Im Auftrag des FBI soll Yahoo nicht nur alle eingehenden E-Mails, sondern sein gesamtes Netzwerk nach einer digitalen Signatur durchsucht haben. US-Politiker und Bürgerrechtler fordern nun von der US-Regierung, die geheime Anordnung offenzulegen.

Der bei der massenhaften Überwachung ertappte IT-Konzern Yahoo kommt aus den negativen Schlagzeilen nicht heraus. Laut einem Bericht der New York Times von vergangener Woche soll Yahoo einen bereits bestehenden Spam-Filter modifiziert haben, um sämtliche eingehenden E-Mails seiner Nutzer nach bestimmten Inhalten zu durchsuchen. Demnach seien alle E-Mails, in denen eine bestimmte digitale Signatur entdeckt worden war, gespeichert und anschließend an das FBI weitergegeben worden.

Nun berichtet Reuters, dass die staatlich angeordnete Überwachung offenbar deutlich weiter ging, als bisher bekannt. So sei das gesamte Yahoo-Netzwerk gescannt worden und nicht nur das E-Mail-System, heißt es unter Berufung auf mehrere anonym gebliebene ehemalige Yahoo-Mitarbeiter. Zum Einsatz sei dabei ein spezielles Kernel-Modul auf den Linux-Installationen des Konzerns gekommen. Dieses schlage vor dem Spam-Filter an, sei schwierig zu entdecken und zudem sei unklar, wie es überhaupt arbeite.

Zusätzliche Zweifel äußerten die Experten auch an der bisherigen Behauptung, dass nur ein bestehender Spam-Filter geändert worden sei: Zum einen durchsuche der Pornographie-Filter lediglich Bilder und Videos, zum anderen wären die restlichen Filter, die auf Text anschlagen, von zahlreichen Mitarbeitern einsehbar. Eine Änderung auf dieser Ebene wäre wohl schnell aufgefallen, so die ehemaligen Angestellten.

Pflicht zur Geheimhaltung verhindert Aufklärung

Unklarheit besteht weiterhin bei der Frage, wie weit die Anordnung des FISC-Gerichtes (Foreign Intelligence Surveillance Court) gegangen ist und wen sie alles betroffen hat. Laut anonymen US-Regierungsquellen hat das US-Justizministerium eine individualisierte Anordnung des Geheimgerichts erwirkt, mit der nach der Kommunikation einer „staatlich unterstützten Terrororganisation“ gesucht worden sei.

Wie bei solchen Anordnungen üblich, musste sich Yahoo zur absoluten Geheimhaltung verpflichten. Der IT-Konzern soll deshalb ins Visier der Behörden geraten sein, da Mitglieder der besagten Terrororganisation Yahoo-Mailadressen verwendet haben sollen. Andere Mail-Anbieter wie Apple oder Microsoft haben Gerüchte zurückgewiesen, eine ähnliche Anordnung erhalten zu haben – was aber angesichts der Geheimhaltungspflicht nicht viel heißen muss.

Scannen ganzer Netzwerke verstößt gegen US-Verfassung

Ungenannt gebliebene Geheimdienstquellen betonten, bei der Maßnahme würde es sich nicht um anlasslose Massenüberwachung handeln, wie es etwa beim durch den Whisteblower Edward Snowden aufgedeckten PRISM-Programm der Fall war. Aufgrund der Beschränkung der Suche auf eine gewisse digitale Signatur würde sich die Anordnung nicht von ähnlich gelagerten Fällen unterscheiden, die auf die elektronische Kommunikation Verdächtigter abzielen, beispielsweise die Überwachung eines ausgewählten Telefonanschlusses.

Da die Durchsuchung jedoch auf das gesamte Yahoo-Netzwerk ausgeweitet wurde, wäre dies ein Verstoß gegen den vierten US-Verfassungszusatz, der „unangemessene Durchsuchungen“ verbietet, erklärte Greg Nojeim vom Center for Democracy & Technology gegenüber Reuters. Auch der prominente Überwachungskritiker Ron Wyden, ein US-Senator aus Oregon, meldete Zweifel an der Rechtmäßigkeit des Programms an. Bestehende Bundesgesetze seien auf eine unübliche Weise neu interpretiert worden, was die Regierung zur Offenlegung der Argumentation des FISC-Gerichtes verpflichten würde. Diese Sicht deckt sich mit der der US-Bürgerrechtsorganisation EFF (Electronic Frontier Foundation), die sich vehement für eine Offenlegung der Anordnung einsetzt.

Irische Datenschutzbehörde schaltet sich ein

Die in Europa zuständige irische Datenschutzbehörde – Yahoo hat seinen europäischen Sitz in Dublin – hat bereits angedeutet, dass eine solche Massenüberwachung gegen das EU-US-Privacy-Shield verstoßen würde, das die Grundlage für die Übermittlung personenbezogener Daten aus Europa in die USA bildet. „Jede Form von Massenüberwachung, die das fundamentale Grundrecht auf Privatsphäre für EU-Bürger verletzt, löst beachtliche Bedenken aus“, sagte ein Sprecher der Regulierungsbehörde. Scharfe Kritik übte auch der UN-Sonderberichterstatter David Kaye. Er betonte die Wichtigkeit der Wahrung der Online-Privatsphäre, die dazu notwendig sei, um im Internet nach Informationen zu suchen, diese zu erhalten und weiterzugeben.

Freilich bleibt bis auf Weiteres unbekannt, ob sich Yahoo für das Privacy Shield qualifiziert hat – die Deadline für frühe Anmeldungen ist erst vor wenigen Tagen abgelaufen, eine Liste von entsprechend zertifizierten Unternehmen ist bislang noch nicht öffentlich verfügbar. Ein EU-Kommissionssprecher betonte, dass sich die US-Regierung im Rahmen von Privacy Shield dazu verpflichtet habe, anlasslose Massenüberwachung von EU-Bürgern einzustellen. „Die USA werden für diese Verpflichtungen zur Verantwortung gezogen werden, sowohl durch Überprüfungsmechanismen sowie durch Möglichkeiten der Entschädigung“, so der Sprecher.