IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

YahooScannen und Analysieren von E-Mail-Inhalten, freigiebiges Transferieren von Kundendaten, automatisches Verknüpfen des Mail-Accounts mit dem eigenen Messenger und schwammige Formulierungen in den Rechtstexten.

Das kostenlose Mail-Angebot des Internet Giganten Yahoo kommt im Test der IT-Sicherheitsexperten der PSW GROUP nicht gut weg.

Dabei war das Team rund um Geschäftsführer Christian Heutger zu Beginn ihres Tests noch begeistert: Yahoo überzeugt mit leichtem Registrierungsprozess und einfachem Versand und Empfang von E-Mails. Das kostenfreie Angebot hält neben den E-Mail-Standardfunktionen eine gute Auswahl an zusätzlichen Features bereit. Einen positiven, weil sicheren, ersten Eindruck hinterließ insbesondere die sehr gut verschlüsselte Registrierungsseite. „Die Verschlüsselungsparameter sind hier stimmig: TLS 1.2 als aktuelle Protokollversion, ECDHE_RSA für den Schlüsselaustausch und eine starke Cipher (AES_128_GCM) sichern alle Bestandteile dieser Site ab. Weder Inhalte zur Aktivitätenverfolgung, noch Werbung oder sonstige Berechtigungen runden das stimmige Bild ab. Auch das Webinterface zum Versenden und Empfangen von Yahoo Mails ist – ebenfalls mit 128-Bit-Schlüssel, TLS 1.2 und ECDHE_RSA für den Schlüsselaustausch – stark verschlüsselt. Jedoch enthält diese Seite dann doch Inhalte, nämlich Werbeanzeigen, die die Aktivitäten der User verfolgen“, sagt Christian Heutger, Geschäftsführer der PSW GROUP.

Zu viele Sicherheitsmängel

Das war es dann aber auch schon mit guten Eindrücken, denn Yahoo Mail lässt leider auch unsichere Passwörter durch und speichert mehr Registrierungsdaten als nötig wären. Und während die Seitenverschlüsselung der Login-Page und des Mail-Interfaces stimmig ist, setzt Yahoo bei der E-Mail-Verschlüsselung auf veraltete Parameter und unzureichende Verschlüsselung. „Die von uns versendeten Test-Mails offenbarten, dass hier TLS in der älteren Version 1.0 genutzt wird und außerdem lediglich der veraltete und unsichere Hashalgorithmus SHA1 zum Einsatz kommt. Die Tatsache allerdings, dass Yahoo sämtliche E-Mail-Inhalte nach bestimmten Suchbegriffen scannt und durchleuchtet, ist für uns ein absolutes No-Go und Grund, jedem von der Nutzung des Dienstes dringend abzuraten. Denn Yahoo kann sämtliche E-Mail-Inhalte lesen und verwenden. Möglicherweise werden diese sogar an US-Behörden weitergeleitet“, bemängelt Christian Heutger aufs schärfste und verweist darauf, dass Yahoo ausschließlich eine Client-to-Server-Verschlüsselung nutzt. „E-Mails, die über einen Yahoo-Account versendet werden, werden nicht ausreichend verschlüsselt“, erklärt er die Bedeutung.

Unklare Rechtstexte

Die Rechtstexte haben es besonders in sich. Einziger Pluspunkt ist die leichte Auffindbarkeit. „Ansonsten mangelt es extrem an Verständlichkeit, Eindeutigkeit und Klarheit. So schreibt Yahoo beispielsweise zunächst, der Konzern trage keinerlei Verantwortung für den Schutz der Login-Daten. Diese muss der User selbst schützen. Dann heißt es, Yahoo übernehme keine Verantwortung für das Speichern persönlicher Einstellungen – dieser Satz gelte jedoch nicht, wenn User die deutschen Dienste nutzen“, kritisiert Heutger die verwirrenden Inhalte. Überdies analysiert Yahoo beim Versand, Empfang und Speichern alle Kommunikationsinhalte, einschließlich der Kommunikationsinhalte von Diensten, die mit dem Yahoo Account synchronisiert werden. „Wer hat da noch Lust, seinen Dropbox-Account mit Yahoo Mail zu verknüpfen?“, fragt Heutger zurecht.

Auch in Sachen Datenschutz – Yahoo unterliegt dem irischen Datenschutzrecht – kommt der Freemail-Dienst nicht gut weg. Yahoo sammelt personenbezogene Daten an verschiedenen Stellen, zum Beispiel bei Registrierung oder Nutzung eigener Produkte und Services. Darüber hinaus sammeln und speichern Yahoos Serverprotokolle Informationen vom Browser, darunter IP-Adresse, Cookie-Informationen, Soft- und Hardware-Eigenschaften. „Yahoo Mail ist so ziemlich das Gegenteil von gelungenem Datenschutz! Der Dienst ist sehr speicherfreudig, erklärt jedoch nicht, wo genau welche Daten gespeichert werden. Unmissverständlich klar gemacht wird jedoch, dass das für ungültig erklärte Safe-Harbor-Abkommen nach wie vor Anwendung findet. Das wiederum bedeutet nichts anderes, als dass Yahoo die personenbezogenen Daten seiner User in die USA schickt, um sie dort auf deutlich geringerem Datenschutzniveau zu verarbeiten“, kritisiert Christian Heutger.

Weitere Informationen findn Sie in diesem Blogpost.

www.psw-group.de
 

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet