Marketing-Börse PLUS - Fachbeiträge zu Marketing und Digitalisierung
print logo

Yahoo geht den Weg des geringsten Widerstands

Dass E-Mails nicht unbedingt das sicherste Kommunikationsmittel sind, ist mittlerweile weithin bekannt.
8com GmbH & Co. KG | 17.10.2016
Doch dass ein Konzern alle Kunden systematisch im Auftrag eines Geheimdienstes überwacht, ja sogar extra ein Programm hierfür entwickelt, ist zumindest nach bisherigem Kenntnisstand ein einmaliger Vorgang. Nachdem gerade bekannt wurde, dass Yahoo unter Marissa Mayer offenbar nicht nur einzelne Konten für die amerikanischen Geheimdienste überwacht hat, sondern den gesamten E-Mail-Verkehr seiner Kunden auf bestimmte Zeichenfolgen geprüft hat, stehen der Internetkonzern und seine Führung unter Beschuss.

Laut einem Bericht der Nachrichtenagentur Reuters, der sich auf vier nicht genannte Insider beruft, erhielt Yahoo im Jahr 2015 eine geheime Anordnung, dass jede eingehende Kommunikation in Echtzeit auf eine bestimmte Zeichenfolge gescannt werden solle. Um dieser Forderung nachkommen zu können, hat Yahoo eine spezielle Software entwickelt, die Treffer herausfiltert, umleitet und so abspeichert, dass der Geheimdienst darauf online zugreifen kann. Auf besondere Gegenwehr des Konzerns ist dieser, mutmaßlich die NSA, nicht gestoßen: Mayer sah von rechtlicher Gegenwehr ab und ließ die E-Mail-Abteilung das Spähprogramm entwickeln und implementieren. Dabei umging sie sogar ihre eigene Sicherheitsabteilung, die nach einiger Zeit auf die Software stieß und sie für das Werk eines Hackers hielt. Doch damit nicht genug: Scheinbar gingen die Programmierer außerordentlich schlampig bei der Software-Entwicklung vor. Laut Reuters waren die herausgefilterten E-Mails auf schlecht gesicherten Servern gespeichert, sodass es für Hacker ein Leichtes gewesen wäre, darauf zuzugreifen.

Es ist nichts Neues mehr, dass US-Konzerne elektronische Kommunikation auf Druck der Regierung überwachen, doch bislang waren immer nur einzelne Konten betroffen. Auch Yahoo gab sich in seinen Transparenzberichten 2015 den Anstrich eines Unternehmens, das seine Kunden vor ungerechtfertigter Überwachung schützen möchte. Im ersten Halbjahr waren nach Angaben im Bericht 8424 Konten von Regierungsanfragen betroffen, im zweiten Halbjahr 9373 Konten. Von dem nun bekannt gewordenen Spähprogramm ist nirgendwo die Rede, was die Berichte als reine Augenwischerei entlarvt.

Auch die Tatsache, dass Mayer und ihr Führungsteam keinerlei rechtliche Gegenwehr unternommen haben, gibt zu denken. Denn es hätte zumindest überprüft werden müssen, ob der Zwang, eine neue Software zu implementieren, überhaupt mit der US-Verfassung vereinbar gewesen ist. Andere Unternehmen wie Apple oder Microsoft ließen verlauten, dass ihnen keine derartigen Anfragen der Geheimdienste vorlägen, andernfalls würde man sich gerichtlich dagegen wehren. Google äußerte sich zum Thema ebenfalls. Seine Antwort würde schlicht lauten: „No Way!“ Über die Aussagekraft solcher Statements kann man geteilter Meinung sein. Auch wenn Google keinen Regierungsorganisationen Zugriff gewährt, wird die E-Mail-Kommunikation trotzdem auf Stichwörter überwacht und ausgewertet, hier allerdings zu Werbezwecken.

Wer sich nicht auf die Versprechen der amerikanischen Anbieter verlassen möchte, wird bei deutschen Anbietern fündig. Bei De-Mail von GMX, Telekom und Web.de haben sich die Anbieter mit dem Slogan „E-Mail made in Germany“ dazu verpflichtet, deutsche Rechenzentren zu nutzen und die Kommunikation mit einer SSL-Verschlüsselung zu schützen. Außerdem können sowohl Absender als auch Empfänger eindeutig identifiziert werden. Diese Sicherheit lassen sich die Anbieter allerdings bezahlen, beispielsweise mit einer Einrichtungsgebühr. Auch Posteo, der Testsieger der Stiftung Warentest, setzt auf Verschlüsselung und unterstützt eine Zwei-Faktor-Authentifizierung. Dafür wird eine monatliche Gebühr von mindestens einem Euro fällig. Es gibt also sichere Alternativen, doch diese sind meist nicht kostenlos. Und es gilt zu bedenken: Sicher sind sie nur, wenn sowohl Absender als auch Empfänger auf einen Anbieter mit sicherer Verschlüsselung setzen.