Einsatzaufnahmen der Polizei auf Amazon-Servern? Anscheinend ist das für die deutsche Bundespolizei kein Problem. Immerhin sei Amazon momentan der einzige Anbieter, der in Deutschland eine entsprechende Cloudlösung zur Verfügung stelle, so das Bundespolizeipräsidium. Und die Lösung ist außerdem noch vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) zertifiziert. Doch wie genau diese sensiblen Einsatzdaten der sogenannten Bodycams gesichert werden, bleibt unklar.
Das Innenministerium bekräftigt, dass die Daten verschlüsselt und ausschließlich auf Servern in Deutschland gespeichert werden. Demnach werden die deutschen Datenschutzstandards eingehalten. Allerdings macht das Ministerium keine weiteren Angaben zur Art der Verschlüsselung und ob US-Behörden auf die Server zugreifen können. Gerade der Zugriff durch amerikanische Behörden ist bei amerikanischen Unternehmen durch den Patriot Act möglich. So können sich NSA und CIA heimlich Zugriff auf sensible Daten verschaffen.
Einen bitteren Beigeschmack hinterlässt auch die Tatsache, dass Amazon Gesichtserkennungs-Software an amerikanische Polizeibehörden verkauft, die bei dann bei Aufnahmen von Bodycams genutzt werden. Da erscheint es schon seltsam, dass ausgerechnet Amazon dann die Bodycam-Aufnahmen der deutschen Polizei verwalten soll…
Auch wenn das Innenministerium versichert, dass die Aufnahmen verschlüsselt werden, ist unklar wie dies erfolgt. Denn hier gilt der einfache Leitsatz: Wer Zugriff auf die kryptografischen Schlüssel hat und den Verschlüsselungsprozess kontrolliert, der hat potentiell Zugriff auf die Daten. Nur eine allumfassende Verschlüsselungslösung wie das eperi Gateway, das AWS unterstützt und die Daten nicht nur in Transit, sondern auch at Rest und in Use verschlüsselt, bietet hier wirklich Sicherheit. In der Amazon-Cloud werden die Aufnahmen laut Herstelleraussage verschlüsselt gespeichert. Und im Gegensatz zu den üblichen Lösungen bei denen der Cloud-Anbieter Schlüsselzugriff hat oder den Verschlüsselungsprozess kontrolliert, verfügt beim eperi Gateway ausschließlich der Kunde über den kryptografischen Schlüssel und kontrolliert den Verschlüsselungsprozess. Denn nur wer den kryptografischen Schlüssel hat, hat auch Zugriff auf die Daten. Damit wäre es also egal, ob die Aufnahmen der Bundespolizei in der Amazon-Cloud gespeichert werden – weder Angreifer noch amerikanische Behörden oder gar Amazon Administratoren selbst könnten mit den Daten etwas anfangen.
