Werbung
Bei Yahoo häufen sich die schlechten Nachrichten. Nicht nur kann keine Rede mehr davon sein, dass der frühere Suchmaschinenanbieter noch eine große wirtschaftliche Rolle mehr spielt – ganz im Gegenteil, denn das Unternehmen schreibt regelmäßig rote Zahlen und sucht offenbar händeringend nach einem Käufer – außerdem scheint man große Probleme mit der Sicherheit im eigenen Netzwerk und der eigenen Daten zu haben. So sollen dem Unternehmen 2014 500 Millionen Nutzerinformationen abhanden gekommen sein.
Offenbar hat Yahoo nicht nur mindestens eine große Sicherheitslücke, sondern liefert einige Nutzerdaten auch freiwillig an externe Unternehmen/Behörden. Seit 2015 soll eine Software am Werk sein, die alle E-Mails der Yahoo-Nutzer durchsucht und dann entsprechend weiterleitet. Die beteiligten Abteilungen bei Yahoo sollen keinerlei Widerstand geleistet haben. Natürlich lag eine Anordnung mindestens eines Geheimdienstes vor, die allerdings geheim gehalten werden sollte. Bisher ist ein solches Vorgehen nicht bekannt und verschiedenen Meldungen zufolge, hat nur Yahoo eine solche erhalten. Google, Microsoft, Apple und Twitter haben inzwischen bestätigt, dass sie eine solche Aufforderung nicht bekommen haben und sich auch gegen eine solche gewehrt hätten.
Entsprechend auch die Statements der Unternehmen:
Apple: "We have never received a request of this type. If we were to receive one, we would oppose it in court."
Google: "We've never received such a request, but if we did, our response would be simple: 'no way'."
Microsoft: "We have never engaged in the secret scanning of email traffic like what has been reported today about Yahoo."
Gegenüber ArsTechnica äußerte sich Yahoo wie folgt: "The article is misleading. We narrowly interpret every government request for user data to minimize disclosure. The mail scanning described in the article does not exist in your systems." – Ein Dementi im vollen Umfang sieht anders aus, wie die Statements von Apple, Google und Microsoft zeigen.
Das Vorgehen soll dabei wie folgt sein: Alle eingehenden E-Mails werden analysiert und entsprechend eingeordnet. Dies geschieht in Echtzeit. Wird ein Treffer gemeldet, kann der oder können die Geheimdienste darauf zugreifen. Eine derartige Überwachung ist in diesem Ausmaß nicht üblich. Zwar können die US-Behörden Unternehmen dazu auffordern, dies für bestimmte E-Mail-Konten zu tun, eine derartig flächendeckende Überwachung direkt beim Anbieter ist bisher nicht bekannt. Noch immer ist unklar, ob Yahoo weiterhin an der Methode festhält.
Aufgeflogen ist die Überwachung offenbar durch die Sicherheitsabteilung bei Yahoo. Diese war nicht über die Installation der Software informiert und vermutete zunächst einen Angriff von außen. Der damalige Sicherheitschef Alex Stamos war nicht informiert. Marissa Mayer, CEO von Yahoo, wusste von der Anforderung und ließ diese von der E-Mail-Abteilung umsetzen. Stamos kündigte daraufhin und ist seit Juni 2015 für Facebook tätig. Hinzu kommt, dass die gefilterten E-Mails offenbar auch nicht gesichert gespeichert wurden. Nicht nur wurde also eine breit angelegte Überwachung durchgeführt, diese war auch noch schlampig ausgeführt und sorgte damit für zusätzliches Gefahrenpotenzial, da der Zugriff auf die E-Mails nicht nur auf die Behörden abgesichert war.
Die Überwachung ist nicht Bestandteil der National Security Letters (NSL), die sechs Monate nach Anordnung veröffentlicht werden können. Dies tun Unternehmen wie Google, Facebook, Twitter oder Apple. Bei Yahoo taucht die Überwachung als Teil der NSL in den Berichten 2015 nicht auf. Hier werden einzig die einzelnen Überwachungsanforderungen genannt, die sich auf 8.424 bzw. 9.373 Benutzerkonten belaufen. Da Yahoo aber Millionen aktive Konten betreibt, steht dies in keinem Verhältnis zum Vollzugriff auf alle Mails.
Rein rechtlich ist schwer abzuschätzen, ob Yahoo gegen die Anordnung hätte vorgehen können. Allerdings hat Yahoo noch nicht einmal einen Versuch unternommen. Noch schwerwiegender ist, dass man die notwendige Software selbst geschrieben hat. Zumindest in diesem Punkt wäre etwas Widerstand möglich gewesen. Ein Beispiel dafür ist die Anordnung des FBI an Apple eine Version von iOS anzubieten, die eine einfache und schnelle Entsperrung ermöglicht. Apple weigerte sich und eine Klage des FBI gegen Apple wurde zurückgezogen, dass die Behörden offenbar Angst hatten einen Präzedenzfall zu schaffen.