Wir führen anhand eines praktischen Beispiels auf, welche Kundendaten Cloudflare bei behördlichen Anfragen weitergibt.
Wir haben Akteneinsicht in ein noch laufendes Verfahren, bei dem das LKA Hessen ein Rechtshilfeersuchen beantragt hat. Das Verfahren lief in Zusammenarbeit mit der US-amerikanischen Antidrogen-Behörde DEA, der Drug Enforcement Administration. Cloudflare hat vollumfänglich alles an Daten preisgegeben, was ihnen zur Verfügung stand. Dazu ist das US-Unternehmen natürlich verpflichtet.
Cloudflare gibt an Daten alles preis, was sie besitzen
Online-Piraten nutzen seit vielen Jahren gerne und häufig das Content-Delivery-Network Cloudflare, um den eigenen Serverstandort zu verschleiern und sich vor DDoS-Angriffen Dritter zu schützen.
Natürlich ist es interessant zu wissen, was das Unternehmen eigentlich alles an Daten preisgibt, sollte eine Behörde bei ihnen anklopfen. In diesem Fall ging es um die Aufklärung eines Verfahrens, der Beschuldigte saß kurze Zeit später bereits in Untersuchungshaft. In diesem Fall bestand der Verdacht zum Erwerb und Besitz von Betäubungsmitteln gem. § 29 Abs. 1 Nr. 3 BtMG. Aufgrund der Daten von Cloudflare nahm man gegen einen weiteren Tatverdächtigen die Ermittlungen auf.
Zu den übermittelten Daten gehörte natürlich die vom CDN-Dienstleister geschützte Domain des Kunden. Dazu kam die E-Mail-Adresse und die persönlichen Daten des Kunden inklusive der Rechnungsadresse, der Zahlungsart und dem Zahlungsverlauf. In diesem Fall also, wann und in welcher Höhe man seine Kreditkarte belastet hat. Die vollständige Kartennummer der Kreditkarte liegt dem LKA Hessen aufgrund der Daten von Cloudflare nicht vor. Bekannt gegeben hat man aber nicht nur die E-Mail-Adresse des eigentlichen Kunden, sondern auch aller Personen, die mit einem eigenen Account administrativen Zugriff auf das Cloudflare-Konto hatten.
Vollständiges Aktionsprotokoll mit IP-Adressen und WHOIS-Daten
Doch damit nicht genug. Dazu kommt ein Protokoll der letzten Wochen, zu welcher Uhrzeit mit welcher IP-Adresse der Kunde oder einer seiner IT-Dienstleister auf das Konto von Cloudflare zugegriffen hat. Man sieht also ganz genau, ob der Zugriff direkt (von Zuhause aus), über einen Mobilfunkanbieter oder über einen VPN-Server erfolgte. Die IP-Adressen reicherte Cloudflare offenbar sogar mit den entsprechenden Daten der WHOIS-Abfragen an.
Im konkreten Fall handelte es sich dabei hauptsächlich um IP-Adressen von Hosting-, Proxy-, bzw. VPN-Dienstleistern. Darüber hinaus konnte man innerhalb der drei Monate, in denen der Tatverdächtige Cloudflare-Kunde war, eine zuvor nicht bekannte IP-Adresse von Vodafone aus einem ausländischen EU-Land feststellen. Das heißt also, Cloudflare erstellt ein vollständiges Protokoll aller Zugriffe und gibt diese Informationen bei Bedarf ungekürzt weiter.
Im vorliegenden Fall konnte man den Tatverdacht der Person, die unter anderem deswegen rund zwei Monate später in U-Haft saß, erhärten und eröffnete aufgrund der Beweise ein zusätzliches Verfahren gegen eine Person, die dem LKA in diesem Zusammenhang zuvor nicht bekannt war. Wer seine Website von Cloudflare schützen lassen will, dem sollte das besser schon vorher klar sein.
Fakt ist, dass das US-Unternehmen zur Zusammenarbeit mit allen möglichen Behörden verpflichtet ist. Betreiber illegaler Online-Projekte müssen sich und ihre Identität entsprechend effektiv schützen, um nicht auch ins Fadenkreuz der Ermittler zu geraten.
