Entweder hat sich Yahoo endgültig den Platz in der Hölle für Internetfirmen verdient oder seine 500 Millionen Nutzer werden gerade von einem Bericht der Nachrichtenagentur Reuters in die Irre geführt. Ob Yahoo im Jahr 2015 im Auftrag von NSA oder FBI heimlich alle auf seinen Servern ankommenden E-Mails durchsucht hat, ist jedenfalls noch nicht eindeutig geklärt.
Die Kernaussage des Berichts ist unmissverständlich: Vier anonymen Quellen zufolge hat Yahoo im vergangenen Jahr eine spezielle Software entwickelt und eingesetzt, mit der alle eingehenden Mails nach den Wünschen des Geheimdienstes oder der US-Bundespolizei durchsucht und im Falle eines Treffers gesondert gespeichert wurden.
Das Unternehmen habe eine entsprechende geheime Anordnung der Regierung erhalten, heißt es weiter. CEO Marissa Mayer und andere Vorstände hätten sich entschieden, sie gar nicht erst juristisch anzufechten, weil sie davon ausgegangen seien, den Rechtsstreit zu verlieren. Zugleich hätten Yahoos Sicherheitsexperten, die Paranoids, nichts von der Anordnung gewusst und seien zunächst davon ausgegangen, das Unternehmen sei gehackt worden, als sie die Software nach einigen Wochen entdeckten. Chief Security Officer (CSO) Alex Stamos habe Yahoo verlassen, als er von der Überwachungsanordnung erfuhr. Stamos ist seit Juni 2015 der CSO von Facebook.
Erstaunen bei Google, Facebook, Microsoft, Apple, Twitter – und Yahoo
Die Reaktionen auf den Bericht fielen sehr verschieden aus: Yahoo erklärte zunächst nur, es sei ein gesetzestreues Unternehmen und halte sich an die Gesetze der Vereinigten Staaten. Mehr nicht. Mittlerweile verbreitet es folgendes Statement: "Der (Reuters-)Bericht ist irreführend. Wir legen jede Anfrage der Regierung nach Nutzerdaten eng aus, um möglichst wenig herausgeben zu müssen. Das im Artikel beschriebene System zum Scannen von E-Mails existiert in unseren Systemen nicht." Aber "irreführend" ist nicht das Gleiche wie "falsch", und "existiert" nicht das Gleiche wie "existierte". Das Dementi von Yahoo ist bisher also höchstens ein halbes.
Andere reagierten etwas eindeutiger. Google etwa teilte US-Medien mit: "Wir haben niemals eine solche Anfrage erhalten, aber wenn wir sie erhalten würden, wäre unsere Antwort simpel: Auf keinen Fall." Microsoft hat nach eigenen Angaben "niemals die E-Mails seiner Kunden heimlich gescannt, wie es nun über Yahoo berichtet wurde". Apple und Twitter gaben an, nie eine solche Anfrage erhalten zu haben und sich gegebenenfalls juristisch dagegen zu wehren.
Wussten die Reuters-Informanten, worüber sie reden?
Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hält das Vorgehen – wenn es denn wie von Reuters beschrieben stattgefunden hat – für verfassungswidrig. Zwar erlaube Abschnitt 702 im FISA-Amendments-Act eine massenhafte Sammlung von Kommunikationsinhalten, um Informationen über einzelne Verdächtige zu bekommen. Das NSA-Programm Prism etwa basiert auf diesem Gesetzestext. Aber die Zielpersonen dürfen keine US-Bürger sein oder sich nicht innerhalb der USA aufhalten, und die Maßnahme muss "gezielt" sein, wovon im Fall von Yahoo nach Ansicht der EFF keine Rede sein könne. Nach der Definition der US-Regierung ist allerdings auch die Suche nach Informationen über bestimmte Personen innerhalb einer riesigen, speziell für diesen Anlass erstellten Datensammlung "gezielt", unabhängig davon, wie viele Daten von Unbeteiligten gespeichert und analysiert werden.
Um alles noch unübersichtlicher zu machen: Es gibt starke Kritik am Reuters-Bericht. Unter anderem wiesen zwei Sicherheitsforscher umgehend auf mehrere widersprüchliche oder fehlende Aussagen hin. Sie glauben, dass es eine andere Erklärung für die E-Mail-Überwachung gibt: Robert Graham hält es für möglich, dass die von Reuters beschriebene Software Teil der rechtmäßigen Überwachungsmaßnahmen ist, denen Yahoo und andere Anbieter unterworfen sind. Oder dass es sich um einen gesonderten Malware-Scanner handelt, mit dem eingehende E-Mails auf öffentlich noch unbekannte Schadsoftware untersucht werden. Der bisher nicht vom Senat beschlossene Entwurf des Cyber Intelligence Sharing and Protection Act (CISPA) sieht so etwas ausdrücklich vor, es könnte also durchaus schon in der Praxis vorkommen.
Kommentare
Obama hätte das längst stoppen müssen.
Die Deutschen, die ihre E-Mails so einfach durchleuchten lassen, sind selbst schuld.
Man kann ja auch einfach ein Konto bei Posteo oder Mail.de eröffnen.
Klar, absolute Sicherheit gibt es nicht, aber es gibt durchaus einige Vorsichtsmaßnahmen, die man ergreifen könnte.
Meine Güte! Alle unverschlüsselten Mails werden gescannt. Wo auch immer, bei welchem Provider auch immer..
Auf Posteo oder einen anderen Liblingsmailer mit teilsicherheits-Features zu verweisen geht voll am Problem vorbei.
Echte Ende zu Ende Verschlüsselung (und nicht die Attrappe von Posteo und Konsorten) z.B. mit GnuPG ist die einzige vernünftige und dann auch hinreichende Lösung zur Vertraulichkeit.
Anonymität ist schwieriger herzustellen, geht aber auch mit freien Werkzeugen.
Das mit den Kindesmissbrauch-Backups und Meldung halte ich für am wahrscheinlichsten. Bei 4chan beispielsweise gab es auch immer Gerüchte, dass das FBI direkten Zugang zu den Servern hat und Posts mit solchen Bildern, zusammen mit den IP-Addressen, gespeichert werden.
Auch, dass die anderen Mailanbieter ähnliche Programme am Start haben, deutet darauf hin.
Ich werde einfach nie die Probleme zum Thema "Privatsphäre" verstehen. Es ist nun Mal so, entweder man akzeptiert es oder stellt sich dagegen, doch wer sich dagegen stellt müsse sich komplett von Technik & Bevölkerung ausgrenzen.
Ich hatte vor längerer Zeit eine Diskussion mit Bekannten über dieses Thema, sie fanden die geplante Überwachung von Win10 nicht so cool, da dann ihre illegal gedownloadeten Spiele aufgedeckt werden. Im Endeffekt finde ich immer wieder 3 Parteien:
Partei 1: Wir machen illegales, also wollen wir keine Überwachung
Partei 2: Wir stören uns an der Überwachung, bemerken sie aber nicht (der letztere Teil wird natürlich nicht gesagt, ist aber Fakt)
Partei 3: Wir stören uns nicht an der Überwachung
Nichts ist für mich ein Grund, gegen eine genauere Sicherheitsüberwachung zu sein. Aber was rede ich da - gemacht wird sowieso, was gemacht werden will.
@OoDex
"Partei 1: Wir machen illegales, also wollen wir keine Überwachung
Partei 2: Wir stören uns an der Überwachung, bemerken sie aber nicht (...)
Partei 3: Wir stören uns nicht an der Überwachung"
Sie haben eine wichtige Kategorie vergessen:
Partei 0: Ob wir was Illegales machen geht OoDex einen feuchten Kehrricht an. Wir stören uns an der Überwachung und tun was dagegen.
Wir wollen nicht, dass unsere Kinder in einer Welt wie in Orwells 1984 leben müssen und tun was dagegen, auch um unsere Freiheit und Demokratie zu verteidigen.
Ich hatte im ersten Yahoo-Mail Artikel ein paar Links zu Freihietswerkzeugen gepostet und will die hier gerne wiederholen:
https://www.gnupg.org/dow... (GnuPG) Mailverschlüsselung
https://www.academic-sign... (Academic Signature) Dateiverschlüsselung
https://onionshare.org/ (Onionshare) Anonymer Austausch von Dateien
https://tails.boum.org/in... (TAILS) Betriebssystem auf dem Memorystick für bedrohte Personen und potentielle Whistleblower.