PC & Internet Yahoo erstellte heimlich Tool, damit Geheimdienste E-Mails überwachen können

Yahoo erstellte heimlich Tool, damit Geheimdienste E-Mails überwachen können

Es ist eine Weile her, dass Yahoo auch einmal mit positiven Schlagzeilen in der Presse war. Das Internet-Urgestein machte zuletzt durch einen Hack auf sich aufmerksam, Daten von 500 Millionen Nutzern kamen dem Unternehmen abhanden. Als wäre dies nicht schon schlimm genug, scheint Yahoo auch in den E-Mails seiner Nutzer herumgeschnüffelt zu haben. Oder besser gesagt Yahoo hat herumschnüffeln lassen. Denn das legt ein Bericht von Reuters nahe. Gescannt wurden alle E-Mails von Nutzern, gesucht wurde ein bestimmtes „set of characters“. Yahoo entwickelte auf Anfrage von Geheimdiensten ein Tool, das E-Mails entsprechend durchsuchbar und auch von den Geheimdiensten (FBI oder NSA) abrufbar waren.

Es ist nicht neu, dass US-Internet- und Kommunikationsfirmen Kundendaten an Geheimdienste weitergeben, aber erstmals wurde eine solche Überwachung in Echtzeit (gescannt werden alle verschickten und empfnagenen E-Mails) öffentlich bekannt. Was sicher nicht im Sinne von Yahoo liegt. Dort wurde das erstellte Tool so geheim gehalten, dass nicht einmal der Sicherheitschef, damals Alex Stamos, darüber Bescheid wusste. Als Konsequenz verließ er 2015 Yahoo und ist seitdem bei Facebook tätig.

Zwar wurde das Tool wohl auf einer rechtlichen Grundlage geschaffen, aber Experten sind der Meinung, Yahoo hätte dagegen kämpfen müssen, da eine solche breite Überwachung in keinem Verhältnis steht. Dass Unternehmen Daten herausgeben müssen, wenn es das Gesetz fordert, ist logisch und nachvollziehbar, aber hier geht es ja nicht um einen konkreten Fall, sondern um eine generelle Überwachung aller E-Mails auf bestimmte Aktivitäten.

Entdeckt wurde diese Überwachung übrigens vom Yahoo-Sicherheitsteam, bereits kurz nachdem es aktiv war. Das Sicherheitsteam kannte das Tool nicht und ging anfangs von einem Hack aus. Als Sicherheitschef Stamos dann herausfand, dass das Tool von Marissa Mayer genehmigt wurde, kündigte er seinen Posten. Ein solches Tool riskiere die Sicherheit der Nutzer. Und er war wohl ein wenig angefressen, dass er bei der Entscheidung darüber nicht mit einbezogen wurde.

Auch wurde das Tool nicht vom Sicherheitsteam erstellt, sondern von den Leuten, die für den Bereich E-Mail verantwortlich sind, so rein programmiertechnisch. Alles sehr undurchsichtig und eigentlich kaum vorstellbar, dass so etwas in einem Unternehmen mit Yahoos Größe heimlich vonstatten gehen kann. Das Ganze wirft natürlich kein gutes Licht auf Yahoo. Bleibt abzuwarten, ob die News der letzten Wochen einen Einfluss auf die Übernahme durch Verizon haben werden.

Quelle: cashy

 

[rooperde]

Yahoo scannte alle eingehenden E-Mails für amerikanische Geheimdienste

​

Einer Meldung der Nachrichtenagentur Reuters zufolge hat Yahoo auf Anweisung von US-Behörden den gesamten eingehenden E-Mail-Verkehr seiner Kunden durchsucht. Es wäre Experten zufolge der erste bekannte Fall dieser Art. Reuters berichtet das unter Berufung auf namentlich nicht genannte Insider.

Yahoo hatte demnach eine geheime Anordnung eines Geheimdienstes erhalten, alle für Kunden eingehende E-Mails in Echtzeit zu scannen. Treffer wurden umgeleitet und so gespeichert, dass der Geheimdienst online darauf zugreifen konnte.

Bisher wurden zwar regelmäßig die in einzelnen Mailboxen gespeicherten Daten gesichtet oder eine kleine Anzahl von Mailboxen überwacht, aber von einer derart umfassenden Überwachung durch einen Provider war noch nichts bekannt. Experten zufolge ist es der erste bekannte Fall, in dem ein US-Konzern der Forderung nach einer kompletten Überwachung des gesamten eingehenden Mail-Verkehrs nachgegeben hat.

Der Journalist Joseph Menn schreibt für Reuters, dass seine Informationen von mehreren Personen unabhängig voneinander bestätigt wurden. Sie alle haben in den zurückliegenden Jahren für Yahoo gearbeitet und waren in die entsprechenden Arbeiten für die US-Behörden eingespannt. Yahoo habe demnach über Jahre hinweg regelmäßig neue Listen mit Schlüsselwörtern erhalten, nach denen der Konzern dann automatisiert in den Nutzer-E-Mails und deren Anhängen gesucht hat. Ein entsprechendes Reporting an das FBI gehörte ebenfalls dazu.

Den zwei ehemaligen Mitarbeitern und einer mit dem Vorgang vertrauten Person zufolge kam die Anordnung entweder von dem Nachrichtendienst NSA oder der Bundespolizei FBI. Die NSA stellt oft derartige Anträge über das FBI, was die genaue Zuordnung zu einem Dienst erschwert. Yahoo entwickelte auf Anfrage von Geheimdiensten im letzten Jahr „hinter verschlossenen Türen“ ein Softwareprogramm/Tool, das E-Mails entsprechend durchsuchbar und auch von den Geheimdiensten FBI/ NSA abrufbar waren. Mit diesem Tool, können alle verschickten und empfangenen E-Mails von Yahoo Nutzern gescannt und nach einer bestimmten Zeichenkette durchgecheckt werden.

Das erstellte Tool wurde dort so geheim gehalten, dass nicht einmal der Sicherheitschef, damals Alex Stamos, darüber Bescheid wusste. Seine Abteilung soll auf Marissa Mayers (Vorstandsvorsitzende von Yahoo) Geheiß komplett umgangen worden sein. Vielmehr programmierte die E-Mail-Abteilung die neue Software und installierte sie, ohne die Security-Kollegen mit einzubeziehen. Einige Wochen danach soll die Sicherheitsabteilung die nicht von ihr autorisierte Software gefunden und für das Resultat eines Hacks gehalten haben.

Dazu kommt, dass die Sache nicht sauber programmiert gewesen sein soll. Die zum Abruf durch den Geheimdienst online gespeicherten E-Mails seien schlecht gesichert gewesen, so dass Hacker darauf hätten zugreifen können, hat Reuters nach eigenen Angaben erfahren.

Als Konsequenz verließ Stamos im Juni 2015 Yahoo und ist seitdem bei Facebook tätig. Zwar wurde das Tool wohl auf einer rechtlichen Grundlage geschaffen, aber Experten sind der Meinung, Yahoo hätte dagegen kämpfen müssen, da eine solche breite Überwachung in keinem Verhältnis steht. Unklar blieb, welche Daten Yahoo an die US-Behörden übergab.

Sowohl Yahoos Transparenzbericht für das erste Halbjahr 2015 als auch der für das zweite Halbjahr verschweigt die Arbeit für den US-Geheimdienst. Dort heißt es lediglich, es seien 8424 bzw. 9373 Konten von US-Regierungsanfragen betroffen („Total Government Specified Accounts“). Wurden tatsächlich alle Yahoo-Konten überwacht, müssten hier Millionen Konten genannt werden.

Bereits in der vergangenen Woche war bekanntgeworden, dass Yahoo in den vergangenen Jahren an Investitionen in die Sicherheit der Nutzer gespart hatte – was möglicherweise zum Hack von 500 Millionen Accounts beigetragen hat. Mehrere Mitarbeiter hatten daraufhin schon das Unternehmen verlassen.

Fazit:

Während Yahoo nach dieser Überwachungsenthüllung lediglich darauf verweist, sich an geltendes US-Recht zu halten mit der Aussage: „Yahoo ist ein gesetzestreues Unternehmen, und richtet sich nach den Gesetzen der USA.“, distanziert sich die Konkurrenz klar. Microsoft, Google, Apple und andere versichern, nicht in derartiger Weise E-Mails zu scannen. Wie die Washington Post zusammenfasst, haben Google und Apple aber versichert, nie solch eine Aufforderung bekommen zu haben. Ansonsten hätte man sich geweigert beziehungsweise, wäre vor Gericht dagegen vorgegangen. Auch Microsoft habe erklärt, nie solch eine Überwachungsaufforderung erhalten zu haben.

Die Kritik an dem Vorgehen richtet sich aber nicht nur an Yahoo, sondern auch die US-Regierung. So kommt die Electronic Frontier Foundation (EFF) zu dem Schluss, dass diese E-Mail-Überwachung – sollte sie so stattgefunden haben – gegen die US-Verfassung verstoßen würde. Zum ersten Mal sei von einer derartigen Überwachungsverfügung nun auch ein Diensteanbieter betroffen. Außerdem richte sich das Vorgehen ganz klar auch gegen US-Bürger, die vor einer derartigen Überwachung eigentlich geschützt seien. Und schließlich habe Yahoo in diesem Fall offenbar selbst geholfen und dabei unter Umständen sogar neue Sicherheitslücken geschaffen.

Patrick Toomey von der American Civil Liberties Union (ACLU) bezeichnet die Enthüllung als „zutiefst verstörend“, denn offenbar habe die US-Regierung Yahoo genau zu der generellen und verdachtlosen Überwachung verpflichtet, die der vierte Zusatzartikel der US-Verfassung eigentlich verbiete. Die Kunden würden darauf setzen, dass sich Unternehmen gegen solch ein Vorgehen vor Gericht wehren. Genau wie die EFF weist er darauf hin, dass die Anordnung offenbar unter Rückgriff auf Artikel 702 des Foreign Intelligence Surveillance Act formuliert wurde. Der müsse jetzt endlich reformiert werden oder der US-Kongress dürfe ihn Ende des Jahres nicht verlängern.

NSA-Enthüller Edward Snowden hatte im Juni 2013 berichtet, der US-Abhördienst habe einen weitreichenden Zugriff auf Informationen bei Internet-Unternehmen. Die Konzerne betonten daraufhin wiederholt, es gebe keinen Generalzugang, und sie geben Daten nur auf richterliche Anordnung heraus.

Edward Snowden hat gleich bei Twitter kommentiert und empfiehlt allen Nutzern, ihre Accounts noch heute zu schließen:

Use @Yahoo? They secretly scanned everything you ever wrote, far beyond what law requires. Close your account today.

Als Alternativen kämen laut Netzpolitik.org die beiden Gewinner eines Tests verschiedener E-Mail-Anbieter der Stiftung Warentest in Frage, nämlich die beiden deutschen Unternehmen Posteo.de und Mailbox.org.

Quelle: Tarnkappe
​