Sensible IT-Prozesse außer Haus: NYT lagert E-Mail an Google aus

Die New York Times hat im Juni 2018 ihr komplettes E-Mail-System ausgelagert. Ausgerechnet Google vertraut das renommierte und weltbekannte Medienhaus seine oft sensiblen Daten an. Damit reagiert die New York Times auf massiv zunehmende Hacking-Aktivitäten auf ihre Server – und erhofft sich durch Google eine deutlich höhere IT-Sicherheit. Tatsächlich könnten die Experten von Google den Zugriff auf die sensiblen Daten der Times besser schützen als der Verlag selbst. Die Aufgabe zählt nicht zur Kernkompetenzen eines Medienhauses.

Daten und Fakten

Ein solcher Schritt scheint – zumindest im englischsprachigen Europa – seit Jahren nichts Besonderes zu sein. Die meisten Medienhäuser in Großbritannien haben bereits zu Google oder vergleichbaren Anbietern gewechselt. Allerdings: Die Journalisten verlassen sich bei eigenen kritischen Recherchen nicht ausschließlich auf ihren Provider. Untereinander nutzen sie sichere E-Mail-Alternativen. Kontakte zu Whistleblowern und anderen anonymen Quellen halten sie über andere etablierte Kanäle wie beispielsweise SecureDrop oder .onion

SecureDrop wurde 2013 von der FreedomofPress Foundation ins Leben gerufen. Seitdem erfreut sich das OpenSource „whistleblower submission system” großer Beliebtheit. Medienhäuser auf der ganzen Welt arbeiten damit.

Quelle: Webseite https://securedrop.org/

Alternativ etablierten Verlagen auch eigene Lösungen wie z.B. „heise Investigativ“.

Quelle: Webseite https://www.heise.de/investigativ/

Die Dienstleistungen, die die New York Times von Google nutzt, gehören zur G Suite. Das ist ein Paket mit verschiedenen Angeboten: Unternehmen wickeln damit ihren E-Mail-Verkehr ab, nutzen weitere Kommunikationslösungen oder können Daten in der Cloud speichern. Die Dienste sind also nicht gleichzusetzen mit dem kostenlosen Gmail-Service von Google.

Laut GoogleWatchBlog haben im Laufe der Jahre hunderttausende – vor allem kleinere Unternehmen – zu Googles G Suite-Angebot gewechselt. Damit haben sie ihre IT-Infrastruktur auf die Server des Unternehmens ausgelagert. Bis heute ist kein einziger erfolgreicher Hacker-Angriff auf Gmail- bzw. Google-Server bekannt.

Weltweite Diskussion auf Twitter

IT-Sicherheitsexperten diskutieren rege über die Entscheidung der New York Times und über mögliche Vor- und Nachteile.

Angeblich war der endgültige Auslöser für den Schritt das erfolgreiche Eindringen der chinesischen Regierung in das E-Mail-System der Times. Nach langer Diskussion mit der Rechtsabteilung und aufgrund von Kostenerwägungen sei die Entscheidung für Google gefallen (@mattyrosen).

Es sei unmöglich, ein auch nur halb so gutes 24/7 Sicherheitsteam wie bei Google bereit zu halten. Auf der anderen Seite hätte Google in der Vergangenheit immer wieder nicht den Anordnungen von US Regierungsorganisationen wie beispielsweise der NSA standhalten können (@bartongellman).

Andere führen auf, dass Google mittlerweile verstanden hätte, wie wichtig es sei, Journalismus von außen zu schützen und auch ungerechtfertigte Regierungsanfragen abzuwehren. Für die Times sei die Gefahr gehackt zu werden größer als Daten an die US Regierung geben zu müssen (@kevinchen).

Was offen bleibt: Hat Google unter geltendem US-Recht wirklich die gleichen Möglichkeiten wie ein Zeitungsverlag, Durchsuchungsbeschlüssen von Regierungsorganen zu widerstehen? Sollten die Journalisten einmal investigativ gegen Google selbst recherchieren: der Dienstleister bleibt in der Versuchung, einen Blick auf seine Server zu werfen.

Allerdings: Microsoft hat mit Office 365 sowohl in den USA als auch in Europa einen deutlich höheren Marktanteil bei der E-Mail-Auslagerung für Unternehmen als Google.

Diskussionen in Deutschland

Wie so oft sind die Kommentare im deutschsprachigen Raum dazu etwas anders gelagert. Hier stehen Themen wie Datenschutz/DSGVO, „Google = Datenkrake“, mögliche Alternativen etc. vorne an. Zudem wird beispielsweise bezweifelt, dass die Notebooks und Desktops der Redakteure jemals so sicher gegen Angriffe von außen gemacht werden können wie das eigene E-Mail-System.

Alle US-Unternehmen unterliegen dem Cloud Act und sind damit nicht DSGVO-konform. Einzig die Cloud von Microsoft für deutsche Office 365-Kunden liegt bei der Deutschen Telekom auf nationalen Servern. Weitere Beispiele für sichere dedizierte Mailserver in Deutschland bzw. in der Schweiz: Posteo.de, mailbox.org und ProtonMail. Ihre Größe ist allerdings nicht mit der von Google oder Microsoft vergleichbar.

Quelle: Webseite https://mailbox.org/

Quelle: Webseite https://posteo.de/

Quelle: Webseite https://protonmail.com/

Google wird hierzulande nachgesagt, alle E-Mails mit den neusten KI Routinen zu scannen – also auch die geschäftlicher Accounts. Wenn es um vertrauliche Mail-Inhalte geht, schützt dagegen eine up-to-date E-Mail-Verschlüsselung. Die Metadaten der E-Mails – also wer, wem, wann schreibt – kann jeder Betreiber der Mailserver weiterhin abgreifen. Damit bleiben E-Mails auch künftig ungeeignet für Whistleblower und anonyme Informanten.

Laut Erfahrungsberichten funktioniert die Google G Suite gut. Einzig ein zu häufiges Blacklisten der eigenen E-Mail-Accounts scheint noch ein Thema zu sein. Hier wendet Google offenbar die gleichen Algorithmen wie bei Gmail an: das Consumer Produkt muss mit viel mehr Spam zurechtkommen und markiert dadurch lieber zu viel als zu wenig Spam.

Fazit

Dedizierte kommerzielle Mailprovider verfügen über ein wesentlich höheres IT-Sicherheits-Know-how als es die IT-Abteilungen von Medienhäusern je wirtschaftlich darstellen können. Deshalb sind abseits der Kernkompetenz – also nicht nur bei E-Mail, sondern auch anderen kritischen IT-Prozessen – professionelle Partner immer vorzuziehen. Ob für Medienhäuser dafür US-Giganten wie Google oder Microsoft in Frage kommen, muss jedes Unternehmen selbst entscheiden. Ein etwas lockererer Umgang mit Datenschutz ist bei diesen Firmen zumindest in ihrer Heimat offensichtlich. Jedoch: Es gibt Alternativen in Europa und Deutschland, bei denen sowohl die Größe als auch die DNA deutlich näher an der von deutschen Verlagen liegen.