog eingegangen wird. In dem Blog wird auch nochmals klargestellt, nach welchen hohen Grundsätzen das  Unternehmen Behördenanordnungen nachkommt.

Der Blog macht insbesondere deutlich, dass Microsoft keiner Regierung die Möglichkeit gibt, unsere Verschlüsselung zu brechen und Microsoft auch keiner Regierung Schlüssel zur Entschlüsselung zur Verfügung stellt.

Der Blog macht auch deutlich, dass Microsoft der Regierung keinen direkten Zugriff auf Kundendaten gibt, dass Microsoft rechtmäßigen Anordnungen Folge leistet, dass jede dieser Anordnungen von einem Compliance-Team geprüft wird, und dass alle Anordnungen sich auf spezielle Konten oder Identifikationsmerkmale  beziehen müssen.

Microsoft hat am 16. Juli den Justizminister  der Vereinigten Staaten gebeten, persönlich zu intervenieren und dem Unternehmen zu gestatten, diese Themen offener zu diskutieren. Microsoft ist davon überzeugt, dass die amerikanische Verfassung dem Unternehmen das Recht dazu gibt.

Sie können den Blog-Post hier im Original lesen: http://blogs.technet.com/b/microsoft_on_the_issues/archive/2013/07/16/responding-to-government-legal-demands-for-customer-data.aspx

Posted by Thomas Baumgärtner
Communications Manager Security & Green IT