Xiaomi reagiert auf das Rundschreiben der indischen Luftwaffe, das es als Sicherheitsbedrohung bezeichnet

Heute früh begann ein Bericht von The Sunday Standard im Twitterverse zu zirkulieren, in dem das Rundschreiben der indischen Luftwaffe (IAF) zitiert wird, das Xiaomi als Sicherheitsbedrohung bezeichnet. Das Rundschreiben wurde anscheinend von der IAF an ihr Personal und deren Familienmitglieder gesendet, in dem sie gewarnt wurden, keine von dem aufstrebenden Technologieriesen hergestellten Handys und Geräte zu verwenden. Xiaomi hat auf die Bedenken reagiert und diese zurückgewiesen.

In ihrem Rundschreiben hatte die IAF Xiaomi beschuldigt, Benutzerdaten an entfernte Server in China zu senden. Die Notiz wurde von der Nachrichteneinheit auf der Grundlage von Informationen des indischen Computer-Notfallteams (CERT-In) erstellt und zitiert mehrere Berichte aus der Vergangenheit, die Fragen zur Handhabung der privaten Daten der Benutzer durch Xiaomi aufgeworfen haben.

„F-secure, ein führendes Unternehmen für Sicherheitslösungen, hat kürzlich einen Test des Xiaomi Redmi 1s, dem Budget-Smartphone des Unternehmens, durchgeführt und festgestellt, dass das Telefon den Netzbetreiber, die Telefonnummer, die IMEI (den Geräteidentifikator) sowie Nummern aus dem Adressbuch und Textnachrichten nach Peking weiterleitete,“ heißt es in der IAF-Notiz.

In einem Gespräch mit Technology Personalized versuchte Manu Jain, General Manager und Leiter der Indien-Operationen von Xiaomi, das Unternehmen zu verteidigen und einige Dinge zu klären.

Zunächst einmal – wir sind äußerst vorsichtig, wenn es darum geht, Benutzerdaten zu schützen; wir sind zu 100 % konform mit allen lokalen Gesetzen, einschließlich derjenigen, die sich auf Datensicherheit beziehen.

Dies ähnelt stark dem, was Xiaomi gesagt hat, seit die Bedenken Anfang dieses Jahres aufkamen. Manu fuhr fort zu sagen:

Wir bieten verschiedene internetbasierte Dienste wie Mi Cloud, cloudbasierte Nachrichten usw. an, die erfordern, dass Daten in der Cloud gespeichert werden. Wir ergreifen jedoch strenge Maßnahmen, um sicherzustellen, dass die Daten verschlüsselt und gesichert sind, während sie an den Server gesendet werden, und nicht länger als nötig gespeichert werden. Tatsächlich haben wir Änderungen an unserem System vorgenommen, um sicherzustellen, dass Mi Cloud standardmäßig deaktiviert ist und keine Daten automatisch an Server sendet. Nur wenn ein Verbraucher die Mi Cloud-Dienste bewusst aktiviert, werden die Daten gesichert.

Die oben genannten Änderungen kamen direkt nach dem Bericht von F-secure im August dieses Jahres, den die IAF in ihrer Notiz zitiert. Unten sind die beiden Blogbeiträge von Hugo Barra, dem globalen Gesicht von Xiaomi, die die vorgenommenen Änderungen detailliert beschreiben.

30. Juli 2014 – https://plus.google.com/+HugoBarra/posts/9GL9h2fT8H6
31. August 2014 – https://plus.google.com/+HugoBarra/posts/bkJTXzyXXmj
    F-secure stellte in einem nachfolgenden Bericht klar, dass das OTA, das von Xiaomi veröffentlicht wurde, tatsächlich die Datenschutzbedenken angesprochen hatte, insbesondere die, die sich um den Mi Cloud-Nachrichtendienst drehten. Wir sind uns nicht sicher, wann genau die IAF-Notiz veröffentlicht wurde, aber sie enthält keine Hinweise auf die seit August dieses Jahres vorgenommenen Änderungen des Unternehmens. Interessanterweise hat Hugo Barra gerade über die Entscheidung von Xiaomi gepostet, seine Rechenzentren und Server außerhalb Chinas zu verlagern. Ist es ein bloßer Zufall oder wurde Xiaomi gezwungen, dies anzukündigen, nachdem die Nachrichten über die IAF-Notiz veröffentlicht wurden? Ihre Vermutung ist so gut wie meine. In seinem Beitrag erklärt Hugo Barra-

    Anfang 2014 haben wir eine massive interne Anstrengung gestartet, um unsere Serverinfrastruktur global auszubauen, um Mi-Fans überall besser bedienen zu können… Unser Hauptziel bei der Umstellung auf eine Multi-Site-Serverarchitektur war es, die Leistung unserer Dienste für Mi-Fans auf der ganzen Welt zu verbessern, die Latenz zu reduzieren und die Ausfallraten zu senken. Gleichzeitig sind wir auch besser in der Lage, hohe Datenschutzstandards aufrechtzuerhalten und die lokalen Datenschutzbestimmungen einzuhalten. Xiaomi plant den Server- und Datenmigrationsprozess in drei Phasen – E-Commerce-Migration, MIUI-Dienste-Migration und lokale Rechenzentren. Um dies zu erreichen, plant Xiaomi, die Datenserver zu Amazon Web Services (AWS) mit Sitz in Kalifornien, USA, zu verlagern. Bis Ende dieses Jahres sollen die MIUI-Dienste und die entsprechenden Daten aller nicht-chinesischen Benutzer von Peking zu den Amazon AWS-Rechenzentren in Oregon (USA) und Singapur verlagert werden. Dies ist ein bedeutender Schritt zur Behebung der Datenschutzbedenken der Benutzer. Der indische Markt ist für Xiaomi von großer Bedeutung, und sie können sich nicht mit Sicherheits- und Datenschutzbedenken über ihrem Kopf fortsetzen. Es ist wahr, dass das Unternehmen schnell auf die meisten dieser Probleme reagiert hat, aber es hat es nicht wirklich geschafft, zu erklären oder sich zu verteidigen, warum ein solches Problem überhaupt vorhanden war. Derzeit steht das Unternehmen in Taiwan wegen ähnlicher Gründe unter Cyber-Sicherheitsuntersuchung. Nach dem Gesetz im chinesischen Festland müssen Unternehmen, die Daten auf chinesischem Boden speichern, allen Datenanforderungen der Regierung nachkommen. Durch die vollständige Verlagerung der Daten aus chinesischen Gebieten wird Xiaomi die Ernsthaftigkeit solcher Probleme demonstrieren. Obwohl es seine indischen Operationen stilvoll gestartet hat, hat Xiaomi eine große Aufgabe vor sich, um seine chinesischen Etiketten vollständig loszuwerden und als globales Unternehmen angesehen zu werden. Laut Hugo Barra plant das Unternehmen für 2015, mit lokalen Rechenzentrumsanbietern zusammenzuarbeiten, um die Serverinfrastruktur insbesondere in Indien und Brasilien vollständig zu lokalisieren. Neben der Beschleunigung des Dienstes für Benutzer in diesen Märkten kann es hoffentlich die chinesische Perspektive, zumindest teilweise, abschneiden. Nur über die Wertschätzung der Datensicherheit der Benutzer zu sprechen, wird nicht ausreichen. Echte Maßnahmen wie oben geplant sind dringend erforderlich.