Microsoft hat Dienste für NSA-Abfragen angepasst
Microsoft soll die NSA unterstützt haben, um im Rahmen des „Prism“-Programms die verschlüsselte Kommunikation der Nutzer abzufangen. Das geht aus Dokumenten hervor, die aus dem Fundus von Edward Snowden stammen und dem Guardian vorliegen.
So soll Microsoft intensiv mit dem FBI zusammengearbeitet haben, damit die NSA die selbst verschlüsselten Chat-Inhalte von der Online-Plattform Outlook.com mitschneiden kann. Im Juli 2012 hatte der Konzern angekündigt, mit Outlook.com einen modernisierten E-Mail-Dienst zu entwickeln, der das altbekannte Hotmail ablösen soll. Bei der NSA sorgte das offenbar für Verunsicherung, man befürchtete, nicht mehr wie gehabt auf Inhalte und Daten von Nutzern zugreifen zu können.
Deswegen sollen Microsoft und das FBI seit der offiziellen Ankündigung der Testphase im Juli über mehrere Monate hinweg an einer Lösung gearbeitet haben. Diese Kooperation hat offenbar Früchte getragen, ein NSA-Newsletter aus dem Februar dieses Jahres enthält laut Guardian den Eintrag, dass der offizielle Start von Outlook.com keinen Einfluss auf die Datensammlungen bei den E-Mail-Diensten Hotmail, Live und Outlook.com habe. Prism sammelt die Daten bereits vor der Verschlüsselung.
Die Dokumente beschreiben aber nicht nur die Zusammenarbeit bei Outlook.com. Demnach sollen infolge der Übernahme von Skype die Überwachungskapazitäten sukzessive ausgebaut worden sein. Zugriff auf Metadaten und Gespräche von Skype-Nutzern hatte die NSA offenbar schon, bevor Microsoft den VoIP-Dienst im November 2011 aufgekauft hatte. Probleme bereitete den NSA-Technikern aber offenbar die Video-Telefonie, laut den Dokumenten konnte man das Problem im Juli des letzten Jahres aber entschärfen. Demnach wären Audio-Aufzeichnungen von Video-Gesprächen nie das Problem gewesen, allerdings würden diese bis dato meistens ohne Bildmaterial vorliegen. Doch seit dem Juli 2012 könne Prism ein „vollständiges“ liefern.
Darüber hinaus weist ein Eintrag aus dem April dieses Jahres darauf hin, dass nach mehreren Monaten Entwicklungszeit nun eine Lösung besteht, wie die NSA über Prism auf Microsofts Online-Speicher SkyDrive zugreifen kann – und das ohne eine separate Genehmigung („without separate authorization“). In der Praxis heißt das offenbar, dass NSA-Analysten aus der Abteilung „Special Source Operations“ keine gesonderte Anfrage mehr starten müssen, um Zugriff auf SkyDrive-Daten zu erhalten.
Microsoft weist Berichte zurück
Die Dokumente erwecken erneut den Eindruck, die NSA könne praktisch beliebig auf Microsoft-Server zugreifen, was der Redmonder Konzern aber bereits bei den ersten Berichten über Prism heftig dementierte – und der Konzern weist auch angesichts der neuen Informationen die entsprechenden Vorwürfe zurück. Microsoft gebe Nutzerdaten und -inhalte nur dann an Geheimdienste und Strafverfolgungsbehörden heraus, wenn diese eine gerichtliche Anweisung vorlegen.
Zudem prüfe man intern, dass die staatlichen Anfragen der geltenden Rechtslage entsprechen. Dazu zählt etwa, dass diese sich auf spezielle Konten oder Identifikationsmerkmale beziehen. Sind die Anfragen nach Ansicht der Microsoft-Mitarbeiter unzulässig, weil es sich etwa um „Blankoanfragen“ handelt, wie sie in den letzten Wochen diskutiert werden, verweigere man die Auskunft. Microsoft betont, dass man keiner Regierung unbeschränkten oder direkten Zugriff auf Dienste wie SkyDrive, Outlook.com oder Skype gewähre. Allerdings sei man in manchen Fällen dazu verpflichtet, bei der Überarbeitung von Diensten mit Behörden zusammenzuarbeiten, um die rechtliche Auskunftspflicht zu erfüllen.
Erneut fordert Microsoft mehr Transparenz bei dem Umgang mit Geheimdienst-Anfragen. Der Konzern und die anderen von Prism betroffenen US-Internetriesen wie Google oder Facebook wollen seit den ersten veröffentlichten Dokumenten mehr Informationen preisgeben, um den Eindruck zu entschärfen, die NSA und Konsorten könnten geradezu beliebig Nutzerdaten von ihren Servern abgreifen. Bislang hat man diesbezüglich nicht allzu viel erreicht. Viel mehr als grobe Angaben über die Anzahl der Datenabfragen dürfen die Unternehmen in den Transparenz-Berichten nicht mitteilen. Die ungefähre Anzahl von solchen Abfragen sagt im Endeffekt aber praktisch nichts aus, Vertrauen bei den Nutzern lässt sich angesichts der umfassenden Vorwürfe auf diese Weise nicht herstellen.
Probleme mit NSA-Partnerschaften
So wird es für Unternehmen wie Microsoft immer schwieriger, zwischen den rechtlichen Ansprüchen von Ermittlungsbehörden und Geheimdiensten auf der einen Seite und den Privatsphäre-Forderungen der Nutzer auf der anderen abzuwägen – vor allem das heimliche Vorgehen der US-Behörden sorgt für Verunsicherung. Daher sind die geheimen Partnerschaften mit der NSA äußerst heikel für Unternehmen, zu groß ist das Risiko, eigene Mitarbeiter und Kunden zu verunsichern. Das gilt insbesondere für Microsoft, denn seit Jahren kursieren diverse Gerüchte, dass der Software-Produzent für Geheimdienste Backdoors in seine Programme integriert, damit die NSA und andere Dienste heimlich die jeweiligen Systeme filzen können.
Dementsprechend wenig überraschend ist der Aufschrei nach den Enthüllungen von gestern und vor einigen Wochen, als Bloomberg berichtete, Microsoft würde den US-Geheimdiensten vorab Hinweise über „Bugs“ liefern. Der Software-Riese dementierte das umgehend, die genannten Informationen über Schwachstellen würde man kurz vor den monatlichen Patchdays an zahlreiche Unternehmen weiterleiten. Dafür nutzt der Konzern mehrere Kanäle, manche davon haben auch Behörden abonniert.
Letztlich liegt es aber nicht in den Händen von Microsoft, ob die NSA diese Informationen nutzt, um die eigenen Systeme zu schützen, oder in die Planung von Cyber-Angriffen integriert. Laut einem Bericht von heise online ist ohnehin davon auszugehen, dass die NSA zweckmäßigere Kanäle nutzt, um Hinweise auf passende Sicherheitslücken zu ergattern. Noch nicht entdeckte Zero-Day-Lücken werden beispielsweise von verschiedenen Sicherheitsunternehmen an den höchst bietenden verscherbelt.
Dennoch zeigt gerade der Fall Microsoft anschaulich, wie schwierig es bisweilen ist, zwischen der Unterstützung für Spionage- und Cyberwar-Aktivitäten auf der einen Seite und dem herkömmlichen Support-Service auf der anderen zu differenzieren.