Blackberry sammelt ungefragt E-Mail-Passwörter – Seite 1

Das E-Mail-Programm neuer Blackberrys überträgt ungefragt Nutzernamen und Passwörter an die Server des Unternehmens. So erhält es Zugriff auf alle E-Mail-Konten seiner Nutzer.

Frank Rieger, Sprecher des Chaos Computer Clubs, hat die heimliche Übertragung entdeckt. Rieger hatte sich ein Blackberry Q10 gekauft und in dessen E-Mail-App den Zugriff auf sein Postfach per IMAP eingerichtet.

Rieger betreibt seinen eigenen E-Mail-Server. Kurz nach der Einrichtung der Blackberry-App registrierte er erfolgreiche Verbindungsversuche von einem Blackberry-Server in Kanada auf seinen eigenen, mitsamt seinen Zugangsdaten.

Schlimmer noch: Die Verbindung ging auch noch über Großbritannien und die USA, sie passiert also auch die Abhörinfrastruktur britischer und amerikanischer Geheimdienste. Wenn der E-Mail-Provider beziehungsweise der eigene Mailserver nur mit SSL/TLS verschlüsselte Verbindungen zulässt, können die zwar nicht mitlesen. Aber zumindest Blackberry bekommt den Zugriff auf die Daten. 

Laut heise Security ist auch der Sicherheitsexperte Marc Heuse auf das Problem aufmerksam geworden. Nach dessen Angaben findet die Übertragung grundsätzlich verschlüsselt statt.

Es gebe aber einen Weg, die Übertragung ganz zu verhindern, heißt es bei heise Security: Man müsse das Mail-Konto über den Button "Erweitert" einrichten.

Dabei sei es technisch gar nicht nötig, die Daten von privaten E-Mail-Konten an Blackberrys Server zu übertragen, sagt Rieger, dessen eigene Firma GSMK abhörsichere Mobiltelefone verkauft. Einzig der Mailserver-Betreiber brauche diese Daten, um den Zugriff auf das Konto vom Smartphone aus zuzulassen. In diesem Fall hätten sie also ohne Umweg an seinen eigenen Mailserver geschickt werden müssen. Nur wer Blackberry-Dienste nutze, muss damit leben, dass seine Zugangsdaten an das Unternehmen gesendet werden.

Alternative Mail-App nutzen

Rieger hält Blackberrys Vorgehen für "vollkommen inakzeptabel". Er schreibt: "Nach deutschem Recht ist es höchstwahrscheinlich komplett illegal, da der Nutzer weder darauf hingewiesen wird, noch eine Option zur Abwahl dieser Funktion hat und obendrein nicht einmal einen Dienstleistungsvertrag mit Blackberry abgeschlossen hat."

Allerdings befindet sich Blackberrys europäische Niederlassung in England, weshalb das Unternehmen den britischen Datenschutzgesetzen unterliegen dürfte. Die dortige Behörde hat auf eine Anfrage bislang nicht reagiert.

Von Blackberry will Rieger vor allem eine Frage beantwortet haben: Gibt Kanada, ein Mitglied der Five-Eyes-Gruppe und damit Kooperationspartner der USA, Großbritannien, Neuseeland und Australien, diese Zugangsdaten auf Verlangen von Strafverfolgern oder Geheimdiensten heraus?

Update: Blackberry hat am Freitag auf die Anfrage von ZEIT ONLINE geantwortet. Die Anmeldedaten würden von Blackberry gesammelt, "um mit dem Mail-Server zu kommunizieren und sich mit diesem zu verbinden. Dieser Prozess wird durchgeführt um das Setup zu vereinfachen und ermöglicht Blackberry, die verschiedenen Optionen für Server-Namen, Ports, Protokolle und Server-Optionen zu konfigurieren. Die Benutzerdaten werden lediglich während der Installation des Accounts verwendet, Blackberry speichert keine Benutzernamen und Passwörter." Kunden könnten das "über die erweiterten Einstellungen umgehen, und die Eingabe aller erforderlichen Informationen zur Serverkonfiguration manuell tätigen."

Der Vorgang sei "in den Allgemeinen Geschäftsbedingungen enthalten, die der Nutzer akzeptiert, wenn er beginnt das Device zu benutzen."