Microsoft scannte Hotmail-Account eines Bloggers um Leaks zu finden
von caschy | 24 Kommentare
Gestern berichteten wir an dieser Stelle über einen Microsoft-Mitarbeiter, der verhaftet wurde, da er offenbar interne Pre-Relases von Windows 8 an einen französischen Blogger weitergab. Nun gibt es auch Informationen, wie Microsoft dem Ganzen auf die Schliche gekommen ist. Kurzform: besagter Blogger nutzte ein Mailkonto bei Microsoft (Hotmail / Outlook). Aufgrund dieser Schnüffelattacke gelang es Microsoft, das Loch zu flicken.
Skandal? Laut den Nutzungsbestimmungen nicht, auch andere Dienste wie zum Beispiel Yahoo oder Google nehmen sich in ganz konkreten Fällen dieses Recht in ihren Bestimmungen heraus. Microsoft hat sich mittlerweile auch erklärt, denn das Unternehmen kommt natürlich nun in Bedrängnis. Zum einen habe man das Recht zu dieser Aktion gehabt, zum anderen geht es hier ja um eine sehr spezielle Aktion, bei der Microsoft-Interna nach Außen gelangten.
Die Aktion fand auch nach langem Abwägen statt, vorher wurde noch mit den Strafverfolgungsbehörden in den betreffenden Ländern zusammen gearbeitet. Microsoft betonte noch einmal in einer öffentlichen Stellungnahme, dass man immer einen Anwalt bei der Aktion dabei gehabt habe, der zusätzlich darauf achtete, dass ausschließlich die Informationen gesucht und gefunden wurden, die für den Fall relevant seien.
Wird geladen ...
Legitim finde ich.
Die Executive der entsprechenden Länder wäre so oder so an die Mails gekommen.
Dann lieber direkt von Microsoft kontrollieren lassen – mit nem anwesenden Anwalt 😀
Geht eigentlich gar nicht.
Wie dämlich kann man sein, Daten seiner Firma zu leaken und die auch noch von dem Email-Konto der Firma zu versenden? 😀
„… dass ausschließlich die Informationen gesucht und gefunden wurden, die für den Fall relevant seien.“ – Ich sehe kein Problem in der Aktion an sich, aber diese Aussage halte ich nicht für schlau, denn das dürfte praktisch nicht funktionieren. Wie will man das denn sicherstellen? Schließlich muss man erstmal eine Information finden um dann auswerten oder beurteilen zu können, ob sie von Bedeutung für den Fall ist. Dabei wird man zwangsläufig auch nicht relevante Informationen finden, dagegen kann auch ein anwesender Anwalt nichts machen.
Mit PGP wäre das nicht passiert – selten dämlich.
In meinen Augen ist das unvertretbar. Wenn ich bei einem Unternehmen einen e-mail Account habe, erwarte ich, dass meine Privatsphäre geschützt wird. Ein Fernmeldegeheimnis gibt es nicht ohne Grund, auch wenn dies eher ein Abwehrrecht gegen den Staat ist.
Außerdem sorge ich mich um die Pressefreiheit. Wenn künftig ein kritischer Bericht mit Hintergrundinformationen über Microsoft, Google, Yahoo etc. gebracht wird schnüffeln die betroffenen Unternehmen also erst einmal in den privaten e-mail Accounts der Redakteure herum, um herauszufinden, woher die Infos kommen?
Ich hoffe inständig, dass die „Mitarbeit mit Strafverfolgungsbehörden der betreffenden Länder“ bedeutet, dass ein Richter die Herausgabe des Postfachs angeordnet hat.
Alles andere wäre in meinen Augen illegitim.
@ Besucherpete:
von ‚gefunden‘ steht im Originaltext von MS nichts, hier geht es nur um das gesucht – dass man dabei natürlich auch anderes findet ist wie Du schon schreibst logisch:
„it is important that it be confined to the matter under investigation and not search for other information.“
So wird die Aussage von MS an verschiedenen Stellen zitiert.
Nach deutschem Recht wäre das m.M.n sogar noch nicht mal rechtswidrig. Siehe dazu §34 StGB: „Wer in einer gegenwärtigen, nicht anders abwendbaren Gefahr für […] Eigentum oder ein anderes Rechtsgut eine Tat begeht, um die Gefahr von sich […] abzuwenden, handelt nicht rechtswidrig […]“
Wenn die Strafverfolgungsbehörden nicht ermitteln (oder zu lange brauchen würden), dann darf man halt selbst tätig werden. In anderen Ländern gibt es da sicher auch so ähnliche Regelungen?!
Ob ich das persönlich toll finde? Sicher nicht. Aber verstehen kann ich es gut.
Was man darf und was man sollte sind zwei völlig unterschiedliche Dinge. Auch wenn Microsoft es rechtlich gesehen darf, so finde ich dieses Verhalten nicht in Ordnung. Man durchschnüffelt im Prinzip private Mailkonten, um das eigene Unternehmen zu schützen. Der Übergang zum Ausspionieren ist hier fließend. Microsoft könnte sich morgen auch einfach mal ein paar Wettbewerbsvorteile verschaffen, indem sie ein paar Office 365-Konten auswerten. Da wird sicherlich was Brauchbares dabei sein.
Das ist was völlig anderes? Nein, es ist im Prinzip und im Kern das Gleiche. Rechtlich dürfen sie es dann wahrscheinlich nicht, aber wer einmal auf die Idee kommt, der kommt auch wieder auf die Idee. Da sollte man sich grundsätzlich von festen Prinzipien leiten lassen, die ohne Wenn und Aber einzuhalten sind und die privaten Informationen der Kunden respektieren.
Man muss gar nicht mit dem Strafrecht argumentieren. Ein Blick in die Nutzungsbedingungen von Windows Live zeigt (hier auf Deutsch), wann MS auf Daten zugreifen darf (http://windows.microsoft.com/de-de/windows-live/microsoft-services-agreement). Besonders relevant die Artikel 3.2 (Vertragsverletzung) und 5.3 (Eigentumsrechte von MS oder deren Kunden).
Nicht erklärt ist, wie ein Verdacht zustande kommt.
Oh ein Anwalt war anwesend. Und das sind die höchsten Wesen guter Moral. Engelsgleich!
Lächerliche Scheiße.
Und mal ganz ehrlich, wie blöd kann man sein, dass man den Kram dann auch noch mit nem Microsoft Account macht?
Einen Beigeschmack bekommt das ganze ja dadurch, dass Microsoft in seinen scroogled Kampagnen Google regelmäßig vorwirft die Mails der Nutzer zu scannen und sich selbst geradezu glorifiziert es nicht zu tun…
Aus Sicht des deutschen Datenschutzes undenkbar (hier dürfen private E-Mails noch nicht einmal ohne Erlaubnis im Unternehmen gespeichert werden), aber in den USA und anderen Ländern durchaus erlaubt. Zu dem Fernmeldegeheimnis: Hier wurde bei E-Mails etwas anders geurteilt. Man darf E-Mails nicht abfangen und lesen. Wurden Mails aber schon empfangen, dann darf man sie (mit Gerichtsbeschluss) lesen. Zumindest ist es in Deutschland so, in den USA darf man die wahrscheinlich auch abfangen.
Eine der einzigen Regelungen zum Datenschutz in den USA: Porno-Filmverleiher dürfen ihre Kunden nicht veröffentlichen. Dieses Gesetz entstand, als ein Senator auf eine solche Weise den Weg ins Internet fand… Viel mehr Datenschutz gibt es übern dem Teich nicht 😀
Inakzeptabel.
Das darf nur ein Richter anordnen.
MS spielt sich hier also als Richter auf?
Noch ein Argument mehr, US-amerikanische Dienste nicht zu nutzen.
Obwohl in diesem Fall das „schnüffeln“ gerechtfertigt erschien, muss ich sagen, dass ich froh bin nich nicht mehr bei Outlook oder Gmail zu sein. Vivaldi Mail tut es für mich auch. Zumindest fühl ich mich wohler wenn die Server in Europa liegen.
@Rene: Unter dem Deckmantel des Datenschutzes Straftaten begehen und nur deshalb nicht zur Rechenschaft gezogen werden können, finde ich weitaus bedenklicher.
@ocin: Sie scannen ja nicht generell die Postfächer, so wie Google es macht, um Werbung zu platzieren (jedenfalls hab ich es so verstanden).
@Mathias Lechner
Der zitierte Gesetzestext dürfte hier (zum Glück) nicht greifen. Enorme Wichtigkeit kommt hier den Worten „gegenwärtigen, nicht anders anwendbaren Gefahr“ zu. Umgangssprachlich würde man dies wohl auch als Notwehr bezeichnen. Im vorliegenden Fall dürfte das also kaum anwendbar sein. Das Wort „gegenwärtig“ ist hier auch als recht eng gefasst zu sehen, es geht also um eine konkrete Gefahr zu einem konkreten Zeitpunkt. Das nachträgliche scannen eines Accounts zählt da sicherlich nicht drunter.
Und was ist jetzt der Skandal ? Das macht doch Google und Co genauso.
@Daniel
Lies mal deine AGB`S durch dann kannste dir nämlich solche Aussagen wie deine sparen. Erst Lesen, dann denken dann reden ansonsten schließe dich im Keller ein.
Ich sehe das als vollkommen legitim. Microsoft hat das in seinen Bestimmungen so angegeben und die akzeptiert man bei der Registrierung. Der Vergleich mit der Scroogled-Kampagne hinkt übrigens hier in den Kommentaren. Denn Google scannt die Mail permanent. Alle. Automatisch. Microsoft hat hier gezielt bei einem Anwender nach etwas gesucht, von dem sie wussten, dass sie es dort finden würden. Wäre der Nutzer meinetwegen bei einem anderen Anbieter gewesen, hätte man sich die richterliche Anordnung geholt das zu durchsuchen, so fiel nur ein Schritt weg und somit Aufwand, wodurch Geld gespart wurde.
Einen Skandal kann ich nicht erkennen, lediglich dass jemand so gehandelt hat, wie es vollkommen legitim ist. Ob das nun Google macht, Yahoo oder Microsoft ist unerheblich.