Bericht: Google bestätigt: Hangouts kann von der US-Regierung abgehört werden
Der NSA-Abhörskandal, der vor rund zwei Jahren durch Edward Snowden aufgedeckt wurde, zieht auch jetzt noch seine Kreise. Auch wenn uns die Affäre um einiges wacher gerüttelt hat und wir aufmerksamer im Zusammenhang mit neuer Technik geworden sind als zuvor, so ist es uns an vielen Ecken doch häufig egal, was mit unseren Daten passiert.
Uns ist der Komfort vieler Dienste einfach zu selbstverständlich geworden und während wir laut anzweifeln, wenn ein neuer Messenger am Markt End-to-End Encryption verspricht, so greifen wir im nächsten Moment zu unseren Smartphones, um eine Nachricht mit irgendeinem Messenger an die Freundin oder den Freund zu senden.
Google hielt sich bislang in Bezug auf den hauseigenen Messenger Hangouts dezent im Hintergrund und machte keine Aussagen. Auf der anderen Seite hat Google stets betont, dass man alles dafür tun würde, um NSA und Co. keinen Zugang zu Mails über Gmail und Co. zu verschaffen. In der Hangouts Support Dokumentation steht bezüglich Sicherheit schlicht und einfach „when you message or talk with someone on Hangouts, your information will be encrypted so that it’s secure“. Was fehlt uns hierbei? Eine klare Aussage darüber, dass Google bei Hangouts auf eine End-to-End Encryption setzt.
Daher versucht aktuell Christopher Soghoian von der Organisation „The American Civil Liberties Union (ACLU)“ in einem Reddit-Thread Google diesbezüglich zur Rede zu stellen und fragt berechtigterweise, warum Google sich weigert, klare Aussagen über die Sicherheit der Video- und Textnachrichten-App Hangouts zu machen.
Er erhielt prompt Antwort von Richard Salgado und David Lieber, Googles Direktoren für die Strafverfolgung und Informationssicherheit. Salgado umgeht die Frage jedoch und weist erneut darauf hin, dass Hangouts die Nachrichten ausschließlich in verschlüsselter Form übertragen würde, aber nicht auf welcher Grundlage. Des Weiteren meinte Salgado, dass es dennoch Justizbehörden gäbe, die es Regierungseinrichtungen ermöglichen, Unterhaltungen abzuhören. Die Kriegserklärung an die NSA verebbt also in hohlen Phrasen.
Das Vice Magazine versuchte daraufhin am Montag Google in der Angelegenheit zur Rede zu stellen und erhielt durch einen Google-Sprecher tatsächlich die klare Aussage, dass Google nicht auf End-to-End Encryption setzt. Das bedeutet eben, dass Behörden sowie Google selbst jederzeit auf Unterhaltungen zugreifen könnten, wenn gewünscht. Selbst der private Chatmodus in Hangouts schützt nicht davor, sondern verhindert lediglich, dass der Chat-Verlauf in der Historie des Nutzers gespeichert, bzw. angezeigt wird.
Wie oft dieser Umstand bislang bereits genutzt wurde, um Gespräche abzuhören, ist unklar. Hier kann man lediglich auf die Vertrauenswürdigkeit des Transparenz-Reports von Google hoffen, in dem vermerkt ist, dass im ganzen Jahr 2013 „lediglich“ 19 Gespräche von der US-Regierung abgehört wurden – im Jahr 2014 sollen es im ersten Halbjahr sieben Gespräche gewesen sein. Der Google-Sprecher beantwortete jedoch nicht, ob und wie viele dieser Abhörungen sich ausschließlich auf Hangouts oder auch auf andere Google Dienste bezogen.
#ClickbaitTitle: Alles was nicht E2E verschlüsselt ist, kann von irgendjemanden abgehört werden. Betitelt es doch einfach mit, Google bestätigt keine E2E Verschlüsselung in Hangouts anzuwenden.
Und Microsoft ermöglicht der NSA Zugriff auf Skype, Outlook.com und OneDrive. Skype ist schon 2011 vor der Übernahme von Microsoft an das PRISM-Programm der NSA angeschlossen worden.
Alle amerikanischen Firmen werden dazu gezwungen, mitzuspielen, schon weil sie gesetzlich und gerichtlich dazu verpflichtet werden. Und wer nicht mitspielt, der wird zur Aufgabe genötigt, so wie Lavabit.
#ClickbaitTitle lieber Pascal, mehr nicht. :-/ Das die Gesetze in USA so sind wie sie sind und nicht anders wissen wir seit einigen Jahren schon. …und abgehört werden wir zu erst zu Hause, nämlich durch BND am DE-CIX in Frankfurt.
#ClickbaitTitle. Und Apple ist seit 2012 Partner der NSA im PRISM-Programm. So was wird hier im Blog natürlich nicht erwähnt.
@Jensemann
Der Begriff ‚Partner‘ suggeriert, dass man eine Wahl hätte ob man mitmachen will oder nicht.
Als ob jemand was anderes erwartet hätte.
Als nächstes kommt hier dann die Nachricht, dass Telefone abhörbar sind? *shocking*
Und ausserdem… Jedem dürfte bewusst sein, dass ein Messenger, bei dem man die Nachrichten sowohl im Handy als auch problemlos im Web abrufen kann, nicht E2E verschlüsselt sein kann.
Is ja auch nich der Sinn von Hangouts 😉
Wer Privatkommunikation verschlüsseln will nutzt Telegram (Threema is zu komplex und zu Einsteigerunfreundlich)
Ich sag nur Threema oder alternativ SIMSme (wenn die richtig durchstarten von der Post).
@Sean K. Woods: Wo ist Threema zu komplex?
In 5 Minuten ist die Einrichtung erledigt (wenn überhaupt so lange) – recht einfach erklärt.
Kaufen, Download, installieren, einrichten (ID/QR-Code generieren evtl. mit Email/Handynr. verknüpfen und Einstellungen auf dem Display durchgehen, die abgefragt werden das war’s schon – zumindest auf WindowsPhone).
@chris
Du hast Backup einrichten vergessen. Und außerdem das Scannen von Gesprächspartner QRs.
Mal aus Neugier gefragt, was wollen die ersten Kommentatoren mit #ClickbaitTitle aussagen? Startpage erklärt mir leider nicht die Bedeutung.
@Sean K. Woods:
Zu komplex und Einsteigerundfreundlich? Gib besser Dein Handy ab 😉 Der einzige Punkt, an dem es vielleicht etwas Aufmerksamkeit fordert (nicht einmal Denkfähigkeit), ist beim Backup bevor man es neu installieren möchte, damit man alle Kontakte behält.
@Mario K: QRs müssen doch gar nicht gescannt werden, man kann durchaus auch ohne Scan schreiben, die Kontakte gelten halt nur nicht als sicher,
@Mario K. Wie konnte ich nur 🙂
Nachtrag: #ClickbaitTitle hat sicher ledigt, ist mal wieder der Wunsch weltgewandt wirken zu wollen, hatte nur falsch gesucht.
@Fraggle: Ohne QR-Codescan geht Threema genau so – da hast du recht.
Gibt halt 3 Stufen der Identifizierung – nötig ist das mit dem QR-Code nicht.
Threema ist alles andere als kompliziert.
Und selbst wenn einer die ID nicht gesichert hat und eine neue bekommt ist es mittlerweile kein Problem die alte ID aus Gruppen zu werfen und die neue einzuladen.
Mein kompletter Freundeskreis ist mit zu Threema gekommen und auch hier sind Leihen mit am Werk, die super mit Threema zurecht kommen und hier sogar viele Vorteile gegenüber Whatsapp gefunden haben (Design, optionales Speichern von Bildern auf dem Handy, Benachrichtigung bei jeder neuen Nachricht und nicht einmalig…)
Was spricht eigentlich gegen Signal bzw. TextSecure? Meiner Meinung nach ist das die deutlich bessere Alternative als z.B. Threema, schon weil es kostenlos ist. Und „keine Nutzer“ haben die meisten sowohl bei dem einen wie auch bei dem anderen.
@besucherpete: z.B. die nicht Verfügbarkeit für WindowsPhone. 😉
Nicht jeder will Android (oder iOS) nutzen.
„…hat Google stets betont, dass man alles dafür tun würde, um NSA und Co. keinen Zugang zu Mails über Gmail und Co. zu verschaffen…“
Selten so gelacht.
Wenn jemand von Anfang an von Regierungsseite großzügig unterstützt wurde, um im Gegenzug alle Daten abzuliefern, dann doch wohl Google, Microsoft & Co.
(nach der aktuellen Gesetzeslage in den USA bleibt ihnen auch gar keine Wahl. Sonst würde der Laden dichtgemacht, so wie bei dem eMail-Anbieter, der das versucht hatte).
Und auch in jede End-to-End Verschlüsselung kann man einen Masterkey einbauen.
Nur bei echter Open-Source Software könnte man nachprüfen, ob da „richtig“ verschlüsselt wird.