Der CIA kann bei Bedarf auf sämtliche Nutzer-Daten von Amazon zurückgreifen. Die sind in Cloud-Diensten des Online-Versandhändlers gespeichert. Das Unternehmen entwickelt sogar eine eigene Privat-Cloud für den US-Geheimdienst.
Der CIA erwägt im Zuge seiner Geheimdienst-Analysen massiver auf die Cloud-Computing basierte Infrastruktur von Amazon zurückzugreifen. Dort sind die Daten von Amazon-Kunden gespeichert.
Aktuell hat der US-Geheimdienst einen 600 Millionen US-Dollar schweren Kooperations-Vertrag mit dem Online-Versandhändler und darf private Kundendaten abrufen. Amazon ist dabei, seine Cloud-Dienste an die Ansprüche der CIA anzupassen. Dieser werde Amazon Geldbeträge für die tatsächlich genutzten Cloud-Dienste zahlen. Das sei kostengünstiger.
„Wir werden die Innovation im Bereich der Applikationen in unsere Arbeit einfließen lassen“, zitiert die Financial Times den IT-Leiter der CIA, Doug Wolfe. Zudem werde sein Dienst von der Erhöhung der Server-Laufzeiten profitieren.
Doch die Aussage Wolfes bezüglich der Applikationen ist bemerkenswert. Denn damit macht er eine Andeutung auf die Software as a Service-Anwendung (SaaS). Der jeweilige Nutzer bringt hier keine Applikation in die Cloud ein. Er nutzt eine Applikation, die ihm der Cloud-Dienst nach außen anbietet.
Amazon soll in diesem Zusammenhang für den CIA eine umfassende eigene Private Cloud auf SaaS-Basis entwickeln. Privatdaten von Nutzern könnten dann direkt an den US-Geheimdienst laufen.
Der Leiter der IT-Sicherheitsabteilung von Amazon, Stephen Schmidt, ist vor allem an den physikalischen Adressen der Nutzer interessiert. Denn ohne diese Informationen wären die Amazon-Mitarbeiter nicht im Stande ihre Arbeit durchzuführen, so Schmidt. Doch über das laufende Sicherheits-Abkommen mit der CIA äußert er sich in der Öffentlichkeit nicht.
Anbieter von amerikanischen Cloud-Diensten wie Google, Amazon oder Microsoft sind bei Anfrage dazu verpflichtet, Ihre Kundendaten an die US-Geheimdienste weiterzugeben (mehr hier). Die rechtliche Grundlage hierfür findet sich im Patriot Act. Cloud-Anbieter aus Europa sind dem EU-Recht unterworfen. Doch hier gibt es Unterschiede in der Handhabung.
In Spanien, Frankreich, Großbritannien und Dänemark ist kein Gerichtsbeschluss nötig, um Zugriff auf Nutzerdaten zu erhalten. In Deutschland ist ein Gerichtsbeschluss nötig, um die Herausgabe von Cloud-Inhalten zu erwirken. Hierzulande müssen die Nutzer auch darüber informiert werden, wenn der Staat Zugriff auf die privaten Daten gefordert hat (mehr hier).