Meldungen

„Aktuelle Meldungen rund um Posteo: Neuigkeiten, Entwicklungen, Hintergrundinfos, Medienbeiträge über Posteo - das ganze Spektrum.“

Blog und Medien

Kategorien:

  • Blog
  • Medien
  • Info

Wir suchen Verstärkung!

Erstellt am 07. Juli 2017, 18:45 Uhr | Kategorie: Blog

Liebe Kundinnen und Kunden,
liebe Interessierte,

heute haben wir eine Mitteilung in eigener Sache.
Wir suchen zur Verstärkung unseres Teams ab sofort:

- eine(n) Systemadministrator(in)
- eine(n) erfahrene(n) PHP- und Javascript-Softwareentwickler(in)
- eine(n) Teamassistent(in)

#more#

Falls Sie sich für eine der ausgeschriebenen Stellen interessieren, freuen wir uns auf Ihre Bewerbung per E-Mail an jobs@posteo.de.
Vielleicht kennen Sie auch Menschen, für die eine der ausgeschriebenen Stellen infrage kommen könnte. In diesem Fall freuen wir uns darüber, wenn Sie unsere Anzeige weiterleiten.

Die Stellenanzeigen finden Sie unter:
https://posteo.de/site/jobs

Viele freundliche Grüße sendet
das Posteo-Team

Update: Petya war auf Datenzerstörung aus

Erstellt am 27. Juni 2017, 17:15 Uhr | Kategorie: Blog

Update am 29. Juni 2017, 17:30:

Führende Sicherheitsfirmen vertreten inzwischen die Ansicht, dass Petya (auch “Petrwrap”, “NotPetya”) auf Datenzerstörung aus war. Offenbar tarnte sich Petya nur als Erpressungstrojaner – hatte aber nicht das Ziel, Geld zu erpressen. Analysen der IT-Sicherheitsfirmen Kaspersky und Comae Technologies haben jeweils ergeben, dass die Schadsoftware Daten auf betroffenen Festplatten nicht etwa verschlüsselt, sondern löscht.
Petya überschreibt Daten offenbar irreversibel, sodass eine Wiederherstellung der Daten nicht möglich ist.
Lösegeldzahlungen und Kontaktaufnahmen mit den Angreifern wären für die Betroffenen von Anfang an sinnlos gewesen.

Die im Zusammenhang mit der Attacke angegebene Posteo-Adresse hatten wir am Dienstag Mittag umgehend gesperrt, bevor die Angriffswelle sich ausbreitete. Die gesperrte Adresse wurde von den Angreifern nicht durch eine andere Adresse ersetzt.

27. Juni 2017, 17:15:

Info zur Ransomware PetrWrap/Petya: Betroffenes Postfach bereits seit Mittag gesperrt

Heute Mittag haben wir Kenntnis darüber erhalten, dass Ransomware-Erpresser aktuell eine Posteo-Adresse als Kontaktmöglichkeit angeben.
Unser Abuse-Team hat dies sofort geprüft – und das Postfach umgehend gesperrt. Wir dulden keinen Missbrauch unserer Plattform: Das umgehende Sperren missbräuchlich genutzter Postfächer ist ein übliches Vorgehen von Providern in solchen Fällen. Zum Zeitpunkt der Sperrung lag noch keine Berichterstattung zu der Ransomware vor.

Im Laufe des Nachmittags hat sich herausgestellt, dass die Schadsoftware “PetrWrap/Petya” sich derzeit schnell verbreitet, u.a. in der Ukraine.

Hier die Fakten, die wir zu “PetrWrap/Petya” beisteuern können:

- Den Erpressern ist es schon seit dem Mittag nicht mehr möglich, auf das Postfach zuzugreifen oder E-Mails zu versenden.
- Ein E-Mailversand an das Postfach ist ebenfalls nicht mehr möglich.

Wir stehen in Kontakt mit dem Bundesamt für Sicherheit in der Informationstechnik.

Was ist Ransomware?
Als “Ransomware” werden Schadprogramme bezeichnet, die z.B. über einen Klick auf verseuchte Links oder Anhänge auf einem Gerät installiert werden. Dies gelingt vor allem dann, wenn das Gerät schlecht geschützt ist, zum Beispiel wenn dort installierte Software länger nicht geupdatet wurde. Die Schadsoftware verhindert den Zugriff auf Daten und Systeme – und der betroffene Nutzer wird zur Zahlung eines Lösegeldes für die Freigabe seiner Daten aufgefordert. Eine Zahlung führt häufig jedoch nicht zur Freigabe der Daten.

Viele Grüße
das Posteo-Team

Neu: Posteo-Umzugsservice jetzt auch für Kalender

Erstellt am 12. Juni 2017, 17:40 Uhr | Kategorie: Info

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir haben unseren Posteo-Umzugsservice erweitert: Ab sofort können Sie nicht nur Ihre E-Mail-Postfächer und Adressbücher, sondern auch Ihre Kalender bequem zu Posteo übertragen.

Der Umzugsservice ermöglicht Ihnen den Kalendertransfer von Anbietern wie gmx, web.de, Gmail, Aol oder iCloud.

So funktioniert es: Sie finden den Umzugsservice in den Einstellungen Ihres Posteo-Postfachs, unter “Mein Konto”. Legen Sie dort einen neuen Umzug an, werden Ihnen ab sofort nicht nur die E-Mail-Ordner und das Adressbuch, sondern auch die Kalender Ihres bisherigen Postfachs angezeigt. Per Mausklick wählen Sie komfortabel aus, welche Daten Sie zu Posteo übertragen möchten. Ob Sie die Daten bei Ihrem bisherigen Anbieter nach dem Umzug löschen, entscheiden Sie selbst.

Das Besondere am Posteo-Umzugsservice:
Er kostet keinen Aufpreis, Sie benötigen keine besonderen Technikkenntnisse – und Sie behalten die Kontrolle über Ihre Daten. Ihre sensiblen E-Mails, Adressbuch- oder Kalenderdaten werden zu keinem Zeitpunkt über Drittdienstleister geleitet. Wir haben unseren Umzugsservice selbst entwickelt, damit er unseren hohen Ansprüchen an Sicherheit und Datensparsamkeit entspricht: Ihre Daten werden durch uns direkt bei Ihrem bisherigen Anbieter abgerufen – und über verschlüsselte Verbindungen in Ihr Posteo-Postfach übertragen.

Auch speichern wir aus Datensparsamkeitsgründen z.B. nicht, von welcher E-Mail-Adresse Sie Daten in Ihr Posteo-Postfach übertragen haben.

Sollten Sie Fragen zum Umzug Ihrer Kalenderdaten oder zum Posteo-Umzugsservice insgesamt haben, wenden Sie sich gerne an unseren Kunden-Support.

Viele Grüße sendet
Ihr Posteo-Team

"Datenschutz wirklich beeindruckend umgesetzt": Bundesdatenschutzbeauftragte über Posteo

Erstellt am 30. Mai 2017, 19:00 Uhr | Kategorie: Blog

Liebe Posteo-Kundinnen und Posteo-Kunden,

die Bundesdatenschutzbeauftragte, Andrea Voßhoff, hat heute ihren aktuellen Tätigkeitsbericht für die Jahre 2015 und 2016 vorgelegt.

In dem Bericht wird aufgeführt, welchen Unternehmen in den vergangenen zwei Jahren ein Kontrollbesuch abgestattet wurde.
Hier werden auch wir erwähnt: Denn Posteo wurde im November 2016 routinemäßig und anlasslos geprüft.

Die Bundesdatenschutzbeauftragte schreibt über Posteo (anonymisiert) in ihrem Bericht:
“Ein E-Mail-Diensteanbieter hat den Datenschutz hingegen wirklich beeindruckend umgesetzt. Obwohl es sich um einen gebührenpflichtigen Dienst handelt, hat das Unternehmen einen Weg gefunden, weder Bestandsdaten im Sinne des § 95 TKG noch Verkehrsdaten nach § 97 TKG für den Betrieb zu benötigen und diese folglich auch nicht zu erheben oder dauerhaft zu speichern. Wie mir berichtet wurde, zweifeln viele Sicherheitsbehörden, die Auskunft nach § 113 TKG verlangen, diese Praxis an und versuchen, teilweise gerichtlich nicht vorhandene Daten einzuklagen.”

Quelle: 26. Tätigkeitsbericht zum Datenschutz für die Jahre 2015 und 2016, Seite 177

Das Betreiben eines konsequent datenschutzfreundlichen Angebotes ist in Deutschland tatsächlich mitunter schwierig. Es ist mit einem enormen bürokratischen Aufwand und mit hohen Anwaltskosten verbunden.
Wir freuen uns deshalb sehr über die wohlwollende Erwähnung im Tätigkeitsbericht.

Da der Tätigkeitsbericht nun vorliegt, veröffentlichen wir aus Transparenzgründen heute auch den Prüfbericht der Bundesdatenschutzbeauftragten zu Posteo. Der Kontrollbesuch fand am 24. November 2016 statt. Aus Sicherheitsgründen haben wir wenige technische Details, die u.a. dem Schutz vor Mißbrauch dienen, geschwärzt. Das gilt auch für zwei Passagen zu einem laufenden juristischen Verfahren.

Hier der Bericht der BfDI zu Posteo im Pdf-Format.

Eine Auswahl von Zitaten aus dem Prüfbericht:

zu Bestandsdaten:
“Zusammenfassend stelle ich fest, dass Posteo im Sinne des § 95 TKG keine Bestandsdaten erhebt.” (Seite 4)
“Posteo berücksichtigt den Grundsatz der Datensparsamkeit sehr umfassend. Obwohl die Konten gebührenpflichtig sind, hat Posteo einen Weg gefunden, keine Bestandsdaten erheben zu müssen.” (Seite 8)

zu Bezahldaten:
“Die Bezahldaten werden nicht mit den E-Mail-Postfächern verknüpft, sondern getrennt gespeichert. Hierfür hat Posteo bereits 2009 ein eigenes System zur Anonymisierung der Zahlungsvorgänge entwickelt, das in 2015 den neuen gesetzlichen Vorgaben zur länderspezifischen Mehrwertsteuer angepasst wurde.” (Seite 2)

zu IP-Adressen, Logdaten und Verkehrsdaten:
“IP-Adressen von Kunden sind in den internen Systemen von Posteo nicht verfügbar und können daher auch nicht gespeichert werden.” (Seite 5)
“Zusammenfassend stelle ich fest, dass Posteo keine auf Kunden beziehbaren IP-Adressen und damit keine Verkehrsdaten nach § 96 TKG zur Diensterbringung benötigt und speichert.” (Seite 6)
“Die Gewährleistung der Sicherheit der Systeme nach § 109 TKG ist ohne Erhebung von personenbeziehbaren Verkehrsdaten sichergestellt.” (Seite 8)

zur Verschlüsselung:
“Gegen physischen Diebstahl sind alle Festplatten verschlüsselt, wobei Posteo im Besitz dieses Schlüssels ist. Zusätzlich kann der Nutzer den Posteo-Krypto-E-Mail-Speicher nutzen, um seine E-Mail mit einem eigenen Schlüssel zu verschlüsseln. Posteo unterstützt zusätzlich die Ende-zu-Ende-Verschlüsselung basierend auf PGP und S/MIME. Eine E-Mail kann also dreimal unabhängig voneinander verschlüsselt sein.” (Seite 7)
“Jeder Nutzer kann eine TLS-Versand-Garantie einschalten. Diese stellt sicher, dass die E-Mail über eine sichere, verschlüsselte Verbindung gesendet wird. (…) Ist ein sicherer Versand nicht möglich, wird die E-Mail nicht versendet und Posteo benachrichtigt den Absender per E-Mail.” (Seite 7)

Viele Grüße
Ihr Posteo-Team

Bedenkliche Entwicklung: Wie Providern "Vorratsdatenspeicherung as a Service" angeboten wird

Erstellt am 11. Mai 2017, 14:30 Uhr | Kategorie: Blog

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

wir haben gestern einen Werbebrief der Firma Uniscon (universal identity control GmbH ) erhalten.
Wir veröffentlichen ihn, um transparent zu machen, wie einige Akteure die neue Vorratsdatenspeicherung derzeit aktiv ausgestalten. Und wie sie versuchen, Unternehmen “Vorratsdatenspeicherung as a Service” zu verkaufen.

Bei Uniscon weiss man offenbar nicht, dass E-Mail-Anbieter wie Posteo (Dienste der elektronischen Post) von der Pflicht zur Vorratsdatenspeicherung explizit ausgenommen sind. Im Schreiben an uns wird behauptet, alle Telekommunikationsunternehmen seien ab dem 1.07.2017 verpflichtet, “eine sichere Lösung zur Speicherung von Verkehrsdaten (VDS) einzusetzen”.

Trotz dieses grundlegenden Irrtums bietet man uns in dem Schreiben einen “Gesamtservice für die Vorratsdatenspeicherung” an, der auch Rechtliches umfasst: die Firma könne das automatische Erteilen “von Auskünften an auskunftssuchende Behörden” sowie das “gesetzliche Berichtswesen” für uns übernehmen. Man verspricht sogar “Entlastung bei der Kommunikation mit der Bundesnetzagentur”.
Auch das Speichern der Verbindungsdaten könne übernommen werden. Derzeit, so schreibt das Unternehmen, “bedienen wir 60 Kunden mit der Lösung, welche im Rechenzentrum des TÜV-Süd betrieben wird.”

Im Brief wird betont, die Lösung sei “in sehr enger Zusammenarbeit mit dem Bundeswirtschaftsministerium entstanden”.
Man habe “im Dialog mit der Bundesnetzagentur wesentliche Punkte des Anforderungskataloges (Anm. d. Red.: für die VDS) mitgestaltet”. Ihre Lösung nennen sie “Vorratsdatenspeicherung as a Service (VDSaaS)” und schreiben: “Wir nehmen Ihnen diese Aufwände ab, damit Sie sich auf Ihr Geschäft fokussieren können!”

Wir halten eine an Dienstleister ausgelagerte Vorratsdatenspeicherung und Datenausleitung, wie sie sich in diesem Schreiben andeutet, für sehr bedenklich.

Provider sollten Verantwortung für ihre Kunden tragen: das rechtliche Prüfen und Abwickeln eingehender Behördenersuchen und richterlicher Anordnungen sollte nicht an Dienstleister ausgelagert werden. Aus der eigenen Praxis wissen wir, dass Behördenersuchen oft nicht rechtmäßig sind. Für die Betroffenen geht es u.a. um Beschränkungen ihrer Grundrechte (siehe Grundgesetz Art 10). Wir halten es aus Gründen der demokratischen Kontrolle deshalb für nicht wünschenswert, dass wenige Dienstleister diese gesellschaftlich wichtige Aufgabe für eine Vielzahl von Telekommunikationsunternehmen übernehmen. Aus denselben Gründen sollte auch das technische Speichern und Ausleiten von Verbindungsdaten der Bürgerinnen und Bürger nicht in die Hand von Dienstleistern gelegt werden. Sicherheitstechnisch ist das Speichern von Verkehrsdaten zahlreicher Anbieter an nur einem oder wenigen Standorten ohnehin nicht zu empfehlen.

Posteo ist von der Vorratsdatenspeicherung nicht betroffen. E-Mail-Anbieter wie Posteo (Dienste der elektronischen Post) sind von der Pflicht zur Vorratsdatenspeicherung explizit ausgenommen. Wir unterhalten keinerlei Geschäftsbeziehungen zu der Firma Uniscon. Den Werbebrief haben wir unaufgefordert erhalten. Wir lehnen die verdachtsunabhängige Vorratsdatenspeicherung grundsätzlich ab.

Viele Grüße
Ihr Posteo-Team