Entweder hat sich Yahoo endgültig den Platz in der Hölle für Internetfirmen verdient oder seine 500 Millionen Nutzer werden gerade von einem Bericht der Nachrichtenagentur Reuters in die Irre geführt. Ob Yahoo im Jahr 2015 im Auftrag von NSA oder FBI heimlich alle auf seinen Servern ankommenden E-Mails durchsucht hat, ist jedenfalls noch nicht eindeutig geklärt.

Die Kernaussage des Berichts ist unmissverständlich: Vier anonymen Quellen zufolge hat Yahoo im vergangenen Jahr eine spezielle Software entwickelt und eingesetzt, mit der alle eingehenden Mails nach den Wünschen des Geheimdienstes oder der US-Bundespolizei durchsucht und im Falle eines Treffers gesondert gespeichert wurden.

Das Unternehmen habe eine entsprechende geheime Anordnung der Regierung erhalten, heißt es weiter. CEO Marissa Mayer und andere Vorstände hätten sich entschieden, sie gar nicht erst juristisch anzufechten, weil sie davon ausgegangen seien, den Rechtsstreit zu verlieren. Zugleich hätten Yahoos Sicherheitsexperten, die Paranoids, nichts von der Anordnung gewusst und seien zunächst davon ausgegangen, das Unternehmen sei gehackt worden, als sie die Software nach einigen Wochen entdeckten. Chief Security Officer (CSO) Alex Stamos habe Yahoo verlassen, als er von der Überwachungsanordnung erfuhr. Stamos ist seit Juni 2015 der CSO von Facebook.

Erstaunen bei Google, Facebook, Microsoft, Apple, Twitter – und Yahoo

Die Reaktionen auf den Bericht fielen sehr verschieden aus: Yahoo erklärte zunächst nur, es sei ein gesetzestreues Unternehmen und halte sich an die Gesetze der Vereinigten Staaten. Mehr nicht. Mittlerweile verbreitet es folgendes Statement: "Der (Reuters-)Bericht ist irreführend. Wir legen jede Anfrage der Regierung nach Nutzerdaten eng aus, um möglichst wenig herausgeben zu müssen. Das im Artikel beschriebene System zum Scannen von E-Mails existiert in unseren Systemen nicht." Aber "irreführend" ist nicht das Gleiche wie "falsch", und "existiert" nicht das Gleiche wie "existierte". Das Dementi von Yahoo ist bisher also höchstens ein halbes.

Andere reagierten etwas eindeutiger. Google etwa teilte US-Medien mit: "Wir haben niemals eine solche Anfrage erhalten, aber wenn wir sie erhalten würden, wäre unsere Antwort simpel: Auf keinen Fall." Microsoft hat nach eigenen Angaben "niemals die E-Mails seiner Kunden heimlich gescannt, wie es nun über Yahoo berichtet wurde". Apple und Twitter gaben an, nie eine solche Anfrage erhalten zu haben und sich gegebenenfalls juristisch dagegen zu wehren.

Wussten die Reuters-Informanten, worüber sie reden?

Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hält das Vorgehen – wenn es denn wie von Reuters beschrieben stattgefunden hat – für verfassungswidrig. Zwar erlaube Abschnitt 702 im FISA-Amendments-Act eine massenhafte Sammlung von Kommunikationsinhalten, um Informationen über einzelne Verdächtige zu bekommen. Das NSA-Programm Prism etwa basiert auf diesem Gesetzestext. Aber die Zielpersonen dürfen keine US-Bürger sein oder sich nicht innerhalb der USA aufhalten, und die Maßnahme muss "gezielt" sein, wovon im Fall von Yahoo nach Ansicht der EFF keine Rede sein könne. Nach der Definition der US-Regierung ist allerdings auch die Suche nach Informationen über bestimmte Personen innerhalb einer riesigen, speziell für diesen Anlass erstellten Datensammlung "gezielt", unabhängig davon, wie viele Daten von Unbeteiligten gespeichert und analysiert werden.

Um alles noch unübersichtlicher zu machen: Es gibt starke Kritik am Reuters-Bericht. Unter anderem wiesen zwei Sicherheitsforscher umgehend auf mehrere widersprüchliche oder fehlende Aussagen hin. Sie glauben, dass es eine andere Erklärung für die E-Mail-Überwachung gibt: Robert Graham hält es für möglich, dass die von Reuters beschriebene Software Teil der rechtmäßigen Überwachungsmaßnahmen ist, denen Yahoo und andere Anbieter unterworfen sind. Oder dass es sich um einen gesonderten Malware-Scanner handelt, mit dem eingehende E-Mails auf öffentlich noch unbekannte Schadsoftware untersucht werden. Der bisher nicht vom Senat beschlossene Entwurf des Cyber Intelligence Sharing and Protection Act (CISPA) sieht so etwas ausdrücklich vor, es könnte also durchaus schon in der Praxis vorkommen.