Blackberry liefert User-Daten an Behörden in aller Welt

Erstveröffentlicht: 
11.06.2016

Blackberry entschlüsselt BBM- und PIN-Nachrichten und liefert zahlreiche weitere User-Daten an ausländische Behörden in aller Welt. Der kanadischen Polizei dürfte Blackberry sogar einen Generalschlüssel gegeben haben.

 

Der kanadische Rundfunk CBC hat aufgedeckt, dass Blackberry Daten über und von seinen Usern an Behörden in aller Welt liefert. Dabei entschlüsselt das kanadische Unternehmen auch BBM- und PIN-Nachrichten, und verrät den PIN-Code. Die CBC (Canadian Broadcasting Corporation) beruft sich auf Interviews mit Strafverfolgungsbehörden in mehreren Ländern sowie mit namentlich nicht genannten Blackberry-Mitarbeitern.

 

Die sind offensichtlich stolz auf ihre Arbeit: "Wir haben der Polizei geholfen, arschgeil zu sein", heißt es einem Zitat ["We were helping law enforcement kick ass"]. Blackberry ermöglicht den Angaben zu Folge ausländischen Behörden, das in Rechtshilfeabkommen mit Kanada vorgesehene Verfahren zu umgehen. Damit entfällt die staatliche Aufsicht, ob das ausländische Auskunftsersuchen legitim und echt ist. In den USA wäre so eine freihändige Datenlieferung an fremde Regierungen verboten; in Kanada ist das offenbar erlaubt.
Geringe Hürden

Anfragende Behörden müssen die in ihrem jeweiligen Land erforderlichen Dokumente vorlegen, was häufig keinen richterlichen Befehl voraussetzt. Und dann muss die Behörde sagen, dass ihr Auskunftsbegehren in ihrem jeweiligen Land legal ist und in Zusammenhang mit der Durchsetzung öffentlich verlautbarter Strafgesetze steht. Außerdem muss sie versprechen, dass die Anfrage nicht der Kontrolle, Unterdrückung oder Bestrafung friedlicher Äußerung politischer oder religiöser Meinungen dient.

Auf dem Formblatt kann die Behörden aus drei Datenkategorien wählen:

  • Gerät, Blackberry-Konto, Kundendaten (samt PIN, IMEI-Nummer, SIM-Nummer), Blackberry-ID, Namen, Adresse, Zahlungsdaten und Kaufdaten
  • Nachrichten-Logs mit Datum und Zeit von BBM- und PIN-Nachrichten, sowie die aktuelle Liste der BBM-Kontakte
  •  Sonstiges – Hier kann die Behörde ihr Begehren frei formulieren, worunter auch die Inhalte der BBM- sowie PIN-to-PIN-Mitteilungen fallen.


"Blackberrys leitendes Prinzip ist, das Richtige zu tun, innerhalb rechtlicher und ethischer Grenzen, wenn wir dazu aufgerufen werden, bei der Dingfestmachung Krimineller zu helfen", heißt es in einer Stellungnahme des Unternehmens, "Wir haben schon lange deutlich Stellung bezogen, dass IT-Unternehmen, als gute Unternehmensbürger, vernünftige legale Auskunftsersuchen beantworten sollten." Auf die konkreten Vorbringen ging die Firma aber nicht ein.

Gegenwehr im Sinne des Datenschutzes, wie sie Apple seit Jahresbeginn gegen das FBI an den Tag legt, oder auch von Microsoft in einem Verfahren demonstriert wird, kann von Blackberry also nicht erwartet werden. Die kanadische Auskunftsfreudigkeit hat sich herumgesprochen; laut CBC-Bericht wird Blackberry mit Auskunftsersuchen aus Dutzenden Ländern geflutet.

Kanadas Polizei hat Schlüsselkopie

Die Entschlüsselung von BBM- und PIN-to-PIN-Nachrichten ist für Blackberry einfach, weil dabei der stets gleiche, zentrale Schlüssel zur Anwendung kommt. Daher handelt es sich eigentlich gar nicht um wirksam verschlüsselte, sondern lediglich um verschleierte Nachrichten. Auch die kanadische Bundespolizei (RCMP) hat eine Kopie dieses Schlüssels. Blackberry dementiert nicht, dass es ihn freiwillig der Behörde gegeben hat.

Das ist besonders brisant, weil es in Kanada keine Regeln über den behördlichen Einsatz von IMSI-Catchern gibt. Die RCMP nimmt daher das Recht für sich in Anspruch, IMSI-Catcher jederzeit ohne richterliche Genehmigung einzusetzen, und tut das auch. So kann sie Nachrichten direkt abfangen und entschlüsseln, ohne Blackberry oder Netzbetreiber bemühen zu müssen. Das wurde erstmals am Freitag im Rahmen eines Strafverfahrens öffentlich bestätigt; der kanadische Richter hob eine Geheimhaltungsverpflichtung über Zeugenaussagen Blackberrys und der RCMP auf.

Nachrichten, die ausschließlich über Blackberry Enterprise Server (BES) oder über den kostenpflichtigen Dienst BBM Protected laufen, sind Ende-zu-Ende verschlüsselt. Sie dürften von Blackberry oder Behörden nicht so einfach entschlüsselt werden können. (ds)