ProtonMail gab IP-Adressen von Nutzer:innen heraus

Wusste schon von Anfang an diesen Anbieter kann man in solchen Punkten nicht trauen, gottseidank bin ich zum Schluss doch komplett zu Posteo gewechselt.

@PP Daniel: Was für einen Anbieter benutzen sie ?
 
Was wäre denn die Alternative zur Herausgabe gewesen? Wenn die Behörden paragraphenwinkend vor der Tür stehen, gibt es da nicht so viele Möglichkeiten. Man könnte sicher der Politik den Vorwurf machen, dass für schwere Straftaten gedachte Ausnahmen für so etwas eingesetzt werden, oder mit dieser verbreiteten Vorstellung aufräumen, dass Schweizer Recht = total anonym!, aber PM kann jetzt auch nicht einfach mal auf geltendes Recht pfeifen und nö sagen. Wenn überhaupt finde ich deren ständiges Wehren gegen nicht erfolgreiche Anfragen löblich bzw. deren eigener Hinweis, man solle sich über VPN oder TOR anmelden, wenn man hohe Anonymität möchte.
 
Was wäre denn die Alternative zur Herausgabe gewesen? Wenn die Behörden paragraphenwinkend vor der Tür stehen, gibt es da nicht so viele Möglichkeiten. Man könnte sicher der Politik den Vorwurf machen, dass für schwere Straftaten gedachte Ausnahmen für so etwas eingesetzt werden, oder mit dieser verbreiteten Vorstellung aufräumen, dass Schweizer Recht = total anonym!, aber PM kann jetzt auch nicht einfach mal auf geltendes Recht pfeifen und nö sagen. Wenn überhaupt finde ich deren ständiges Wehren gegen nicht erfolgreiche Anfragen löblich bzw. deren eigener Hinweis, man solle sich über VPN oder TOR anmelden, wenn man hohe Anonymität möchte.
Darum geht es:
"Der Schweizer E-Mail-Anbieter ProtonMail wirbt mit eingebauter Ende-zu-Ende-Verschlüsselung und verspricht, seine Nutzer:innen weder zu tracken noch identifizierbare persönliche Daten zu speichern."

Die Zweite Aussage ist Bullshit.
Mailbox.org wurde kürzlich von Stiftung Warentest "ausgezeichnet", keine Mails (theoretisch) lesen zu können. Was eben nicht stimmt. Kein PGP - grundsätzlich möglich für den Anbieter mitzulesen bzw: Behörden mitlesen zu lassen.
Die Firma reagierte auf die Bauchpinselei - mit der Klarstellung, dass es eben problemlos möglich sei und hat PGP empfohlen.

Zudem scheint es mir so, dass nicht nur IP-Adressen heraus gegeben wurden. Eine Mail zu versenden ist ja jetzt per se noch kein Anhaltsverdacht für eine Straftat. Es müssen - in wie auch immer gearteter Weise - Inhalte (ab-) geflossen sein.

Die Eierlegende Wollmilchsau wird es im Bereich Privacy nicht geben. Der Nutzer selbst ist gefragt. Und bevor ich (!) persönlich Club-Mate schlürfende Selbst-Bauchpinsler unterstütze, bin ich lieber bei mir (!) sympathischen Firmen und schütze mich zusätzlich noch selbst ab.
 
Last edited:
Nachtrag: Natürlich auch möglich das die Empfänger Stino-Anbieter genutzt haben. Auf die bekommen Behörden problemlos Zugriff. Bei United Internet klappt das heute lt. dem CCC immer noch problemlos. Kompletten Zugang zum Account.
Aber davon ab: Angenommen, die Empfänger nutzen solche 08/15 Accounts, ohne PGP und Kokolores... dann würde es reichen, wenn sie darauf Zugriff hätten. Die Mails vom Delinquenten liegen dann ja im Klartext vor.

Dennoch liest sich der Artikel von Netzpolitik etwas anders. Eben so, als wäre direkt ab Quelle Proton was abgeflossen.
 
Darum geht es:


Die Zweite Aussage ist Bullshit.
Mailbox.org wurde kürzlich von Stiftung Warentest "ausgezeichnet", keine Mails (theoretisch) lesen zu können. Was eben nicht stimmt. Kein PGP - grundsätzlich möglich für den Anbieter mitzulesen bzw: Behörden mitlesen zu lassen.
Die Firma reagierte auf die Bauchpinselei - mit der Klarstellung, dass es eben problemlos möglich sei und hat PGP empfohlen.

Zudem scheint es mir so, dass nicht nur IP-Adressen heraus gegeben wurden. Eine Mail zu versenden ist ja jetzt per se noch kein Anhaltsverdacht für eine Straftat. Es müssen - in wie auch immer gearteter Weise - Inhalte (ab-) geflossen sein.

Die Eierlegende Wollmilchsau wird es im Bereich Privacy nicht geben. Der Nutzer selbst ist gefragt. Und bevor ich (!) persönlich Club-Mate schlürfende Selbst-Bauchpinsler unterstütze, bin ich lieber bei mir (!) sympathischen Firmen und schütze mich zusätzlich noch selbst ab.
Die zweite Aussage scheint auch eine Interpretation des Autors des Artikels zu sein? Auf der Seite von Protonmail habe ich jedenfalls nichts in der Richtung gelesen, dort ist immer die Rede davon, dass die reinen Inhalte verschlüsselt und nicht einsehbar sind, aber von im Zweifelsfall geschützten Metadaten steht da nichts, im Gegenteil (https://protonmail.com/blog/protonmail-threat-model/):
While ProtonMail does not have the ability to decrypt message contents or attachments, like any email service we have access to metadata (such as sender/recipient and subject lines), because without this information we could not deliver messages to their final destination. Because ProtonMail is based in Switzerland, this metadata remains under the protection of some of the world’s strongest privacy laws. However, if presented with a valid order from a Swiss court involving a case of criminal activity that is against Swiss law, ProtonMail can be compelled to share account metadata (but not message contents or attachments) with law enforcement.
und weiter unten noch einmal explizit
The Internet is generally not anonymous, and if you are breaking Swiss law, a law-abiding company such as ProtonMail can be legally compelled to log your IP address.
bzw. auf https://protonmail.com/security-details der Hinweis auf das Angebot über TOR für besonders auf Anonymität angewiesene Personen wie Journalisten oder Aktivisten:
Unlike competing email services, we do not track you. As we have no way to read encrypted emails, we also do not serve targeted advertisements or build profiles with your personal data. For extra privacy for users in sensitive professions (journalists or activists), we also provide an anonymous email gateway.
Ich wüsste also echt nicht, was man PM jetzt zum Vorworf machen könnte, außer man hält den Dienst für anonymer als er tatsächlich (wie auch laut deren eigener Aussage) ist. Da ist man dann aber selbst schuld.
 
Posteo ist jetzt auch nicht so das ware leider :confused:
  • kein Datenhandel, keine Datenweitergabe:
    Kein Datenhandel und keine Datenweitergabe (ausser auf richterlichen Beschluss)
  • tägliche Backups:
    Wir fertigen täglich Sicherheits-Backups aller Postfächer an und bewahren diese für die Dauer von 7 Tagen auf.
 
Ich wüsste also echt nicht, was man PM jetzt zum Vorworf machen könnte, außer man hält den Dienst für anonymer als er tatsächlich (wie auch laut deren eigener Aussage) ist. Da ist man dann aber selbst schuld.
Ich habe mich nicht soweit eingelesen, als das ich wüßte was konkret dem Delinquenten vorgeworfen wird. Es wird sich aber nach meiner Mutmaßung nicht um eine Bombendrohung handeln, die per Mail versendet wurde.
Dementsprechend ist das versenden einer "normalen" Mail kein Anhaltsverdacht für einen Straftatbestand.

Also entweder sind von PM mehr Daten abgeflossen, als zugegeben wird und/oder der/die Empfänger nutzen einen Stino-Anbieter, der Behörden kompletten Zugriff in den Account ermöglicht.

Richtig ist, dass jeder für seine OpSec verantwortlich ist. Eine All-in-One Lösung gibt es hier nicht, sondern besteht immer aus vielen Einzelteilen.
 
Posteo ist jetzt auch nicht so das ware leider :confused:
  • kein Datenhandel, keine Datenweitergabe:
    Kein Datenhandel und keine Datenweitergabe (ausser auf richterlichen Beschluss)
  • tägliche Backups:
    Wir fertigen täglich Sicherheits-Backups aller Postfächer an und bewahren diese für die Dauer von 7 Tagen auf.

Du kannst das PostFach/Notizen und vieles mehr via Krypto-Mailspeicher verschlüsseln. Verlierst aber dann auch Diverse Funktionen wie Backups wiederherstellen oder sonstiges.

Die haben ein Transparenzbericht wo du sehen kannst, wann/wo/wieviel Angefragt und herausgegeben wurde.

Habe halt alles via Krypto-Mailspeicher verschlüsselt + über Mailvelope alle eingehenden und ausgehenden E-mail mit PGP verschlüsselt. Selbst wenn die mein postfach weitergeben müssten oder es beschlagnahmt wird, man kann es nicht entschlüsseln.
 
Back
Top