Interview: Risiko oder Isolation - das Modell Rosenthal

Interview: Risiko oder Isolation - das Modell Rosenthal

5. November 2022 - Das Modell Rosenthal berechnet, wie gross das Risiko der Datenherausgabe ist, wenn Unternehmen und Behörden in der Cloud eines US-Anbieters arbeiten. Der Erfinder erklärt den Hintergrund seines Modells und äussert sich zur kursierenden Kritik an der Methode.
Artikel erschienen in IT Magazine 2022/11
Interview: Risiko oder Isolation - das Modell Rosenthal
David Rosenthal, Jurist und Partner bei Vischer. (Quelle: Vischer)
Ein Name, um den man in der Schweiz kaum herumkommt, wenn es um Datenschutzthemen geht, ist David Rosenthal. Der Jurist und Partner bei der Wirtschaftskanzlei Vischer macht regelmässig von sich reden, unter anderem, weil er seine klaren und teils polarisierenden Positionen zu Datenschutzthemen gerne öffentlichkeitswirksam bekanntgibt. Seinen Hintergrund hat Rosenthal in der Informatik und im Journalismus. Bereits in den 90er-Jahren war er als freischaffender Software-Entwickler und Tech-Journalist tätig, seit Anfang der 2000er-Jahre beschäftigt er sich als Jurist hauptberuflich mit Digitalthemen und ist seit 2020 Partner bei Vischer.

Rechtmässige Überwachung

2022 hat es der Datenschutzspezialist besonders mit einer Arbeit in die Medien geschafft: dem Modell Rosenthal, einer Methode zur Risikobeurteilung zum Thema Lawful Access. Der Lawful Access – frei übersetzt der «rechtmässige Zugriff» – beschreibt den Vorgang, dass eine (hier ausländische) Behörde ihr lokales Recht benutzt, um einen Provider in ihrem Land zur Herausgabe von Kundendaten zu zwingen. Das kann auch dann funktionieren, wenn er die Daten auf einem Server im Ausland gespeichert hat – beispielsweise in einer Microsoft-365-Instanz, die in den Schweizer Datenzentren von Microsoft untergebracht ist. In den USA ist eine Form des Lawful Access in einem Gesetz namens CLOUD Act geregelt, das für viele Spezialisten zum roten Tuch geworden ist. Wenn es um den Einsatz von Cloud-Lösungen mit US-Wurzeln geht, dient der CLOUD Act besonders Schweizer Cloud-Providern des Öfteren auch als Verkaufsargument: Denn wenn aus den USA nicht auf die Daten zugegriffen werden kann, kann sie auch die Behörde dort nicht herausverlangen.

Das Modell Rosenthal ist eine Methode zur Berechnung der Eintrittswahrscheinlichkeit eines solchen Zugriffs und als Excel-Tool im Open-Source-Modell zur freien Nutzung verfügbar. Entwickelt wurde es 2019 im Auftrag einer Schweizer Bank. Der breiten Öffentlichkeit bekannt wurde es aber vor allem, weil es im Rahmen der Microsoft-365-Evaluierung beim Kanton Zürich 2022 zum Einsatz kam. In diesem Fall ergab das Modell Rosenthal, dass die Wahrscheinlichkeit eines Zugriffs via Lawful Access aus den USA auf die Geschäftsdaten des Kantons über fünf Jahre hinweg 0,74 Prozent beträgt. Das war für den Kanton tief genug – der Einsatz wurde bewilligt, was wiederum bei bestimmten Datenschützern sauer aufgestossen ist. Die Kritiker argumentieren, dass sich ein solches Risiko nicht einfach mit einem Modell wegkalkulieren lasse und dass die berechneten Wahrscheinlichkeiten aus der Luft gegriffen seien bis hin zur Meinung, dass die Methode schlicht überflüssig ist, weil das Risiko sowieso null sein müsse. Wir haben David Rosenthal in den Vischer-Büros in Zürich getroffen, um das Modell unter die Lupe zu nehmen und der Kritik auf den Grund zu gehen.
 
Seite 1 von 4

Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER