PRISM hat die Welt verändert – auch auf dem Markt für Mobile Device Management. Denn dieser Markt war noch nie von wahren und relevanten Marketingaussagen bestimmt, was ganz maßgeblich daran lag und liegt, dass im MDM-Markt viele amerikanische Anbieter mit amerikanischem Marketinggeschrei unterwegs sind. Und die US-Anbieter haben seit PRISM teilweise regelrecht Panik, denn bei vielen Anwendern herrscht gerade bei einer so stark personenbezogenen und teilweise auch persönlichen Technik wie Smartphones und Tablets begründete Skepsis gegenüber amerikanischen Anbietern.
Völlig zu Recht!
Denn man braucht keine amerikanischen Lösungen einzusetzen, da es mit datomo Mobile Device Management eine Lösung gibt, die noch nie auch nur den geringsten Bezug in die USA hatte, Software, die uneingeschränkt deutschem und europäischen Datenschutzrecht entspricht. Im Gegensatz zu amerikanischen Lösungen ist datomo MDM allein schon deshalb sicher, weil amerikanische Behörden – um genau zu sein die NSA – keinen Zugriff auf die Lösung hatte, hat und auch nie erhalten wird. Wir würden jeden Versuch von Behörden, der die Integrität unserer Lösungen in Frage stellen würde, genauso wie Lavabit unseren Anwendern kommunizieren. Geschäft ist gut, Anstand ist besser – das unterscheidet uns von manchem US-Anbieter.
Beginnend im letzten Jahr haben viele US-Anbieter ihre Werbung darauf umgestellt, dass sie irreführend werben, dass die Server für gehostete Angebote in Deutschland und /oder Europa stünden und deshalb deutscher und /oder europäischer Datenschutz für ihre Angebote gelte. Dies ist nicht nur irreführend, dies umgeht bewusst die Realität in den USA und ist daher gelogen. Denn der NSA, dem FBI oder einem amerikanischen Staatsanwalt ist es vollkommen egal, wo die Server stehen. Es zählt allein, dass sie im Zugriff einer US-Firma sind.
Diese freundlichen US-Behörden suchen amerikanische Firmen mit einem National Security Letter (NSL) heim. Ein solcher NSL hat die unangenehme Eigenschaft, dass der Empfänger noch nicht einmal über den Erhalt dieses NSL reden darf – der durchsuchte Kunde der US-Firma erfährt noch nicht einmal, dass seine Daten durchsucht wurden! Insofern ist die Werbung vieler US-Anbieter nicht nur unseriös sondern überschreitet in manchen Bereichen auch die Grenzen der Legalität.
Noch dreister werden mittlerweile die (wirkungslosen) Safe Harbor Absprachen zwischen den USA und Europa bzw. der Schweiz (separates Safe Harbor) unter Bezug genommen, indem suggeriert wird, dass hierdurch die Daten bei einem amerikansichen Anbieter sicher seien. Für den nicht informierten Leser sei an dieser Stelle erwähnt, dass es sich bei Safe Harbor nicht um völkerrechtliche Verträge handelt sondern um eine einseitige Entscheidung der EU-Kommission. Im oben verlinkten Beitrag auf Wikipedia wird völlig richtig ausgeführt:
Da im Rahmen des US Patriot Act US-Sicherheitsbehörden unter Umständen auch ohne Benachrichtigung der Dateninhaber Zugriff auf die in US-Clouds gespeicherten Daten gewährt werden muss, gerät das Safe Harbor Abkommen immer mehr in Kritik und ist nach Meinung des Unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein “das Papier nicht wert, auf dem es geschrieben steht”.
Mit anderen Worten: Die Werbung mit Safe Harbor ist genauso eine Nebelkerze wie das Werben mit Hosting in Deutschland oder Europa – es ist schlicht bedeutungslos! Sie können ggf. selbst auf der Webseite für Safe Harbor recherchieren, welche US Firmen sich selbst zertifiziert haben.
Sich selbst zertifiziert haben?
Ja, Sie haben richtig gelesen! Da zertifizieren sich Firmen, die in aller Regel noch nicht einmal ein Grundverständnis von europäischem und deutschen Datenschutz haben, selbst, dass sie diesen einhalten und diesem entsprechen! Das ist kein Witz. Das ist ein Skandal – so ermöglicht von den weisen Bürokraten in Brüssel.
Aber auch wenn Sie jetzt sagen sollten, dass all dies nicht für Sie interessant ist, weil Sie keine gehostete Lösung betreiben (wollen), haben Sie nur zum Teil Recht. Denn MDM-Systeme amerikanischer Anbieter sind niemals sicher, weil sie im zentralen Fokus der NSA stehen. Denn es gilt weiterhin uneingeschränkt für jedes Softwaresystem mit einer Verschlüsselung > 56 Bit, dass diese Systeme der uneingeschränkten Exportkontrolle unterliegen. Dies heißt nichts anderes als das die Verschlüsselung der NSA offengelegt werden muss.
Wenn amerikanische Anbieter nun behaupten, dass dies nicht so ist, verhalten sie sich nach US-Gesetzen gesetzestreu. Denn sie dürfen über den Zertifizierungsprozess und sämtliche Kooperationen mit der NSA nicht sprechen. Hier gilt: Es gibt kein Problem, weil über das Problem nicht geredet werden darf!
Wenn Sie die Hintergründe zu diesem Thema mehr interessieren lesen Sie unseren Beitrag MDM-Essentials — Ist Mobile Device Management (MDM) aus den USA sicher?, wo sie die Verlinkungen auf die amerikanischen Original-Fundstellen finden. Denn die Amerikaner machen kein Geheimnis aus ihrer totalen Kontrolle. Wir müssen es einfach nur lesen und glauben – und danach handeln!
Insofern ist die Entscheidung für immer mehr Anwender in Europa, aber auch bei sicherheitsorientierten Anwendern in den USA, ganz einfach. Man nutzt für Mobile Device Management keine amerikanischen Lösungen, denn es gibt ja datomo Mobile Device Management – komplett sicher und US-frei.
Ein letzter Hinweis.
Glauben Sie niemals der Werbeaussage von MDM-Anbietern, sie seien deutsch. Wenn Sie genau hinsehen, stellen Sie sehr schnell fest, dass nur das Whitelabel einer US-Lösung vertrieben wird. Ein Anbieter wirbt derzeit dreist und irreführend größter deutscher MDM-Anbieter zu sein. Es dürfte Ihnen allerdings sehr leicht fallen selbst zu recherchieren, dass die angebotene MDM-Lösung erst 2012 von einem US-Anbieter erworben wurde. Amerikanische Software kann man nachträglich nicht sicher machen, das komplette Aufspüren guter Backdoors ist nahezu unmöglich.
Disclaimer:
„Für den oben stehenden Beitrag sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Nutzer verantwortlich. Eine inhaltliche Kontrolle des Beitrags seitens der Seitenbetreiberin erfolgt weder vor noch nach der Veröffentlichung. Die Seitenbetreiberin macht sich den Inhalt insbesondere nicht zu eigen.“