Bericht: Google bestätigt: Hangouts kann von der US-Regierung abgehört werden

12. Mai 2015 Kategorie: Google, geschrieben von: Pascal Wuttke

Der NSA-Abhörskandal, der vor rund zwei Jahren durch Edward Snowden aufgedeckt wurde, zieht auch jetzt noch seine Kreise. Auch wenn uns die Affäre um einiges wacher gerüttelt hat und wir aufmerksamer im Zusammenhang mit neuer Technik geworden sind als zuvor, so ist es uns an vielen Ecken doch häufig egal, was mit unseren Daten passiert.

Google Hangouts

Uns ist der Komfort vieler Dienste einfach zu selbstverständlich geworden und während wir laut anzweifeln, wenn ein neuer Messenger am Markt End-to-End Encryption verspricht, so greifen wir im nächsten Moment zu unseren Smartphones, um eine Nachricht mit irgendeinem Messenger an die Freundin oder den Freund zu senden.

Google hielt sich bislang in Bezug auf den hauseigenen Messenger Hangouts dezent im Hintergrund und machte keine Aussagen. Auf der anderen Seite hat Google stets betont, dass man alles dafür tun würde, um NSA und Co. keinen Zugang zu Mails über Gmail und Co. zu verschaffen. In der Hangouts Support Dokumentation steht bezüglich Sicherheit schlicht und einfach „when you message or talk with someone on Hangouts, your information will be encrypted so that it’s secure“. Was fehlt uns hierbei? Eine klare Aussage darüber, dass Google bei Hangouts auf eine End-to-End Encryption setzt.

Daher versucht aktuell Christopher Soghoian von der Organisation „The American Civil Liberties Union (ACLU)“ in einem Reddit-Thread Google diesbezüglich zur Rede zu stellen und fragt berechtigterweise, warum Google sich weigert, klare Aussagen über die Sicherheit der Video- und Textnachrichten-App Hangouts zu machen.

Er erhielt prompt Antwort von Richard Salgado und David Lieber, Googles Direktoren für die Strafverfolgung und Informationssicherheit. Salgado umgeht die Frage jedoch und weist erneut darauf hin, dass Hangouts die Nachrichten ausschließlich in verschlüsselter Form übertragen würde, aber nicht auf welcher Grundlage. Des Weiteren meinte Salgado, dass es dennoch Justizbehörden gäbe, die es Regierungseinrichtungen ermöglichen, Unterhaltungen abzuhören. Die Kriegserklärung an die NSA verebbt also in hohlen Phrasen.

Das Vice Magazine versuchte daraufhin am Montag Google in der Angelegenheit zur Rede zu stellen und erhielt durch einen Google-Sprecher tatsächlich die klare Aussage, dass Google nicht auf End-to-End Encryption setzt. Das bedeutet eben, dass Behörden sowie Google selbst jederzeit auf Unterhaltungen zugreifen könnten, wenn gewünscht. Selbst der private Chatmodus in Hangouts schützt nicht davor, sondern verhindert lediglich, dass der Chat-Verlauf in der Historie des Nutzers gespeichert, bzw. angezeigt wird.

Wie oft dieser Umstand bislang bereits genutzt wurde, um Gespräche abzuhören, ist unklar. Hier kann man lediglich auf die Vertrauenswürdigkeit des Transparenz-Reports von Google hoffen, in dem vermerkt ist, dass im ganzen Jahr 2013 „lediglich“ 19 Gespräche von der US-Regierung abgehört wurden – im Jahr 2014 sollen es im ersten Halbjahr sieben Gespräche gewesen sein. Der Google-Sprecher beantwortete jedoch nicht, ob und wie viele dieser Abhörungen sich ausschließlich auf Hangouts oder auch auf andere Google Dienste bezogen.



Über den Autor: Pascal Wuttke

Nerdlicht in einer dieser hippen Startup-Städte vor Anker. Macht was mit Medien... Auch bei den üblichen Kandidaten des sozialen Interwebs auffindbar: Google+, Twitter, Xing, LinkedIn und Instagram. PayPal-Kaffeespende an den Autor.

Pascal hat bereits 936 Artikel geschrieben.

25 Kommentare

Downhill. 12. Mai 2015 um 23:11 Uhr

#ClickbaitTitle: Alles was nicht E2E verschlüsselt ist, kann von irgendjemanden abgehört werden. Betitelt es doch einfach mit, Google bestätigt keine E2E Verschlüsselung in Hangouts anzuwenden.

lentille 12. Mai 2015 um 23:12 Uhr

Und Microsoft ermöglicht der NSA Zugriff auf Skype, Outlook.com und OneDrive. Skype ist schon 2011 vor der Übernahme von Microsoft an das PRISM-Programm der NSA angeschlossen worden.

Alle amerikanischen Firmen werden dazu gezwungen, mitzuspielen, schon weil sie gesetzlich und gerichtlich dazu verpflichtet werden. Und wer nicht mitspielt, der wird zur Aufgabe genötigt, so wie Lavabit.

inkantis 12. Mai 2015 um 23:53 Uhr

#ClickbaitTitle lieber Pascal, mehr nicht. :-/ Das die Gesetze in USA so sind wie sie sind und nicht anders wissen wir seit einigen Jahren schon. …und abgehört werden wir zu erst zu Hause, nämlich durch BND am DE-CIX in Frankfurt.

Jensemann 13. Mai 2015 um 00:33 Uhr

#ClickbaitTitle. Und Apple ist seit 2012 Partner der NSA im PRISM-Programm. So was wird hier im Blog natürlich nicht erwähnt.

shx 13. Mai 2015 um 01:35 Uhr

@Jensemann
Der Begriff ‚Partner‘ suggeriert, dass man eine Wahl hätte ob man mitmachen will oder nicht.

Timo 13. Mai 2015 um 06:05 Uhr

Als ob jemand was anderes erwartet hätte.

Martin 13. Mai 2015 um 06:43 Uhr

Als nächstes kommt hier dann die Nachricht, dass Telefone abhörbar sind? *shocking*

WhatsApp News (@wa_nachrichten) 13. Mai 2015 um 07:38 Uhr

Und ausserdem… Jedem dürfte bewusst sein, dass ein Messenger, bei dem man die Nachrichten sowohl im Handy als auch problemlos im Web abrufen kann, nicht E2E verschlüsselt sein kann.

Sean K. Woods 13. Mai 2015 um 08:24 Uhr

Is ja auch nich der Sinn von Hangouts 😉
Wer Privatkommunikation verschlüsseln will nutzt Telegram (Threema is zu komplex und zu Einsteigerunfreundlich)

chris1977ce 13. Mai 2015 um 08:48 Uhr

Ich sag nur Threema oder alternativ SIMSme (wenn die richtig durchstarten von der Post).

chris1977ce 13. Mai 2015 um 08:50 Uhr

@Sean K. Woods: Wo ist Threema zu komplex?
In 5 Minuten ist die Einrichtung erledigt (wenn überhaupt so lange) – recht einfach erklärt.
Kaufen, Download, installieren, einrichten (ID/QR-Code generieren evtl. mit Email/Handynr. verknüpfen und Einstellungen auf dem Display durchgehen, die abgefragt werden das war’s schon – zumindest auf WindowsPhone).

Mario K. 13. Mai 2015 um 09:06 Uhr

@chris
Du hast Backup einrichten vergessen. Und außerdem das Scannen von Gesprächspartner QRs.

Fraggle 13. Mai 2015 um 09:12 Uhr

Mal aus Neugier gefragt, was wollen die ersten Kommentatoren mit #ClickbaitTitle aussagen? Startpage erklärt mir leider nicht die Bedeutung.

@Sean K. Woods:
Zu komplex und Einsteigerundfreundlich? Gib besser Dein Handy ab 😉 Der einzige Punkt, an dem es vielleicht etwas Aufmerksamkeit fordert (nicht einmal Denkfähigkeit), ist beim Backup bevor man es neu installieren möchte, damit man alle Kontakte behält.

@Mario K: QRs müssen doch gar nicht gescannt werden, man kann durchaus auch ohne Scan schreiben, die Kontakte gelten halt nur nicht als sicher,

Christian Elling (chris1977ce) 13. Mai 2015 um 09:14 Uhr

@Mario K. Wie konnte ich nur 🙂

Fraggle 13. Mai 2015 um 09:14 Uhr

Nachtrag: #ClickbaitTitle hat sicher ledigt, ist mal wieder der Wunsch weltgewandt wirken zu wollen, hatte nur falsch gesucht.

Christian Elling (chris1977ce) 13. Mai 2015 um 09:15 Uhr

@Fraggle: Ohne QR-Codescan geht Threema genau so – da hast du recht.
Gibt halt 3 Stufen der Identifizierung – nötig ist das mit dem QR-Code nicht.

Dominik 13. Mai 2015 um 09:45 Uhr

Threema ist alles andere als kompliziert.
Und selbst wenn einer die ID nicht gesichert hat und eine neue bekommt ist es mittlerweile kein Problem die alte ID aus Gruppen zu werfen und die neue einzuladen.

Mein kompletter Freundeskreis ist mit zu Threema gekommen und auch hier sind Leihen mit am Werk, die super mit Threema zurecht kommen und hier sogar viele Vorteile gegenüber Whatsapp gefunden haben (Design, optionales Speichern von Bildern auf dem Handy, Benachrichtigung bei jeder neuen Nachricht und nicht einmalig…)

besucherpete 13. Mai 2015 um 10:01 Uhr

Was spricht eigentlich gegen Signal bzw. TextSecure? Meiner Meinung nach ist das die deutlich bessere Alternative als z.B. Threema, schon weil es kostenlos ist. Und „keine Nutzer“ haben die meisten sowohl bei dem einen wie auch bei dem anderen.

Christian Elling (chris1977ce) 13. Mai 2015 um 10:26 Uhr

@besucherpete: z.B. die nicht Verfügbarkeit für WindowsPhone. 😉
Nicht jeder will Android (oder iOS) nutzen.

WOK 13. Mai 2015 um 11:02 Uhr

„…hat Google stets betont, dass man alles dafür tun würde, um NSA und Co. keinen Zugang zu Mails über Gmail und Co. zu verschaffen…“

Selten so gelacht.
Wenn jemand von Anfang an von Regierungsseite großzügig unterstützt wurde, um im Gegenzug alle Daten abzuliefern, dann doch wohl Google, Microsoft & Co.
(nach der aktuellen Gesetzeslage in den USA bleibt ihnen auch gar keine Wahl. Sonst würde der Laden dichtgemacht, so wie bei dem eMail-Anbieter, der das versucht hatte).
Und auch in jede End-to-End Verschlüsselung kann man einen Masterkey einbauen.
Nur bei echter Open-Source Software könnte man nachprüfen, ob da „richtig“ verschlüsselt wird.

treuerspaß 13. Mai 2015 um 12:12 Uhr

threema ist ja nicht viel besser nur weil die sagen das es verschlüsselt ist wird es das noch lange nicht sein
und e2e sicher auch nciht traue bei verschlüsselung nur open source!

Christian Elling (chris1977ce) 13. Mai 2015 um 14:17 Uhr

@treuerspaß: siehe Test der Stiftung Warentest: https://www.test.de/WhatsApp-und-Alternativen-Datenschutz-im-Test-4675013-0/

Außerdem stehen die Server in der Schweiz! Dort tun sich NSA usw. etwas schwerer, als bei uns (bei unseren Handlangern der USA in Berlin).
Aber was soll’s – wirklich wichtige Daten versendet man sowieso nicht über einen Messenger – oder etwas doch?

Sean K. Woods 13. Mai 2015 um 19:19 Uhr

Das Problem ist auch das 98% der Leute die ich kenne noch nie eine App gekauft haben oder sich trauen irgendwas in Sachen Guthaben mit dem Account zu verbinden aus Angst vor Inapp Panikmache. Die sehen keinen Sinn zu Threema zu wechseln. Mit Telegram kann ich zumindest eine nahtlose Nutzung auf allen Geräten, Parallele Nutzung verschiedener Nummern und optionale Verschlüsselte Chats argumentieren. Threema is echt zu viel Klick-Einrichterei … 5min is zu viel und ich habs direkt in die Tonne gekloppt nach dem Kauf! Das kann ich keinen Antun der „mal kurz Nummer angeben und bestätigen“ will…


Es kann bis zu 5 Minuten dauern, bis dein Kommentar erscheint.



Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung.