Blog | Mehr Verschlüsselung aufgrund der Yahoo-Enthüllungen?

01.11.2016

Berichte, denen zufolge der Internetkonzern Yahoo eingehende E-Mails durchsucht haben soll, könnten zu steigendem Interesse an Verschlüsselung führen.

Die vergangenen Monaten hielten für Yahoo wahrlich nicht viele gute Neuigkeiten bereit. Der ehemalige Marktführer wurde für 4,8 Milliarden Dollar an Verizon verkauft – und damit nur zu einem Bruchteil seines einstigen Wertes von über 1o0 Milliarden Dollar. In den letzten Wochen kamen nun ausserdem extrem schädliche Medienberichte hinzu.

Zunächst kursierte die Meldung, nach der dem Konzern durch einen Hacker-Angriff Daten von mindestens 500 Millionen Nutzern gestohlen wurden. Yahoo vermutete dahinter Angreifer mit staatlichem Hintergrund.

Auch wenn dieser Angriff sich durch sein schieres Ausmass von bisherigen Angriffen unterscheidet, sind in den letzten Jahren doch bereits sehr viele Unternehmen einem solchen Angriff zum Opfer gefallen. Für wesentlich mehr öffentliches Aufsehen dürfte die darauf folgende Enthüllung gesorgt haben, nach der Yahoo für den US-Geheimdienst gearbeitet haben soll.

Was sind die Behauptungen?

Laut einem Bericht von Reuters soll Yahoo vergangenes Jahr auf Anfrage einer US-Behörde – wahrscheinlich der NSA oder des FBI – ein eigenes Programm entwickelt haben, das jede eingehende E-Mail seiner Kunden insgeheim nach gewissen Zeichenketten durchsuchte. Unklar bleibt, wonach genau gesucht wurde, es könnte sich um Schlüsselwörter und -phrasen im Nachrichtentext oder den Anhängen handeln.

Unter Berufung auf Quellen innerhalb der Organisation berichtet Reuters, die Anordnung sei so geheim gewesen, dass selbst Yahoos Sicherheitsabteilung nicht involviert war. Als Sicherheitsfachleute das Programm im Mai 2015 – wenige Wochen nachdem es in Betrieb genommen wurde – entdeckten, hielten sie es zunächst für Teil eines externen Hackerangriffs.

US-Gesetze ermächtigen die amerikanischen Geheimdienste dazu, im Bedarfsfall die Herausgabe bestehender Kundendaten anzuordnen, wenn gleich sich die betroffenen Unternehmen gegen eine solche Anordnung wehren können. Jedoch berichten Quellen, Yahoo habe beschlossen, sich nicht zu wehren, da man davon ausging, das juristische Kräftemessen ohnehin zu verlieren.

Bedeutung für die E-Mail-Sicherheit

Laut der von Reuters befragten Überwachungsexperten handelt es sich um den ersten bekannten Fall, in dem ein amerikanischer E-Mail-Anbieter der Forderung einer US-Behörde nachgegeben hat, alle eingehenden E-Mails zu überwachen, statt wie bisher gezielt in Echtzeit auf einzelne Nachrichten zuzugreifen oder gespeicherte Nachrichten später zu durchsuchen.

Als Folgeeffekt könnte ein massiver Vertrauensverlust in die geltenden Datenschutzrichtlinien der Internet-Provider eintreten. Zu einer Zeit in der immer mehr Kommunikationsunternehmen Verschlüsselungsmassnahmen umsetzen – wie die von WhatsApp eingeführte Ende-zu-Ende-Verschlüsselung – ist der Gedanke, einer der grössten E-Mail-Anbieter der Welt habe heimlich die Nachrichten Hunderter Millionen Nutzer für eine US-Behörde durchforstet, besorgniserregend.

Selbstverständlich distanzierten sich andere Anbieter nach den jüngsten Berichten schnell. So sagte beispielsweise ein Sprecher von Google: „Wir haben nie eine solche Anfrage erhalten – und selbst wenn, wäre unser Antwort einfach: ‚Auf keinen Fall‘.“ Vertreter von Microsoft, Facebook und Twitter veröffentlichten ähnlich lautende Statements.

Wird die Verschlüsselung im Netz zunehmen?

Der Bericht sollte uns erneut auf die mit E-Mail verbundenen Gefahren aufmerksam machen und Nutzer dazu animieren, mehr auf die Datensicherheit zu achten.

Die Nutzung privater E-Mail-Dienste für das Versenden vertraulicher Informationen ist grundsätzlich mit Vorsicht zu geniessen. Es gibt aber Möglichkeiten für jeden Einzelnen, seine Kommunikation vor Spähprogrammen zu schützen.

Die erwähnten Berichte werden also hoffentlich dazu führen, dass vermehrt Ende-zu-Ende-Verschlüsselung zum Einsatz kommt. Wird Verschlüsselung korrekt angewendet, ist es praktisch unmöglich, Nachrichten zu lesen, wenn der eingehende E-Mail-Verkehr gescannt oder bei der Übertragung abgefangen wird, wie das im Fall der Yahoo-Software geschehen sein soll.

In Anbetracht der Tatsache, dass amerikanische Geheimdienste wie die NSA oder das FBI weitreichende gesetzliche Möglichkeiten zur Überwachung haben, gekoppelt mit der Sorge, dass Hacker sich ebenfalls Zugriff auf die gesamte Kommunikation verschaffen können, ist Verschlüsselung der wohl sicherste Weg um sich gegen Lauscher abzusichern.


von Marcel Mock, CTO