Yahoo scannte auf Anweisung von US-Behörden den gesamten eingehenden E-Mail-Verkehr seiner Kunden. Es wäre der erste bekannte Fall dieser Art.
Einer Meldung der Nachrichtenagentur Reuters zufolge hat Yahoo auf Anweisung von US-Behörden den gesamten eingehenden E-Mail-Verkehr seiner Kunden durchsucht. Es wäre Experten zufolge der erste bekannte Fall dieser Art. Reuters berichtet das unter Berufung auf namentlich nicht genannte Insider.
Yahoo scannt E-Mails auf Zuruf für Geheimdienste
Yahoo hatte demnach eine geheime Anordnung eines Geheimdienstes erhalten, alle für Kunden eingehende E-Mails in Echtzeit zu scannen. Treffer wurden umgeleitet und so gespeichert, dass der Geheimdienst online darauf zugreifen konnte.
Bisher wurden zwar regelmäßig die in einzelnen Mailboxen gespeicherten Daten gesichtet oder eine kleine Anzahl von Mailboxen überwacht, aber von einer derart umfassenden Überwachung durch einen Provider war noch nichts bekannt. Experten zufolge ist es der erste bekannte Fall, in dem ein US-Konzern der Forderung nach einer kompletten Überwachung des gesamten eingehenden Mail-Verkehrs nachgegeben hat.
Der Journalist Joseph Menn schreibt für Reuters, dass seine Informationen von mehreren Personen unabhängig voneinander bestätigt wurden. Sie alle haben in den zurückliegenden Jahren für Yahoo gearbeitet und waren in die entsprechenden Arbeiten für die US-Behörden eingespannt. Yahoo habe demnach über Jahre hinweg regelmäßig neue Listen mit Schlüsselwörtern erhalten, nach denen der Konzern dann automatisiert in den Nutzer-E-Mails und deren Anhängen gesucht hat. Ein entsprechendes Reporting an das FBI gehörte ebenfalls dazu.
Anordnungen von FBI & NSA
Den zwei ehemaligen Mitarbeitern und einer mit dem Vorgang vertrauten Person zufolge kam die Anordnung entweder von dem Nachrichtendienst NSA oder der Bundespolizei FBI. Die NSA stellt oft derartige Anträge über das FBI, was die genaue Zuordnung zu einem Dienst erschwert. Yahoo entwickelte auf Anfrage von Geheimdiensten im letzten Jahr „hinter verschlossenen Türen“ ein Softwareprogramm/Tool, das E-Mails entsprechend durchsuchbar und auch von den Geheimdiensten FBI/ NSA abrufbar waren. Mit diesem Tool, können alle verschickten und empfangenen E-Mails von Yahoo Nutzern gescannt und nach einer bestimmten Zeichenkette durchgecheckt werden.
Das erstellte Tool wurde dort so geheim gehalten, dass nicht einmal der Sicherheitschef, damals Alex Stamos, darüber Bescheid wusste. Seine Abteilung soll auf Marissa Mayers (Vorstandsvorsitzende von Yahoo) Geheiß komplett umgangen worden sein. Vielmehr programmierte die E-Mail-Abteilung die neue Software und installierte sie, ohne die Security-Kollegen mit einzubeziehen. Einige Wochen danach soll die Sicherheitsabteilung die nicht von ihr autorisierte Software gefunden und für das Resultat eines Hacks gehalten haben.
Dazu kommt, dass die Sache nicht sauber programmiert gewesen sein soll. Die zum Abruf durch den Geheimdienst online gespeicherten E-Mails seien schlecht gesichert gewesen, so dass Hacker darauf hätten zugreifen können, hat Reuters nach eigenen Angaben erfahren.
Als Konsequenz verließ Stamos im Juni 2015 Yahoo und ist seitdem bei Facebook tätig. Zwar hat man das Tool wohl auf einer rechtlichen Grundlage geschaffen. Aber Experten vertreten die Meinung, Yahoo hätte dagegen kämpfen müssen, da eine solche breite Überwachung in keinem Verhältnis steht. Unklar blieb, welche Daten Yahoo an die US-Behörden übergab.
Transparenzbericht mit Lücken
Sowohl Yahoos Transparenzbericht für das erste Halbjahr 2015 als auch der für das zweite Halbjahr verschweigt die Arbeit für den US-Geheimdienst. Dort heißt es lediglich, es seien 8424 bzw. 9373 Konten von US-Regierungsanfragen betroffen („Total Government Specified Accounts“). Wurden tatsächlich alle Yahoo-Konten überwacht, müssten hier Millionen Konten genannt werden.
Bereits in der vergangenen Woche war bekanntgeworden, dass Yahoo in den vergangenen Jahren an Investitionen in die Sicherheit der Nutzer gespart hatte – was möglicherweise zum Hack von 500 Millionen Accounts beigetragen hat. Mehrere Mitarbeiter hatten daraufhin schon das Unternehmen verlassen.
Fazit
Während Yahoo nach dieser Überwachungsenthüllung lediglich darauf verweist, sich an geltendes US-Recht zu halten mit der Aussage: „Yahoo ist ein gesetzestreues Unternehmen, und richtet sich nach den Gesetzen der USA.“, distanziert sich die Konkurrenz klar. Microsoft, Google, Apple und andere versichern, nicht in derartiger Weise E-Mails zu scannen. Wie die Washington Post zusammenfasst, haben Google und Apple aber versichert, nie solch eine Aufforderung bekommen zu haben. Ansonsten hätte man sich geweigert beziehungsweise, wäre vor Gericht dagegen vorgegangen. Auch Microsoft erklärte, der Konzern habe nie solch eine Überwachungsaufforderung erhalten.
Die Kritik an dem Vorgehen richtet sich aber nicht nur an Yahoo, sondern auch die US-Regierung. So kommt die Electronic Frontier Foundation (EFF) zu dem Schluss, dass diese E-Mail-Überwachung – sollte sie so stattgefunden haben – gegen die US-Verfassung verstoßen würde. Zum ersten Mal sei von einer derartigen Überwachungsverfügung nun auch ein Diensteanbieter betroffen. Außerdem richte sich das Vorgehen ganz klar auch gegen US-Bürger, die vor einer derartigen Überwachung eigentlich geschützt seien. Und schließlich habe Yahoo in diesem Fall offenbar selbst geholfen und dabei unter Umständen sogar neue Sicherheitslücken geschaffen.
Snowden: „Close your account today.“
Patrick Toomey von der American Civil Liberties Union (ACLU) bezeichnet die Enthüllung als „zutiefst verstörend“, denn offenbar habe die US-Regierung Yahoo genau zu der generellen und verdachtlosen Überwachung verpflichtet, die der vierte Zusatzartikel der US-Verfassung eigentlich verbiete. Die Kunden würden darauf setzen, dass sich Unternehmen gegen solch ein Vorgehen vor Gericht wehren. Genau wie die EFF weist er darauf hin, dass man die Anordnung offenbar unter Rückgriff auf Artikel 702 des Foreign Intelligence Surveillance Act formuliert hat. Den müsse man endlich reformieren. Oder aber der US-Kongress dürfe ihn Ende des Jahres nicht verlängern.
NSA-Enthüller Edward Snowden hatte im Juni 2013 berichtet, der US-Abhördienst habe einen weitreichenden Zugriff auf Informationen bei Internet-Unternehmen. Die Konzerne betonten daraufhin wiederholt, es gebe keinen Generalzugang, und sie geben Daten nur auf richterliche Anordnung heraus.
Edward Snowden hat gleich bei Twitter kommentiert und empfiehlt allen Nutzern, ihre Accounts noch heute zu schließen:
Use @Yahoo? They secretly scanned everything you ever wrote, far beyond what law requires. Close your account today.
Als Alternativen kämen laut Netzpolitik.org die beiden Gewinner eines Tests verschiedener E-Mail-Anbieter der Stiftung Warentest in Frage, nämlich die beiden deutschen Unternehmen Posteo.de und Mailbox.org.
Bildquelle: Simon, thx! (CC0 Public Domain)
Tarnkappe.info
