Vor einiger Zeit hatte ich mich an den Bundesbeauftragten für Datenschutz gewandt, wegen der Frechheit von Yahoo beim Login für die vermeintliche Sicherheit noch Sicherheitsfragen abzufragen. Wenn ich mir die Argumentation von Yahoo anschaue, stecken sicherlich kommerzielle Interessen dahinter.

Die vermutlich automatischen Antworten von Yahoo lasse ich mal außen vor.

Folgende Antwort kam vom :

Sehr geehrter Herr Scharfenort,

in Ihrer Eingabe vom 17. April 2013 hinterfragen Sie kritisch die Sicherheitsabfragen beim Anmeldevorgang bei Ihrem Yahoo!-Account. Laut Ihren Ausführungen müssen für den Anmeldevorgang permanente Cookies zugelassen und eine Mobilfunknummer angegeben werden. Zur Klärung der Sachlage habe ich bei der Yahoo! Deutschland GmbH eine Stellungnahme angefordert, die mir am 27. Mai 2013 zugekommen ist.

In dem Schreiben führt Yahoo! zunächst aus, dass bei der Registrierung zwei Sicherheitsabfragen zu wählen und die entsprechenden Antworten anzugeben sind. Diese Abfragen dienen laut Yahoo! ausschließlich dazu, bei Passwortverlust wieder Zugriff auf den Account zu gelangen. In diesem Zusammenhang wird ausgeführt, dass bei der Registrierung entweder vorgefertigte Fragen gewählt oder aber auch eigene Fragen eingegeben werden können. Yahoo! verweist darauf, dass bei diesem Prozess die Komplexibilität in der Hand des Nutzers liegt und es somit möglich ist, Sicherheitsfragen zu wählen, deren Antwort Dritten nicht bekannt ist. Bei der Registrierung wird auf diese Möglichkeit hingewiesen.

In ihrem konkreten Fall ist eine eindeutige Klärung laut Yahoo! bezüglich der zusätzlichen Sicherheitsabfrage beim Anmeldevorgang nicht möglich, da der betroffene Account nicht angegeben wurde. Als möglicher Grund wird eine zweite Anmeldeüberprüfung genannt, die Accounts vor unbefugtem Zugriff schützen soll. In diesem Zusammenhang wird dargestellt, dass Yahoo! eine automatisierte Sicherheitsfunktion eingeführt hat, um unbefugte Zugriffe zu verhindern. Sobald das System einen unberechtigten Zugriff „vermutet“, wird zusätzlich zum Passwort eine Sicherheitsabfrage durchgeführt. Yahoo! führt abschließend hierzu aus, dass hier kein Zusammenhang mit der Zulassung von permanenten Cookies besteht.

In Bezug auf die Angabe der Mobilfunknummer erklärt Yahoo!, dass diese ausschließlich zu Sicherheitszwecken verwendet wird, um z.B. einen Verifizierungscode oder ein neues Passwort an den Kunden zu senden. Die Angabe der Rufnummer ist nicht verpflichtend und wird nicht für andere Zwecke verwendet.

Aufgrund der mir vorliegenden Informationen kann ich keinen Datenschutzverstoß seitens der Yahoo! Deutschland GmbH feststellen. Eine zusätzliche Sicherheitsabfrage beim Anmeldevorgang stellt kein datenschutzrechtlicher Verstoß dar. Ich schließe mich hier der Argumentation von Yahoo! an, dass der Nutzer selbst dafür verantwortlich ist, „sichere“ Passwörter und Sicherheitsabfragen zu verwenden.

Hiermit sehe ich Ihre Angelegenheit als erledigt an. Falls Sie noch weitere Fragen haben sollten, können Sie mich auch gerne anrufen.

Das konnte ich natürlich nicht unwidersprochen stehen lassen.

Guten Tag,

ich sehe die Sache keineswegs als erledigt an.

Früher wurde man beim Login nahezu dazu gezwungen eine Sicherheitsfrage einzugeben. Nur ganz versteckt war es möglich diese Eingabe zu umgehen. Von einer Freiwilligkeit kann hier keine Rede sein.

Diese vermeintliche Sicherheitsabfrage stellt allerdings ein Sicherheitsrisiko dar, weswegen ich damals irgendwelche Zeichen eingegeben habe, damit eben nicht jemand anders das Passwort zurücksetzen kann.

Ich habe den Eindruck, dass sie teilweise meine Eingabe nicht verstanden haben. Ich habe die Sicherheitsfrage damals gezwungenermaßen eingegeben, weil diese beim Login abgefragt wurde und ich erst später bei einem anderen Account entdeckte, wo ich die Umgehung finde.

Zum damaligen Zeitpunkt war keinerlei Rede davon, dass diese Informationen sogar beim Login abgefragt werden würden und damit ein Druckmittel für den Zugang darstellen würden. Weiß man die Sicherheitsfrage nicht mehr und schreibt dem „Service“ von Yahoo wird man aufgefordert eine Alternative nicht Yahoo-Email anzugeben oder eine Handynummer, ansonsten kommt man nicht mehr rein.

Im Gegensatz zu der Behauptung um nicht zu sagen Lüge von Yahoo hängt die Abfrage des Sicherheitspassworts durchaus mit Cookies zusammen. Nachfolgend ein Zitat aus der Begründung für die Yahooabfrage:

„Sie melden sich von einem Gerät aus an, das nicht erkannt wird.“

„Bitte beantworten Sie aus Sicherheitsgründen die Frage unten.“

„Warum erkennen wir Ihr Gerät nicht?
* Sie verwenden ein Gerät oder einen Browser, den/das Sie bislang noch nicht verwendet haben.
* Möglicherweise haben Sie Ihre Browser-Cookies gelöscht oder Ihr Browser löscht die Cookies automatisch beim Schließen.
* Sie verwenden den privaten Browsing-Modus.“

Da ich mit dem Computer schon zuvor in dem Account war und auch nicht den privaten Browsing-Modus verwende kann es nur an Cookies liegen, wobei mir nicht klar ist, warum die Verwendung des Privatmodus ein Grund für eine zusätzlich Hürde wäre.

Wenn es nur an den Cookies liegt, dann daran, dass ich nach jedem Login bzw. die Cookies von Yahoo lösche. Die Hürden soll nach meiner Vermutung dem Zweck dienen Werbeeinnahmen zu generieren in dem die Bewegungen per Cookie verfolgt und ausgewertet werden. Lässt man dies nicht zu.

Desweiteren ist mir nicht möglich die betreffenden Accounts ohne zusätzliche Angaben zu löschen. Selbst bei *** war es mir möglich per Email mein Account zu löschen durch eine Bestätigung per Rückantwort.

Benutzer von Yahoo werden gezwungen unter dem Deckmantel der vermeintlichen Sicherheit Cookies dauerhaft zu akzeptieren.

Mit freundlichen Grüßen

Ulrich Scharfenort