Bearbeitung von Behördenanfragen
Da wir von Zeit zu Zeit Anfragen von Behörden erhalten, Informationen zu ihren Ermittlungen zu liefern, möchte ich kurz beleuchten, wie wir solche Anfragen bearbeiten, was das für uns und vor allem für unsere Kunden bedeutet und warum Sie sicher sein können, dass wir Ihre Privatsphäre ernst nehmen. Die meisten Anfragen erhalten wir von der Polizei, allerdings über verschiedene Kanäle, entweder direkt oder über das “EJPD”.
Es gibt grundsätzlich drei verschiedene Szenarien:
1. Die Behörde verfügt nicht über die nötige Autorität (keine rechtliche Grundlage)
Dies kann eine ausländische Behörde sein, die sich direkt an uns wendet, oder eine lokale Behörde, die einen Antrag stellt, der (noch) nicht offiziell genehmigt ist. Der letztere Fall tritt sehr selten auf, der erste etwas häufiger.
Je nachdem, welche Informationen angefordert werden, müssen wir solche Anträge normalerweise ablehnen. Manchmal jedoch sind die angefragten Informationen ohnehin öffentlich zugänglich, aber werden aus irgendeinem Grund übersehen. Wenn dies der Fall ist, könnten wir dem Antragsteller einen Hinweis in die richtige Richtung geben, damit wir uns nicht mit weiteren Anfragen von seiner Seiten befassen müssen.
Wenn die angeforderten Informationen nicht öffentlich zugänglich sind, müssen wir den Antrag ablehnen und die anfragende Stelle auf den gesetzlich vorgesehenen Weg verweisen.
2. Eine Behörde, die “nur” Kontaktinformationen anfordert
Dies ist meistens der Fall, da für fast alle Systeme/Setups nicht wir die Datenhoheit haben, sondern unsere Kunden. Wir haben nur die Datenhoheit über Daten unserer eigener Systeme.
In diesem Fall, vorausgesetzt die Anfrage ist legitim, stellen wir die angeforderten Kontaktinformationen zur Verfügung und die Behörde wendet sich dann direkt an unseren Kunden.
3. Eine Behörde, die weitergehende Informationen anfordert
Dies sind sehr seltene Fälle, und die ordnungsgemässe Legitimierung eines solchen Antrags ist unerlässlich. In diesem Fall, wenn wir nicht rechtlich zu Stillschweigen verpflichtet sind, kontaktieren wir den Kunden bezüglich des Antrags und versuchen gleichzeitig die angeforderten Informationen persistent zu speichern, um sie den Behörden zur Verfügung zu stellen zu können. Es ist enorm wichtig, nur die Informationen zur Verfügung zu stellen die spezifisch angefordert wurden und insbesondere die Daten anderer Kunden zu schützen.
Warum müssen wir uns überhaupt mit solchen Anfragen befassen?
Als Dienstleistungsanbieter sind wir natürlich an das Gesetz gebunden.
Wir können unseren Kunden nur dann sichere Dienstleistungen anbieten, wenn wir selbst ein sicheres Umfeld haben. Ein sicheres Umfeld bedeutet auch sich an alle geltenden Gesetze zu halten.
Was ist der Grund für solche Anfragen / Wie kann vermieden werden, Ziel einer behördlichen Anfrage zu werden?
Zunächst einmal: Es gibt nicht DEN perfekten Ratschlag, da immer eine geringe Chance besteht, versehentlich ins Visier der Behörden zu geraten.
Generell können wir jedoch sagen, dass es für alle Anfragen, die wir bisher erhalten haben, gute Gründe zu geben schien. Das waren Kunden, die entweder selbst ihr Setup für illegale Aktivitäten missbrauchten oder häufiger Kunden, die ihr Setup vernachlässigten und dadurch kompromittiert wurden.
Warum kann nine die Kunden denn nicht davor schützen, kompromittiert zu werden, wenn Sie ihr Setup vernachlässigen?
Zum einen sind die Verantwortlichkeiten klar: Nine bietet einen Service, den der Kunde nutzen kann. Es ist die Pflicht des Kunden, ihn auf verantwortungsvolle Art zu nutzen. Das bedeutet auch, dass es in der Verantwortung des Kunden liegt, seine Anwendungen, die auf unseren Services laufen, zu warten.
Zum andern: Nine kann nicht jede einzelne Anwendung, die ein Kunde einrichtet, überwachen, da es sich dann um eine managed Anwendung handeln würde. Ausserdem sind uns die Anforderungen des Kunden an diese Anwendung nicht bekannt. Vielleicht ist sich der Kunde der Risiken bewusst und muss sie aufgrund von Abhängigkeiten oder aus anderen Gründen akzeptieren.
Und zu guter letzt: Wenn Nine von einem unsicheren oder gar kompromittierten Setup Kenntnis erlangt, setzen wir uns sofort mit dem Kunden in Verbindung, damit er die Schwachstelle schnell beheben kann, wobei wir ihn auch nach Kräften unterstützen.
Zusammenfassung
Nine nimmt die Privatsphäre der Kunden sehr ernst. Wir werden keine Anfragen bearbeiten, für die es keine rechtliche Grundlage gibt. Wenn wir jedoch gesetzlich verpflichtet sind, einer Anfrage nachzukommen, werden wir diese bearbeiten. Es ist wichtig zu betonen, dass wir dabei sicherstellen, dass die Privatsphäre aller anderen Kunden nicht gefährdet wird. Das bedeutet zum Beispiel, dass wir auf der elektronischen Version solcher Anfragen bestehen, um die Adressierungselemente der angeforderten Informationen digital zu erhalten, um allfällige Tippfehler unsererseits zu vermeiden und nicht versehentlich Informationen von einem anderen Kunden auszuliefern. Wir bestehen auch auf einer sicheren (verschlüsselten) Methode der Übermittlung der angeforderten Informationen an den Empfänger. Nine wird auch seine Kunden über solche Anfragen informieren (es sei denn, wir werden auf rechtlicher Grundlage zu Stillschweigen verpflichtet).
Als Kunde können Sie vermeiden zur Zielscheibe zu werden, indem Sie sich an die Gesetze und Vertragsbedingungen halten und indem Sie Ihr Setup instandhalten und Aktualisierungen und Patches rechtzeitig einspielen, um zu verhindern, dass Schwachstellen von Kriminellen ausgenutzt werden.
Wenn Sie weitere Fragen haben oder Unterstützung benötigen, zögern Sie nicht, uns zu kontaktieren.