Daten & Politik

#YahooGate: Yahoos marode Sicherheitspolitik und der Verdacht auf Massenüberwachung

yahoo-security
geschrieben von Markus Werner

Yahoo stand kurz vor dem Verkauf an Verizon, da platzt der Internet-Pionier mit einem riesigen Datendiebstahl heraus. 500 Millionen Nutzerdaten wurden demnach Ende 2014 entwendet und bisher mindestens dreimal ausgeschlachtet. Wäre das noch nicht genug, steht außerdem der Verdacht auf Massenüberwachung für die US-Geheimdienste im Raum. Sogar von der gesamten Plattform ist die Rede.

Die Luft wird für Yahoo mittlerweile immer dünner. Das US-amerikanische Internetunternehmen hatte seine Blütezeit in den 1990ern und stand kurz vor dem Verkauf an Verizon – 4,8 Milliarden US-Dollar bot der US-Telekommunikationskonzern noch vor wenigen Wochen. Inzwischen ist ein Verkauf sogar fraglich und die Verkaufssumme soll neu verhandelt werden. Schuld daran ist ein gigantischer Datenklau, der sich wohl Ende 2014 ereignete. Doch Yahoo schwieg sich lieber bis zum letzten Moment darüber aus. Es hagelt heftige Kritik und weitere Skandale rücken in das Licht der Öffentlichkeit. Scheinbar gefährdet das Unternehmen bereits seit etlichen Jahren die Privatsphäre und Sicherheit seiner Kunden.

500 Millionen Nutzerdaten, einfach weg

Stünde Yahoo nicht zum Verkauf, hätten wir wohl niemals von diesem Datendiebstahl erfahren. Yahoo befürchtete wohl, dass Verizon dies nach Abwicklung herausfinden könnte. Dies hätte dazu führen können, dass der Deal aufgrund des Verschweigens nachträglich geplatzt wäre. Deshalb musste Yahoo bis zum letzten Moment warten und den Angriff schlussendlich öffentlich machen. Ende 2014 erbeutete eine Hackergruppe rund 500 Millionen Nutzerdaten von Yahoo-Kunden. Darunter Name, E-Mail-Adresse, Telefonnummer, Geburtsdatum, verschlüsselte Passwörter sowie verschlüsselte und unverschlüsselte Sicherheitsabfragen, inklusive deren Antworten.

Yahoo gab an, dass die Angreifer wahrscheinlich mit einem staatlichen Hintergrund agierten, um die Spuren nach Russland oder China zu lenken. Doch das Sicherheitsunternehmen Infoarmor hat den Vorfall genauer untersucht und hatte auch Zugriff auf einen Teil der Datensätze, die laut ihren Recherchen bislang drei Mal verkauft wurden. Sie wiederlegen Yahoos Aussagen. Bei der Hackergruppe soll es sich um „Group E“ handeln und die Mitglieder sollen vorwiegend aus wirtschaftlichen Interessen agieren. Ihnen geht es gelinde ausgedrückt nur ums Geld. Infoarmor fand außerdem heraus, dass die Kennwörter teilweise nur mit MD5 gehashed wurden. Einfache Passwörter sind also leicht entschlüsselbar.

Betroffenen Nutzer hat Yahoo nun per E-Mail informiert. Nett, aber viel zu spät. Wer regelmäßig sein Kennwort ändert, sollte zumindest sicherer vor einem Zugriff auf seinen Account durch unbefugte Dritte sein. Die erste US-Sammelklage wegen diesem Hack und wie Yahoo damit umgegangen ist ließ nicht lange auf sich warten. Auch kurz nach der öffentlichen Ankündigung meldeten sich ehemalige Mitarbeiter zu Wort: Marissa Mayer habe lieber iPhones verteilt und teures Essen liefern lassen, anstatt an der Sicherheit zu feilen.

Gegen den Terror: Heimliche Massenüberwachung eingehender E-Mails

Als wäre der verschwiegene Datenklau noch nicht Skandal genug, da kommt es noch dicker. Nicht nur für Yahoo, sondern genauso für die Kunden. Es ist ein offenes Geheimnis, dass auch Yahoo die Mails seiner Kunden zu Werbezwecken scannt. Bei anderen Anbietern, wie etwa Gmail ist es genauso. Dies mag der eine vielleicht gut finden, stellt aber definitiv einen Eingriff in die Privatheit eines jeden Nutzers dar. Nur wenige Wochen nach der Bekanntgabe des großen Datenlecks veröffentlichte Reuters einen Exklusivbericht, in dem Yahoo vorgeworfen wird, dass sie die E-Mails ihrer Kunden für die US-Geheimdienste überwachen. Als Quelle werden vier namentlich nicht erwähnte Insider aufgeführt.

Offenbar entschied sich Marissa Mayer zwei Jahre nach Edward Snowdens Enthüllungen zu einer widerstandslosen Kooperation mit den US-Geheimdiensten. In einer geheimen FBI-Anordnung hieß es: Alle eingehenden E-Mails an Kunden sollen von Yahoo in Echtzeit gescannt werden. Bei einem Treffer wurde die gefundene Mail so umgeleitet und gespeichert, dass die Geheimdienste online darauf Zugriff hatten. Von gezielter Überwachung einzelner Accounts war immer mal wieder die Rede, allerdings niemals von Massenüberwachung. Ungeklärt ist, ob Yahoo nach wie vor scannt.

Yahoo ging nicht gerichtlich gegen Anordnung vor

Marissa Mayer ging gegen diese Anordnung nicht gerichtlich vor, was mehrere hochrangige Yahoo-Manager verärgerte. Die Sicherheitsabteilung wurde gänzlich umgangen. Die E-Mail-Abteilung baute offenbar den Spam- und Malwarefilter so um, dass damit nach bestimmten „digitalen Signaturen“ von Terroristen gesucht werden konnte, dies berichtete die New York Times. Wenige Wochen nach der Implementierung fand das Yahoo-Sicherheitsteam diese Software und ging zunächst von einem Hack aus.

Die gespeicherten E-Mails für die Geheimdienste seien schlecht gesichert gewesen, sodass Hacker leicht darauf hätten zugreifen können, wie Reuters weiter berichtet. Der damalige Sicherheitschef Alex Stamos kündigte aufgrund dieser Vorkommnisse. Interessant ist außerdem, dass der Transparenzbericht des ersten Halbjahres 2015 die Zusammenarbeit mit den US-Behörden komplett verschweigt. Angeblich waren „nur“ 8.424 Konten von US-Regierungsfragen betroffen. Die Zahl müsste bei einer kontinuierlichen Massenüberwachung aber weit im neustelligen Bereich liegen.

Yahoo leugnet und der Skandal wächst weiter

Heise Online hatte daraufhin nachgehackt und folgend kurze Stellungnahme erhalten:

Der [Reuters-Artikel] ist irreführend. Wir legen jede Regierungsanfrage nach Userdaten eng aus, um die Offenlegung zu minimieren. Das im Artikel beschriebe E-Mail-Scanning existiert in unseren Systemen nicht.

Demnach existiert die Software laut Yahoo nicht in deren System, was aber nicht ausschließt, dass diese 2015 nicht doch installiert war. Ein weiterer Reuters-Bericht, nur wenige Tage später, belastet Yahoo erneut. Experten bezweifeln, dass der Spam- und Malwarefilter geändert wurde. Denn diese Änderung hätte man nicht ohne die Sicherheitsabteilung durchführen können.

Der Pornofilter scheidet auch aus, da sich damit nur Bilder und Videos überwachen lassen. Laut Aussagen von ehemaligen Yahoo-Mitarbeitern soll es sich um ein Kernel-Modul für Linux gehandelt haben. Damit wäre eine Überwachung der gesamten Plattform möglich gewesen. Daher forderten US-Datenschützer und der demokratische US-Senator Ron Wyden aus Oregon die US-Regierung auf, die geheime Anweisung offenzulegen.

Das sollten Nutzer jetzt machen!

Jeder Nutzer sollte schleunigst – falls immer noch nicht geschehen – sein Passwort ändern und die Sicherheitsfragen deaktivieren. Aktiviert die Zwei-Faktor-Authentifizierung, die deutlich sicherer ist. Ich würde jedoch mehr dazu raten, den E-Mail-Anbieter zu wechseln. Yahoo hat durch das Verschweigen des Hacks und auch die Spionagevorwürfe aus meiner Sicht jegliches Vertrauen verspielt. Zu allem Überdruss hatte Yahoo für wenige Tage die Möglichkeit abgestellt, um E-Mails auf einen anderen E-Mail-Account weiterleiten zu lassen – angeblich aus technischen Gründen. Wer es glaubt. Mittlerweile ist die Funktion wieder nutzbar.

Vor einige Monaten leiteten einige Werbeanzeigen, die bei Yahoo geschalten wurden, möglicherweise auf verseuchte Websites oder Phishingseiten weiter. Vermutlich wurde eines der Werbenetzwerke von Hackern missbraucht. Dies hat das Unternehmen konsequent totgeschwiegen. Es läge alles an den Nutzern, aber keineswegs an Yahoo oder der eingebauten Werbung. Falsch, wie ich selbst beweisen konnte. Wer so verantwortungslos mit der Sicherheit und Privatsphäre seiner Nutzer umgeht, sollte sein Geschäftsmodell ernsthaft überdenken. Marissa Mayer ist als CEO nicht mehr tragbar und sollte zurücktreten. Ob Verizon Yahoo am Ende doch noch kaufen könnte oder wie ein heißer Vogel (Twitter) fallen gelassen wird, steht in den Sternen.

Auch interessant: 117 Mio. Passwörter aus LinkedIn-Hack: Warum Kommunikation nach einem Hack das A und O ist


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Markus Werner

Markus Werner (reraiseace) ist angehender Journalist und Fernstudent am Deutschen Journalistenkolleg. Er schreibt regelmäßig für SCREENGUIDE, BASIC thinking und seinen eigenen Blog reraise.eu über Android, IT Security, Netzpolitik und Webdesign.

1 Kommentar

  • Danke für die tollen Einblicke, das bestätigt mich einmal mehr in meiner Meinung, dass Yahoo den Zenit schon lange überschritten hat und es nur noch eine Frage der Zeit ist bis sich dieses Internet-Urgestein selbst vernichten wird.

    Yahoo hat derart viele Trends verschlafen, wie kaum ein anderes Internetunternehmen. Außerdem hat die anhaltende Misswirtschaft und eine seit Jahren auf den Unternehmensverkauf ausgelegte Politik dafür gesorgt, dass sämtliche Missstände vertuscht wurden.

Kommentieren