Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

YahooScannen und Analysieren von E-Mail-Inhalten, freigiebiges Transferieren von Kundendaten, automatisches Verknüpfen des Mail-Accounts mit dem eigenen Messenger und schwammige Formulierungen in den Rechtstexten.

Das kostenlose Mail-Angebot des Internet Giganten Yahoo kommt im Test der IT-Sicherheitsexperten der PSW GROUP nicht gut weg.

Dabei war das Team rund um Geschäftsführer Christian Heutger zu Beginn ihres Tests noch begeistert: Yahoo überzeugt mit leichtem Registrierungsprozess und einfachem Versand und Empfang von E-Mails. Das kostenfreie Angebot hält neben den E-Mail-Standardfunktionen eine gute Auswahl an zusätzlichen Features bereit. Einen positiven, weil sicheren, ersten Eindruck hinterließ insbesondere die sehr gut verschlüsselte Registrierungsseite. „Die Verschlüsselungsparameter sind hier stimmig: TLS 1.2 als aktuelle Protokollversion, ECDHE_RSA für den Schlüsselaustausch und eine starke Cipher (AES_128_GCM) sichern alle Bestandteile dieser Site ab. Weder Inhalte zur Aktivitätenverfolgung, noch Werbung oder sonstige Berechtigungen runden das stimmige Bild ab. Auch das Webinterface zum Versenden und Empfangen von Yahoo Mails ist – ebenfalls mit 128-Bit-Schlüssel, TLS 1.2 und ECDHE_RSA für den Schlüsselaustausch – stark verschlüsselt. Jedoch enthält diese Seite dann doch Inhalte, nämlich Werbeanzeigen, die die Aktivitäten der User verfolgen“, sagt Christian Heutger, Geschäftsführer der PSW GROUP.

Zu viele Sicherheitsmängel

Das war es dann aber auch schon mit guten Eindrücken, denn Yahoo Mail lässt leider auch unsichere Passwörter durch und speichert mehr Registrierungsdaten als nötig wären. Und während die Seitenverschlüsselung der Login-Page und des Mail-Interfaces stimmig ist, setzt Yahoo bei der E-Mail-Verschlüsselung auf veraltete Parameter und unzureichende Verschlüsselung. „Die von uns versendeten Test-Mails offenbarten, dass hier TLS in der älteren Version 1.0 genutzt wird und außerdem lediglich der veraltete und unsichere Hashalgorithmus SHA1 zum Einsatz kommt. Die Tatsache allerdings, dass Yahoo sämtliche E-Mail-Inhalte nach bestimmten Suchbegriffen scannt und durchleuchtet, ist für uns ein absolutes No-Go und Grund, jedem von der Nutzung des Dienstes dringend abzuraten. Denn Yahoo kann sämtliche E-Mail-Inhalte lesen und verwenden. Möglicherweise werden diese sogar an US-Behörden weitergeleitet“, bemängelt Christian Heutger aufs schärfste und verweist darauf, dass Yahoo ausschließlich eine Client-to-Server-Verschlüsselung nutzt. „E-Mails, die über einen Yahoo-Account versendet werden, werden nicht ausreichend verschlüsselt“, erklärt er die Bedeutung.

Unklare Rechtstexte

Die Rechtstexte haben es besonders in sich. Einziger Pluspunkt ist die leichte Auffindbarkeit. „Ansonsten mangelt es extrem an Verständlichkeit, Eindeutigkeit und Klarheit. So schreibt Yahoo beispielsweise zunächst, der Konzern trage keinerlei Verantwortung für den Schutz der Login-Daten. Diese muss der User selbst schützen. Dann heißt es, Yahoo übernehme keine Verantwortung für das Speichern persönlicher Einstellungen – dieser Satz gelte jedoch nicht, wenn User die deutschen Dienste nutzen“, kritisiert Heutger die verwirrenden Inhalte. Überdies analysiert Yahoo beim Versand, Empfang und Speichern alle Kommunikationsinhalte, einschließlich der Kommunikationsinhalte von Diensten, die mit dem Yahoo Account synchronisiert werden. „Wer hat da noch Lust, seinen Dropbox-Account mit Yahoo Mail zu verknüpfen?“, fragt Heutger zurecht.

Auch in Sachen Datenschutz – Yahoo unterliegt dem irischen Datenschutzrecht – kommt der Freemail-Dienst nicht gut weg. Yahoo sammelt personenbezogene Daten an verschiedenen Stellen, zum Beispiel bei Registrierung oder Nutzung eigener Produkte und Services. Darüber hinaus sammeln und speichern Yahoos Serverprotokolle Informationen vom Browser, darunter IP-Adresse, Cookie-Informationen, Soft- und Hardware-Eigenschaften. „Yahoo Mail ist so ziemlich das Gegenteil von gelungenem Datenschutz! Der Dienst ist sehr speicherfreudig, erklärt jedoch nicht, wo genau welche Daten gespeichert werden. Unmissverständlich klar gemacht wird jedoch, dass das für ungültig erklärte Safe-Harbor-Abkommen nach wie vor Anwendung findet. Das wiederum bedeutet nichts anderes, als dass Yahoo die personenbezogenen Daten seiner User in die USA schickt, um sie dort auf deutlich geringerem Datenschutzniveau zu verarbeiten“, kritisiert Christian Heutger.

Weitere Informationen findn Sie in diesem Blogpost.

www.psw-group.de
 

GRID LIST
Tb W190 H80 Crop Int 706ed058ba0004d4fe9159b0807ac61f

WhatsApp und Co. können für Unternehmen teuer werden

Mit Inkrafttreten der EU-Datenschutzverordnung werden Kommunikationstools wie WhatsApp…
Frau hält EU-Flagge

DSGVO und Versicherer – Eins nach dem Anderen

Die EU-Datenschutz-Grundverordnung stärkt den Datenschutz und die Rechte der Versicherten…
Tb W190 H80 Crop Int 41266e15a4e5a9846fa11a56dc162bde

Compliance-Check testet Datenschutzpraxis von Unternehmen

Der europäische Security-Hersteller ESET stellt Organisationen und Unternehmen einen…
Datenschutz

Ab 2018 haften Geschäftsführer in Millionenhöhe

Wenn Geschäftsführer und Vorstände die neue EU-Datenschutz-Grundverordnung (DSGVO) nicht…
Security Specialist

Der moderne Datenschutzbeauftragte

Mittlerweile ist Datenschutz in aller Munde, unter anderem durch neue Regularien, die in…
Marcel Mock

Zweiter Anlauf für den Verschlüsselungsstandort Nummer 1 | Statement

Wir dürfen gespannt sein, wie die neue Bundesregierung die vom letzten Kabinett…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet