DDoS-Schutz: Cloudflare gewinnt Kampf um National Security Letter

Das Unternehmen Cloudflare hat im Jahr 2013 einen National Security Letter bekommen und sollte damit von der US-Regierung zur geheimen Überwachung seiner Nutzer verpflichtet werden, wie jetzt erst bekannt wurde. Das berichtet der Anbieter von Anti-DDoS-Lösungen in seinem neuen Transparenzbericht. Das Unternehmen wurde in dem Rechtsstreit von der Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) vertreten.

Der von Cloudflare erhaltene National Security Letter mit der Nummer NSL-12-358696 wurde im Jahr 2013 an das Unternehmen gesendet. Cloudflare hat nach eigenen Angaben keine Informationen über Nutzer an die Behörden weitergegeben, das FBI habe die Bitte um Überwachung nach einer Klageandrohung fallen gelassen. Die Schweigepflicht bestand aber bis Dezember 2016 weiter.

In dem Bericht gibt Cloudflare an, zu keinem Zeitpunkt private SSL-Schlüssel von Cloudflare selbst oder von Kunden weitergegeben zu haben. Insgesamt gab es im Jahr 2016 107 Anfragen von Ermittlungsbehörden, von denen 101 beantwortet wurden. Betroffen waren 8803 Domains.

Umstrittenes Ermittlungsinstrument

Das Instrument der National Security Letters gibt es in der aktuellen Form seit 2001. Mit ihnen sollen Ermittlungsbehörden vor allem in die Lage versetzt werden, terroristische Straftaten zu verhindern oder aufzuklären. Eingeführt wurden sie mit dem Patriot Act als Folge der Anschläge vom 11. September 2001.

Mit der Überwachungsanordnung geht in der Regel eine Pflicht zur Geheimhaltung (Gag-Order) einher, die nur in seltenen Fällen aufgehoben wird. Den Betreibern des Messenger-Dienstes Signal gelang dies, auch wenn es sich wohl um eine andere Form der Datenabfrage handelte. Auch das Unternehmen Credo, ein Mobilfunkbetreiber, konnte mit Hilfe der EFF entsprechende Informationen veröffentlichen.

Einer der ersten der öffentlich über einen solchen Brief redete war der New Yorker Internetunternehmer Nicholas Merrill. Seit der Einführung des USA Freedom Act im Jahr 2015 gibt es eine rechtliche Möglichkeit, die Geheimhaltungsanordnungen widerrufen zu lassen.