US-Behörde bestätigt FISA-Anordnung gegen Yahoo und relativiert Ausmaß der Scans

Der diese Woche von Reuters unter Berufung auf ehemalige Yahoo-Mitarbeiter veröffentlichte Bericht, wonach das Unternehmen anlasslos und massenweise E-Mails seiner Kunden nach bestimmten „Zeichen“ durchsucht haben soll, enthielt offenbar einige Unklarheiten. Das legen inzwischen nachgereichte Stellungnahmen von Yahoo selber und von Vertretern von US-Behörden nahe. Richtig ist zwar, dass Yahoo aufgrund einer vom Geheimgericht Foreign Intelligence Surveillance Court (FISC) im vergangenen Jahr ergangenen Anordnung E-Mails gescannt hat. Richtig ist auch, dass Yahoo darüber nicht Auskunft geben durfte. Die nun bekannt gewordenen, genaueren Umstände relativieren das Ausmaß allerdings deutlich.

Reuters hatte berichtet, dass bei Yahoo auf direkte Anweisung von CEO Marissa Meyer um der FISC-Anordnung nachzukommen, mehrere hundert Millionen E-Mails nach einer bestimmten “Zeichenfolge” durchsucht wurden. Dem Tenor des Berichts zufolge, der sich auf Aussagen mehrerer, anonymer ehemaliger Yahoo-Mitarbeiter stützte, musste man davon ausgehen, dass es sich dabei um eine Formulierung oder bestimmte Begriffe handelte. Außerdem legte er nahe, dass Yahoo ein spezielles Filtersystem dafür gebaut hatte und nicht näher bezeichnete Geheimdienste darauf Zugriff hatten.

Google und Microsoft beeilten sich sofort festzustellen, dass sie solch einer Anordnung niemals ohne Gegenwehr nachgekommen wären. Auch Digitalaktivisten und Bürgerrechtsorganisationen nutzten die Gelegenheit, um erneut zu kritisieren, dass Behörden zu viele und zu häufig Informationen bei Technologiefirmen anfragen und meldeten Zweifel an, ob sich Yahoo mit allen zur Verfügung stehenden Möglichkeiten genutzt habe, um sich im Interesse seiner Kunden gegen die Anordnung zu wehren.

Gegenüber der New York Times haben jetzt Vertreter von US-Behörden allerdings erklärt, dass bei Yahoo auf die FISC-Anordnung hin lediglich nach Nachrichten gesucht worden sei, die eine (nicht näher bezeichnete) “Signatur” enthielt, die nach Auffassung des FBI auf Rechner zurückzuführen ist, die von einer “staatlich unterstützten, terroristischen Organisation” genutzt werden.

Dazu ist laut den in dem Blatt zitierten Behördenvertretern ein bestehendes System verwendet worden, mit dem bei Yahoo bereits nach kinderpornographischen Inhalten, Spam und Malware gesucht wurde. Mit “einigen Veränderungen” machte das System dann Kopien der Nachrichten mit der “Signatur” dem FBI verfügbar. Dieser Vorgang ist demnach abgeschlossen, und Yahoo scannt E-Mails derzeit nicht mehr.

Yahoo selbst legt ebenfalls großen Wert darauf, dass die aus dem Reuters-Bericht zwischen den Zeilen herauslesbaren, größeren technischen und organisatorischen Anstrengungen so nicht stattgefunden haben. Wie Bloomberg berichtet, erklärt Yahoo, der Beitrag sei irreführend. “Wir legen jede Behördenanfrage nach Nutzerdaten sehr eng aus um das Ausmaß der Datenpreisgabe zu minimieren“, so Yahoo. Außerdem stellt es ebenso wie die Behördenvertreter fest, dass es ein wie in dem Reuters-Bericht beschriebenes System zur Untersuchung von Kunden-E-Mails in bei Yahoo nicht gebe.

Die bloße Existenz von Einrichtungen wie dem Foreign Intelligence Surveillance Court, also Gerichten, die geheime Anordnungen erlassen können, über die betroffene Firmen nicht sprechen dürfen, ist ein erhebliches Problem für den transatlantischen Datenaustausch. Sie widerspricht den Grundlagen der kommenden EU-Datenschutzgrundverordnung und im Wesentlichen auch europäischen Maßstäben an rechtsstaatliche Verhältnisse. Zahlreiche Firmen, darunter Google, Facebook und Twitter, legen seit einiger Zeit daher sogenannte Transparenzberichte vor, in denen sie in regelmäßigen Abständen aggregierte Daten über Behördenanfragen herausgeben. Europäische Datenschützer sehen die in den USA praktizierten, mit Erfordernissen an die nationale Sicherheit begründeten, Praktiken ebenfalls kritisch.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.