Posteo.de - Aktuelles

Jetzt anmelden zum Girls'Day am 25. April

2024-03-22T16:00:00+01:00

Am 25. April 2024 ist wieder Girls’Day: Auch wir sind in diesem Jahr mit dabei – und interessierte Schülerinnen können sich ab sofort anmelden.

#more#

Der Girls’Day ist ein bundesweiter Aktionstag zur Berufsorientierung, an dem Mädchen ab der 5. Klasse Einblick in Berufe nehmen können, die immer noch vorwiegend von Männern gewählt werden. So auch der vielseitige und spannende Beruf der Software-Entwicklerin: Der Frauenanteil im Studiengang Informatik liegt in Deutschland seit Jahren bei nur etwa einem Viertel.

Wir geben 10 Schülerinnen die Möglichkeit, einen Ausflug in die Welt des Codens zu machen und sich mit Posteo-Mitarbeiterinnen auszutauschen. Bei uns ist das Verhältnis zwischen Männern und Frauen in der Entwicklung ausgewogen. Viele Posteo-Funktionen wurden von Frauen programmiert; wie etwa der Posteo-Umzugsservice, unsere mobile Benutzeroberfläche, der Anhangs-Browser mit Foto-Stream oder der Dark Mode im Posteo-Webmailer.

Am Girls’Day werden zwei unserer Mitarbeiterinnen aus der Software-Entwicklung erzählen, warum sie sich für ihren Studiengang entschieden haben, welche Inhalte im Informatikstudium zu erwarten sind, wie das Studieren mit so vielen männlichen Kommilitonen und Professoren war – und wie es danach beruflich für sie weiterging. Sie beantworten Fragen der Mädchen rund um die Berufswahl, und sprechen mit ihnen über die vielen Vorteile, die der Beruf aus ihrer Sicht mit sich bringt.

Die Schülerinnen lernen auch die E-Mail-Welt näher kennen: Wir zeigen ihnen, wie es funktioniert, dass so viele Rechner weltweit miteinander kommunizieren und über Protokolle Informationen austauschen. Das werden die Mädchen auch selbst ausprobieren können – und mit einem E-Mail-Server chatten. Unsere Mitarbeiterinnen werden ihnen außerdem zeigen, woran sie bei Posteo gerade arbeiten.

Die Veranstaltung findet in unserem Posteo-Lab in Berlin statt. Anmelden können sich Schülerinnen, die 12 Jahre oder älter sind und wissen wollen, wie es ist als Software-Entwicklerin zu arbeiten. Vorkenntnisse sind nicht notwendig. Die Verpflegung ist inklusive: Es gibt Getränke und Obst und wir werden mittags vegetarische und vegane Snacks anbieten. Mehr Informationen und die Möglichkeit zur Anmeldung zu unserem Angebot finden Interessierte auf der Website des Girls’Day.

In unserem Blog haben wir über den Girls’Day 2023 bei Posteo berichtet.

Wir suchen Verstärkung!

2024-03-14T18:30:00+01:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

heute haben wir eine Mitteilung in eigener Sache.
Wir suchen zur Verstärkung unseres Teams aktuell:

- eine(n) Web-Softwareentwickler(in) (m/w/d)
- eine(n) Mitarbeiter(in) (m/w/d) für den englischsprachigen Kunden-Support und Übersetzungen
- eine(n) Mitarbeiter(in) (m/w/d) für den spanischsprachigen Kunden-Support und Übersetzungen
- eine(n) Systemadministrator(in) (m/w/d)
- eine(n) Postmaster(in) (m/w/d)
- eine(n) Software-Tester(in) (m/w/d)
- eine(n) Umweltingenieur(in) und Nachhaltigkeitsmanager(in) (m/w/d)

Falls Sie sich für eine der ausgeschriebenen Stellen interessieren, freuen wir uns auf Ihre Bewerbung per E-Mail an jobs@posteo.de.
Vielleicht kennen Sie auch Menschen, für die eine der ausgeschriebenen Stellen infrage kommen könnte. In diesem Fall freuen wir uns darüber, wenn Sie unsere Anzeige weiterleiten.

#more#

Arbeiten bei Posteo

Posteo ist ein unabhängiger und innovativer E-Mailanbieter. Wir setzen auf Nachhaltigkeit, Sicherheit, maximalen Datenschutz, einfache Bedienbarkeit und Werbefreiheit.
Wir legen Wert auf langfristige Arbeitsverhältnisse. Bei uns gibt es ausschließlich unbefristete Festanstellungen.

Viele Tätigkeiten sind vollständig remote möglich. Bewerben Sie sich auf solche Stellen gerne auch, wenn Sie nicht in Berlin wohnen und von einem anderen Ort innerhalb von Deutschland aus arbeiten möchten.
Wer zeitweise oder dauerhaft lieber in einem Büro arbeitet, kann das auf dem verkehrsgünstig gelegenen Posteo-Campus in Berlin tun – kostenfreies Mittagessen inklusive.

Egal, ob Sie lieber mobil arbeiten oder im Büro: Eine gute Work-Life-Balance muss gesichert sein. Die Wochenarbeitszeit kann auf Wunsch flexibel in einem Gleitzeit-Modell geleistet und auf Wunsch an veränderte Lebenssituationen angepasst werden.

Wer bei Urlaub im Ausland mit dem Zug reist, bekommt bis zu 2 zusätzliche Urlaubstage pro Jahr und einen Zuschuss für das Bahnticket. Unsere Mitarbeiterinnen und Mitarbeiter erhalten außerdem ein kostenfreies ÖPNV-Ticket. Fahrräder, die auch für den Weg zur Arbeit benutzt werden, lassen wir kostenfrei warten und reparieren.

Mehr Informationen über die Arbeit bei Posteo und die aktuellen Stellenanzeigen finden Sie unter:
https://posteo.de/site/jobs

Viele freundliche Grüße sendet
das Posteo-Team

Neues Sicherheitszertifikat

2024-02-23T10:40:00+01:00

Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,

wir aktualisieren unser Haupt-Sicherheitszertifikat. Sicherheitszertifikate haben eine zeitlich begrenzte Gültigkeit und müssen hin und wieder erneuert werden.

In den meisten Fällen werden Sie davon nichts mitbekommen.
Alle aktuellen Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.
#more#
Wenn Sie das Vertrauen des Zertifikats durch einen manuellen Abgleich regeln, finden Sie unten den Fingerprint des neuen Haupt-Zertifikats. Die vollständigen Fingerprints aller Zertifikate finden Sie auch in unserem Impressum.

Neue Fingerprints des TLS-Sicherheitszertifikats für posteo.de:

Geotrust:
SHA256: AA:FC:E1:21:F4:15:14:E6:8D:09:ED:F4:87:EA:E6:1E:02:99:BC:9B:41:51:4C:FC:DC:BE:F5:E8:A5:60:9C:DD
SHA1: ED:87:9A:C6:E6:2E:72:82:42:AD:30:D9:05:38:30:34:7C:47:2F:24

Viele Grüße
Ihr Posteo-Team

Jetzt Neu: posteo.com und weitere Posteo-Domains

2023-12-14T12:30:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir bauen unser Angebot aus: Ab sofort können Postfächer auch mit der E-Mail-Domain @posteo.com registriert werden. Darüber hinaus bieten wir für Postfächer nun auch die Domains @posteo.us, @posteo.ca, @posteo.uk, @posteo.ie, @posteo.es, @posteo.at, @posteo.ch, @posteo.nl, @posteo.be und @posteo.lu an.

#more#

Bislang konnten Postfächer nur mit @posteo.de und @posteo.net angelegt werden. Viele von Ihnen hatten sich die zusätzlichen Optionen gewünscht.

Falls Sie eine der neuen Domains für Ihr bestehendes Postfach bevorzugen, können Sie dieses ab sofort unkompliziert in den Einstellungen unter “Aliase” umbenennen. Ihre bisherige Adresse wird dann als Alias eingetragen, damit Sie auch weiterhin alle E-Mails erreichen.
Weitere Informationen finden Sie bei Bedarf in unserer Hilfe.

Für Posteo-Mailaliase stehen viele weitere Top-Level-Domains (der Adressteil nach “@posteo.”) zur Verfügung, wie etwa .me oder .eu.

Übrigens: Ihre Posteo-Adresse kann nur von Ihnen mit anderen Posteo-Domains angelegt werden. Haben Sie etwa die Adresse beispieladresse@posteo.de, können nur Sie auch die Adresse beispieladresse@posteo.com anlegen.

Viele Grüße
Ihr Posteo-Team

Posteo-Gutscheine zum Verschenken

2023-12-04T15:30:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

suchen Sie noch ein kleines Präsent für eine Person, die eine E-Mail-Adresse bei Posteo hat?
Mit unseren Gutscheinen können Sie anderen eine Freude machen.

#more#

Gutscheine als Geschenk

Einen Gutschein können Sie mit wenigen Klicks in den Einstellungen Ihres Postfachs erstellen. Er lässt sich per E-Mail an andere Posteo-Postfächer versenden. Wenn Sie möchten, fügen Sie der E-Mail eine persönliche Nachricht hinzu.
Oder Sie schreiben den Gutscheincode in eine Geschenkkarte, die Sie individuell gestalten können.
Wenn Sie eine Geschenkkarte im Posteo-Design möchten, können Sie hierfür auch unsere Vorlagen nutzen, die Sie unter diesem Blog-Beitrag finden: Sie werden mit einem Fotodrucker oder an Fotostationen im Einzelhandel ausgedruckt und auf eine Grußkarte geklebt.

Für den Ausdruck an einer solchen Station speichern Sie die Bilder auf einem USB-Stick. Mit dem Stick können Sie dort dann die gewünschten Vorlagen ausdrucken. Wir empfehlen die Größe 10 × 15 cm. So passen Ihre Ausdrucke zu den meisten handelsüblichen Grußkarten. Kleben Sie Ihre gedruckte Vorlage dann in oder auf die Karte, die Sie mit dem Gutscheincode und einem persönlichen Text beschriften.

Unten finden Sie unsere Vorlagen. Laden Sie sich einfach die gewünschten Bilder auf Ihre Festplatte oder Ihren USB-Stick herunter.

Kleiner Geschenke-Knigge

Wir empfehlen unsere Gutscheine als Geschenk für Personen, die schon eine E-Mail-Adresse bei Posteo haben: Diese freuen sich sicher über Ihren Gutschein – und sehen ihn als nützliches Geschenk an.
Wollen Sie eine Person beschenken, die noch kein Postfach bei uns hat, klären Sie vorab, ob ein Posteo-Gutschein ein erwünschtes Geschenk ist.
Mit einem Gutschein kann auch ein neues Postfach eröffnet werden: Es kostet aber auch dann noch 1 EUR pro Monat, wenn das verschenkte Guthaben aufgebraucht ist. Beim Schenken ist daher ein wenig Fingerspitzengefühl gefragt.

Gutscheine zum Aufladen von Postfächern verwenden

Die Gutscheine eignen sich übrigens nicht nur zum Verschenken an Geburts- und Feiertagen. Sie können mit ihnen auch das Guthaben von Familienmitgliedern wieder aufladen, zum Beispiel von den Kindern, der Partnerin oder dem Partner.

Anleitungen zum Erstellen und Einlösen von Gutscheinen finden Sie in unserer Hilfe:
https://posteo.de/hilfe/wie-kann-ich-einen-posteo-gutschein-erstellen
https://posteo.de/hilfe/wie-kann-ich-einen-posteo-gutscheincode-einloesen

Viele Grüße und schöne Feiertage wünscht
Ihr Posteo-Team

Gutschein zum Herunterladen

Neu bei Posteo: Optionaler Spam-Ordner und Spam-Log

2023-10-17T14:50:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir haben zwei neue Spam-Optionen freigeschaltet: Ab sofort können Sie Ihr Postfach mit oder ohne einen Spam-Ordner verwalten – oder das neue Spam-Log nutzen. Die neuen Optionen lassen sich in den Einstellungen aktivieren bzw. deaktivieren. Wir stellen sie kurz vor.

#more#

Arbeiten Sie ohne einen Spam-Ordner, wird die Annahme von als Spam eingestuften E-Mails abgelehnt und der Absender wird darüber informiert. Sie sparen im Alltag Zeit, da es keinen Spam-Ordner gibt, der regelmäßig kontrolliert und sortiert werden muss. Denn: Rechtlich gelten auch E-Mails in Spam-Ordnern in der Regel als zugestellt. Zudem wird Ihre E-Mail-Adresse für Spammer deutlich unattraktiver, wenn die Annahme des potentiell gefährlichen Datenmülls regelmäßig abgelehnt wird.

In Spam-Ordnern werden auch regelmäßig Kontaktversuche übersehen oder erst sehr spät bemerkt. So hätte es den Snoop Dogg-Song “Chai Tea with Heidi” zum Beispiel fast nicht gegeben, weil Heidi Klum eine E-Mail des Rechteinhabers Rod Stewart fast zwei Monate lang im Spam-Ordner übersehen hatte. Programme wie Thunderbird, Outlook oder Smartphone-Apps können E-Mails aus Spam-Ordnern sogar nach kurzer Zeit automatisiert löschen. Bitte kontrollieren Sie deshalb unbedingt die Löscheinstellungen in Ihren Programmen, wenn Sie mit einem Spam-Ordner arbeiten. Sonst könnte dort Kommunikation verloren gehen. Wir löschen E-Mails aus dem Spam-Ordner nicht.

Spam-Ordner: Alle Spam-Mails erhalten

Wer sich für den optionalen Spam-Ordner entscheidet, kann dort jederzeit kontrollieren, welche E-Mails von uns als Spam eingestuft wurden. Alle Spam-Mails werden in diesen Ordner zugestellt.

Aus dem Kundendienst wissen wir: Eine falsche Spameinstufung ist sehr selten und wird meist nur vermutet. Wird eine erwartete E-Mail vermisst, stellt sich in den meisten Fällen heraus, dass entweder ein Tippfehler in der E-Mail-Adresse war oder eine andere E-Mail-Adresse angeschrieben wurde. Oft trifft die fragliche E-Mail auch kurz darauf ein. Manchmal haben Kunden auch Filter aktiviert, die ankommende E-Mails direkt in Unterordner einsortieren oder löschen. Oder sie nutzen externe E-Mail-Programme, die E-Mails in eigene Spam-Ordner verschieben. Manchmal ist der Posteingang auch nur versehentlich anders sortiert – und neu eingehende E-Mails werden nicht wie gewohnt angezeigt.

Bitte prüfen Sie die obenstehenden Möglichkeiten, wenn Sie bei aktiviertem Spam-Ordner vermuten, dass eine E-Mail Sie nicht erreicht hat. Technisch können Sie sicher sein, dass wir Ihnen bei aktiviertem Spam-Ordner alle E-Mails an Ihr Postfach zustellen, auch bei einer Spameinstufung.

Das Einschalten des Spam-Ordners kann dazu führen, dass Ihre E-Mail-Adresse für Spammer deutlich attraktiver wird – und Sie in der Folge mehr Spam erhalten. Sie können Ihren Spam-Ordner daher auch nur kurzzeitig bei Bedarf aktivieren: Zum Beispiel während einer Bewerbungsphase, wenn Sie ganz sicher sein möchten, dass unter keinen Umständen etwas schief geht oder erst einer Klärung bedürfte.

Das Spam-Log in der Posteo-Web-App

Der Mittelweg: Das Spam-Log

Sie möchten eigentlich keinen Spam-Ordner verwalten, wollen aber trotzdem wissen, welche E-Mails abgelehnt wurden? Dann können Sie als Alternative zum Spam-Ordner unser neues Spam-Log aktivieren.

Potentiell gefährliche Spam-Mails werden so weiterhin abgelehnt. Wir dokumentieren jede Ablehnung aber für Sie transparent in einem Spam-Log-Ordner. Die Dokumentation enthält jeweils Angaben zu Absender, Datum, Uhrzeit und ggf. Betreff der abgelehnten E-Mail und wird in Echtzeit angelegt. Vorsicht: Absenderangaben werden von Spammern häufig gefälscht.

Sollten Sie einmal vermuten, dass eine E-Mail fälschlicherweise abgelehnt wurde, können Sie das Log kontrollieren und haben sofort Gewissheit.

Bilder, Anhänge und Links sind im Spam-Ordner deaktiviert

Seien Sie vorsichtig mit Spam

Egal, ob Sie sich für oder gegen einen Spam-Ordner entscheiden: Seien Sie immer vorsichtig im Umgang mit verdächtigen E-Mails. Klicken Sie niemals auf Links oder öffnen Anhänge in solchen E-Mails und antworten nicht auf diese. Seriöse Versender fordern Sie in der Regel nicht dazu auf, auf Links zu klicken und dann Zugangsdaten oder andere Daten einzugeben. Zu Ihrer Sicherheit ist im Spam-Ordner das Laden von Bildern sowie das Anklicken von Anhängen und Links in der Posteo-Oberfläche und der Web-App deaktiviert. Ziehen Sie eine E-Mail in einen anderen Ordner, können die Inhalte wieder geladen und angeklickt werden.

Wenn Dringlichkeit suggeriert oder Druck ausgeübt wird eine Aktion auszuführen, ist dies oft ein deutlicher Hinweis auf Spam bzw. Phishing. Hier hilft die Faustregel: Niemals dem Drängeln nachgeben. Wenn Sie Zweifel haben, können Sie sich immer zunächst an unseren kostenfreien Kundendienst wenden. Wir beraten Sie im Umgang mit den verdächtigen E-Mails. Es gibt hier keine dummen Fragen: Selbst IT-Fachleute lassen sich mitunter von gut gemachten Spam-Mails verunsichern. Unser Team nimmt Sie immer ernst.

Viele Grüße
Ihr Posteo-Team

Posteo mit Klima-Mobilitätspreis der Bahn ausgezeichnet

2023-07-04T09:30:00+02:00

Posteo ist Gewinner der “Climate Mobility Challenge 2023” der Deutschen Bahn: Bei der Preisverleihung in Berlin wurden wir am 29.06. für unser nachhaltiges Mobilitätskonzept ausgezeichnet.
Mit dem Wettbewerb will die Bahn seit 2022 Anreize für Unternehmen schaffen, ihren CO2-Ausstoß durch ein klimafreundlicheres Mobilitätsverhalten zu verringern.

#more#

Nachdem die Jury uns für den Preis in der Kategorie “Kleine Unternehmen (bis 50 Mitarbeiter)” nominiert hatte, fiel die finale Entscheidung am Donnerstagabend beim “Mobility Symposium” der Deutschen Bahn per Publikumsabstimmung. Posteo-Gründer Patrik Löhr und Dean Ceulic aus der Geschäftsführung nahmen den Preis im Anschluss von Bahn-Vorständin Stefanie Berk entgegen.
Wir freuen uns über die Auszeichnung!

Unser prämiertes Mobilitätskonzept im Überblick

Unser Team besteht aus über 40 Mitarbeiterinnen und Mitarbeitern, verteilt über ganz Deutschland. Unser Mobilitätskonzept ist Teil der gesamtbetrieblichen Nachhaltigkeitsstrategie – im Lauf der Jahre haben wir es immer weiter ausgebaut.

Die Awards

No-Flights-Policy: Wir verzichten aus Klimaschutzgründen bereits seit unserer Gründung 2009 vollständig auf geschäftliche Flugreisen. Wir haben die Erfahrung gemacht, dass viele Ziele auf dem europäischen Festland auch sehr gut mit der Bahn im Rahmen von Dienstreisen zu erreichen sind.

Förderung klimafreundlicher Reisen: Seit 2014 gewähren wir unseren Mitarbeiterinnen und Mitarbeitern 2 zusätzliche Urlaubstage pro Jahr, wenn diese bei privaten Auslandsreisen auf das Flugzeug verzichten – und zahlen einen Zuschuss (150 €, netto) für das Bahnticket. Bei diesem freiwilligen Angebot geht es uns darum, einen Anreiz für umweltfreundliche Zugreisen zu geben und die längere Anfahrt zum Urlaubsort durch zusätzliche Urlaubstage auszugleichen. Von unserem Team wird das Angebot seit vielen Jahren sehr gut angenommen und wertgeschätzt.

Remote-Stellen: Die meisten Teammitglieder können bei Posteo vollständig „remote“ arbeiten, da die Stellen dies erlauben. Das reduziert die Pendelfahrten und mobilitätsbedingte CO2-Emissionen. Wir haben uns dazu entschieden, mobiles Arbeiten auch nach der Pandemie dauerhaft weiter zu ermöglichen.

Kostenfreies ÖPNV-Ticket: Alle Mitarbeiterinnen und Mitarbeiter erhalten von uns ein kostenfreies ÖPNV-Ticket. Und zwar auch dann, wenn sie ausschließlich remote arbeiten oder nicht an unserem Unternehmensstandort in Berlin wohnen.

Gut erreichbarer Standort: Unsere Büros sind zentral gelegen in Berlin und gut mit öffentlichen Verkehrsmitteln, dem Fahrrad und zu Fuß zu erreichen.

Fahrradreparatur: Wir tragen die Wartungs- und Reparaturkosten inkl. Ersatzteile für Fahrräder, die auch für den Arbeitsweg genutzt werden. Dieses Angebot wird vom Team gerne in Anspruch genommen. In der Tiefgarage unter unseren Büros haben wir zudem Auto-Parkplätze angemietet und auf ihnen sichere Fahrradstellplätze eingerichtet.

Ideenpool für Unternehmen

Die Gewinner des Jahres 2023

Die “Climate Mobility Challenge” ist der Wettbewerb der Deutschen Bahn für Unternehmen & Organisationen, um nachhaltige Mitarbeitenden- und Veranstaltungsmobilität sichtbar zu machen:
Auf der Website des Wettbewerbs werden Mobilitätskonzepte von Unternehmen ganz unterschiedlicher Branchen und Betriebsgrößen vorgestellt. Sie ist daher auch ein Ideenpool für Firmen, die auf der Suche nach Lösungen für eine nachhaltigere Mobilität sind.

Insgesamt haben in diesem Jahr 54 Unternehmen am Wettbewerb teilgenommen; in den drei Kategorien kleines, mittleres und großes Unternehmen. Außerdem wurde ein Sonderpreis in der Kategorie Veranstaltungsmobilität vergeben. Insgesamt werden auf der Ideen-Plattform der Bahn schon über 120 Mobilitätskonzepte vorgestellt.

“Arbeitgeber sind Multiplikatoren, tragen Verantwortung und können durch betriebliche Maßnahmen sehr viel dafür tun, Emissionen zu vermeiden. Bei Posteo versuchen wir auch durch kostenfreie Zusatzangebote an das Team, Anreize für mehr Klimaschutz im Alltag zu geben. Die Teilnahme am Wettbewerb hat uns motiviert, diese weiter auszubauen”, sagte Posteo-Geschäftsführer Patrik Löhr anlässlich der Preisverleihung.

Der Girls’Day 2023 bei Posteo

2023-05-09T15:45:00+02:00

Mädchen für das Coden begeistern: Das hatte sich unser Team für den diesjährigen Girls’Day vorgenommen.
Für uns war es eine besondere Erfahrung, informatikinteressierte Schülerinnen im Posteo-Lab auf dem Berliner Kreuzberg begrüßen zu dürfen – und ihnen Einblicke in den Beruf der Software-Entwicklerin zu geben.

#more#

E-Mail-Workshop am Girls’Day 2023

Der Weg in die Informatik

Nach einer kurzen Kennenlernrunde berichtete unsere Entwicklerin Monika von ihrem Ausbildungsweg. Sie erklärte den Mädchen, welche Inhalte in einem Informatikstudium zu erwarten sind, wie es danach beruflich weitergehen kann und beantwortete Fragen rund um die Berufswahl und den Berufsalltag.

Workshop: So funktionieren E-Mail-Protokolle

Im Anschluss gab es dann konkrete Einblicke in die Arbeit als Informatikerin. Unser Team zeigte den Schülerinnen, was Protokolle sind, welche Bedeutung sie für den weltweiten Austausch von Informationen haben – und wie das Protokoll SMTP (Simple Mail Transfer Protocol) für das Übertragen von E-Mails verwendet wird.

Anschließend waren die Mädchen am Zug: Mit der Unterstützung von Anne aus der Teamleitung unseres technischen Supports konnten sie über das SMTP-Protokoll mit einem E-Mail-Server sprechen, ihm Befehle übermitteln und auf der Kommandozeile E-Mails zustellen.

Der Girls’Day 2023 im Posteo-Lab

Studien- und Berufswahl ohne Geschlechterklischees

Unserem Girls’Day-Team hat der Tag viel Spaß gemacht. “Wir wollen den Mädchen die Gelegenheit geben, Frauen kennenzulernen, die in der Software-Entwicklung arbeiten und damit dazu beitragen, dass die alten Rollenbilder verändert werden. Der Beruf ist vielfältig und attraktiv und es sollte für die Mädchen normal sein, ihn zu ergreifen, wenn sie sich dafür interessieren,” so Posteo-Entwicklerin Monika. “Es war schön zu sehen, wie die Mädchen motiviert mitgemacht haben. Nächstes Jahr sind wir auf alle Fälle wieder dabei.”

Der Girls’Day ist ein bundesweiter Aktionstag zur Berufsorientierung, an dem Mädchen ab der 5. Klasse Einblick in Berufe nehmen können, die vorwiegend von Männern gewählt werden.
Darunter fällt auch die Software-Entwicklung. Im Entwicklungsteam von Posteo ist das Verhältnis zwischen Männern und Frauen ausgewogen. Viele unserer Funktionen wurden von Frauen programmiert, beispielsweise der Posteo-Umzugsservice, unsere mobile Benutzeroberfläche, der Anhangsbrowser mit Foto-Stream – oder unser neuer Dark Mode. Aber das ist nicht überall so: Im Studiengang Informatik und in der Technologie-Branche sind Frauen nach wie vor stark unterrepräsentiert.

Neu bei Posteo: Viele Farben und Dunkelmodus

2023-04-20T11:40:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir geben ab heute schrittweise neue Funktionen für Sie frei: Pünktlich zum Frühlingsanfang bringen wir Farbe in Ihr Postfach – und bieten unsere Benutzeroberfläche in 10 neuen Varianten an. Sie erhält außerdem einen Dunkelmodus sowie zwei Kontraststufen.

#more#

Galerie: Neue Farben und Kontraststufen

Egal, ob Sie Gelb, Pink, Rot oder neutrale Farben wie Beige, Braun oder Blau besonders gerne mögen: Die Benutzeroberfläche lässt sich künftig in den Einstellungen farblich anpassen. Die ausgewählte Farbe wird überall übernommen; wie etwa im Kalender, den Notizen, im Anhangsbrowser oder in der Posteo Web-App.

Jede Farbe in zwei Kontraststufen

Neu ist auch, dass alle Farbvarianten nun in zwei Kontraststufen zur Verfügung stehen. Wenn Sie häufig mehrere Stunden am Bildschirm arbeiten, kann eine auf die eigenen Bedürfnisse angepasste Farb- und Kontrastauswahl deutlich angenehmer sein. Probieren Sie es einfach einmal aus!
Der Kontrastschalter befindet sich in den Einstellungen direkt über der Farbauswahl.

Der Dunkelmodus in der Posteo Web-App

Dunkelmodus

Eine weitere Neuerung: Sie können ab sofort einen Dunkelmodus (Dark Mode) aktivieren. Der Hintergrund wird dann dunkel dargestellt und die Schrift hell – in der von Ihnen ausgewählten Farbe. Der Dunkelmodus eignet sich besonders für das Lesen von E-Mails in dunkleren Umgebungen. Viele Menschen empfinden ihn auch sonst angenehmer für die Augen.

Sie haben zudem die Möglichkeit, den Hell- und Dunkelmodus automatisch über Ihr Betriebssystem zu steuern: Die Posteo-Oberfläche passt sich dann entsprechend an – auch auf dem Smartphone in der Web-App.

Für den Dunkelmodus und den automatischen Dunkelmodus gibt es ebenfalls einen Schalter direkt über der Farbauswahl.

Alle neuen Funktionen geben wir in den nächsten Wochen schrittweise frei. Sobald sie für Ihr Postfach freigegeben sind, finden Sie die neuen Optionen in den Einstellungen unter “Benutzeroberfläche”. Sie müssen nicht hinzugebucht werden: es fallen keine Zusatzkosten an.

Video und Hilfe-Anleitungen

In unserem Video erfahren Sie, wie Sie Ihre Lieblingsfarbe und gewünschte Kontraststufe auswählen – und wie der Dunkelmodus funktioniert. Zusätzlich sind Video-Versionen auf Englisch und Französisch verfügbar.

Schritt-für-Schritt-Anleitungen finden Sie auch in unserer Hilfe:
Wie ändere ich die Farbe der Posteo-Oberfläche?
Wie aktiviere ich den Dunkelmodus für mein Postfach?
Wie installiere ich die Posteo Web-App?

Viele Grüße
Ihr Posteo-Team

Neue Sicherheitsfunktion: Der Löschhinweis

2023-03-15T16:55:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

vielleicht ist es Ihnen schon aufgefallen: wir haben eine neue Funktion freigegeben, den Löschhinweis. Die neue Sicherheitsfunktion schützt Sie vor unbemerkten Datenverlusten; etwa, wenn Sie einmal versehentlich E-Mails aus Ihrem Postfach gelöscht haben sollten. Die neue Funktion erweist sich im Alltag als voller Erfolg. Deshalb möchten wir Ihnen den Löschhinweis nun auch ganz offiziell noch einmal im Blog vorstellen.

#more#

Dass Kundinnen und Kunden versehentlich E-Mails oder ganze Ordner löschen, ist gar nicht so selten. Wir möchten Sie in solchen Fällen bestmöglich absichern: Ein besonderer Service von Posteo ist seit jeher, dass wir täglich Sicherheits-Backups aller Postfächer anfertigen und diese 7 Tage lang für Sie aufbewahren. Wir stellen diese dann bei Bedarf gerne und kostenfrei wieder für Sie her.

Den neuen Löschhinweis haben wir entwickelt, weil es im Alltag für uns manchmal unbefriedigend war, wenn Kunden erst zu spät – also nach mehr als 7 Tagen – auffiel, dass sie – oder ihre eingesetzen Programme und Geräte – versehentlich viele E-Mails gelöscht hatten. Dann konnten wir nicht mehr helfen.

Mit dem neuen Löschhinweis passiert das nun nicht mehr. Unser System versendet automatisiert eine Benachrichtigung per E-Mail, sobald sich die Anzahl der E-Mails in Ihrem Postfach innerhalb von 24 Stunden um mindestens 50 E-Mails verringert.
Und wir können schon jetzt sagen: Die neue Funktion ist ein voller Erfolg. Fast alle Kunden, die versehentlich E-Mails gelöscht haben, melden sich inzwischen rechtzeitig bei uns; sodass wir ihre Daten aus unseren Sicherheitsbackups wiederherstellen können. Die positiven und erleichterten Rückmeldungen freuen uns sehr – vielen Dank dafür!

Hinweis:

Posteo fordert Sie niemals in E-Mails dazu auf, auf einen Link zu klicken und auf einer Website Daten einzugeben. Auch unsere Löschhinweise sind eine reine Informations-Mail ohne eine solche Aufforderung. Sie haben eine unseriös wirkende E-Mail erhalten? Kontaktieren Sie unser Support-Team für eine Einschätzung unter: support@posteo.de

Nicht gesperrte Handys, Fehler in lokalen Programmen

Die Top-Ursachen für versehentlich gelöschte E-Mails sind schnell aufgezählt:
Oft berichten Kunden uns von schief gegangenen “Aufräumaktionen” im eigenen Postfach – oder von Smartphones, die in der Hosentasche oder Handtasche nicht gesperrt waren.

Unbemerkt bleiben Löschungen eher, wenn Kunden sich der Lösch-Einstellungen in ihren lokalen E-Mail-Programmen nicht bewusst waren – wie etwa in Apple Mail, Outlook oder Thunderbird. Deshalb lohnt es sich grundsätzlich, die Löscheinstellungen in externen E-Mail-Anwendungen zu kontrollieren. Auch beim Update solcher Mailprogramme können manchmal Fehler auftreten, die unerwartet E-Mails löschen.

Posteo löscht übrigens grundsätzlich niemals E-Mails aus Ihrem Postfach – auch nicht, wenn der Speicherplatz einmal voll belegt sein sollte. Diese Frage erhalten wir häufiger.

Ich habe einen Löschhinweis erhalten – was nun?

Wenn Sie in Zukunft einmal einen Löschhinweis von uns erhalten sollten, gehen Sie bitte wie folgt vor:

Haben Sie die E-Mails bewusst gelöscht, ignorieren Sie den Löschhinweis einfach.

Wurden die Nachrichten versehentlich gelöscht, überprüfen Sie bitte, ob Apps oder E-Mailprogramme auf Ihren Geräten automatisch E-Mails löschen. Evtl. hat Ihr E-Mailprogramm (z.B. Apple Mail) den Papierkorb automatisch geleert. Dies ist in manchen E-Mail-Programmen so voreingestellt. Sie können dies aber nachträglich ändern, wenn Sie keine automatisierten Löschungen wünschen. Überprüfen Sie z.B. auch einzelne Ordner, wie etwa den “Gesendet”-Ordner oder Ihr Archiv.

Uns liegen keinerlei Informationen dazu vor, welche E-Mails konkret gelöscht wurden. Der Löschhinweis ist datenschutzfreundlich umgesetzt und wird lediglich aus Werten der Speicherplatzberechnung generiert. Wir nehmen keinen Einblick in Postfächer und loggen auch nicht, welche Mails gelöscht wurden.

Sollten Ihnen E-Mails fehlen, die Sie noch benötigen und keine eigene Datensicherung besitzen, fordern Sie bitte innerhalb der nächsten 7 Tage ein Backup bei uns an. Das geht in den Einstellungen unter “E-Mails wiederherstellen”. Das Backup enthält alle Daten Ihres Postfachs vor dem Löschzeitpunkt. Alternativ können Sie eine Wiederherstellung auch per E-Mail bei unserem Kundendienst anfordern.
Passen Sie ggf. auch die Löscheinstellungen in Ihren externen E-Mail-Programmen an, um ungewollte Löschvorgänge zukünftig zu unterbinden.

Löschhinweis anpassen oder deaktivieren

Noch ein Tipp: Sie können in den Einstellungen unter “Passwort & Sicherheit” festlegen, erst eine Benachrichtigung bei mehr gelöschten E-Mails zu erhalten. Diese Einstellung eignet sich insbesondere für Menschen, die häufig sehr viele E-Mails löschen. Wenn Sie in Zukunft keine Löschhinweise mehr erhalten möchten, können Sie die Funktion dort auch deaktivieren.

Wir empfehlen, regelmäßig auch eigene Sicherungen aller gespeicherten Daten vorzunehmen.

Viele Grüße
Ihr Posteo-Team

Neues Sicherheitszertifikat

2023-01-30T17:29:00+01:00

Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,

wir werden in den nächsten Tagen unser Haupt-Sicherheitszertifikat aktualisieren. Sicherheitszertifikate haben eine zeitlich begrenzte Gültigkeit und müssen hin und wieder erneuert werden. Deshalb werden wir es bis zum 14.02.2023 austauschen.

In den meisten Fällen werden Sie davon nichts mitbekommen.
Alle Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.
#more#
Wenn Sie das Vertrauen des Zertifikats durch einen manuellen Abgleich regeln, finden Sie unten den Fingerprint des neuen Haupt-Zertifikats, welches wir in Kürze verwenden. Die vollständigen Fingerprints aller Zertifikate finden Sie auch in unserem Impressum.

Neue Fingerprints des TLS-Sicherheitszertifikats für posteo.de:

Geotrust:
SHA256: E8:E2:06:71:4D:15:6E:68:DF:24:CE:FD:7F:53:5D:EE:E1:FA:75:5A:87:14:6D:EC:36:76:15:70:E1:09:8F:92
SHA1: 27:CD:27:2F:23:5B:B8:1F:89:72:8A:71:9B:1A:A0:70:F6:8B:49:BE

Viele Grüße
Ihr Posteo-Team

Jetzt anmelden zum Girls'Day am 27. April

2023-01-26T16:13:00+01:00

Am 27. April 2023 ist wieder Girls’Day: Auch wir sind in diesem Jahr mit dabei – und interessierte Schülerinnen können sich ab sofort anmelden.

#more#

Wir geben 10 Schülerinnen die Möglichkeit, einen Ausflug in die Welt des Codens zu machen und sich mit Informatikerinnen auszutauschen. Bei uns ist das Verhältnis zwischen Männern und Frauen in der Entwicklung ausgewogen. Viele Posteo-Funktionen wurden von Frauen programmiert; wie etwa der Posteo-Umzugsservice, unsere mobile Benutzeroberfläche oder der Anhangs-Browser mit Foto-Stream.

Am Girls’Day werden zwei unserer Software-Entwicklerinnen erzählen, warum sie sich für das Informatikstudium entschieden haben, welche Studieninhalte zu erwarten sind, wie das Studieren mit so vielen männlichen Kommilitonen und Professoren war – und wie es danach beruflich für sie weiterging. Sie beantworten Fragen der Mädchen rund um die Berufswahl, und sprechen mit ihnen über die vielen Vorteile, die der Beruf aus ihrer Sicht mit sich bringt.

Die Schülerinnen lernen auch die E-Mail-Welt näher kennen: Wir zeigen ihnen, wie es funktioniert, dass so viele Rechner weltweit miteinander kommunizieren und über Protokolle Informationen austauschen. Das werden die Mädchen auch selbst ausprobieren können – und mit einem E-Mail-Server chatten. Unsere Informatikerinnen werden ihnen außerdem zeigen, woran sie bei Posteo gerade arbeiten.

Die Veranstaltung findet in unserem Posteo-Lab in Berlin statt. Anmelden können sich Schülerinnen, die 12 Jahre oder älter sind und sich vorstellen können, später Software-Entwicklerin zu werden. Vorkenntnisse sind nicht notwendig. Mehr Informationen und die Möglichkeit zur Anmeldung zu unserem Angebot finden Interessierte auf der Website des Girls’Day.

Sicher ins neue Jahr: Die "Passwort vergessen"-Funktion

2023-01-05T16:00:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

haben Sie sich gute Vorsätze für das neue Jahr gemacht? Wir haben einen nützlichen Tipp, der nur wenige Minuten in Anspruch nimmt. Aktivieren oder aktualisieren Sie die “Passwort vergessen”-Funktion Ihres Posteo-Kontos!

Sollten Sie einmal Ihr Posteo-Passwort vergessen, können Sie mit dieser Funktion ein neues Passwort bequem per E-Mail oder SMS erhalten.

#more#

Die “Passwort vergessen”-Funktion aktivieren

Und das Aktivieren ist ganz einfach. Sie finden die Funktion in den Einstellungen unter „Passwort und Sicherheit“. Dort geben Sie die Mobilfunknummer oder alternative E-Mail-Adresse ein, an die wir im Falle eines Passwortverlustes das neue Passwort senden sollen.

Die “Passwort vergessen”-Funktion ist schnell aktiviert.

Sie haben die Funktion bereits aktiviert? Dann stellen Sie sicher, dass Ihr angegebener Kontakt noch aktuell ist. Tragen Sie einfach Ihre aktuelle Mobilfunknummer oder alternative E-Mail-Adresse ein, dann sind Sie garantiert wieder auf dem neuesten Stand.

Eine Schritt-für-Schritt-Anleitung für die Aktivierung und Nutzung der „Passwort vergessen“-Funktion finden Sie in unserer Hilfe: https://posteo.de/hilfe/passwort-vergessen-funktion

Zugriffssicherheit für Ihr E-Mail-Postfach

Die eigene E-Mail-Adresse ist das „Herzstück" unserer digitalen Identität: Bei den meisten Online-Diensten melden wir uns mit ihr an – und erhalten bei Bedarf neue Passwörter an unsere E-Mail-Adresse.

Wird hingegen das Passwort für die eigene E-Mail-Adresse vergessen, fehlt diese Möglichkeit. Deshalb ist es so wichtig, die “Passwort vergessen”-Funktion zu aktivieren und eine alternative E-Mail-Adresse oder Mobilfunknummer für den Passwort-Reset anzugeben. Im Verlustfall können Sie dann unter “Passwort vergessen?” Ihr Passwort zurücksetzen.

Mit aktivierter “Passwort vergessen”-Funktion können Sie bei Bedarf unter “Passwort vergessen?” Ihr Passwort zurücksetzen.

Die Funktion ist datenschutzfreundlich umgesetzt, sicher und gibt Ihnen bei Bedarf umgehend wieder Zugang zu Ihrem Postfach.

Hinweis: Haben Sie Ihren Posteo-Krypto-Mailspeicher aktiviert, funktioniert der Reset nicht automatisch, da Ihre E-Mails mit dem vergessenen Passwort verschlüsselt sind. Die Funktion authentifiziert Sie aber als Postfachnutzer: Unser Support wird Ihnen im Fall eines Passwortverlustes dann schnell helfen können, wieder Zugriff auf Ihre Adresse zu erhalten. Bisher gespeicherte E-Mails bleiben mit dem vergessenen Passwort verschlüsselt. Bei aktiviertem Krypto-Mailspeicher ist es besonders wichtig, sich das eigene Passwort gut zu merken.

Viele Grüße und ein frohes neues Jahr wünscht
Ihr Posteo-Team

Ihre alternativen E-Mail-Adressen und Mobilfunknummern werden zu keinem Zeitpunkt in unseren Datenbanken gespeichert.

Aus Sicherheitsgründen speichern wir Ihre sensiblen Daten nicht in unserer Datenbank. Ihre Mobilfunknummer oder Ihre alternative E-Mail-Adresse wird in einen Prüfwert umgerechnet. Aktivieren oder aktualisieren Sie die Funktion, bleiben Ihre sensiblen Daten bei Ihnen: Nur der Prüfwert wird durch das Internet an Posteo gesendet. Genauere Informationen zu diesem Verfahren finden Sie hier.

Posteo-Gutscheine zum Verschenken

2022-12-21T17:34:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

suchen Sie noch ein kleines Präsent für eine Person, die eine E-Mail-Adresse bei Posteo hat?
Mit unseren Gutscheinen können Sie anderen eine Freude machen.

#more#

Gutscheine als Geschenk

Unten finden Sie unsere Vorlagen. Laden Sie sich einfach die gewünschten Bilder auf Ihre Festplatte oder Ihren USB-Stick herunter.

Kleiner Geschenke-Knigge

Wir empfehlen unsere Gutscheine als Geschenk für Personen, die schon eine E-Mail-Adresse bei Posteo haben: Diese freuen sich sicher über Ihren Gutschein – und sehen ihn als nützliches Geschenk an.
Wollen Sie eine Person beschenken, die noch kein Postfach bei uns hat, klären Sie vorab, ob ein Posteo-Gutschein ein erwünschtes Geschenk ist.
Mit einem Gutschein kann auch ein neues Postfach eröffnet werden: Es kostet aber auch dann noch 1 EUR pro Monat, wenn das verschenkte Guthaben aufgebraucht ist. Beim Schenken ist daher ein wenig Fingerspitzengefühl gefragt.

Gutscheine zum Aufladen von Postfächern verwenden

Viele Grüße und schöne Feiertage wünscht
Ihr Posteo-Team

Gutschein zum Herunterladen

Transparenzhinweis: Unsere Spenden 2021

2022-05-17T11:15:00+02:00

Liebe Kundinnen und Kunden, liebe Interessierte,

wir haben unsere Spenden-Seite aktualisiert. Dort legen wir offen, welche Organisationen wir im Jahr 2021 finanziell unterstützt haben.

Im vergangenen Jahr haben wir insgesamt 59.500 Euro gespendet. Davon waren 56.138,93 Euro freiwillige Spenden durch das Unternehmen Posteo. Aus gespendeten Restguthaben gekündigter Postfächer stammten die übrigen 3.361,07 Euro.

Im März 2022 haben wir zudem bereits 10.000 Euro für die humanitäre Nothilfe in der Ukraine (Ärzte ohne Grenzen/ UN-Flüchtlingshilfe) gespendet. Diese werden erst im kommenden Jahr in unseren Transparenzhinweisen aufgeführt, wenn wir die Zahlen für das Jahr 2022 offenlegen.

#more#

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen. Deshalb spenden wir an ausgewählte Organisationen aus den Bereichen Umwelt- und Klimaschutz, Netzpolitik und Meinungsfreiheit sowie aus der Flüchtlings- und humanitären Nothilfe.

Im Jahr 2021 wurden unterstützt:

Die UNO-Flüchtlingshilfe
Die UNO-Flüchtlingshilfe ist der deutsche Ableger des Flüchtlingshilfswerks der Vereinten Nationen (UNHCR). Sie sichert das Überleben geflüchteter Menschen in akuten Krisensituationen mit lebensrettenden Nothilfemaßnahmen. So sorgt die UNO-Flüchtlingshilfe beispielsweise für eine ausreichende Versorgung mit Wasser, Lebensmitteln und Medikamenten in Flüchtlingscamps oder in schwer zugänglichen Regionen.

Ärzte ohne Grenzen
Ärzte ohne Grenzen wurde 1971 in Frankreich gegründet. 1993 kam die deutsche Sektion hinzu. MSF (Médicins Sans Frontières) ist heute ein internationales Netzwerk, das in über 70 Ländern medizinische Nothilfe leistet. Als humanitäre medizinische Organisation setzt sich Ärzte ohne Grenzen für eine qualitativ hochwertige und effiziente Gesundheitsversorgung in Ländern ein, in denen das Überleben von Menschen durch Krankheiten, Kriege und Katastrophen in Gefahr ist.

Reporter ohne Grenzen
Reporter ohne Grenzen setzt sich weltweit für die Presse- und Informationsfreiheit ein. Die Organisation dokumentiert Verstöße gegen die Pressefreiheit und unterstützt Journalisten, die in Gefahr sind. Reporter ohne Grenzen kämpft gegen Zensur und restriktive Mediengesetze.

UNICEF – Living Schools
UNICEF ist das Kinderhilfswerk der Vereinten Nationen. Die Organisation setzt sich seit 1946 in 190 Staaten für die Gesundheit, Bildung und Rechte von Kindern und Müttern ein. Politisch engagiert sich UNICEF gegen den Einsatz von Kindersoldaten und für den Schutz von Flüchtlingen und die Umsetzung der Kinderrechtskonventionen. Posteo unterstützt das Projekt Living Schools in Malawi: Dort werden Schulen gebaut, die auf den Prinzipien Umweltbewusstsein, E-Learning und Mitbestimmung basieren. Die Schulen haben ein eigenes Wassersystem für sauberes Trinkwasser und Hygiene, nutzen die Sonne zur Energiegewinnung und lehren in einem Schulgarten den Umweltschutz.

Netzpolitik.org
netzpolitik.org ist eine journalistische Plattform für digitale Freiheitsrechte und bildet die wichtigen politischen Debatten und Entwicklungen rund um das Internet ab. Auf der Plattform wird dokumentiert, wie die Politik das Internet und die Gesellschaft durch Regulierung und den kontinuierlichen Ausbau von Überwachungsgesetzen verändert. Netzpolitik.org will mit seiner Arbeit Menschen zum Engagement für ihre digitalen Freiheitsrechte und für eine offene Gesellschaft anregen.

BUND
Der Bund für Umwelt und Naturschutz Deutschland (BUND) ist einer der größten deutschen Umweltverbände. Deutschlandweit gibt es über 2000 ehrenamtliche BUND-Gruppen, die sich u.a. zu Umweltthemen in ihrer Region engagieren. Der BUND setzt sich außerdem für den Klimaschutz, für eine ökologische Landwirtschaft sowie für den Schutz bedrohter Arten, der Wälder und des Wassers ein. Der BUND ist das deutsche Mitglied des internationalen Umweltschutznetzwerkes “Friends of the Earth”.

ECCHR
Das Europäische Zentrum für Verfassungs- und Menschenrechte (ECCHR) setzt sich mit juristischen Mitteln für die Menschenrechte ein. Ziel der Anwälte des ECCHR ist es, staatliche und nichtstaatliche Akteure für schwerwiegende Menschenrechtsverletzungen gerichtlich zur Verantwortung zu ziehen. Gegründet wurde das ECCHR im Jahr 2007 unter anderem von dem Menschenrechtsanwalt Wolfgang Kaleck, der in Deutschland den Whistleblower Edward Snowden vertritt.

Posteo wirtschaftet nachhaltig und ist unabhängig: Unser Dienst wird ausschliesslich über die Postfachgebühren unserer Kundinnen und Kunden finanziert. Investoren oder Werbepartner gibt es bei Posteo nicht. Deshalb sind Sie es, die unser Engagement ermöglichen – und einen Unterschied machen. Hierfür bedanken wir uns bei Ihnen.

Viele Grüße
Ihr Posteo-Team

Jetzt anmelden zum Girls' Day am 28. April

2022-04-12T14:00:00+02:00

Am 28. April 2022 ist wieder Girls’ Day: Auch wir sind in diesem Jahr mit dabei – und interessierte Schülerinnen können sich ab sofort anmelden.

Der Girls’ Day ist ein bundesweiter Aktionstag zur Berufsorientierung, an dem Mädchen ab der 5. Klasse Einblick in Berufe nehmen können, die immer noch vorwiegend von Männern gewählt werden. So auch der vielseitige und spannende Beruf der Software-Entwicklerin: Der Frauenanteil im Studiengang Informatik liegt in Deutschland seit Jahren bei nur etwa einem Viertel.

Am Girls’ Day werden zwei unserer Software-Entwicklerinnen erzählen, warum sie sich für das Informatikstudium entschieden haben, welche Studieninhalte zu erwarten sind, wie das Studieren mit so vielen männlichen Kommilitonen und Professoren war – und wie es danach beruflich für sie weiterging. Sie beantworten Fragen der Mädchen rund um die Berufswahl, und sprechen mit ihnen über die vielen Vorteile, die der Beruf aus ihrer Sicht mit sich bringt.

Die Schülerinnen lernen auch die E-Mail-Welt näher kennen: Wir zeigen ihnen, wie es funktioniert, dass so viele Rechner weltweit miteinander kommunizieren und über Protokolle Informationen austauschen. Das werden die Mädchen auch selbst ausprobieren können – und mit einem E-Mail-Server chatten. Unsere Informatikerinnen werden ihnen außerdem zeigen, woran sie bei Posteo gerade arbeiten.

Neues Sicherheitszertifikat

2022-01-17T11:00:00+01:00

Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,

Neue Fingerprints des TLS-Sicherheitszertifikats für posteo.de:

Geotrust:
SHA256: A5:11:E3:82:F2:EE:3C:2A:79:6C:0D:6B:3B:D7:DB:BF:7C:C3:2C:0C:7F:E0:3F:E8:93:A4:42:27:CC:5C:30:60
SHA1: BF:6D:27:28:FD:32:DC:3A:A6:78:74:5E:76:D3:8D:92:06:69:7A:4C

Viele Grüße
Ihr Posteo-Team

Neu: TLS-Empfangs-Garantie

2021-06-25T12:00:00+02:00

Liebe Posteo-Kundinnen und Kunden,

wir haben eine neue Funktion freigegeben: Unsere TLS-Empfangs-Garantie.
Die neue Sicherheitsfunktion schützt Sie davor, E-Mails von unsicher sendenden Servern zu empfangen und vervollständigt unsere TLS-Garantien: Für den Versand bieten wir eine solche schon seit einiger Zeit an. Sie können Ihre TLS-Empfangsgarantie ab sofort in den Einstellungen aktivieren.

Neu: TLS-Empfangs-Garantie

Schutz vor unsicheren Versendern

Aktivieren Sie die neue Sicherheitsfunktion, lehnen wir den Empfang einer E-Mail an Ihr Postfach ab, wenn ein Server sie ohne zeitgemäße Transportwegverschlüsselung zustellen möchte. Eine unsicherere Übermittlung von solchen Servern durch das Internet wird garantiert verhindert – und Sie erhalten sofort eine Benachrichtigung von uns. Auch als Laie erkennen Sie so sofort, wer sich nicht genügend um die E-Mail-Sicherheit bemüht.
#more#
TLS schützt Ihre Mails auf dem Weg durch das Internet

E-Mails werden heutzutage über verschlüsselte Verbindungen übertragen: Die so genannte Transportwegverschlüsselung (TLS) schützt Ihre Kommunikation auf dem Weg durch das Internet. Ohne TLS könnten E-Mails auf dem Transport einfach abgefangen und mitgelesen werden. Fast alle E-Mail-Server bauen daher inzwischen standardmäßig solche verschlüsselten Verbindungen miteinander auf.
Die Quote unsicherer Server ohne zeitgemäße TLS-Verschlüsselung liegt bereits bei unter 5% (Posteo-Erhebung Mai 2021).

Wir haben die neue Funktion über mehrere Monate hinweg intern sowie mit Anwenderinnen getestet. Das Fazit: In der Regel wird die Empfangsgarantie im Alltag nicht bemerkt, da die allermeisten Versender heutzutage eine zeitgemäße Verschlüsselung unterstützen.
Den größten Anteil (>90%) der unverschlüsselten Kontaktversuche machen inzwischen Spammer und einige wenige Newsletter-Versender aus.

Für den seltenen Fall, dass der Empfang einer erwünschten E-Mail wegen fehlender TLS-Verschlüsselung gestoppt wird, erhalten Sie und der Absender von uns sofort eine Benachrichtigung.

Dann haben Sie zwei Möglichkeiten:

1. Sie entscheiden selbst, ob für Sie in diesem Fall auch eine unverschlüsselte Übertragung in Frage kommt. Wenn ja, deaktivieren Sie die Funktion kurzzeitig und bitten den Absender um erneuten Versand.
2. Sie weisen den Versender auf die fehlende Sicherheit hin, hierfür bieten wir in unserer Hilfe eine Vorlage an. In unseren Tests reagierten die Versender meist innerhalb von 1-2 Werktagen und aktivierten die fehlende Transportwegverschlüsselung. Jeder neu abgesicherte Server ist ein Beitrag zur IT-Sicherheit für alle.

Reagiert ein Betreiber nicht oder ausweichend, können Sie uns unter support+tls@posteo.de um Unterstützung bitten. Wir werden den Versender dann für Sie auch noch einmal kontaktieren.

Erneute Sicherheitsprüfung vor jedem E-Mail-Empfang

Aus Sicherheitsgründen wird bei jedem E-Mail-Empfang eine erneute TLS-Überprüfung durchgeführt. So stellen wir sicher, dass Ihre E-Mails auch dann nicht unsicher übertragen werden, wenn ein Server einmal kurzzeitig nicht TLS-fähig sein sollte – zum Beispiel aufgrund technischer Probleme oder eines Angriffs .
Der Empfang wird auch gestoppt, wenn Dritte eine sichere Verbindung angreifen und den Rückfall auf eine unverschlüsselte Verbindung erzwingen möchten.

So aktivieren Sie die TLS-Empfangsgarantie

Sie können Ihre TLS-Empfangs-Garantie ab sofort in den Einstellungen Ihres Posteo-Postfachs unter “Einstellungen → Mein Konto → Transportwegverschlüsselung” aktivieren. Unser Tipp: Dort können Sie auch Ihre TLS-Versand-Garantie aktivieren, die wir bereits seit längerem anbieten.

In unserer Hilfe haben wir für Sie einen Artikel zur neuen TLS-Empfangs-Garantie bereitgestellt. Dort erfahren Sie, wie Sie die Funktion aktivieren und deaktivieren – und wie Sie vorgehen können, wenn der Empfang einer E-Mail von einem unsicheren E-Mailserver gestoppt wurde.

Die TLS-Empfangs-Garantie im Überblick:

E-Mails werden garantiert immer über einen verschlüsselten Transportweg empfangen.
Sie und der Absender erhalten umgehend eine Benachrichtigung, wenn wir den E-Mail-Empfang von einem unsicheren Server gestoppt haben.
Sie erkennen auch als Laie sofort, wer sich nicht genügend um die E-Mail-Sicherheit bemüht.
Downgrade-Attacken, bei denen ein Angreifer eine Verschlüsselung ausschalten könnte, werden verhindert.
Veraltete Verschlüsselungsprotokolle werden ebenfalls nicht toleriert (wie z.B. SSLv3, TLS 1.0 & 1.1).
Man-in-the-Middle-Attacken werden erschwert. Verwendet der Absender-Server ebenfalls DANE, sind sie unmöglich.

Viele Grüße
Ihr Posteo-Team

TKG-Novelle: BMI will Identifizierungspflicht für Internetnutzer

2021-03-02T17:00:00+01:00

Das Bundesinnenministerium will bei den Verhandlungen zur TKG-Novelle offenbar kurzfristig noch Änderungen mit weitreichenden Folgen für alle Internetnutzerinnen durchsetzen: Nach dem Willen des BMI sollen sich die Bürgerinnen und Bürger künftig identifizieren müssen, wenn sie weiterhin online über Messengerdienste, Audio-, Videochats oder auch per E-Mail kommunizieren möchten.

Egal, ob WhatsApp, Zoom, Facetime, iMessage, E-Mail oder Skype: Überall sollen künftig verifizierte Datensätze jedes Nutzers liegen. Dem BMI geht es um alle “nummerunabhängigen interpersonellen TK-Dienste”.

Konkret will das BMI, dass die Bürgerinnen und Bürger ihren Namen, die Anschrift sowie ihr Geburtsdatum zwingend bei den Anbietern hinterlegen, die diese Angaben (z.B. mit Personalausweis oder Ident-Diensten) verifizieren müssen.

#more#

Uns liegt ein entsprechendes Papier aus dem BMI seit letzter Woche vor. Heute wurde uns aus gut informierten Kreisen noch einmal bestätigt, dass die Identifizierungspflicht weiterhin nicht vom Tisch ist. Eine frühere Version des Papiers hatte sogar eine Entschlüsselungspflicht für die Anbieter enthalten – diese scheint nun entfallen. Wir haben uns jetzt für die Veröffentlichung des Papiers (siehe unten) entschieden, um eine öffentliche Debatte zu ermöglichen. Uns wurde berichtet, dass das BMI versucht, möglichst viele der insgesamt 15 im Papier enthaltenen Punkte auf den letzten Metern noch ins Gesetz zu bekommen.

(Quelle: Screenshot BMI-Papier)

BMI will Personen-Vorratsdatenspeicherung

Im Papier heisst es: “TK-Dienste sollen verpflichtet werden, Identifizierungsmerkmale zu erheben, zu verifizieren und im Einzelfall den Sicherheitsbehörden zur Verfügung zu stellen.” Die Daten der Bürgerinnen und Bürger sollen nur zum Zweck einer möglichen künftigen Strafverfolgung flächendeckend gespeichert werden: das wäre nichts anderes als eine Personen-Vorratsdatenspeicherung.

Die Identifizierungspflicht würde die Art und Weise, wie Menschen hierzulande Online-Dienste nutzen, grundlegend ändern. Die Nutzerinnen müssten stets zunächst ein Ident-Verfahren durchführen bzw. den Ausweis vorzeigen und wären gezwungen, ihre verifizierten Daten bei zahlreichen – über die ganze Welt verstreuten – Unternehmen zu hinterlegen. Oft handelt es sich um Dienste mit werbefinanzierten, datengetriebenen Geschäftsmodellen, denen die verifizierten Daten aller (deutschen) Nutzer auf dem Silbertablett geliefert würden: So verfügen die Plattformen der großen Konzerne wie Google, Facebook oder Apple oft über integrierte Audio-/Video- und Textchat-Angebote, die nicht getrennt vom Benutzerkonto gehalten werden. Daher wären in der Konsequenz die meisten Online-Angebote von der Identifikationspflicht betroffen. Das dürfte einen massiven und unverhältnismäßigen Eingriff in grundrechtlich geschützte Freiheitsrechte darstellen.

Die gesellschaftlichen Konsequenzen wären enorm: Etwa bei der Teilhabe von Personen ohne Ausweis (Kinder, Geflüchtete) oder von Menschen, die aus Sicherheitsbedenken ihre Daten online nicht überall angeben möchten. Das vertrauliche Hilfesuchen und Konsultieren von Beratungsangeboten würde genauso erschwert wie die Arbeit von Journalistinnen und Journalisten.
Die Anbieter würden hochattraktiv für Datendiebe und vermehrt Ziel von Angriffen. Datenschutzrechtliche Grundsätze würden zudem übergangen: Die Daten würden nur zum Zweck einer möglichen künftigen Strafverfolgung flächendeckend erhoben – und nicht etwa aus betrieblichen Erfordernissen. Wie die Anbieter Nutzerinnen und Nutzer aus Deutschland von ausländischen Nutzern zweifelsfrei unterscheiden sollen, wird in dem Papier nicht erörtert. Auch nicht, dass der Internetstandort Deutschland massiv benachteiligt würde. Es würde massive Ausweichbewegungen hin zu im Ausland sitzenden Angeboten geben, die widerum dazu gezwungen würden, deutsche Nutzer auszusperren – oder deren Identität festzustellen. Datensparsame Online-Dienste würden unmöglich gemacht.

Warum das BMI angesichts eines globalen Internets eine solche Regelung überhaupt für umsetzbar hält, ist völlig offen. Man kann das Internet nicht mit weitgehend nationalen Netzstrukturen – wie etwa Telefonnetzen – vergleichen.
Auch wird im Papier fälschlicherweise und irreführend davon gesprochen, für Strafverfolger solle dann künftig “im Einzelfall die Anonymität” aufgehoben werden. Erstens werden Bestandsdaten nicht in Einzelfällen, sondern millionenfach pro Jahr bei den Anbietern abgefragt – schon bei Ordnungswidrigkeiten (2019: Über 16 Millionen Anfragen laut Bundesnetzagentur). Und zweitens ist ein Account, der bei einem Anbieter mit einem verifizierten Datenatz verknüpft ist, niemals anonym – der Benutzername ist lediglich ein Pseudonym.

15 Punkte: Die Wunschliste des BMI ist lang

Das Papier enthält mehr als ein Dutzend weiterer Punkte, die das BMI im Rahmen der TKG-Novellierung gerne durchsetzen würde. Es ist unserer Ansicht nach durchaus möglich, dass der “Empörungs”-Punkt Identifikationspflicht ggf. die Aufmerksamkeit von den anderen Punkten des Papiers nehmen soll. Auch diese würden aber weitreichende Konsequenzen haben. So sollen die Begriffsdefinitionen für Bestands- und Verkehrsdaten erheblich weiter gefasst und aus ihrem datenschutzrechtlichen Kontext genommen werden. Auch den schon jetzt unklaren Begriff der sogenannten “Mitwirkenden” an TK-Diensten will das BMI ausweiten, bis hin zu Auftragsdatenverarbeitern. Auch sollen diese “Mitwirkenden” (z.B. Internetcafes, Krankenhäuser, Hotels usw.) verpflichtet werden, ebenfalls Daten für Auskunftsersuchen der Sicherheitsbehörden zu erheben und zu speichern. Es wird versucht, jeden zur Datenerhebung heranzuziehen, der auch nur im entferntesten in Berührung mit dem Erbringen von TK-Dienstleistungen kommt. So entstehen an vielen Stellen in der Gesellschaft Datenhalden – und zur Auskunft gegenüber den Behörden Verpflichtete.

Aus unserer Sicht wird hier durch das BMI klar versucht, im TKG ein eigenes Regime für die Erhebung von Daten – nur für die Strafverfolgungsbehörden – zu schaffen und diese Datenerhebung von den datenschutzrechtlichen Vorgaben der DSGVO zu entkoppeln: Dass man nämlich nur erheben darf, was für den Betrieb notwendig ist. Dieser Datenschutzgrundsatz wird auch im neuen TTDSG verankert, einem Gesetz, das künftig den Datenschutz für die TK-Anbieter regeln wird.

Dass nun versucht wird, im TKG einen anderen Datenbegriff zu etablieren und ein anderes Erhebungsregime festzuschreiben, ist alarmierend. Hier wird nun zielgericht konstruiert, dass immer alles erfasst werden muss, was für die Strafverfolgung notwendig ist – und nicht – wie bisher bei E-Mail-Diensten – nur das, was aus betrieblichen Gründen erforderlich ist.

Man hält sich nicht an das, was das BverfG für Datenerhebungen und Datenauskünfte vorgegeben hat, wenn man auf diesem Wege aushebeln möchte, was verfassungs- und datenschutzrechtlich vorgegeben ist. Man kann spezialgesetzliche Regelungen treffen, doch auch diese müssen den verfassungsrechtlichen Vorgaben entsprechen. In den Eingriffsvoraussetzungen muss klar sein, wann, welche und warum Daten erhoben werden. Aber nicht dieses “große Öffnen”, indem man an den Begriffsdefintionen für Bestands-, Verkehrsdaten und am ungeklärten Begriff der sogenannten “Mitwirkung” schraubt und diese so weit öffnet, dass Anbieter und beliebige Dritte am Ende alles erheben und speichern müssen – nur für die Zwecke der Ermittlungsbehörden.

TK-Dienste, die Internetzugangs- oder Signalübertragungsdienste anbieten, will das BMI außerdem verpflichten, im Rahmen einer Quellen-TKÜ sowie bei Online-Durchsuchungen “Auskünfte zu erteilen und Hilfestellung zu gewähren”. Das bedeutet: Diese Anbieter sollen verpflichtet werden, den Datenstrom so umzuleiten bzw. die hierzu notwendigen Hilfestellungen zu geben, dass die Sicherheitsbehörden die staatliche Überwachungssoftware (Staatstrojaner) auf dem Endgerät des Nutzers aufbringen können.

Welche Erfolgsaussichten die Forderungen aus dem BMI im derzeit laufenden Gesetzgebungsverfahren haben, ist noch unklar. Uns wurde aus dem Bundestag signalisiert, dass das BMI nicht locker lässt und weiter versucht, auf den letzten Drücker noch Themen ins TKG zu bekommen, die in der Ressortabstimmung eigentlich verworfen wurden – und dass es in der SPD-Fraktion Bedenken gibt. Das BMI beabsichtigt, so viele seiner Forderungen durchzusetzen wie möglich. Auch, da es wahrscheinlich ist, dass nach der Bundestagswahl andere Koalitionspartner mitregieren, die für solch tiefgreifende sicherheitspolitische Verschärfungen wenig offen wären. Wir hatten im Herbst bereits Stellung zum bisherigen Gesetzentwurf genommen – damals wurden Wirtschaft und Zivilgesellschaft nur 2 Tage Zeit für eine Stellungnahme eingeräumt. Wir möchten nicht in den kommenden Wochen von einem in wesentlichen Teilen verschärften Gesetzentwurf überrascht werden, zu dem kaum noch Stellung bezogen werden kann.

Disclaimer: Wenn Sie das Dokument lesen, beachten Sie bitte, dass es sich bisher nur um ein Forderungspapier aus dem Bundesinnenministerium handelt. Die dort enthaltenen Ausführungen und Begründungen geben daher ausschliesslich die Ansichten des BMI wieder – und entsprechen nicht zwingend Tatsachen. Es ist derzeit auch völlig unklar, welche oder ob wesentliche Teile des Papiers in den Gesetzentwurf gelangen werden.

Neues Sicherheitszertifikat

2020-12-29T18:00:00+01:00

Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,

Neue Fingerprints des TLS-Sicherheitszertifikats für posteo.de:

Geotrust:
SHA256: CA:AD:66:0A:5A:7F:0E:CD:85:31:77:89:0F:2B:41:82:D9:C7:37:A4:99:35:9F:C8:6D:83:A4:2C:94:5D:97:40
SHA1: A0:E0:98:21:9B:AE:81:56:21:50:7C:B4:76:AD:1F:76:24:2A:8B:32

Viele Grüße
Ihr Posteo-Team

Neu bei Posteo: Anhangs-Browser mit Fotostream

2020-09-01T13:00:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir schalten eine neue Funktion für Sie frei: Den Posteo-Anhangs-Browser mit integriertem Fotostream.
Die neue Funktion macht Ihr Postfach deutlich moderner und komfortabler.
Einigen von Ihnen steht der Anhangs-Browser bereits seit dem Morgen zur Verfügung.

In den kommenden Wochen geben wir ihn schrittweise für alle Postfächer frei.
Sie finden ihn dann im Menü unter „Anhänge“.

Alle Anhänge in einer komfortablen Übersicht

E-Mail-Anhänge übersichtlich aufgelistet.

Er ermöglicht eine ganz neue Erfahrung im Umgang mit Ihren E-Mails: Die Anhänge werden in einer eigenen Übersicht angezeigt – unabhängig von den dazugehörigen E-Mails. Dort können sie bequem angesehen, heruntergeladen und gelöscht werden. Auch das Finden von Anhängen wird erleichtert. Im Anhangs-Browser können Sie nach Dateien verschiedener Absender, Zeiträume, nach Dateinamen oder Dateitypen suchen – und die Suchfilter miteinander kombinieren. Zugeschickte Fotos werden ebenso schnell gefunden wie Vertragsunterlagen oder Rechnungen.

Der Anhangs-Browser erleichtert Ihnen so das Arbeiten im eigenen Postfach – und sorgt für mehr Komfort und Übersichtlichkeit. Für das Ansehen von Bildern steht ein Fotostream zur Verfügung.

#more#
Bilder ganz privat im Fotostream ansehen

Mit dem neuen Fotostream erhält Ihr Postfach einen modernen Look: Die Foto-Anhänge werden optisch so angezeigt, wie Sie es von Social-Media-Plattformen kennen – bleiben aber ganz privat in Ihrem E-Mail-Postfach. Der Stream lässt sich nach Belieben filtern: Die Bilder vom letzten Urlaub sind ebenso schnell gefunden wie die Fotos von der Familienfeier. Sie erkennen außerdem schnell, welche Bilder Sie nicht mehr brauchen: Mit zwei Klicks ist ein Foto heruntergeladen oder gelöscht.

Bilder lassen sich im Fotostream betrachten.

Anhänge löschen, Speicherplatz und Klima schonen

Viele von Ihnen hatten sich eine separate Löschfunktion für Anhänge gewünscht.
Mit dem Anhangs-Browser ist das jetzt komfortabel auf Knopfdruck möglich: Der überflüssige Anhang wird gelöscht, die dazugehörige E-Mail bleibt erhalten. So geben Sie Speicherplatz frei und schonen Ressourcen. Denn online gespeicherte Daten verbrauchen kontinuierlich Energie. Damit Sie sich später an den Löschvorgang erinnern können, wird der E-Mail eine Kurzinfo zur gelöschten Datei und dem Löschzeitpunkt hinzugefügt. Diese wird auch von lokalen E-Mail-Programmen und Apps übernommen.

Mit der Filteroption “Dateigröße” können Sie sich rasch einen Überblick verschaffen, welche Dateien und Bilder besonders viel Speicherplatz belegen.
Den Fotostream können Sie im Anhangs-Browser unter „Bilder“ aufrufen. In unserer Hilfe finden Sie Informationen sowie Schritt-für Schritt-Anleitungen für die neue Funktion.

Umfassende Tests und externe Sicherheits-Prüfung

Anhänge lassen sich aus den E-Mails löschen.

Der Anhangs-Browser mit Fotostream ist eine Posteo-Eigenentwicklung. Wir entwickeln selbst, da wir besondere Anforderungen an den Datenschutz, die Sicherheit und die Nachhaltigkeit haben. Bei uns werden beispielsweise grundsätzlich keine personenbezogenen Bestands- oder Verkehrsdaten wie IP-Adressen erhoben. Und als werbefreier Dienst verzichten wir auch auf Tracking und das Einbinden von Social-Media-Plugins. Neue Funktionen werden bei uns deshalb so konzipiert, dass im Hintergrund tatsächlich auch weiterhin keine persönlichen Daten anfallen. Das stärkt Ihr Recht auf Informationelle Selbstbestimmung – und schont Energieressourcen. Denn durch überflüssige Prozesse, Logs und Datenhalden wird sehr viel Energie verbraucht.

Ihre Anhänge sind ein sensibles, schützenswertes Gut: Sie unterliegen dem Fernmeldegeheimnis und sind grundrechtlich geschützt. Ihr Zugriff und die Darstellung der Daten erfolgt daher live innerhalb Ihres Postfachs. Sie werden nicht in Datenbanken zwischengespeichert, wie es bei solchen Funktionen häufig üblich ist – Ihre Daten verbleiben stets in Ihrem Postfach. Auch die Vorschaubilder des Fotostreams werden nicht in Datenbanken vorgehalten, sondern live aus Ihren E-Mails generiert, sobald Sie auf den Stream zugreifen. Die neue Funktion wurde umfangreich getestet und zusätzlich durch unabhängige Sicherheitsforscher (Cure53) geprüft.

Auf Knopfdruck verschlüsselbar

Anhangs-Browser und Fotostream sind auch kompatibel mit unserem Krypto-Mailspeicher: Ist er aktiviert, werden alle im Postfach gespeicherten Daten mit Ihrem Passwort verschlüsselt. Die neue Funktion nutzen Sie dann innerhalb ihres verschlüsselten, privaten Bereichs: Selbst wir als Anbieter haben keinen Zugriff auf Ihre Daten. Das Prinzip ist vergleichbar mit der Geräteverschlüsselung bei Smartphones.

E-Mail-Anhänge, die mit einer Ende-zu-Ende-Verschlüsselung (PGP/S/MIME) versehen wurden, können im Anhangs-Browser hingegen nicht dargestellt werden.

Weitere Neuerungen in Kürze

Schon bald werden wir weitere Verbesserungen für Sie freigeben: Der Webmailer wird in Kürze auch für Smartphones optimiert zur Verfügung stehen. Anhangs-Browser und Fotostream sind bereits auf die mobile Nutzung angepasst.

Viele Grüße
Ihr Posteo-Team

Enigmail-Nutzer: Nicht auf Thunderbird 78 updaten

2020-06-30T14:15:00+02:00

Liebe Posteo-Kundinnen und Kunden,
liebe Interessierte,

wir wenden uns heute an alle Nutzer von Thunderbird in Verbindung mit dem Verschlüsselungs-Add-on Enigmail. Bitte vermeiden Sie ein Update auf die kommende Version Thunderbird 78.0, wenn Sie Ihre E-Mails regelmäßig mit OpenPGP verschlüsseln und weiterhin darauf angewiesen sind. Enigmail wird von Thunderbird 78 nicht mehr unterstützt. Die neue, eigene OpenPGP-Verschlüsselung des Mailprogramms ist in Version 78.0 noch experimentell – und standardmäßig abgeschaltet.

Sollten Sie die automatische Aktualisierung verwenden, müssen Sie nichts weiter unternehmen: Ein Update auf Thunderbird 78 wird nicht automatisch installiert.

Zum Hintergrund:
Mozilla plant noch für diesen Sommer die neue Version Thunderbird 78, mit der sich die Unterstützung von Add-ons ändert. Dies war unter anderem aus Sicherheitsgründen notwendig geworden.
Das hatte auch ein Sicherheits-Audit im Auftrag von Posteo Ende 2017 gezeigt, das diverse Sicherheitslücken in Thunderbird, insbesondere der Add-on-Schnittstelle identifiziert hatte.

Externe Add-ons wie Enigmail, die auf interne Komponenten von Thunderbird zugreifen müssen, werden künftig nicht mehr unterstützt.

Daher implementiert Mozilla in Thunderbird 78 eine eigene OpenPGP-Funktion. Die eingebaute Verschlüsselung soll das Add-on Enigmail ersetzen.
Aktuell wird die OpenPGP-Unterstützung in Thunderbird 78 als experimentell eingestuft und ist standardmäßig ausgeschaltet: Enigmail wird in Thunderbird 78 nicht mehr unterstützt.

Warten auf Thunderbird 78.2

Ab Thunderbird 78.2 soll OpenPGP in Thunderbird standardmäßig zur Verfügung stehen. Wir werden Sie darüber informieren, sobald die Version zur Verfügung steht und ein Update für OpenPGP-Nutzer möglich ist.

Viele freundliche Grüße sendet
das Posteo-Team

Corona-Vorsorge: Berliner Posteo-Lab vorübergehend geschlossen

2020-03-10T18:30:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir haben eine kurze Mitteilung in eigener Sache:
aufgrund der zunehmenden Verbreitung des Coronavirus bleibt unser Posteo-Lab auf dem Berliner Kreuzberg bis auf Weiteres geschlossen.

Das Posteo-Lab ist unser Öffentlichkeitsraum in Berlin.
Interessierte können dort normalerweise täglich zwischen 15 und 18 Uhr vorbeikommen, um Posteo auszuprobieren, Guthaben aufzuladen und Fragen zu stellen.

Wir bitten alle, die uns in Kürze besuchen wollten, um Verständnis.
Wir werden hier im Blog darüber informieren, sobald wir das Lab wieder öffnen.

Hintergrund der Schliessung ist, dass wir unserem Team bereits seit Ende Februar empfehlen, nach Möglichkeit im Homeoffice zu arbeiten.
Deswegen können wir das Lab nicht mehr durchgängig besetzen. Mit der vorübergehenden Schliessung möchten wir auch das Risiko einer Ansteckung verringern. Ansonsten ist der Betriebsablauf durch das Coronavirus nicht gestört. Sie können alle Fragen per E-Mail an support@posteo.de an uns richten und ihr Guthaben online wieder aufladen.

Viele Grüße
Ihr Posteo-Team

Transparenzhinweis: Unsere Spenden 2019

2020-02-19T16:16:00+01:00

Liebe Kundinnen und Kunden, liebe Interessierte,

wir haben einen Transparenzhinweis für Sie: Wir haben unsere Spenden-Seite aktualisiert. Dort legen wir offen, welche Organisationen wir im vergangenen Jahr (2019) finanziell unterstützt haben.

Im vergangenen Jahr haben wir insgesamt 44.500 Euro gespendet. Davon waren 42.045 Euro freiwillige Spenden durch das Unternehmen Posteo. Aus gespendeten Restguthaben gekündigter Postfächer stammten die übrigen 2455 Euro. Im Vergleich zum Vorjahr konnten wir unsere Spenden im Jahr 2019 um 3900 Euro erhöhen.

#more#

Im Jahr 2019 wurden unterstützt:

ECCHR
Das Europäisches Zentrum für Verfassungs- und Menschenrechte (ECCHR) setzt sich mit juristischen Mitteln für die Menschenrechte ein. Ziel der Anwälte des ECCHR ist es, staatliche und nichtstaatliche Akteure für schwerwiegende Menschenrechtsverletzungen gerichtlich zur Verantwortung zu ziehen. Gegründet wurde das ECCHR im Jahr 2007 unter anderem von dem Menschenrechtsanwalt Wolfgang Kaleck, der in Deutschland den Whistleblower Edward Snowden vertritt.

Zusätzliches Sponsoring im Jahr 2019:

taz – Panter Stiftung
Die taz Akademie lädt zweimal im Jahr 20 NachwuchsjournalistInnen und -journalisten und Aktivistinnen und Aktivisten nach Berlin ein, um zusammen einen Beileger für die Tageszeitung zu produzieren. Im Jahr 2019 hieß das Thema „Klima retten? Klar, aber wie?“. Posteo hat den Klima-Workshop als Sponsor unterstützt.

Reporter ohne Grenzen – Press Freedom Awards
Die Press Freedom Awards von Reporter ohne Grenzen ehren außergewöhnlich mutige und unabhängige Journalistinnen und Journalisten, die trotz widrigster Umstände und Gefahren nicht schweigen wollen. Posteo stiftete im Jahr 2019 das Preisgeld in der Kategorie „Courage“.

Posteo wirtschaftet nachhaltig und ist unabhängig: Unser Dienst wird ausschließlich mit den Postfachgebühren unserer Kundinnen und Kunden finanziert. Investoren oder Werbepartner gibt es bei Posteo nicht. Deshalb sind Sie es, die unser Engagement ermöglichen – und einen Unterschied machen. Hierfür bedanken wir uns bei Ihnen.

Viele Grüße
Ihr Posteo-Team

Neues Sicherheitszertifikat

2020-01-06T17:00:00+01:00

Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,

Neue Fingerprints des TLS-Sicherheitszertifikats für posteo.de:

Geotrust:
SHA256: 0D:E9:93:36:62:E6:B7:39:F3:35:A8:AC:14:70:37:29:5F:E7:C4:B5:DB:3E:6C:55:AC:21:62:F6:82:CA:63:05
SHA1: AB:5F:22:76:52:78:05:DC:5B:5C:B3:EC:34:B3:C1:1A:FE:58:62:85
MD5: C9:FF:8D:19:7C:F7:FF:40:32:9B:FB:07:01:1C:5C:6F

Viele Grüße
Ihr Posteo-Team

Update: Richtigstellungen: Falsche Berichterstattung heute und gestern zu E-Mail-Diensten wie Posteo

2019-11-12T16:00:00+01:00

Update 14.11.2019:

Die Redaktionen haben sich inzwischen bei uns gemeldet und die falschen Presseberichte von Tagesschau, SZ, Spiegel Online u.a. wurden korrigiert bzw. ergänzt.
Dass Webmaildienste nicht mehr dem TKG unterliegen, war vielen offenbar noch nicht bekannt. Die uns vertretende TK- und Verfahrensrechtsexpertin Dr. Grace Nacimiento (GvW) hat sich freundlicherweise dazu bereit erklärt, für Interessierte noch einmal eine kurze schriftliche Einordnung der aktuellen rechtlichen Situation zu geben:
#more#
Zitat Dr. Grace Nacimiento vom 13.11.2019:
“Der EuGH hat in seinem Googlemail-Urteil vom 13. Juni 2019 entschieden, dass Webmaildienste wie Posteo nicht als Telekommunikationsdienste im Sinne der einschlägigen Definition in den EU-Richtlinien einzustufen sind. In Deutschland ist diese unionsrechtliche Definition im TKG umgesetzt worden. Die Auslegung der unionsrechtlichen Definition eines Telekommunikationsdienstes durch den EuGH ist für die mitgliedstaatlichen Verwaltungen verbindlich. Die Bundesnetzagentur ist demnach in ihrer Verwaltungspraxis verpflichtet, die vom EuGH getroffene Auslegung zugrunde zu legen. Behördliche Maßnahmen gegenüber Anbietern von Webmaildiensten sind daher jedenfalls auf Basis des TKG nicht zulässig. Das gilt insbesondere auch für Maßnahmen zur Erfüllung von Pflichten, die das TKG im Zusammenhang mit TK-Überwachungen für Anbieter von Telekommunikationsdiensten regelt. In zeitlicher Hinsicht hat dieses Urteil nach den unionsrechtlichen Vorschriften Rückwirkung. Das heißt, es gilt auch für alle vor dem Urteil entstandenen Sachverhalte, bei denen es um Verpflichtungen von Webmaildiensteanbietern nach dem TKG geht.”

Liebe Posteo-Nutzerinnen und Posteo-Nutzer,

dieser Blogbeitrag richtet sich ausnahmsweise einmal nicht direkt an Sie, sondern an Redaktionen. Seit gestern befinden sich leider falsche Tatsachenbehauptungen zu E-Mail-Diensten wie Posteo (Webmaildienste), Rechtsgrundlagen und Urteilen im Zusammenhang mit Posteo in der medialen Berichterstattung, die zu korrigieren sind.

Viele Grüße,
das Posteo-Team

A) Falsche Berichterstattung u.a. der SZ, tagesschau.de und anderen Medien zur aktuellen Rechtslage bei E-Maildiensten:

Die gestern (11.11.2019) und heute (12.11.2019) in den Medien dargestellte Rechtslage zu E-Mail-Diensten, die dort pauschal als TK-Dienste bezeichnet werden, ist inzwischen veraltet und falsch. Von dieser falschen Grundannahme ausgehend folgt eine in vielen Punkten falsche Berichterstattung. Richtig ist: E-Mail-Dienste wie Posteo (Webmaildienste) unterliegen bereits seit Juni 2019 überhaupt nicht mehr dem TKG. Über die neue Rechtslage informieren wir bereits seit dem Sommer 2019 auf unserer Transparenzberichte-Website wie folgt:

Screenshot vom Posteo Transparenzbericht mit Klarstellungen zur Rechtslage

“In Folge eines Urteils des Europäischen Gerichtshofes vom 13.06.2019 fallen E-Mail-Dienste wie Posteo nicht mehr unter die Pflichten des TKG.

Alle Verweise auf das Telekommunikationsgesetz (TKG) auf diesen Seiten sowie die Bezeichnung von Posteo als „Telekommunikations-Anbieter nach dem TKG“ sind daher nicht mehr aktuell.

Derzeit gibt es keine Rechtsgrundlage mehr für etwaige Telekommunikationsüberwachungen (TKÜ) bei E-Mail-Diensten; Posteo darf und wird solche Anordnungen daher nicht mehr umsetzen.

Auch alle sonstigen Ersuchen/Verpflichtungen auf Grundlage des TKG sind hinfällig.

Voraussichtlich wird eine neue gesetzliche Regelung im Jahr 2020 auf den Weg gebracht werden.”

Bis zur neuen gesetzlichen Regelung gilt außerdem:

1) In der Folge des EUGH-Urteils vom 13.06. ist der Bundesdatenschutzbeauftragte ab sofort nicht mehr für E-Mail-Dienste wie Posteo zuständig, da diese nicht mehr dem TKG unterliegen.

Quelle/Beleg für Redaktionen:

Aus dem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – 12.09.2019

“Sachliche Zuständigkeit für E-Mail und andere Over-the-top (OTT)-Dienste

Auf Basis des Urteils des EuGH vom 13. Juni 2019 (Az. C – 193/18) zur Auslegung des Begriffs des „Telekommunikationsdienstes“ gelten für die Zuständigkeitsverteilung zwischen dem BfDI und den Aufsichtsbehörden der Länder vorbehaltlich einer Änderung der gesetzlichen Zuständigkeitsregelungen folgende Grundsätze:

Webmaildienste sind keine Telekommunikationsdienste i.S.d. Telekommunikationsgesetzes (TKG) in der derzeit geltenden Fassung. Dies gilt für reine Webmaildienste und für E-Maildienste, die zusammen mit einem Internetzugang angeboten werden, wenn die E-Mails (zumindest auch) über einen Webmailer abgerufen werden können. Daraus folgt, dass für die Datenschutzaufsicht mangels anderer besonderer Zuständigkeitsvorschriften allein die jeweiligen Landesdatenschutzaufsichtsbehörden zuständig sind. Die bisher beim Bundesbeauftragten für den Datenschutz (BfDI) geführten Verfahren werden an die jeweils zuständigen Landesaufsichtsbehörden zur Bearbeitung zuständigkeitshalber abgegeben."

Original-Quelle im Pdf-Format: Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden vom 12.09.2019

2) Die Bundesnetzagentur ist ebenfalls nicht mehr die für Webmaildienste wie Googlemail oder Posteo zuständige Aufsichtsbehörde. Achtung Redaktionen: Das Urteil des EuGH hat bereits ab Entscheidungsverkündung (Juni 2019) sofortige und rückwirkende Wirkung (ex tunc), auch wenn das zugrundeliegende Verfahren auf nationaler verwaltungsrechtlicher Ebene – nach den Vorgaben des EuGH – noch abgeschlossen werden muss.

B) Falsche Berichterstattung zum heute und gestern in den Medien zitierten Nicht-Annahme-Beschluss des BVerfG zu Posteo vom Januar 2019:

Der Beschluss vom Januar 2019 war keine “Grundsatzentscheidung zum TKG”, wie u.a. die Süddeutsche Zeitung berichtet: Unsere damalige Beschwerde wurde vielmehr schlichtweg überhaupt nicht zur Entscheidung angenommen – und diese Nichtannahme wurde durch das Gericht ausführlich begründet. Das macht in der Praxis einen Unterschied (ein Nicht-Annahmebeschluss ist rechtlich nicht bindend). Außerdem hat das BVerfG damals vieles von tatsächlichen Annahmen abhängig gemacht, die die Verwaltungsgerichte noch aufzuklären hätten (wenn sich das nicht durch das EuGH-Urteil ohnehin erledigt hätte).
Auch wurde nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Das BVerfG hat angenommen, dass IP-Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall.

Achtung Redaktionen:

Aufgrund der EuGH-Entscheidung im Juni 2019 ist der Nichtannahme-Beschluss des BVerfG in Bezug auf das TKG überholt.

Posteo hat u.a. aufgrund der vorliegenden EuGH-Entscheidung außerdem keinerlei Umbaumaßnahmen an seinen Systemen vorgenommen.

C) Falsche Berichterstattung zum weiteren Vorgehen von Posteo

Des Weiteren wird unter anderem von der SZ der falsche Eindruck vermittelt, dass wir uns nicht weiter gegen den Beschluss des BVerfG gewehrt hätten.
Hierzu stellen wir richtig: Das ist falsch. Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

Die Richtigstellungen im Einzelnen:

SZ:
“Wenige Monate, nachdem Tutanota Post vom Itzehoer Amtsgericht bekommen hatte, traf das Bundesverfassungsgericht eine Grundsatzentscheidung zum TKG.”
→ Richtig ist: Es handelt sich nicht um eine Grundsatzentscheidung zum TKG, sondern um einen Nichtannahmebeschluss einer Verfassungsbeschwerde von Posteo. Wie wir inzwischen wissen, entfaltet dieser keine rechtliche Bindungswirkung. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist.

SZ:
“Ende Januar 2019 urteilten die Richter aber, dass Posteo die Daten nun speichern und herausgeben muss.”
Richtig ist:
→ Es wurde nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Wie wir inzwischen wissen, entfaltet dieser keine rechtliche Bindungswirkung. Das BVerfG hat angenommen, dass IP Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist. Es werden auch in Einzelfällen weiter keine IP-Adressen erhoben.

SZ:
“Nach diesem Urteil entschied auch (…), sich nicht weiter gegen die Forderung vom Amtsgericht zu wehren.”
→ Der Satz impliziert fälschlicherweise, Posteo habe sich in der Sache nicht weiter gewehrt. Richtig ist: Posteo hat sich weiter gewehrt, das implizierende “auch” ist richtigzustellen. Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

SZ:
“Welche Daten E-Mail-Anbieter weitergeben müssen, regelt das Telekommunikationsgesetz (TKG).”
Das ist falsch. Richtig ist: Webmail-Dienste wie Posteo fallen derzeit nicht mehr unter das TKG.

SZ:
“Es (das TKG) stammt aus einer Zeit, in der es noch keine Smartphones und Krypto-Mails gab. Damals bedeutete Überwachung, dass ein Telefonanbieter der Polizei einen Zugang zur Leitung freischaltet.”
Richtig ist: Das ursprüngliche TKG stammt von 1996 und wird laufend aktualisiert. PGP gibt es als IETF-Standard seit 1996, als Programm seit 1991. Der erste Nokia Communicator ist aus 1996. Mit ihm konnte man E-Mails verschicken. Eine grundlegende Erneuerung des TKG fand 2004 statt, bei der das TKG auf die Richlinien der EU (2002) angepasst wurde.

tagesschau.de
“Jurist: Keine Chance gegen Aufforderung”
→ Richtig ist: In dem Text geht es um Webmaildienste. E-Mail-Dienste wie Posteo oder Googlemail fallen derzeit nicht mehr unter das TKG. Derzeit gibt es aufgrund einer Entscheidung des EuGH vom 13.06.2019 keine Rechtsgrundlage mehr für etwaige Telekommunikationsüberwachungen (TKÜ) (“solche Aufforderungen”) bei Webmaildiensten; Posteo darf und wird solche Anordnungen daher nicht mehr umsetzen. Auch alle sonstigen Ersuchen/Verpflichtungen auf Grundlage des TKG sind hinfällig.

tagesschau.de
“Das Telekommunikationsgesetz (TKG) regelt in Deutschland, welche Daten ein Provider weitergeben muss und welche nicht.”
Richtig ist: Im Text geht es um E-Mail-Dienste. Webmail-Dienste wie Posteo fallen derzeit (s.o.) aber nicht mehr unter das TKG.

tagesschau.de
“Allerdings stammt das Gesetz aus einem Zeitalter, als es noch keine Smartphones oder kryptierten E-Mail-Dienste gab.”
Richtig ist: Das ursprüngliche TKG stammt von 1996 und wird laufend aktualisiert. Verschlüsselte E-Mail-Kommunikation gab es auch damals schon: PGP gibt es als IETF-Standard seit 1996, als Programm seit 1991. Der erste Nokia Comunicator ist aus 1996. Mit ihm konnte man E-Mails verschicken. Eine grundlegende Erneuerung des TKG fand 2004 statt, bei der das TKG auf die Richlinien der EU (2002) angepasst wurde.

tagesschau.de
“[…] traf das Bundesverfassungsgericht eine Grundsatzentscheidung in Sachen Telekommunikationsgesetz (TKG): Der Berliner E-Mail-Anbieter Posteo hatte dagegen geklagt, die IP-Adressen seiner Kunden an die Polizei herauszugeben. Dabei speicherte das Unternehmen, das mit großer Datensparsamkeit wirbt, diese Informationen gar nicht. Die Richter am Bundesverfassungsgericht aber sahen Posteo in der Pflicht: Ende Januar 2019 urteilten sie, dass die Firma die Daten speichern und auch herausgeben muss.”

Richtig ist: Es handelt sich nicht um eine Grundsatzentscheidung zum TKG, sondern um einen Nichtannahmebeschluss einer Verfassungsbeschwerde von Posteo. Die Beschwerde von Posteo wurde nicht zur Entscheidung angenommen.
Es wurde auch nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Wie wir inzwischen wissen, entfaltet dieser Nichtannahme-Beschluss keine rechtliche Bindungswirkung. Das BVerfG hat angenommen, dass IP Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist. Es werden auch in Einzelfällen weiter keine IP-Adressen erhoben.
Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil des EuGH im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

spiegel.de
“Das TKG regelt, welche Daten Provider weitergeben müssen, es gilt allerdings in vielen Punkten als veraltet oder vage formuliert.”
→ Richtig ist: Im Text geht es um E-Mail-Dienste. Webmail-Dienste fallen derzeit aber tatsächlich nicht mehr unter das TKG. Derzeit gibt es aufgrund einer Entscheidung des EuGH vom 13.06.2019 keine Rechtsgrundlage mehr für etwaige Telekommunikationsüberwachungen (TKÜ) bei Webmaildiensten; Posteo darf und wird solche Anordnungen daher nicht mehr umsetzen. Auch alle sonstigen Ersuchen/Verpflichtungen auf Grundlage des TKG sind hinfällig.

spiegel.de
“(…)und das Bundesverfassungsgericht fällte ein Urteil,(…)”
“In einem Rechtsstreit um den Berliner Anbieter Posteo entschied das Bundesverfassungsgericht im Januar, dass Mail-Anbieter IP-Adressen ihrer Kunden an Strafverfolger herausgeben können müssen – selbst dann, wenn sie diese wie im Fall von Posteo gar nicht erheben wollen.”
Es handelt sich nicht um ein Urteil des BVerfG, sondern um einen Nichtannahmebeschluss einer Verfassungsbeschwerde von Posteo. Die Beschwerde von Posteo wurde nicht zur Entscheidung angenommen.
Es wurde auch nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Wie wir inzwischen wissen, entfaltet dieser Nichtannahme-Beschluss keine rechtliche Bindungswirkung. Das BVerfG hat angenommen, dass IP Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist. Es werden auch in Einzelfällen weiter keine IP-Adressen erhoben.
Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil des EuGH im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

spiegel.de
“Posteo kündigte nach der Entscheidung aus Karlsruhe eine “architektonische Lösung” an, die “die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt”."
→ das ist falsch (da verkürzt).
Richtig ist das vollständige Zitat aus unserer Blogmeldung von damals: “Wie es jetzt weitergeht: Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt.”
Wir haben also eine rechtliche Prüfung “angekündigt” und diese auch durchgeführt, zusammen mit unseren Anwälten und einem Verfassungsrechtler.
Eine mögliche architektonische Lösung wurde nur in dem oben zitierten Kontext im Konjunktiv erwähnt – und zwingend an die Bedingung etwaiger fehlender rechtlicher Optionen geknüpft.

Reporter ohne Grenzen: Posteo unterstützt die Press Freedom Awards

2019-09-10T14:00:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

die Press Freedom Awards von Reporter ohne Grenzen (ROG) ehren außergewöhnlich mutige und unabhängige Journalistinnen und Journalisten, die trotz widrigster Umstände und Gefahren von Leib und Leben nicht schweigen wollen. Posteo stiftet in diesem Jahr das Preisgeld in der Kategorie „Courage“.

Die Nominierten der Press Freedom Awards in der Kategorie “Courage” Quelle: Reporter ohne Grenzen

Es freut uns, auf diese Weise mutige Medienschaffende unterstützen zu dürfen. Am 12. September werden die Press Freedom Awards erstmals in Berlin vergeben.

Die diesjährigen Nominierten in den drei Preiskategorien stammen aus 12 verschiedenen Ländern. Unter ihnen sind ein russischer Investigativjournalist, auf den bereits mehrere Anschläge verübt wurden, eine vietnamesische Journalistin, die wegen ihrer Arbeit geschlagen und inhaftiert wurde, sowie Pakistans älteste Tageszeitung, die immer wieder von Offiziellen in ihrer Tätigkeit behindert wird.

Die Nominierten aus der von Posteo geförderten Kategorie “Courage”

Igor Rudnikov Quelle: Reporter ohne Grenzen

 
Igor Rudnikov (Russland) – Auf den Gründer der unabhängigen Zeitung Novye Kolesa wurden wegen seiner Recherchen zu Korruption und dem Missbrauch öffentlicher Gelder schon mehrere Anschläge verübt. Außerdem wurde er wegen seiner Arbeit verhaftet. Im Gefängnis schrieb er weiter Artikel und ein Buch, indem das Zitat vorkommt: “Der Gedanke kann nicht in Handschellen gelegt oder ins Gefängnis geworfen werden. Er wird immer frei sein.” 

Eman al Nafjan Quelle: Reporter ohne Grenzen

 
Eman Al-Nafjan (Saudi-Arabien) – Die Bloggerin und Journalistin hatte sich in Saudi-Arabien massiv dafür eingesetzt, dass Frauen Auto fahren dürfen und mehr Rechte bekommen. Dafür wurde sie verhaftet. Aktuell ist sie vorläufig frei. Sie rief die Webseite SaudiWoman.me ins Leben und schreibt für internationale Medien wie die britische Zeitung “The Guardian” und die “New York Times”. Seit Mitte 2018 erlaubt der Staat auch Frauen, Auto zu fahren.

Paolo Borrometi Quelle: Reporter ohne Grenzen

 
Paolo Borrometi (Italien) – Wegen seiner unerschrockenen Berichterstattung über die Mafia wird er regelmäßig mit dem Tode bedroht und lebt unter ständigem Polizeischutz. Er schreibt für die Zeitung “Giornale di Sicilia” und die von ihm ins Leben gerufene Webseite “La Spia”.

Lola Aronovich Quelle: Reporter ohne Grenzen

 
Lola Aronovich (Brasilien) – Die Bloggerin ist mit ihren feministischen Texten und dem Einsatz für Frauenrechte im ganzen Land bekannt geworden. Gleichzeitig wird sie immer wieder massiv angefeindet. Online erhielt sie hunderte Todesdrohungen. Seit 2018 gilt in Brasilien ein Gesetz, dass frauenfeindliche Online-Kriminalität besser verfolgbar macht – es wird auch als “Lola-Gesetz” bezeichnet.

Premiere in Deutschland

Seit nunmehr 27 Jahren verleiht die Nichtregierungsorganisation Reporter ohne Grenzen die Press Freedom Awards. Traditionell findet die Veranstaltung in Frankreich statt – dem Gründungsland von ROG. Anlässlich ihres 25-jährigen Bestehens organisiert die deutsche Sektion in diesem Jahr die Preisverleihung.

Wer zu den Preisträgerinnen und Preisträgern gehört, wird am 12. September in den Kammerspielen des Deutschen Theaters in Berlin bekannt gegeben. Die Jury besteht aus den Präsidentinnen und Präsidenten der sieben weltweiten ROG-Sektionen. Hinzu kommt das sogenannten Emeritus Board, das sich aus Männern und Frauen zusammensetzt, die sich in den Bereichen Menschenrechte und Meinungsfreiheit verdient gemacht haben.

Unsere Unterstützung

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen. Deshalb unterstützen wir ausgewählte Organisationen aus den Bereichen des Klima- und Umweltschutzes, der Netzpolitik, Meinungsfreiheit und Menschenrechte sowie aus der Flüchtlingshilfe.

Viele Grüße
Ihr Posteo-Team

Posteo beim Auftakt zur IT-Sicherheits-Dialogreihe im Bundesjustizministerium

2019-02-07T16:00:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir waren gestern auf Einladung der Staatssekretäre Gerd Billen und Klaus Vitt im Bundesjustizministerium (BMJV) zu Gast: Dort fand die Auftaktveranstaltung der neuen Dialogreihe „IT-Sicherheit für Verbraucherinnen und Verbraucher“ statt.
Wir möchten ein wenig von unseren Eindrücken berichten.

Eingeladen waren neben ausgewählten Providern auch große Internet-Unternehmen wie Facebook und Google sowie Vertreter der Zivilgesellschaft (wie z.B. die Verbraucherschutzzentralen). Außerdem waren Vertreter des Kanzleramtes, verschiedener Ministerien, des Bundesamtes für Sicherheit in der Informationstechnik(BSI) und des Bundesdatenschutzbeauftragten anwesend. Wir waren gespannt auf die Themen und die Ausrichtung der Veranstaltung: Denn offenbar ist die Dialogreihe auch eine Reaktion auf den jüngsten Datendiebstahl bei Politikern und Prominenten.

#more#
Und tatsächlich wurde zunächst diskutiert, wie die Sicherheit von Online-Konten für die Verbraucherinnen und Verbraucher erhöht werden kann. Wir wurden kurz zu unseren Erfahrungen aus der Praxis befragt. Schwerpunkte der Diskussion waren die Passwort-Sicherheit sowie die Zwei-Faktor-Authentifizierung. Offenbar wird in der Bundesregierung evaluiert, ob man in diesem Bereich gesetzgeberisch tätig werden will, Konkretes liegt aber nicht vor.

Auch weitere Sicherheitsaspekte wurden diskutiert: Mit dem BSI standen wir in den vergangenen Monaten zum Beispiel zum Thema Webkey-Directory in einem regen Austausch. Das Verfahren erleichert das Finden und Verwalten von öffentlichen Schlüsseln für die Ende-zu-Ende-Verschlüsselung. BSI-Präsident Arne Schönbohm berichtete von der guten Zusammenarbeit mit Posteo beim Thema der Ende-zu-Ende-Verschlüsselung und wünschte sich, dass andere Provider hier nun mitmachten.

Auch Bildung und Wissensvermittlung waren ein Thema: So berichteten unter anderem die Verbraucherschutzzentralen über ihre Arbeit bei der Förderung der Medien- und Online-Kompetenz.

Posteo: BSI soll unabhängig werden

Im Weiteren wurde darüber gesprochen, die Informationsangebote des BSI, aber auch seinen Stellenwert und die Akzeptanz der Behörde bei den Verbraucherinnen und Verbrauchern weiter auszubauen. Hierzu erklärten wir, dass der aus unserer Sicht wichtigste Schritt sei, das BSI unabhängig zu machen. Derzeit ist die Behörde noch dem Bundesinnenministerium unterstellt und hier kann es in Sicherheitsfragen zu Interessenskonflikten kommen.
Unabhängigkeit ist aus unserer Sicht unabdingbar für Behörden, die sich mit Handlungsempfehlungen an die Verbraucherinnen und Verbraucher wenden. Sie benötigen ein besonders hohes Maß an Glaubwürdigkeit. Ein Beispiel für eine unabhängige Bundesbehörde ist der Bundesbeauftragte für den Datenschutz.

Die Unabhängigkeitsproblematik wurde auch beim nächsten Programmpunkt noch einmal deutlich.
Das die meiste Veranstaltungszeit einnehmende Thema waren die Pläne für das “IT-Sicherheitskennzeichen” des Bundesinnenministeriums: Es soll Verbrauchern künftig offenbar aufzeigen, ob Hardwareprodukte wie Router oder Mobiltelefone Mindeststandards an die IT-Sicherheit einhalten. Ob auch Internetdienste das Sicherheits-Kennzeichen erhalten sollen, wurde in der Runde nicht ausgeführt.
Über den Sinn und Nutzen eines solchen Siegels für die Verbraucherinnen und Verbraucher kann man sich streiten. Aus unserer Sicht sollte ein solches IT-Sicherheitskennzeichen aber von einem unabhängigen BSI initiiert und verantwortet werden.

Wir freuen uns auf weitere Termine der Dialogreihe.

Viele Grüße
das Posteo-Team

Erster Kommentar zur Entscheidung des Bundesverfassungsgerichts

2019-01-29T15:00:00+01:00

Liebe Posteo-Nutzerinnen und Posteo-Nutzer,

heute wird in der Presse über eine Entscheidung des Bundesverfassungsgerichtes zu E-Mail-Anbietern berichtet.

Es handelt sich um unsere Verfassungsbeschwerde.
Wir prüfen derzeit noch die Entscheidung, die uns seit wenigen Stunden vorliegt und werden mit unseren Anwälten beraten, welche rechtlichen Optionen wir noch haben.

Grundsätzlich möchten wir sagen:
Wir sind sehr überrascht von der Entscheidung des Bundesverfassungsgerichts. Sie stellt die bisherige rechtliche Auskunftssystematik auf den Kopf: Bisher war unbestritten, dass sich die Auskunftspflicht nur auf Daten bezieht, die bei TK-Anbietern nach § 96 TKG tatsächlich auch vorliegen. Nun sollen Daten auch alleinig zu Ermittlungszwecken erhoben werden: Daten, die beim TK-Anbieter im Geschäftsbetrieb nachweislich gar nicht anfallen – und die er im Geschäftsbetrieb auch nicht benötigt. (Von der Vorratsdatenspeicherung sind E-Mail-Dienste wie Posteo explizit ausgenommen.)
Wir bewerten die Entscheidung als recht einseitig. Eine Stellungnahme der Bundesdatenschutzbeauftragten hatte unsere Positionen in vielen Punkten gestärkt, wurde in der Entscheidung aber kaum gewürdigt.
#more#
Die Bundesbeauftragte für den Datenschutz (BfDI) hatte vor der Entscheidung im Verfahren wie folgt Stellung bezogen und gewarnt:

“Aus datenschutzrechtlicher Sicht ist das vorliegende Verfahren vielmehr gerade deshalb bedeutend, weil es einen Präzedenzfall für die zukünftige Systematik der sicherheitsbehördlichen Auskunftsverfahren im TK-Bereich darstellen kann. Bislang gilt der Grundsatz: Bei Vorliegen einer entsprechenden Rechtsgrundlage müssen TK-Anbieter die bei ihnen vorliegenden Verkehrsdaten anfragenden Sicherheitsbehörden zur Verfügung stellen. (…) Sollte nunmehr im Rahmen der zur Entscheidung vorliegenden Rechtsfrage festgestellt werden, dass ein TK-Anbieter in Abkehr von der bisherigen Regelungssystematlk verpflichtet ist, seine Datenverarbeitungsprozesse aufgrund sicherheitsbehördlicher Auskunftsersuchen über die nach dem TKG eigentlich erforderlichen Maße hinaus umzugestalten, besteht die Gefahr, dass hierdurch das aktuell geltende Ursache-Folge-Verhältnis in diesem Bereich ins Gegenteil verkehrt wird.”

Und weiter:
“Mit der Verpflichtung, nach den aktuellen Vorschriften des TKG eigentlich nicht erforderliche Daten überhaupt erst zu erheben, um ein Auskunftsersuchen erfüllen zu können, würde das eigentliche Entstehen von Telekommunikationsdaten zu einem Mittel, das nicht der Telekommunikation selbst, sondem ausschließlich der Unterstützung und gegebenenfalls sogar Ermöglichung sicherheitsbehördlicher Maßnahmen dient. Letztere werden damit zur eigentlichen Ursache für die Datenverarbeitung.”

Zur vollständigen Stellungnahme der Bundesbeauftragten für den Datenschutz

Warum wir keine Verkehrsdaten zu den Postfächern erheben
Nutzer-Verkehrsdaten dürfen wir nach § 96 TKG nur dann erheben, wenn wir sie für betriebliche Zwecke benötigen.
Wir benötigen solche Daten aber nicht – deshalb dürfen wir sie aus unserer Sicht auch nicht erheben. Unsere Systemarchitektur ist u.a. aus Sicherheitserwägungen so aufgebaut, dass sich IP-Adressen auch überhaupt nicht postfachbezogen erheben lassen.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatierte in einem technischen Gutachten im Verfahren:
“Ohne Änderungen an den eingesetzten Systemen kann Posteo den Zugriff auf ein Postfach nicht einer IP-Adresse des Kunden zuordnen.”

Wie es jetzt weitergeht
Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt.
Und, um es ganz klar zu sagen: Wir werden nicht damit beginnen, die IP-Adressen unserer unbescholtenen Kundinnen und Kunden zu loggen. Ein konservativer System-Umbau ist für uns keine Option.
Es geht darum, bei richterlich angeordneten Telekommunikations-Überwachungen eine IP-Adresse zu einem betroffenen Postfach erheben zu können.
Jegliche Änderungen werden wir transparent und nachprüfbar kommunizieren und dokumentieren. In den letzten zwei Jahren haben wir bereits viel Zeit investiert, uns auch auf diesen Fall vorzubereiten.

Wir haben die Erfahrung gemacht, dass hochkomplexe, sichere Systemarchitekturen und ihr Nutzen staatlichen Stellen noch kaum verständlich zu machen sind.

Es geht nicht nur um Datenschutz, sondern auch um die IT-Sicherheit: Was ist mit dem berechtigten Anspruch aller Nutzer, gegen Cyber-Attacken aus dem Internet bestmöglich geschützt zu sein?
Wir haben unsere internen Systeme aus gutem Grund bestmöglich gegen das öffentliche Internet und gegen Angriffe aus ihm abgeschirmt. Es macht aus unserer Sicht überhaupt keinen Sinn, ein System so umzubauen, dass es zusätzliche Daten von Aussen ins System lässt, die für den technischen Betrieb überhaupt nicht benötigt werden. Das ist genau das rückständige Denken, das häufig in die Katastrophe führt – wie die massenhaften Datendiebstähle in den letzten Wochen gezeigt haben.

Viele Grüße
das Posteo-Team

Neues Sicherheitszertifikat

2019-01-15T14:30:00+01:00

Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,

Neue Fingerprints des TLS-Sicherheitszertifikats für posteo.de:

Geotrust:
SHA256: 4D:BE:FA:8D:28:6A:D3:73:85:A1:B9:3F:77:D0:5F:E9:70:DD:BF:91:B6:0B:66:3A:1E:4B:C0:3D:4F:71:90:D0
SHA1: 73:4A:26:46:D0:A3:95:1D:52:88:83:F4:12:E9:CA:35:67:8A:6A:07
MD5: BD:6F:47:5C:8E:A9:82:87:E1:DC:A1:7C:07:85:95:A7

Viele Grüße
Ihr Posteo-Team

Kartographie für Hilfsorganisationen: Missing Maps zu Gast im Posteo Lab

2018-08-20T11:43:00+02:00

Von Kreuzberg aus Nigeria erschließen: Das war am 14. August in unserem Berliner Posteo Lab möglich. Dort veranstaltete eine neue Missing Maps-Gruppe ihren ersten deutschen Mapathon. Bei Mapathons verbessern Freiwillige unter Anleitung Online-Karten, indem sie beispielsweise Dörfer und Straßen auf Satellitenaufnahmen eintragen. Bei den Veranstaltungen von Missing Maps werden OpenStreetMap-Karten von Krisenregionen verbessert. So können beispielsweise Hilfsorganisationen ihre Einsätze effektiver planen. #more#

Missing Maps ist ein humanitäres Projekt, das im November 2014 vom amerikanischen und britischen “Roten Kreuz”, dem “Humanitarian OpenStreetMap Team”und “Ärzte ohne Grenzen” ins Leben gerufen wurde. Seitdem organisiert Missing Maps in verschiedenen europäischen Ländern regelmäßig Mapathons. Bei der ersten deutschen Veranstaltung im Posteo Lab nahmen etwa 17 Interessierte teil.
#more#
Im Fokus der Veranstaltung in Berlin standen Satellitenaufnahmen des Bundestaats Niger, im Westen Nigerias. Dort sind aktuell Teams einer medizinischen Hilforganisation aktiv, die genauere Karten der Region für ihre Arbeit benötigen.

Zu Beginn des Mapathons gab es eine ausführliche Einführung. Marcel Werdier von der Organisation Missing Maps erklärte anhand einer Präsentation anschaulich, wie Mapping funktioniert, zeigte die hierfür benötigten Programme und erläuterte den Freiwilligen die wichtigsten Regeln beim Mappen.

Nach dem Vortrag konnten die Teilnehmerinnen und Teilnehmer ihr Erlerntes sofort anwenden und an ihren mitgebrachten Laptops mit dem Mapping beginnen. Sie sichteten Satellitenaufnahmen und zeichneten mit wenigen Klicks Straßen und Dörfer ein. Das Team von Missing Maps half den Teilnehmerinnen und Teilnehmern und beantwortete aufkommende Fragen.

Im Anschluss gab es eine Abschlusspräsentation, bei der die Freiwilligen die gemeinsam erarbeiteten Karten-Fortschritte ansehen konnten. Mit den erworbenen Kenntnissen können sie auch privat weiter mappen.

Das Team von Missing Maps zeigte sich zufrieden mit der Deutschlandpremiere seiner Mapathons. Es gibt Pläne, weitere solcher Abende in Berlin zu organisieren.

Hintergrund:
Wir wollen gesellschaftliches Engagement stärken: Deshalb stellen wir das Posteo Lab regelmäßig gemeinnützigen Vereinen und Organisationen unentgeltlich zur Verfügung. Uns ist wichtig, dass die Veranstaltungen zu Posteo und unseren Themen Nachhaltigkeit, Technologie, Demokratie, Open Source, Netzpolitik, IT-Sicherheit und Datenschutz passen. Bei Interesse können Sie uns gerne eine Anfrage an veranstaltungen@posteo.de schicken.

Posteo wird zu 100 Prozent aus den Beiträgen seiner Nutzerinnen und Nutzer finanziert. Sie ermöglichen auch unser gesellschaftliches Engagment: Dafür möchten wir uns an dieser Stelle bei ihnen bedanken.

Transparenzhinweis: Unsere Spenden 2017

2018-07-12T14:45:00+02:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

wir haben einen Transparenzhinweis für Sie: Wir haben unsere Spenden-Seite aktualisiert. Dort legen wir offen, welche Organisationen wir im vergangenen Jahr (2017) finanziell unterstützt haben.

Im vergangenen Jahr haben wir insgesamt 34.600,00 EUR gespendet. Davon waren 33.022,05 EUR freiwillige Spenden durch das Unternehmen Posteo. Aus gespendeten Restguthaben gekündigter Postfächer stammten die übrigen 1.577,95 EUR.
Im Vergleich zum Vorjahr konnten wir unsere Spenden im Jahr 2017 um 5.000 EUR erhöhen.

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen.
Deshalb spenden wir an ausgewählte Organisationen aus den Bereichen Umwelt- und Klimaschutz, Netzpolitik & Meinungsfreiheit sowie aus der Flüchtlingshilfe. #more#

Im Jahr 2017 wurden unterstützt:

BUND:
Der Bund für Umwelt und Naturschutz Deutschland (BUND) ist einer der größten deutschen Umweltverbände. Deutschlandweit gibt es über 2.000 ehrenamtliche BUND-Gruppen, die sich u.a. zu Umweltthemen in ihrer Region engagieren. Der BUND setzt sich außerdem für den Klimaschutz, für eine ökologische Landwirtschaft sowie für den Schutz bedrohter Arten, der Wälder und des Wassers ein. Der BUND ist das deutsche Mitglied des internationalen Umweltschutznetzwerkes “Friends of the Earth”.

Das Deutsche Rote Kreuz:
Das Deutsche Rote Kreuz (DRK) ist eine der größten deutschen Hilfsorganisationen. Das DRK ist weltweit aktiv und kann im Verbund mit ihren Partner-Organisationen an allen Orten der Erde präsent sein. Angesichts der Bedrohungen des Klimawandels hat das DRK gemeinsam mit dem Auswärtigen Amt mehrere Projekte realisiert, die Menschen international bei der Bewältigung der Folgen des Klimawandels unterstützen. Unsere Spenden gehen an ein Projekt im peruanischen Amazonasgebiet. Dort sind 1,3 Millionen Menschen durch die klimawandelbedingte Zunahme von Extremwetter-Ereignissen akut bedroht. Mit den Spenden werden Häuser in sicherer Bauweise auf erhöhten Plattformen errichtet. Außerdem werden Decken und Hygienekits verteilt sowie ein Gesundheitsdienst eingesetzt.

ECCHR:
Das Europäisches Zentrum für Verfassungs- und Menschenrechte (ECCHR) setzt sich mit juristischen Mitteln für die Menschenrechte ein. Ziel der Anwälte des ECCHR ist es, staatliche und nichtstaatliche Akteure für schwerwiegende Menschenrechtsverletzungen gerichtlich zur Verantwortung zu ziehen. Gegründet wurde das ECCHR im Jahr 2007 unter anderem von dem Menschenrechtsanwalt Wolfgang Kaleck, der in Deutschland den Whistleblower Edward Snowden vertritt.

Netzpolitik.org:
netzpolitik.org ist eine journalistische Plattform für digitale Freiheitsrechte und bildet die wichtigen politischen Debatten und Entwicklungen rund um das Internet ab. Auf der Plattform wird dokumentiert, wie die Politik das Internet und die Gesellschaft durch Regulierung und den kontinuierlichen Ausbau von Überwachungsgesetzen verändert. Netzpolitik.org will mit seiner Arbeit Menschen zum Engagement für ihre digitalen Freiheitsrechte und für eine offene Gesellschaft anregen.

Reporter ohne Grenzen:
Reporter ohne Grenzen setzt sich weltweit für die Presse- und Informationsfreiheit ein. Die Organisation dokumentiert Verstöße gegen die Pressefreiheit und unterstützt Journalisten, die in Gefahr sind. Reporter ohne Grenzen kämpft gegen Zensur und restriktive Mediengesetze.

Die UNO-Flüchtlingshilfe:
Die UNO-Flüchtlingshilfe ist der deutsche Ableger des Flüchtlingshilfswerks der Vereinten Nationen (UNHCR). Sie sichert das Überleben geflüchteter Menschen in akuten Krisensituationen mit lebensrettenden Nothilfemaßnahmen. So sorgt die UNO-Flüchtlingshilfe beispielsweise für eine ausreichende Versorgung mit Wasser, Lebensmitteln und Medikamenten in Flüchtlingscamps oder in schwer zugänglichen Regionen.

Zudem war Posteo im Jahr 2017 Sponsor der taz.panterstiftung.

Posteo wirtschaftet nachhaltig und ist unabhängig: Unser Dienst wird ausschliesslich über die Postfachgebühren unserer Kundinnen und Kunden finanziert. Investoren oder Werbepartner gibt es bei Posteo nicht.
Deshalb sind Sie es, die unser Engagement ermöglichen – und einen Unterschied machen. Hierfür bedanken wir uns bei Ihnen.

Viele Grüße
Ihr Posteo-Team

Update: Informationen zu "Efail"-Meldungen

2018-05-14T18:40:00+02:00

Update am 15. Mai 15:30:

Wir haben ein Update für alle Mailvelope-Nutzerinnen und -Nutzer:
Das Open Source-Verschlüsselungs-Plugin Mailvelope ist von den kritischen Efail-Schwachstellen nicht betroffen und kann weiter verwendet werden. Das hat Mailvelope heute Nachmittag mitgeteilt. Mit Mailvelope kann PGP im Posteo-Webmailer genutzt werden. Wir stehen mit dem Mailvelope-Entwickler, Thomas Oberndörfer, in Kontakt.
Er kündigte dennoch an, den Umgang des Plugins mit HTML-Mails im Bezug auf den Datenschutz zu verbessern und z.B. das Nachladen externer Inhalte wie Bilder optional zu machen.
Nutzern rät er, auf die heute erschienene Version 2.2.2 upzudaten, die kleinere Probleme behebt.

14. Mai 18:40:

Liebe Posteo-Nutzerinnen und Posteo-Nutzer,

heute wird in den Medien über Sicherheitslücken bei den Ende-zu-Ende-Verschlüsselungsstandards PGP und S/MIME berichtet.

Die Untersuchung wurde uns erst heute bekannt. Deshalb können wir zu der Veröffentlichung noch keine endgültige Einschätzung abgeben. Wir prüfen das Dokument aktuell für Sie, holen Einschätzungen von Sicherheitsexperten ein und haben Kontakt zu Entwicklern gängiger Verschlüsselungs-Softwares hergestellt.

Wir wollen kurz auf Fragen eingehen, die uns erreicht haben – und erste Tipps für PGP und S/MIME-Nutzer geben. Bei Neuigkeiten werden wir diesen Blog-Beitrag updaten.

Kurz-Info:
1.) Wenn Sie keine Ende-zu-Ende Verschlüsselung mit PGP oder S/MIME nutzen, betrifft Sie dieses Thema nicht.
2.) Verwenden Sie PGP oder S/MIME, blockieren Sie das Ausführen von HTML-Code und das Nachladen externer Inhalte. (Anleitungen dazu finden Sie am Ende dieses Blog-Beitrags)
3.) Alle Beteiligten einer verschlüsselten Kommunikation müssen die unter 2.) beschriebenen Maßnahmen umsetzen. #more#

Ist “die E-Mail-Verschlüsselung” jetzt unsicher?

Nein, das ist pauschal so nicht richtig. Denn: “Die Eine” E-Mail-Verschlüsselung gibt es nicht. E-Mails werden heute in der Regel mit verschiedenen Sicherheits- und Verschlüsselungstechnologien gleichzeitig abgesichert. Eine Ende-zu-Ende-Verschlüsselung schützt beispielsweise nicht die gesamte E-Mail-Kommunikation, auch wenn das viele glauben: Sie schützt nur die Inhaltsdaten.
Die E-Mail-Metadaten und der Betreff werden über die Transportwegverschlüsselung der Provider geschützt.

Die Sicherheit einer E-Mail-Kommunikation hängt real also von der Kombination verschiedener Technologien ab. Wird eine Verschlüsselungstechnologie isoliert betrachtet, sagt dies wenig über die tatsächliche Sicherheit einer bestimmten E-Mail-Kommunikation in der Praxis aus.

Angriff nur unter engen Voraussetzungen möglich

Die Macher der Untersuchung setzen in ihrem Szenario voraus, dass ein Angreifer bereits Zugriff auf die verschlüsselte Kommunikation hat. E-Mail-Provider setzen heute aber Sicherheitstechnologien ein, die Man-in-the-Middle-Attacken und nicht authentifizierte Zugriffe auf verschlüsselte Kommunikation wirksam verhindern können.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt zu den Voraussetzungen für den Angriff:
“Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben.”

Fakt ist: Provider sichern Transportwege, Mailserver und Postfächer heute immer besser ab – bei uns erfolgt dies nach dem Stand der Technik. Nutzer sollten Ihre Endgeräte ebenfalls gut absichern.
Ein Beispiel zu den Transportwegen: 2014 haben wir als erster Provider die innovative Technologie DANE eingeführt, die gängige Schwachstellen in der Transportwegverschlüsselung TLS beseitigt. Eine Kombination aus einer Ende-zu-Ende-Verschlüsselung und einer DANE-basierten Transportwegverschlüsselung ergibt ein sehr hohes Schutzniveau.
Tipp: Im Posteo-Webmailer wird Ihnen vor dem Versenden einer E-Mail angezeigt, ob ihre verschlüsselte E-Mail durch DANE geschützt ist.

Die E-Mailserver schützen wir mit zahlreichen Technologien und einer Infrastruktur, die unser internes Netz und die Kundenpostfächer besonders konsequent vor Zugriffen von außen schützt. Ihr Postfach können Sie mit einem starken Passwort schützen – und wir verschlüsseln jeden Zugriff auf Ihr Postfach mit den neuesten Technologien. Ein noch höheres Schutzniveau erreichen Sie, wenn Sie die Zwei-Faktor-Authentifizierung mit dem zusätzlichen Postfachschutz aktivieren. Mit der TLS-Versand-Garantie verhindern sie, dass Ihre E-Mails ohne Transportwegverschlüsselung an andere E-Mail-Server übertragen werden.

Das BSI beschreibt noch eine zusätzliche Voraussetzung für den Angriff:
“Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte.”

Nutzer von Ende-zu-Ende-Verschlüsselungen sollten deshalb umgehend Ihre Einstellungen zum Ausführen von HTML-Code und dem Nachladen externer Inhalte entsprechend überprüfen und ggf. anpassen. Dann sollte die akute Gefährdung abgewendet sein.

Anleitungen: So blockieren Sie das Nachladen externer Inhalte/das Ausführen von HTML-Code

Thunderbird
HTML-Anzeige deaktivieren:
1. Klicken Sie oben rechts in Thunderbird auf den Sandwich-Button.
2. Klicken Sie auf “Ansicht”.
3. Unter “Nachrichteninhalt” wählen Sie den Menüpunkt “Reiner Text” aus.
Externe Inhalte deaktivieren:
1. Klicken Sie oben rechts in Thunderbird auf den Sandwich-Button und öffnen Sie die “Einstellungen”.
2. Öffnen Sie den Menüpunkt “Datenschutz”.
3. Entfernen Sie im Abschnitt “E-Mail-Inhalte” das Häkchen bei “Externe Inhalte in Nachrichten erlauben”.

Apple Mail
1. Klicken Sie in der Menüleiste auf “Mail” und öffnen Sie dort die “Einstellungen”.
2. Öffnen Sie den Menüpunkt “Darstellung”.
3. Entfernen Sie das Häkchen bei “Entfernte Inhalte in Nachrichten laden”.

iOS
1. Öffnen Sie die “Einstellungen”-App.
2. Tippen Sie auf “Mail”.
3. Deaktivieren Sie im Abschnitt “Nachrichten” den Schalter neben “Bilder von Webservern laden”.

Outlook
1. Klicken Sie auf “Datei” und dort im Seitenmenü auf “Optionen”.
2. Öffnen Sie den Menüpunkt “Trust Center” und klicken Sie dort auf “Einstellungen für das Trust Center”.
3. Klicken Sie auf “E-Mail-Sicherheit”.
4. Setzen Sie im Abschnitt “Als Nur-Text lesen” ein Häkchen bei “Standardnachrichten im Nur-Text-Format lesen” und bei “Digital signierte Nachrichten im Nur-Text-Format lesen”.
5. Bestätigen Sie die Änderung mit einem Klick auf “Ok”.

Viele freundliche Grüße
das Posteo Team

BNetzA-Entscheidung zu Posteo: Kryptographisch bearbeitete Daten nicht auskunftspflichtig

2018-03-13T08:30:00+01:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

wir legen heute das Ergebnis einer rechtlichen Klärung zwischen Posteo und der Bundesnetzagentur (BNetzA) offen: Wir müssen kryptographisch bearbeitete Mobilfunknummern bei Anfragen von Behörden nicht herausgegeben. Die bei Posteo gespeicherten Hashwerte von Kunden-Rufnummern sind keine Bestandsdaten – und somit auch nicht auskunftspflichtig. Hierzu veröffentlichen wir auch ein Rechtsgutachten der Kanzlei KLEINER Rechtsanwälte, das wir beauftragt hatten. Die Veröffentlichung erfolgt aus Transparenzgründen: Für Sie als Posteo-Kunden hat die Klärung mit der Behörde keine Auswirkungen, es ändert sich nichts. #more#

Sind kryptographisch entstandene Zeichenfolgen auskunftspflichtig?

Bei Posteo erheben und speichern wir aus Sicherheitsgründen grundsätzlich keine personenbezogenen Daten zu den E-Mail-Postfächern. Das hatte zuletzt auch die Bundesdatenschutzbeauftragte Andrea Voßhoff noch einmal in Ihrem Prüfbericht zu Posteo bestätigt.

Stattdessen schützen wir sensible Daten durch kryptographische Verfahren:
Für die „Passwort-Vergessen-Funktion“ können Sie beispielsweise Ihre Mobilfunknummer verwenden. Sie wird aber bereits lokal auf Ihrem Gerät (in Ihrem Browser) in eine beliebige Zeichenfolge umgewandelt. Hierfür werden mathematische bzw. kryptographische Verfahren eingesetzt. An Posteo wird nur diese Zeichenfolge übermittelt – und für den Fall eines Passwortverlustes vorgehalten. Nicht Ihre Mobilfunknummer.

In der Fachsprache nennt man dieses Umrechnen von sensiblen Daten „Hashen", bei uns auch mit „Salt“.
Hierbei werden Ihrer Mobilfunknummer zunächst zusätzliche Zeichen hinzugefügt, damit sie länger wird (Salt). Für das Umrechnen werden dann so genannte „mathematische Einwegfunktionen“ eingesetzt, die nicht umkehrbar sind.
Der Salt war zu keinem Zeitpunkt ein personenbezogenes Datum und ist nicht auskunftspflichtig.
Für Behörden wären die entstandenen Zeichenfolgen wegen des fehlendenden Salt-Wertes nutzlos: Das Zurückrechnen der Hashwerte in die ursprüngliche Mobilfunknummer ist rein mathematisch nicht möglich. Auch ein Erraten des Ergebnisses durch das Ausprobieren aller möglichen Kombinationen (durch eine so genannte Brute-Force-Attacke) ist technisch unmöglich.

Dennoch liess uns das für uns zuständige Referat in der Bundesnetzagentur(BNetzA) im November 2015 wissen, dass in der Rechtsabteilung der Behörde darüber entschieden werde, ob die Hash-Zeichenfolgen bei Posteo rechtlich als personenbeziehbare Daten einzustufen sind. Dann hätten wir sie nach § 113 TKG bei Anfragen den Behörden übergeben müssen. Präzedenzfälle und Rechtsliteratur fehlten.
Wir warteten die Entscheidung unserer Aufsichtsbehörde nicht ab – sondern beauftragten die auf Telekommunikationsrecht spezialisierte Kanzlei „KLEINER Rechtsanwälte“ mit einem umfangreichen Rechtsgutachten. Dieses legten wir der Bundesnetzagentur vor.

Kryptografisch bearbeitete Daten mitunter nicht auskunftspflichtig

Der rechtliche Status von auf diese Weise kryptographisch bearbeitete Daten ist gerade vor dem Hintergrund der Debatten um die neue staatliche Entschlüsselungsbehörde ZITIS interessant. ZITIS soll u.a. beim Entschlüsseln von Daten helfen, die staatliche Stellen z.B. von Telekommunikationsunternehmen erhalten haben. Doch ob und auf welcher Rechtsgrundlage die Unternehmen zur Herausgabe beliebiger Zeichenfolgen (Hash-Zeichenfolgen oder verschlüsselte Daten) überhaupt verpflichtet sind, ist bisher nicht in jedem Fall abschließend geklärt.

Das eindeutige Ergebnis des 19-seitigen Rechtsgutachtens: Die durch mathematische und kryptographische Verfahren errechneten Prüfwerte für Mobilfunknummern sowie auch die Salt-Werte sind keine Bestandsdaten – und nicht auskunftspflichtig.

Die Autorin des Gutachtens, Dr. Grace Nacimiento von der Kanzlei KLEINER erklärt:

„Der Einsatz von Salt-Wert und kryptographischer Hashfunktion durch Posteo sorgt dafür, dass eine vom Kunden eingegebene Mobilfunknummer anonymisiert wird, bevor eine Übermittlung an Posteo erfolgt. Für die bei Posteo allein gespeicherten Hashwerte fehlt es daher an einem Personenbezug, d.h., die gespeicherten Hashwerte erlauben keinen Rückschluss auf die Person des Kunden oder dessen Mobilfunknummer. Die gespeicherten Hashwerte sind daher kein Bestandsdatum im Sinne des § 95 TKG und unterliegen damit auch nicht der Auskunftspflicht nach § 113 TKG. Das gilt auch für die Salt-Werte. Sie haben keine Bedeutung für das Vertragsverhältnis mit dem Kunden und lassen keinen Rückschluss auf die Person des Kunden zu. Die Salt-Werte werden von Posteo schließlich auch nicht im Sinne des Gesetzes erhoben, sondern für interne technische Zwecke frei generiert.“

Das Gutachten legten wir auch der Bundesdatenschutzbeauftragten Andrea Voßhof vor. Sie bezog wie folgt Stellung:

„Auch aus meiner Sicht ist der gespeicherte gesaltete Hashwert kein personenbeziehbares Datum. (…) Zusammenfassend stelle ich fest, dass Posteo im Sinne des § 95 TKG keine Bestandsdaten erhebt“.

Im Oktober 2016 teilte uns schliesslich auch die Bundesnetzagentur erstmals mit:

„Mit Blick auf die Frage, ob es sich bei dem persistent gespeicherten gesalteten Hashwert um ein Bestandsdatum handelt, teilt die Bundesnetzagentur im Ergebnis die Auffassung des Rechtsgutachtens (…)“

In der Folge dieser Entscheidung verpflichtete uns die BNetzA dazu, unser Vorgehen bei der Passwort-Vergessen-Funktion in unserem bei der Behörde hinterlegten Sicherheitskonzept eingehender zu beschreiben. Wir erhielten im Dezember 2017 noch einmal die Bestätigung, dass es sich bei den Hashwerten nicht um ein Bestandsdatum handelt.

Der Vorgang ist aus unserer Sicht nun abgeschlossen. Die lokal im Browser des Nutzer erzeugten Hash-Zeichenfolgen sind keine Bestandsdaten, sie müssen bei Anfragen nicht an Behörden herausgegeben werden. Wir veröffentlichen nun das Rechtsgutachten, weil wir aufzeigen wollen, dass der rechtliche Status verschlüsselter Daten nicht immer geklärt ist. Und weil das Rechtsgutachten der Kanzlei KLEINER auch über Posteo hinaus einen Beitrag zur rechtlichen Debatte leisten kann.

Offenlegung: Andere Streitthemen mit BNetzA noch ungeklärt

Wir stehen aktuell zu weiteren Themen in einem angestrengten rechtlichen Austausch mit einem anderen Referat unserer Aufsichtsbehörde.
Zum einen, weil unser konsequent datensparsames Konzept sehr besonders und sicher ist: So fallen in unserem System völlig rechtskonform keine personenbeziehbaren IP-Adressen an. Sie können deshalb auch nicht erhoben oder gespeichert werden.
(Beleg: Prüfbericht der Bundesdatenschutzbeauftragten)

Zum anderen sind wir gemeinsam mit unseren Anwälten der Ansicht, dass die Behörde mit ihren Forderungen weit über das gesetzlich Zulässige und sicherheitstechnisch Vertretbare hinausgeht. So werden richterlich angeordnete Telekommunikationsüberwachungsmaßnahmen (TKÜ) bei uns beispielsweise weiterhin ohne SINA-Lösung durchgeführt. Über eine aus unserer Sicht rechtskonforme Umsetzung streiten wir seit mehreren Jahren mit dem zuständigen Referat der BNetzA. Unser Rechtsanwalt Prof. Dr. Stefan König vertritt uns in dieser Sache ebenso wie unsere Rechtsanwältin Dr. Grace Nacimiento.

Sobald sich hierzu neue Entwicklungen ergeben, werden wir über diese im Posteo-Blog und als Beitrag unter unseren Transparenzberichten informieren. Eine Kurzzusammenfassung des Rechtsgutachtens finden Sie direkt unter diesem Beitrag.

- Das vollständige Gutachten können Sie im PDF-Format hier aufrufen: Gutachten
- Wie viele TKÜ im letzten Jahr bei Posteo durchgeführt wurden, ist im Transparenzbericht auf unserer Webseite nachzulesen.

Als Provider tragen wir Verantwortung; und wir können einen Beitrag zur demokratischen Kontrolle leisten. Deshalb werden wir unser rechtliches Engagement auch in Zukunft fortsetzen – und wo es notwendig wird, weiter verstärken.

Viele Grüße
Ihr Posteo-Team

Kurz-Zusammenfassung der Ergebnisse des Gutachtens

1. Posteo ist als internetbasierter E-Mail-Dienst als Telekommunikationsdienst i.S.d. § 95, § 3 Nr. 24 TKG zu qualifizieren. Nach der aktuellen Rechtsprechung des Verwaltungsgerichts Köln, determiniert auch bei einer Signalübertragung über das Internet der Diensteanbieter den Übertragungsvorgang, so dass das Tatbestandsmerkmal der Signalübertragung über Telekommunikationsnetze erfüllt ist

2. Bei den bei Posteo vorhandenen, auf Basis von Mobilfunknummern „gehashten und gesalteten“ Daten handelt es sich nicht um Bestandsdaten von Teilnehmern i.S.d. § 95 i.V.m. § 3 Nr. 3 TKG. Es lässt sich bereits nicht feststellen, ob es sich bei der dem Hashwert zugrunde liegenden Mobilfunknummer um ein Teilnehmerdatum i.S.d. § 95 TKG handelt oder um ein Nutzerdatum handelt, das vom Anwendungsbereich des § 95 TKG schon nicht erfasst ist. Selbst wenn man aber die vom Kunden eingegebene Mobilfunknummer als relevantes Bestandsdatum qualifizieren würde, wird durch den Einsatz von Salt-Wert und kryptographischer Hashfunktion noch in der lokalen Umgebung des Nutzers eine Anonymisierung dieses Datums bewirkt, bevor Posteo dieses übermittelt bekommt. Diese hat zur Folge, dass es sich jedenfalls mangels herstellbaren Personenbezugs bei den allein gespeicherten Hashwerten nicht mehr um Teilnehmerdaten i.S.d. § 95 TKG handelt. Ein Rückschluss auf den Klartext oder die Person des Kunden ist auf Basis der zu Posteo übermittelten Daten technisch nicht möglich.

3. Darüber hinaus handelt es sich bei diesen anonymisierten Daten, die nicht gezielt zur Erbringung des Dienstes abgefragt, sondern rein optional und auf Initiative des Kunden übermittelt werden, auch nicht um vom Anbieter des Dienstes i.S.d. § 95 TKG „erhobene“ Daten.

4. Auch der von Posteo verwendete, für jeden Kunden individuell eingesetzte „Salt-Wert“ stellt kein Bestandsdatum i.S.d. § 95 TKG dar. Dieser Wert weist weder einen Bezug zum Vertragsverhältnis auf, noch weist er den erforderlichen Personenbezug auf, ist demnach auch kein Teilnehmerdatum im Sinne des Gesetzes.

5. Als Anbieter eines öffentlich zugänglichen Dienstes der elektronischen Post ist Posteo schließlich auch nicht zur Erhebung und Speicherung von Bestandsdaten verpflichtet. Die in § 111 Abs. 1 Satz 3 TKG enthaltene Speicherpflicht bezieht sich lediglich auf Daten, die der Anbieter ohnehin erhebt.

Transparenzbericht 2017: Posteo fordert Verpflichtung für TK-Anbieter

2018-01-17T14:15:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir möchten, dass Sie wissen, wie häufig Behörden bei uns um Kundendaten ersuchen. Deshalb veröffentlichen wir heute unseren Transparenzbericht für das Jahr 2017. In ihm legen wir offen, wie oft Strafverfolgungbehörden und Nachrichtendienste sich im Jahr 2017 an uns gewandt haben – und wie oft wir tatsächlich Daten herausgeben mussten. Der Bericht enthält alle Behördenanfragen, die wir erhalten haben.

Die Zahlen im Überblick

Im Jahr 2017 haben wir insgesamt 48 Anfragen erhalten. Nach einem Rückgang der Anfragen im Jahr 2016 erreichte die Zahl somit wieder das Niveau von 2015. Die Anzahl der Postfächer hat sich bei Posteo seit 2015 allerdings verdoppelt, sodass die Anfragequote pro Postfach stark rückläufig ist.

15 Prozent aller Ersuchen im Jahr 2017 standen im Zusammenhang mit einem Fall.
#more#

Die Zahl der Ersuchen nach Bestandsdaten stieg von 28 im Jahr 2016 auf 41 im Jahr 2017.
Die Verkehrsdatenersuchen gingen hingegen das zweite Jahr in Folge zurück: Nach 6 Ersuchen im Jahr 2015 und 2 Ersuchen im Jahr 2016 erreichte uns im Jahr 2017 nur noch 1 Verkehrsdatenersuchen.
Aus Gründen des Datenschutzes und der Sicherheit erheben wir grundsätzlich weder Bestands- noch Verkehrsdaten zu den E-Mail-Postfächern. Diese Daten liegen bei uns nicht vor und darüber informieren wir die anfragenden Stellen stets zeitnah. Die Anzahl der Herausgaben von Bestands- und Verkehrsdaten lag deshalb bei 0 – wie bereits in den Vorjahren.

Bei den Inhaltsdaten waren 2017 erneut 3 Postfächer von Beschlagnahmungen oder Telekommunikationsüberwachungen (TKÜ) betroffen. Insgesamt hatten uns zu diesen 3 Postfächern 5 richterliche Beschlüsse erreicht. Davon waren 3 Beschlagnahmen gespeicherter Inhaltsdaten. Ein Postfach war zusätzlich zur Beschlagnahme von einer Telekommunikationsüberwachung (TKÜ) betroffen. Die richterliche TKÜ-Anordnung war jedoch nicht rechtskonform, weshalb unsere Anwälte eine Datenherausgabe ablehnten. Das Gericht besserte daraufhin nach und legte einen zweiten, korrekten Beschluss vor.

Zu den anfragenden Stellen:
Im vergangenen Jahr haben uns 43 Ersuchen von deutschen Behörden und 5 Ersuchen aus dem Ausland erreicht. 44 Ersuchen kamen von Ermittlungsbehörden, 4 Anfragen stammten von (inländischen) Nachrichtendiensten. An Nachrichtendienste wurden jedoch in keinem Fall Daten übermittelt.

Anteil rechtswidriger Ersuchen lag bei 42 Prozent

Der Anteil der rechtswidrigen Ersuchen lag im Jahr 2017 bei rund 42 Prozent.
Neben der mangelhaften TKÜ erhielten wir auch 18 Bestandsdatenersuchen, die nicht in Ordnung waren. Zum Beispiel, weil Verstöße gegen das Datenschutzgesetz vorlagen, Rechtsgrundlagen nicht genannt wurden oder rechtswidrig nach IP-Adressen oder dem letzten Login gefragt wurde. Wir haben uns in allen Fällen bei den jeweils zuständigen Datenschutzbeauftragten beschwert. 4 Ersuchen aus dem Ausland wurden nicht über den Rechtshilfeweg an uns gerichtet. Auskünfte an ausländische Behörden oder ausländische Nachrichtendienste erteilen wir grundsätzlich nicht.
Aktuelle Beispiele rechtswidriger Behördenersuchen legen wir auch in diesem Jahr wieder geschwärzt in einer Fotogalerie auf der Seite unseres Transparenzberichtes offen. Dort gehen wir auch auf Anfragen aus einzelnen Bundesländern ein – im Jahr 2017 hatten die unsicheren Anfragen beispielsweise den Landtag und das Innenministerium in Rheinland-Pfalz beschäftigt.

Transparenzberichte sollten für Telekommunikations-Anbieter verpflichtend werden

Posteo war 2014 der erste deutsche Telekommunikations-Anbieter, der einen Transparenzbericht über Ersuchen von Strafverfolgungsbehörden veröffentlicht hat. Damals hatten wir vorab ein Rechtsgutachten eingeholt, um die rechtliche Möglichkeit solcher Berichte in Deutschland zu klären. Das Ziel: Transparenzberichte in Deutschland zu etablieren.

Fast vier Jahre später ziehen wir Bilanz: Einige Anbieter geben inzwischen eigene Berichte heraus. Viele deutsche Unternehmen veröffentlichen jedoch weiterhin keine Zahlen über Behördenersuchen. Mehrere TK-Dienste haben nach dem Jahr 2015 keine Zahlen mehr offengelegt. Auch stellen die Angaben in den vorhandenen Berichten oft keine Transparenz her: Transparenz entsteht, wenn Anbieter angeben, wie viele Ersuchen sie zu verschiedenen Daten erhalten haben. Und: wie oft Daten im Anschluss an Behörden übermittelt wurden. Leider wird in der Regel nur eine Zahl genannt: Entweder die Ersuchen – oder die Herausgaben. Das ist nicht transparent. Kunden erfahren so nicht, wie ein Unternehmen mit Ersuchen umgeht. Oder, wie viele Anfragen rechtswidrig waren. Fehlen die Herausgabe-Zahlen, ist für die Kunden nicht erkennbar, welche Daten beim Anbieter tatsächlich über sie vorliegen.

Wir denken deshalb, dass Transparenz eine verbindliche Vereinbarung braucht: Wir wünschen uns, dass Transparenzberichte und ihre konkrete Form für deutsche Telekommunikations-Anbieter gesetzlich verpflichtend werden. Transparenz wird nur dann erzielt, wenn die Angaben in den Berichten aussagekräftig sind.

Unterstützung von Ex-Verbraucherschutzministerin Renate Künast

Auch Renate Künast (MdB), ehemalige Verbraucherschutzministerin und bisherige Vorsitzende des Bundestags-Ausschusses für Recht und Verbraucherschutz, sieht aussagekräftige Transparenzberichte als gutes Recht der Verbraucher an:

“Transparenzberichte sind Ausdruck der Informationellen Selbstbestimmung der Verbraucherinnen und Verbraucher. Transparenzberichte mit Aussagekraft sind unser gutes Recht!”

Unsere Forderungen aus der Praxis für eine solche Regelung:

Für jede Datenart (also z.B. für Verkehrsdaten, Bestandsdaten, Inhaltsdaten) sollten mindestens zwei Werte angegeben werden müssen:
- Wie oft Behörden im Rahmen welches Ersuchens (also z.B. Verkehrsdatenersuchen, manuelle und automatisierte Bestandsdatenersuchen, Beschlagnahmen oder TKÜ) Daten angefragt haben.
- Wie oft die einzelnen Datenarten im Anschluss tatsächlich herausgegeben wurden. (z.B. Verkehrsdaten, Bestandsdaten, Inhaltsdaten bei Beschlagnahmen oder TKÜ)

Weitere Posteo-Vorschläge für eine verbindliche Transparenzregelung:

- Telekommunikations-Anbieter sollten auch alle Ersuchen von Nachrichtendiensten transparent in ihren Berichten aufführen müssen.
- Erfasst werden sollte auch die Quote der Ersuchen, die formal nicht in Ordnung waren. Diese statistische Rückmeldung wäre für den Gesetzgeber, die Datenschutzbeauftragten und andere gesellschaftliche Akteure wertvoll. Bei uns liegt die Quote der rechtswidrigen Ersuchen bei rund 42 Prozent, sodass wir hier akuten Handlungsbedarf sehen.
- Die Veröffentlichungen der Unternehmen sollten für eine optimale Vergleichbarkeit auch in einem Open-Data-Format erfolgen, damit sie statistisch aufbereitet werden können.

In den letzten Jahren sind Überwachungsgesetze in Deutschland immer weiter ausgebaut worden. Aus unserer Sicht fehlen Instrumente, um ihre demokratische Kontrolle im Ausgleich zu stärken. Verpflichtende Transparenzberichte können hierzu beitragen. Nachdem wir die Entwicklung vier Jahre lang beobachtet haben, regen wir das nun an.

Viele Grüße
Ihr Posteo-Team

Neue Sicherheitszertifikate

2018-01-09T13:00:00+01:00

Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,

wir werden in den nächsten Tagen unsere Sicherheitszertifikate aktualisieren. Sicherheitszertifikate haben eine zeitlich begrenzte Gültigkeit und müssen hin und wieder erneuert werden. Deshalb werden wir sie bis zum 22.01.2018 austauschen. Wir verwenden weiterhin Zertifikate von Geotrust(Digicert) und der Bundesdruckerei (D-Trust).

In den meisten Fällen werden Sie vom Austausch der Zertifikate nichts mitbekommen.
Alle Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.

Wenn Sie das Vertrauen der Zertifikate durch einen manuellen Abgleich regeln, finden Sie unten die Fingerprints der neuen Zertifikate, die wir in Kürze verwenden. Die Fingerprints finden Sie auch in unserem Impressum.

Neue Fingerprints der TLS-Sicherheitszertifikate

Geotrust:
SHA256: FB:28:42:1E:23:AD:8A:23:8B:AB:C1:ED:FD:86:FD:F5:30:C6:D9:35:E0:E6:D8:91:CD:F3:77:66:05:C5:75:33
SHA1: AC:9D:4C:F6:36:78:FE:D6:EB:5C:CE:F9:DA:CB:69:CE:0A:93:F4:58
MD5: E9:B3:0A:C5:76:86:0C:FC:15:3D:43:D9:6E:CD:FC:CE

D-Trust:
SHA256: 09:63:1B:8C:35:CD:67:0E:AB:60:B3:63:1E:F3:42:DB:9F:43:5E:09:AD:09:A5:90:49:33:26:F2:FD:B4:D7:AA
SHA1: B6:B8:3C:59:23:22:33:07:88:9E:DD:B9:8D:2D:ED:6C:FA:32:E9:04
MD5: 5D:3F:4C:A3:72:7F:8B:3A:54:92:B4:C8:BC:D5:D9:B7

Viele Grüße
Ihr Posteo-Team

Sicherheitslücken: Was alle Thunderbird-Nutzer jetzt tun sollten

2017-12-21T12:25:00+01:00

In einem von Posteo und dem Mozilla SOS Fund beauftragten Sicherheits-Audit von Thunderbird und Enigmail wurden schwerwiegende Sicherheitsprobleme bei Thunderbird festgestellt. Diese gefährden die Vertraulichkeit Ihrer E-Mail-Kommunikation und ggf. auch die Sicherheit sensibler Daten auf Ihren Geräten.

Betroffen sind Thunderbird-Nutzer bei allen Anbietern, wie z.B. auch bei Gmail, GMX oder web.de.

Einige der Probleme konnten bereits behoben werden – allerdings werden die meisten Verbesserungen erst in kommenden Versionen zur Verfügung stehen.
Darüber hinaus gibt es Probleme mit der Architektur des Thunderbird-Add-on-Systems. Die notwendigen Umbauten an der Thunderbird-Architekur werden längere Zeit in Anspruch nehmen.

Wir bitten alle Thunderbird-Nutzer deshalb, die folgenden Sicherheits-Empfehlungen zu beachten:

Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur Verfügung stehen. Die neuen Versionen werden verschiedene Schwachstellen beheben.
Nutzen Sie Thunderbird möglichst ohne oder nur mit aktuell geprüften Add-ons/Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde. Aktuell kann das Verwenden kompromittierbarer Add-ons/Plugins die Vertraulichkeit Ihrer Kommunikation und anderer sensibler Daten auf Ihren Geräten gefährden.
Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer (Ende-zu-Ende-verschlüsselten) Kommunikation gefährden.
Achten Sie darauf, nicht versehentlich Add-ons durch Phishing zu installieren, über die Sie angegriffen werden könnten.

Beachten Sie diese einfachen Sicherheitshinweise, kommunizieren sie bereits deutlich sicherer.

Wenn Sie das Thunderbird Add-on Enigmail nutzen: Updaten Sie Enigmail umgehend auf die neue Version 1.9.9. Diese Version behebt alle im Audit gefundenen Schwachstellen in Enigmail.

Viele Grüße
Ihr Posteo-Team

Sicherheits-Warnung für Thunderbird- und Enigmail-Nutzer: Schwachstellen gefährden Vertraulichkeit der Kommunikation

2017-12-20T15:30:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,
Liebe Thunderbird-Nutzer und Interessierte,

wir wenden uns mit Sicherheitshinweisen an alle Nutzer von Thunderbird und dem Verschlüsselungs-Add-on Enigmail.

Wir wollen, dass weit verbreitete Open Source-Lösungen sicherer werden.
Im Herbst haben wir deshalb mit dem Mozilla SOS Fund kooperiert und gemeinsam ein umfangreiches Sicherheits-Audit von Thunderbird mit Enigmail beauftragt. Für Enigmail war es das erste Sicherheits-Audit überhaupt.

Ziel dieser Sicherheits-Untersuchung war es, Schwachstellen zu identifizieren und die geprüfte Software nachhaltig sicherer zu machen. Im aktuellen Audit wurden zahlreiche Schwachstellen nachgewiesen. Die Enigmail-Entwickler haben alle gefundenen Probleme bereits behoben. Auch in Thunderbird konnten einige Fehler bereits behoben werden – allerdings werden die meisten Verbesserungen erst in kommenden Versionen zur Verfügung stehen. Darüber hinaus gibt es Probleme mit der Architektur des Thunderbird-Add-on-Systems. Deshalb wenden wir uns heute an Sie.

Betroffen sind Thunderbird-Nutzer bei allen Anbietern, wie z.B. auch bei Gmail, GMX oder web.de.

Wir bitten alle Thunderbird- und Enigmail-Nutzer, unsere Sicherheits-Empfehlungen weiter unten in diesem Beitrag aufmerksam zu lesen. Beachten Sie die einfachen Sicherheitshinweise, kommunizieren Sie bereits deutlich sicherer.
#more#

24 Tage, 8 Tester, 22 Schwachstellen

Die umfangreiche Untersuchung von Thunderbird mit Enigmail wurde im Herbst 2017 von unabhängigen Sicherheitsingenieuren (Cure53) durchgeführt. Finanziert wurde das Audit zu gleichen Teilen von Posteo und dem Mozilla SOS Fund. Das Projekt umfasste 24 Tage und ein Team von 8 Testern.
Geprüft wurden die Bereiche “Eingehende PGP E-Mails”, “Eingehende HTML-E-Mails”, “Erstellen der PGP-Schlüsselpaare/Verschlüsselung generell”, “Kalender, RSS und andere Funktionen mit Rich-Text” sowie die “Standardeinstellungen”.

Insgesamt wurden 22 sicherheitsrelevante Schwachstellen gefunden, davon wurden 3 als “kritisch” und 5 als “hoch” eingestuft. Die Entwickler von Thunderbird und Enigmail waren in das Audit einbezogen und wurden nach dem Sicherheits-Audit umgehend informiert.

Die Tester selbst fassen die Ergebnisse in ihrem Bericht wie folgt zusammen:

“Ein genauer Blick auf die Implementierungen von Thunderbird und Enigmail offenbarte eine weite Verbreitung von Design-Mängeln, Sicherheitsproblemen und Fehlern. (…) Kurz gefasst, darf eine Kommunikation unter dem gegenwärtigen Design und in dieser Zusammensetzung derzeit nicht als sicher angesehen werden.”(Übs.)

“A detailed look at the implementations of both Thunderbird and Enigmail revealed a high prevalence of design flaws, security issues and bugs. (…) In short, secure communications may not be considered possible under the current design and setup of this compound.”(Original)

Als kritisch wurde bei Enigmail u.a. eingestuft, dass dort sowohl Signaturen als auch Identitäten vorgetäuscht werden konnten. Auch konnte die verschlüsselte Kommunikation eines Nutzers von Dritten abgefangen und unter bestimmten Bedingungen im Weiteren kompromittiert werden.
Die Enigmail-Entwickler haben alle gefundenen Schwachstellen inzwischen geschlossen und eine neue Enigmail-Version (1.9.9) zur Verfügung gestellt. Hierfür möchten wir uns bei Enigmail bedanken.
Allerdings ist Enigmail auf Thunderbird angewiesen. Und dort stehen viele der Verbesserungen erst in kommenden Versionen zur Verfügung.

Thunderbird-Add-on-Architektur gefährdet die Sicherheit Ihrer Daten

Im Frühjahr hatten sich im Rahmen eines Posteo-Audits bereits Architekturschwächen bei Firefox bestätigt, die wir daraufhin auch in Thunderbird vermuteten. Das aktuelle Audit hat dies bestätigt:

Die Add-on-Architektur von Thunderbird lässt es zu, dass Angreifer über kompromittierbare Plugins/Add-ons an Ihre E-Mail-Kommunikation gelangen. Die Plugins/Add-ons werden nicht stark genug voneinander abgegrenzt und haben u.a. Zugriff auf die Inhalte in Thunderbird. Das betrifft auch Ende-zu-Ende-verschlüsselte Kommunikation: Der private PGP-Schlüssel des Nutzers kann so in die Hände eines Angreifers gelangen. Enigmail selbst kann hier nicht nachbessern. Es ist sogar möglich, dass ein Angreifer über kompromittierte Add-ons in Thunderbird Zugriff auf Teile Ihres Gerätes und auf ihre sensiblen Daten erhält.

Im Prüfbericht wird zu Vorsicht geraten:

“Angenommen, ein kompromittierbares Add-on ist installiert, dann eröffnen sich einem Angreifer zahlreiche Wege, an den privaten Schlüssel und andere sensible Daten zu gelangen. (…) Fortan sollten sich alle Nutzer bewusst sein, dass Thunderbird-Extensions so mächtig sind wie ausführbare Dateien, was bedeutet, dass sie mit angemessener Vorsicht und Sorgsamkeit zu behandeln sind.”(Übs.)

“Assuming that a vulnerable or rogue extension is installed, an attacker acquires multiple ways of getting access to private key material and other sensitive data. (…) Henceforth, users are asked to be aware that extensions in Thunderbird are as powerful as executables, which means that they should be treated with adequate caution and care.”(Original)

In Firefox wurde die Architektur in der aktuellen Version 57 grundlegend umgebaut.
Bei Thunderbird ist derzeit nicht absehbar, ob die Add-on-Architektur zeitnah geändert wird.

RSS-Feeds als Spione

Im Audit wurden auch schwerwiegende Sicherheitsprobleme in Verbindung mit RSS-Feeds nachgewiesen, die voraussichtlich erst in Thunderbird Version 59 vollständig behoben sein werden. Die Angriffswege werden in diesem Beitrag aus Sicherheitsgründen nicht weiter beschrieben. Das Verwenden von RSS-Feeds in Thunderbird kann Ihre vertrauliche Kommunikation in Thunderbird sowie andere sensible Daten offenlegen und gefährden.

Bitte beachten Sie folgende Sicherheits-Empfehlungen:

Für alle Thunderbird-Nutzer:

Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur Verfügung stehen. Die neuen Versionen werden verschiedene Schwachstellen beheben, die in dem Audit festgestellt wurden.
Nutzen Sie Thunderbird möglichst ohne oder nur mit aktuell geprüften Add-ons/Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde. Aktuell kann das Verwenden kompromittierbarer Add-ons/Plugins die Vertraulichkeit Ihrer Kommunikation und anderer sensibler Daten auf Ihren Geräten gefährden.
Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer (Ende-zu-Ende-verschlüsselten) Kommunikation gefährden.
Achten Sie darauf, nicht versehentlich Add-ons durch Phishing zu installieren, über die Sie angegriffen werden könnten.

Beachten Sie diese einfachen Sicherheitshinweise, kommunizieren sie bereits deutlich sicherer.

Für Enigmail-Nutzer:

Updaten Sie Enigmail umgehend auf die neue Version 1.9.9. Diese Version behebt alle im Audit gefundenen Schwachstellen.
Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur Verfügung stehen. Die neuen Versionen werdenverschiedene Schwachstellen beheben, die in dem Audit festgestellt wurden.
Installieren Sie zusätzlich zu Enigmail keine weiteren Add-ons oder Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde.
Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer Ende-zu-Ende-verschlüsselten Kommunikation gefährden.
Achten Sie darauf, nicht versehentlich weitere Add-ons durch Phishing zu installieren, über die Sie angegriffen werden könnten.

Beachten Sie diese einfachen Sicherheitshinweise, kommunizieren sie bereits deutlich sicherer.

Prüfbericht wird nach Schließen der Schwachstellen veröffentlicht
Aus Sicherheitserwägungen werden wir den Prüfbericht erst veröffentlichen, wenn alle gefundenen Schwachstellen geschlossen sind. In ihm werden die erfolgreichen Angriffe der Tester detailliert beschrieben. Den beteiligten Entwicklern, Posteo und Mozilla liegt der Bericht vor.

Posteo und Open Source
Posteo unterstützt aus Sicherheitsgründen ausschliesslich Open Source-Komponenten mit transparentem Code. Wir sind überzeugt davon, dass transparenter Code essentiell für die Sicherheit und die demokratische Kontrolle im Internet ist: Unabhängige Experten können jederzeit Schwachstellen oder Backdoors identifizieren und so die jeweilige Software Schritt für Schritt sicherer machen. Bei nicht transparentem Code muss hingegen auf die Sicherheits-Aussagen eines einzelnen Providers oder Entwicklers vertraut werden. Und diese sind für die Öffentlichkeit nicht nachprüfbar. Das ist aus unserer Sicht keine Option.

Open Source-Projekte brauchen Ihre Unterstützung:

- Spenden Sie an das Thunderbird-Projekt, um die Weiterentwicklung von Thunderbird zu fördern: https://donate.mozilla.org/de/thunderbird/
- Spenden Sie an die Enigmail-Entwickler, um die Weiterentwicklung von Enigmail zu fördern: https://www.enigmail.net/index.php/en/home/donations

Nach dem Audit: Was die Beteiligten sagen

Der Enigmail-Entwickler Patrick Brunschwig bedankt sich:

“Enigmail ist eines der meistgenutzten Tools für die Verschlüsselung mit OpenPGP. Es brauchte 16 Jahre Entwicklungszeit, bis das erste Sicherheits-Audit durchgeführt wurde. Es war überfällig, und ich möchte Posteo dafür danken, dass es die Initiative ergriffen hat und das Audit gemeinsam mit der Mozilla Foundation co-finanziert hat. Nicht besonders überraschend für so ein altes Projekt, hat das Audit eine Anzahl wichtiger Probleme offenbart, die jetzt angegangen wurden.”(Übs.)

“Enigmail is one of the most widely used tool for OpenPGP email encryption. Yet it took 16(!) years of development until the first security audit was performed. It was more than overdue, and I would like to thank Posteo (www.posteo.de) for taking the initiative and co-financing an audit report together with the Mozilla Foundation. Not very surprising for such an old project, the audit report revealed a number of important issues that were addressed now.”(Original)

Mozilla wertet die Untersuchung als Erfolg:

"Mozilla’s Secure Open Source Fund, ein Projekt von MOSS, stellt Sicherheits-Audits für relevante Open Source Software zur Verfügung. Wir freuen uns sehr, dass wir mit Posteo zusammenarbeiten konnten, um eine der wichtigsten Software-Kombinationen für sichere E-Mail zu untersuchen, und wir sind glücklich, dass die Daten der Nutzer als Ergebnis sicherer geworden sind."(Übs.)

“Mozilla’s Secure Open Source Fund, a MOSS program, provides code-read security audits for key pieces of open source software. We are very pleased to have been able to collaborate with Posteo to audit one of the main software combinations used for secure email, and are glad that users’ data is safer and more secure as a result.”(Original)

Dr. Mario Heiderich von Cure53 wünscht sich nach den Ergebnissen der Untersuchung die Neuauflage eines Bug Bounty Programms für Thunderbird:

“Wenn alle durch Cure53 gefundenen Probleme beseitigt sind, sollte abschliessend stark in Erwägung gezogen werden, wieder ein Bug-Bounty Programm für Thunderbird einzuführen. Dieser Ansatz würde würde dabei helfen, die Sicherheit auf einem akzeptablen Level zu halten, statt sie sich zu einem veralteten Stand verschlechtern zu lassen .”(Übs.)

“In closing, once all relevant issues reported here by Cure53 have been fixed, it should be strongly considered to re-establish a bug bounty program for Thunderbird. This approach would help keeping the security level at an acceptable level instead of allowing it to deteriorate and move towards a stale state of datedness.”(Original)

Patrik Löhr von Posteo möchte Veränderungen in der Add-on-Architektur von Thunderbird:

“Wir wollen verbreitete Open Source-Komponenten und echte Ende-zu-Ende-Verschlüsselung sicherer machen: Und am besten lässt sich dies über Sicherheits-Audits erreichen.
Dass alle in Enigmail gefundenen Schwachstellen bereits geschlossen werden konnten, ist ein Erfolg.
Bei der Add-on-Architektur von Thunderbird muss allerdings nachgebessert werden, um ein zeitgemäßes, sicheres Setup zu erreichen. Thunderbird ist ein essentiell wichtiges Werkzeug für sehr viele Menschen, die mit E-Mail arbeiten und eine echte Ende-zu-Ende-Verschlüsselung nutzen. Deshalb: Der Aufwand lohnt sich.”

Viele Grüße
Ihr Posteo-Team

Neu: Vereinfachte E-Mail-Verschlüsselung mit Autocrypt- und OpenPGP-Header

2017-12-18T17:50:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir unterstützen seit heute das neue Verschlüsselungs-Verfahren Autocrypt, das echte Ende-zu-Ende-Verschlüsselung mit E-Mailprogrammen bald erheblich vereinfachen wird. Sobald Autocrypt-fähige Programme verfügbar sind, können Posteo-Kunden die Technologie nutzen.

Das zukunftsweisende Verfahren wird derzeit in verbreitete E-Mail-Programme wie Thunderbird mit Enigmail und K-9 Mail für Android integriert. Neue Versionen dieser Programme (Enigmail 2.0 und K-9 Mail 5.3) werden Autocrypt unterstützen.

Verwenden Absender und Empfänger Autocrypt-fähige E-Mail-Programme, müssen sie für eine Ende-zu-Ende-verschlüsselte Kommunikation nichts mehr tun: Die E-Mail-Programme verschlüsseln E-Mails vor dem Versand automatisch mit PGP und tauschen öffentliche Schlüssel automatisch im Hintergrund aus. Das oft als kompliziert empfundene manuelle Austauschen und Verwalten von Ende-zu-Ende-Schlüsseln entfällt.
Vor der ersten verschlüsselten Kommunikation wird stattdessen einmalig eine reguläre E-Mail (ohne Inhalt) zugesendet. Bei diesem Versand wird erstmals der Schlüssel im Hintergrund übertragen. Ab diesem Zeitpunkt können alle Nachrichten automatisch verschlüsselt werden.

Autocrypt ist Open Source, funktioniert anbieterübergreifend und setzt auf echte Ende-zu-Ende-Verschlüsselung, bei der ein privater Schlüssel stets beim jeweiligen Nutzer verbleibt. Auch deshalb begrüßen wir das Verfahren.
#more#

Warum wir Autocrypt schon jetzt unterstützen und Schlüssel zusätzlich absichern

Autocrypt wird derzeit in einer ersten Version in gängige E-Mail-Programme integriert. Dass E-Mail-Anbieter sich an der Schlüsselverteilung mit Autocrypt beteiligen, ist bisher nicht vorgesehen. Doch für Endnutzer bringt die providerseitige Unterstützung Vorteile, die wir mit unserer frühen Implementierung aufzeigen möchten.

Es ist uns sehr wichtig, dass Posteo-Kundinnen und -Kunden von Anfang an die Möglichkeit haben, Autocrypt zu nutzen. Und zwar so komfortabel und sicher wie möglich.

Unser Beitrag zum Komfort:
Mit Autocrypt können E-Mail-Programme öffentliche Schlüssel bald automatisiert über die E-Mail-Header austauschen.
Unsere providerseitige Unterstützung sorgt dafür, dass ein Autocrypt-fähiges Programm den Schlüssel auch dann erhält, wenn der Posteo-Absender ein Programm ohne Autocrypt verwendet. Liegt uns der öffentliche Schlüssel des Absenders vor, übernehmen wir diese Aufgabe: Posteo fügt vor jedem E-Mail-Versand den für die Verschlüsselung benötigten Autocrypt-Header selbst hinzu. Ihr Kommunikationspartner kann Ihnen verschlüsselt antworten – ohne manuellen Schlüsselaustausch.

Bei jedem Versand wird Ihr aktueller Schlüssel im Autocrypt-Header übermittelt. In den Programmen Ihrer Kommunikationspartner sind so stets die aktuellen Schlüssel hinterlegt – ohne manuelle Schlüsselpflege.

Unser Beitrag zur Sicherheit:
Wir sichern den Schlüsselaustausch mit Autocrypt zusätzlich mit digitalen Signaturen ab (DKIM). Dies ist bei Autocrypt bisher nicht standardmäßig vorgesehen. Unsere providerseitige DKIM-Signierung sorgt dafür, dass öffentliche Schlüssel auf dem Transport nicht unbemerkt manipuliert werden können. Auch Autocrypt-Header, die Ihr lokales E-Mailprogramm ggf. hinzufügt, werden von uns mit DKIM signiert. Die Signatur wird vorgenommen, wenn der Absender zum Postfach passt.

So ist Autocrypt in Posteo integriert

Viele Posteo-Kunden haben ihren öffentlichen PGP-Schlüssel im Posteo-Schlüsselverzeichnis veröffentlicht. Versenden diese Kunden eine E-Mail, ergänzen wir ab heute bei jedem Versand automatisch einen Autocrypt-Header im E-Mail-Header. Dieser enthält ihren öffentlichen Schlüssel. Senden Sie selbst bereits einen Autocrypt-Header in Ihren E-Mails mit, verändern wir ihn nicht und fügen keinen weiteren hinzu.

- Posteo-Kunden, die zusätzlich unsere Eingangsverschlüsselung mit einem PGP-Schlüssel aktiviert haben, wollen immer verschlüsselte Nachrichten erhalten. Diese Information schreiben wir in den Autocrypt-Header hinein. Autocrypt-fähige E-Mail-Programme erkennen so künftig, dass diese Posteo-Kunden immer verschlüsselte Antworten erhalten wollen.

- Neben Autocrypt-Headern ergänzen wir seit heute auch den so genannten OpenPGP-Header, der einem empfangenden E-Mail-Programm anzeigt, wo es einen öffentlichen Schlüssel finden kann. Hier werden die URLs für den Download aus dem Posteo-Schlüsselverzeichnis übermittelt. Auch den Open-PGP-Header signieren wir mit DKIM.

Was können Sie tun?

Das verschlüsselte Kommunizieren mit Autocrypt wird im Alltag in der Regel ohne Ihr Zutun funktionieren. Und auch das manuelle Austauschen und Verwalten von Ende-zu-Ende-Schlüsseln entfällt. Sie benötigen lediglich ein PGP-Schlüsselpaar.

- Installieren Sie ggf. die kommenden neuen Versionen von Enigmail oder K-9 Mail, sobald sie verfügbar sind.

- Haben Sie bereits ein PGP-Schlüsselpaar für Ihre Posteo-Adresse, empfehlen wir, den Schlüssel im Posteo-Schlüsselverzeichnis zu veröffentlichen. Ihr öffentlicher Schlüssel wird dann bei jedem Versand an ein Autocrypt-fähiges Programm in den Header der E-Mail eingefügt. Wie Sie Ihren öffentlichen PGP-Schlüssel bei Posteo veröffentlichen, erklären wir Ihnen in diesem Hilfeartikel.

Sicherheits-Empfehlungen für das Implementieren von Autocrypt:
Das automatisierte Austauschen von öffentlichen Schlüsseln im Hintergrund sollte aus Sicht von Posteo stets durch verschiedene Sicherheitsmaßnahmen begleitet werden. Wir empfehlen Providern, Autocrypt-Header mit DKIM zu signieren. Programm-Entwickler sollten weitere Möglichkeiten der Schlüssel-Absicherung berücksichtigen und vorhandene DKIM-Signaturen prüfen. Anwendern sollte in den Programmen außerdem signalisiert werden, wenn ein öffentlicher Schlüssel oder die Anweisung, ob die E-Mail-Kommunikation zu verschlüsseln ist, geändert wird. So können mögliche Manipulationen durch Dritte unmittelbar erkannt werden.

Viele Grüße
Ihr Posteo-Team

Transparenzhinweis: Unsere Spenden 2016

2017-09-13T16:10:00+02:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

wir haben einen Transparenzhinweis für Sie: Wir haben unsere Spenden-Seite aktualisiert. Dort legen wir offen, welche Organisationen wir im vergangenen Jahr (2016) finanziell unterstützt haben.

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen.
Deshalb unterstützen wir ausgewählte Organisationen aus den Bereichen Umwelt- und Klimaschutz, Netzpolitik & Meinungsfreiheit sowie aus der Flüchtlingshilfe.

Im vergangenen Jahr haben wir insgesamt 29.600,00 EUR gespendet. Davon waren 28.002,00 EUR freiwillige Spenden durch das Unternehmen Posteo. Aus gespendeten Restguthaben stammten die übrigen 1.598,00 EUR. #more#

Im Vergleich zum Vorjahr konnten wir unsere Spenden im Jahr 2016 um 5.250,00 EUR erhöhen.

Empfänger der Posteo-Spenden waren, wie bereits im Vorjahr, u.a. Reporter ohne Grenzen, die UNO-Flüchtlingshilfe, der Bund für Umwelt und Naturschutz Deutschland sowie Netzpolitik.org.

Neu hinzugekommen ist ein Klimaschutzprojekt des Deutschen Roten Kreuzes im Amazonasgebiet: Dort sind 1,3 Millionen Menschen durch die klimawandelbedingte Zunahme von Extremwetter-Ereignissen akut bedroht. Im Rahmen des Projektes werden Häuser in sicherer Bauweise auf erhöhten Plattformen errichtet. Außerdem werden Decken und Hygienekits verteilt sowie ein Gesundheitsdienst eingesetzt. Das Projekt trägt nachhaltig zur Existenzsicherung der vom Klimawandel betroffenen Menschen bei.

Außerdem unterstützen wir seit dem Jahr 2016 das Europäische Zentrum für Verfassungs- und Menschenrechte (ECCHR). Ziel der Anwälte des ECCHR ist es, staatliche und nichtstaatliche Akteure für schwerwiegende Menschenrechtsverletzungen gerichtlich zur Verantwortung zu ziehen. Gegründet wurde das ECCHR im Jahr 2007 unter anderem von dem Menschenrechtsanwalt Wolfgang Kaleck, der in Deutschland den Whistleblower Edward Snowden vertritt.

Posteo wirtschaftet nachhaltig und ist unabhängig: Unser Dienst wird ausschliesslich über die Postfachgebühren unserer Kunden finanziert. Investoren oder Werbepartner gibt es bei Posteo nicht.
Deshalb sind Sie es, die unser Engagement ermöglichen – und einen Unterschied machen. Hierfür bedanken wir uns bei Ihnen.

Alle Empfänger von Posteo-Spenden finden Sie auf unserer Seite Wen wir unterstützen.

Viele Grüße
Ihr Posteo-Team

Hilfe-Video: So sichern Sie Ihr Postfach zusätzlich mit der Zwei-Faktor-Authentifizierung ab

2017-08-23T14:30:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir werden häufig gefragt, ob der Zugriff auf Posteo-Postfächer zusätzlich abgesichert werden kann – ohne besondere Computerkenntnisse. Eine Möglichkeit hierzu ist die Zwei-Faktor-Authentifizierung, die wir bereits seit einiger Zeit anbieten.

Sie ist ein einfacher, aber effektiver Zusatzschutz vor fremden Zugriffen: Beim Einloggen im Webmailer wird neben dem persönlichen Passwort auch ein Einmal-Code abgefragt. Die Zwei-Faktor-Authentifizierung verhindert Account-Diebstahl: Sollten Kriminelle oder Geheimdienste einmal Ihre Zugangsdaten (Benutzername und Passwort) erbeuten, haben sie keine Möglichkeit, auf Ihre Kontoeinstellungen zuzugreifen, Ihr Passwort zu ändern und Sie aus Ihrem Postfach auszusperren. Der Zugriff von Dritten auf Ihre Konten- und Sicherheitseinstellungen wird wirksam verhindert.

Wir haben die Erfahrung gemacht, dass Menschen ohne besondere IT-Kenntnisse sich oft nicht zutrauen, die Zwei-Faktor-Authentifizierung zu aktivieren. Eine optimale Online-Sicherheit ist aber für alle wichtig: Deshalb haben wir heute ein Video veröffentlicht, in dem unser Hilfe-Redakteur Tim Vüllers Ihnen Schritt für Schritt zeigt, wie Sie die zusätzliche Absicherung einrichten. Er erklärt auch, wie das Verfahren grundlegend funktioniert und zeigt, wie er persönlich es im Alltag nutzt. Außerdem verrät er im Video einen zusätzlichen Sicherheits-Trick: Wenn Sie Posteo nicht mit externen Mailprogrammen (wie Outlook oder Thunderbird) verwenden, können Sie den Zugriff für solche Programme sperren. Dann schützt die Zwei-Faktor-Authentifizierung auch Ihre E-Mails zusätzlich vor unbefugten Zugriffen. #more#

Wir werden in Zukunft weitere Hilfe-Videos veröffentlichen. Unsere Videos können mit Untertiteln barrierefrei angesehen werden. Zusätzlich sind Video-Versionen auf Englisch und Französisch verfügbar.

Weitere Kosten entstehen Ihnen mit der Zwei-Faktor-Authentifizierung nicht. Sie können das Verfahren auf vielen verschiedenen Geräten benutzen (Computer, Smartphone, Tablet, Yubikey).
Übrigens: Unser Kunden-Support hilft Ihnen auch gerne persönlich weiter, wenn Sie einmal Fragen oder Probleme mit der Zwei-Faktor-Authentifizierung haben sollten. Eine detaillierte Schritt-für-Schritt-Anleitung für das Einrichten finden Sie alternativ auch in der Posteo-Hilfe.

Viele Grüße
das Posteo-Team

Neu: Posteo-Umzugsservice jetzt auch für Kalender

2017-06-12T17:40:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir haben unseren Posteo-Umzugsservice erweitert: Ab sofort können Sie nicht nur Ihre E-Mail-Postfächer und Adressbücher, sondern auch Ihre Kalender bequem zu Posteo übertragen.

Der Umzugsservice ermöglicht Ihnen den Kalendertransfer von Anbietern wie gmx, web.de, Gmail, Aol oder iCloud.

So funktioniert es: Sie finden den Umzugsservice in den Einstellungen Ihres Posteo-Postfachs, unter “Mein Konto”. Legen Sie dort einen neuen Umzug an, werden Ihnen ab sofort nicht nur die E-Mail-Ordner und das Adressbuch, sondern auch die Kalender Ihres bisherigen Postfachs angezeigt. Per Mausklick wählen Sie komfortabel aus, welche Daten Sie zu Posteo übertragen möchten. Ob Sie die Daten bei Ihrem bisherigen Anbieter nach dem Umzug löschen, entscheiden Sie selbst.

Das Besondere am Posteo-Umzugsservice:
Er kostet keinen Aufpreis, Sie benötigen keine besonderen Technikkenntnisse – und Sie behalten die Kontrolle über Ihre Daten. Ihre sensiblen E-Mails, Adressbuch- oder Kalenderdaten werden zu keinem Zeitpunkt über Drittdienstleister geleitet. Wir haben unseren Umzugsservice selbst entwickelt, damit er unseren hohen Ansprüchen an Sicherheit und Datensparsamkeit entspricht: Ihre Daten werden durch uns direkt bei Ihrem bisherigen Anbieter abgerufen – und über verschlüsselte Verbindungen in Ihr Posteo-Postfach übertragen.

Auch speichern wir aus Datensparsamkeitsgründen z.B. nicht, von welcher E-Mail-Adresse Sie Daten in Ihr Posteo-Postfach übertragen haben.

Sollten Sie Fragen zum Umzug Ihrer Kalenderdaten oder zum Posteo-Umzugsservice insgesamt haben, wenden Sie sich gerne an unseren Kunden-Support.

Viele Grüße sendet
Ihr Posteo-Team

"Datenschutz wirklich beeindruckend umgesetzt": Bundesdatenschutzbeauftragte über Posteo

2017-05-30T19:00:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

die Bundesdatenschutzbeauftragte, Andrea Voßhoff, hat heute ihren aktuellen Tätigkeitsbericht für die Jahre 2015 und 2016 vorgelegt.

In dem Bericht wird aufgeführt, welchen Unternehmen in den vergangenen zwei Jahren ein Kontrollbesuch abgestattet wurde.
Hier werden auch wir erwähnt: Denn Posteo wurde im November 2016 routinemäßig und anlasslos geprüft.

Die Bundesdatenschutzbeauftragte schreibt über Posteo (anonymisiert) in ihrem Bericht:
“Ein E-Mail-Diensteanbieter hat den Datenschutz hingegen wirklich beeindruckend umgesetzt. Obwohl es sich um einen gebührenpflichtigen Dienst handelt, hat das Unternehmen einen Weg gefunden, weder Bestandsdaten im Sinne des § 95 TKG noch Verkehrsdaten nach § 97 TKG für den Betrieb zu benötigen und diese folglich auch nicht zu erheben oder dauerhaft zu speichern. Wie mir berichtet wurde, zweifeln viele Sicherheitsbehörden, die Auskunft nach § 113 TKG verlangen, diese Praxis an und versuchen, teilweise gerichtlich nicht vorhandene Daten einzuklagen.”

Quelle: 26. Tätigkeitsbericht zum Datenschutz für die Jahre 2015 und 2016, Seite 177

Das Betreiben eines konsequent datenschutzfreundlichen Angebotes ist in Deutschland tatsächlich mitunter schwierig. Es ist mit einem enormen bürokratischen Aufwand und mit hohen Anwaltskosten verbunden.
Wir freuen uns deshalb sehr über die wohlwollende Erwähnung im Tätigkeitsbericht. #more#

Da der Tätigkeitsbericht nun vorliegt, veröffentlichen wir aus Transparenzgründen heute auch den Prüfbericht der Bundesdatenschutzbeauftragten zu Posteo. Der Kontrollbesuch fand am 24. November 2016 statt. Aus Sicherheitsgründen haben wir wenige technische Details, die u.a. dem Schutz vor Mißbrauch dienen, geschwärzt. Das gilt auch für zwei Passagen zu einem laufenden juristischen Verfahren.

Hier der Bericht der BfDI zu Posteo im Pdf-Format.

Eine Auswahl von Zitaten aus dem Prüfbericht:

zu Bestandsdaten:
“Zusammenfassend stelle ich fest, dass Posteo im Sinne des § 95 TKG keine Bestandsdaten erhebt.” (Seite 4)
“Posteo berücksichtigt den Grundsatz der Datensparsamkeit sehr umfassend. Obwohl die Konten gebührenpflichtig sind, hat Posteo einen Weg gefunden, keine Bestandsdaten erheben zu müssen.” (Seite 8)

zu Bezahldaten:
“Die Bezahldaten werden nicht mit den E-Mail-Postfächern verknüpft, sondern getrennt gespeichert. Hierfür hat Posteo bereits 2009 ein eigenes System zur Anonymisierung der Zahlungsvorgänge entwickelt, das in 2015 den neuen gesetzlichen Vorgaben zur länderspezifischen Mehrwertsteuer angepasst wurde.” (Seite 2)

zu IP-Adressen, Logdaten und Verkehrsdaten:
“IP-Adressen von Kunden sind in den internen Systemen von Posteo nicht verfügbar und können daher auch nicht gespeichert werden.” (Seite 5)
“Zusammenfassend stelle ich fest, dass Posteo keine auf Kunden beziehbaren IP-Adressen und damit keine Verkehrsdaten nach § 96 TKG zur Diensterbringung benötigt und speichert.” (Seite 6)
“Die Gewährleistung der Sicherheit der Systeme nach § 109 TKG ist ohne Erhebung von personenbeziehbaren Verkehrsdaten sichergestellt.” (Seite 8)

zur Verschlüsselung:
“Gegen physischen Diebstahl sind alle Festplatten verschlüsselt, wobei Posteo im Besitz dieses Schlüssels ist. Zusätzlich kann der Nutzer den Posteo-Krypto-E-Mail-Speicher nutzen, um seine E-Mail mit einem eigenen Schlüssel zu verschlüsseln. Posteo unterstützt zusätzlich die Ende-zu-Ende-Verschlüsselung basierend auf PGP und S/MIME. Eine E-Mail kann also dreimal unabhängig voneinander verschlüsselt sein.” (Seite 7)
“Jeder Nutzer kann eine TLS-Versand-Garantie einschalten. Diese stellt sicher, dass die E-Mail über eine sichere, verschlüsselte Verbindung gesendet wird. (…) Ist ein sicherer Versand nicht möglich, wird die E-Mail nicht versendet und Posteo benachrichtigt den Absender per E-Mail.” (Seite 7)

Viele Grüße
Ihr Posteo-Team

Bedenkliche Entwicklung: Wie Providern "Vorratsdatenspeicherung as a Service" angeboten wird

2017-05-11T14:30:00+02:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

wir haben gestern einen Werbebrief der Firma Uniscon (universal identity control GmbH ) erhalten.
Wir veröffentlichen ihn, um transparent zu machen, wie einige Akteure die neue Vorratsdatenspeicherung derzeit aktiv ausgestalten. Und wie sie versuchen, Unternehmen “Vorratsdatenspeicherung as a Service” zu verkaufen.

Bei Uniscon weiss man offenbar nicht, dass E-Mail-Anbieter wie Posteo (Dienste der elektronischen Post) von der Pflicht zur Vorratsdatenspeicherung explizit ausgenommen sind. Im Schreiben an uns wird behauptet, alle Telekommunikationsunternehmen seien ab dem 1.07.2017 verpflichtet, “eine sichere Lösung zur Speicherung von Verkehrsdaten (VDS) einzusetzen”.

Trotz dieses grundlegenden Irrtums bietet man uns in dem Schreiben einen “Gesamtservice für die Vorratsdatenspeicherung” an, der auch Rechtliches umfasst: die Firma könne das automatische Erteilen “von Auskünften an auskunftssuchende Behörden” sowie das “gesetzliche Berichtswesen” für uns übernehmen. Man verspricht sogar “Entlastung bei der Kommunikation mit der Bundesnetzagentur”.
Auch das Speichern der Verbindungsdaten könne übernommen werden. Derzeit, so schreibt das Unternehmen, “bedienen wir 60 Kunden mit der Lösung, welche im Rechenzentrum des TÜV-Süd betrieben wird.”

Im Brief wird betont, die Lösung sei “in sehr enger Zusammenarbeit mit dem Bundeswirtschaftsministerium entstanden”.
Man habe “im Dialog mit der Bundesnetzagentur wesentliche Punkte des Anforderungskataloges (Anm. d. Red.: für die VDS) mitgestaltet”. Ihre Lösung nennen sie “Vorratsdatenspeicherung as a Service (VDSaaS)” und schreiben: “Wir nehmen Ihnen diese Aufwände ab, damit Sie sich auf Ihr Geschäft fokussieren können!”

Wir halten eine an Dienstleister ausgelagerte Vorratsdatenspeicherung und Datenausleitung, wie sie sich in diesem Schreiben andeutet, für sehr bedenklich. #more#

Provider sollten Verantwortung für ihre Kunden tragen: das rechtliche Prüfen und Abwickeln eingehender Behördenersuchen und richterlicher Anordnungen sollte nicht an Dienstleister ausgelagert werden. Aus der eigenen Praxis wissen wir, dass Behördenersuchen oft nicht rechtmäßig sind. Für die Betroffenen geht es u.a. um Beschränkungen ihrer Grundrechte (siehe Grundgesetz Art 10). Wir halten es aus Gründen der demokratischen Kontrolle deshalb für nicht wünschenswert, dass wenige Dienstleister diese gesellschaftlich wichtige Aufgabe für eine Vielzahl von Telekommunikationsunternehmen übernehmen. Aus denselben Gründen sollte auch das technische Speichern und Ausleiten von Verbindungsdaten der Bürgerinnen und Bürger nicht in die Hand von Dienstleistern gelegt werden. Sicherheitstechnisch ist das Speichern von Verkehrsdaten zahlreicher Anbieter an nur einem oder wenigen Standorten ohnehin nicht zu empfehlen.

Posteo ist von der Vorratsdatenspeicherung nicht betroffen. E-Mail-Anbieter wie Posteo (Dienste der elektronischen Post) sind von der Pflicht zur Vorratsdatenspeicherung explizit ausgenommen. Wir unterhalten keinerlei Geschäftsbeziehungen zu der Firma Uniscon. Den Werbebrief haben wir unaufgefordert erhalten. Wir lehnen die verdachtsunabhängige Vorratsdatenspeicherung grundsätzlich ab.

Viele Grüße
Ihr Posteo-Team

Sicherheitswarnung für Nutzer von Mailvelope mit Firefox

2017-05-04T09:30:00+02:00

Liebe Mailvelope-Nutzerinnen und -Nutzer,

wir wenden uns mit einem Sicherheitshinweis an alle, die das Verschlüsselungs-Add-on Mailvelope unter Firefox nutzen.

Wir haben ein aktuelles Sicherheits-Audit von Mailvelope durchführen lassen. Hierbei wurde eine kritische Schwachstelle im Zusammenspiel zwischen dem Browser Firefox und Mailvelope gefunden. Die Sicherheits-Architektur von Firefox lässt es unter bestimmten Umständen zu, dass Angreifer mit Hilfe kompromittierter Add-ons an den privaten Schlüssel des Nutzers gelangen können. Wir bitten alle Mailvelope-Nutzer mit Firefox deshalb, unsere Sicherheits-Empfehlungen weiter unten in diesem Beitrag aufmerksam zu lesen. #more#

Betroffen sind auch Mailvelope-Nutzer bei allen anderen Anbietern wie z.B. Gmail, GMX, web.de sowie De-Mail.

Die Firefox-Architektur schottet Add-ons nicht genügend gegeneinander ab. Dies ist bereits seit Jahren bekannt. Dass sogar private Schlüssel eines Mailvelope-Nutzers bei gezielten Angriffen in Firefox kompromittiert werden können, war bisher aber nicht belegt. Die von uns beauftragten Sicherheits-Ingenieure von Cure53 konnten dies nun nachweisen. Cure53 hatte Mailvelope in der Vergangenheit bereits unter Chrome auditiert: In unserem Auftrag haben die Ingenieure das Plugin nun erstmals auch im Zusammenspiel mit Firefox untersucht. Im Untersuchungsbericht kommen sie zu dem Schluss, dass Firefox derzeit keine geeignete Umgebung für Mailvelope darstellt. Sie schreiben:

“Letztendlich kann das Cure53-Team das Verwenden von Mailvelope unter Firefox nicht guten Gewissens empfehlen.”

Schwachstelle bis voraussichtlich November 2017

Wir haben den Entwickler von Mailvelope, Thomas Oberndörfer, nach dem Sicherheits-Audit informiert. Die Schwachstelle kann er jedoch nicht schliessen, da sie durch die Architektur von Firefox bedingt ist. Bei Firefox wird bereits seit einiger Zeit eine neue Architektur entwickelt. Mozilla plant, die Arbeiten bis November 2017 mit der Freigabe von Firefox 57 abzuschliessen. Auch Thomas Oberndörfer arbeitet schon an einer Mailvelope-Version für die neue, verbesserte Firefox-Architektur. Für seine Entwicklung danken wir Ihm.

Bis Mozilla die Architektur angepasst hat, gelten folgende Sicherheits-Empfehlungen:

Option 1: Weichen Sie übergangsweise auf eine andere Software-Lösung aus: Nutzen Sie Mailvelope entweder in einem anderen Browser oder verwenden Sie PGP mit einem lokalen E-Mail-Programm. In der Posteo-Hilfe finden Sie hierzu verschiedene Anleitungen.

Option 2: Alternativ minimiert übergangsweise ein eigenes Firefox-Profil für Mailvelope das Risiko. Wir haben in der Posteo-Hilfe Schritt-für Schritt-Anleitungen für das Anlegen von Firefox-Profilen veröffentlicht: Anleitung für Mac Anleitung für Windows. Mailvelope-Nutzer anderer E-Mail-Provider können ebenfalls nach diesen Anleitungen vorgehen. Beachten Sie bitte unbedingt folgende Sicherheits-Empfehlungen, um das Risiko eines erfolgreichen Angriffs tatsächlich zu minimieren:

Installieren Sie auf dem neu angelegten Browser-Profil keine weiteren Add-ons.
Nutzen Sie das Firefox-Profil ausschliesslich für Ihre verschlüsselte Mailvelope-Kommunikation: Rufen Sie lediglich den Webmailer Ihres E-Mail-Anbieters auf und besuchen mit diesem Profil niemals andere Websites.
Wählen Sie außerdem ein möglichst sicheres Passwort für Ihren PGP-Schlüssel.
Achten Sie darauf, nicht versehentlich durch Phishing weitere Add-ons zu installieren, über die Sie angegriffen werden könnten.

Aufgrund der Probleme in der Firefox-Architektur raten wir außerdem:

Beschränken Sie das Verwenden von Add-ons in Ihrem Firefox-Browser auf ein Minimum, bis Mozilla die Architektur angepasst hat.
Wer für seine Ende-zu-Ende-verschlüsselte Kommunikation einen getrennten, zusätzlichen Benutzer auf seinem Betriebssystem einrichtet, schirmt sich noch weiter vor potentiellen Angreifern ab.

Hier aus Transparenzgründen noch einmal die (übersetzten) Empfehlungen aus dem Cure53-Prüfbericht:

“Nutzern, die auf Mailvelope zum Ver- und Entschlüsseln hochsensibler Daten vertrauen, können zwei Wege empfohlen werden. Erstens können sie Mailvelope in einem Browser-Profil nutzen, in dem ausschliesslich und exklusiv Mailvelope ohne andere Erweiterungen installiert ist. Zweitens müssten sie auf eine andere Software-Lösung vertrauen, zum Beispiel auf Thunderbird mit Enigmail.”

“Aktuell wird jedem Nutzer von Mailvelope unter Firefox empfohlen, seine Mailvelope-Einstellungen zu exportieren, Mailvelope aus Firefox zu löschen und die Mailvelope-Einstellungen in eine Mailvelope-Installation unter Google Chrome umzuziehen. Alternativ kann Mailvelope in einem separaten Browserprofil benutzt werden, um das Risiko des Diebstahls von Schlüsselmaterial zu miniminieren – allerdings darf dann kein anderes Add-on in diesem Profil installiert sein.”

Von Posteo beauftragte Sicherheits-Ingenieure fanden Schwachstelle

Unsere Kunden verwenden im Alltag verschiedene Geräte, Browser und Add-ons in ihren lokalen Umgebungen. Die Kommunikations-Sicherheit unserer Kunden ist uns sehr wichtig: Deshalb lassen wir auch externe Standard-Komponenten kontinuierlich auf Schwachstellen überprüfen. Hierfür arbeiten wir u.a. mit den unabhängigen IT-Sicherheitsexperten von Cure53 zusammen. Bei Mailvelope unter Firefox sind sie nun fündig geworden.

Dr. Mario Heiderich (Cure53) erklärt hierzu:

“Das Problem liegt aktuell in der Architektur. Daher gibt es keinen einfachen Fix. Mozilla weiß das, muss aber auch den schweren Spagat zwischen radikalen Änderungen sowie besonnenen und daher oft träge wirkenden Entscheidungen halten. Aber es geht in die richtige Richtung, das ist bei komplexer Software schon mal etwas durchaus Positives.”

Thomas Oberndörfer (Mailvelope) sagt:

“Mailvelope ist natürlich von der Sicherheit der zugrundeliegenden Browser Plattform abhängig. Schwächen im Add-on System von Firefox sind schon länger bekannt, umso mehr ist es zu begrüßen, dass Mozilla hier jetzt nachbessert. Security Audits wie das von Posteo durchgeführte sind für uns ein wichtiger Indikator, um zu sehen, wie wir Mailvelope weiter verbessern können.”

Prüfbericht wird nach Schließen der Schwachstelle veröffentlicht

Die oben geschilderte Schwachstelle wird durch Mozilla voraussichtlich erst im November 2017 geschlossen. Aus Sicherheitserwägungen werden wir den Prüfbericht deshalb erst zu einem späteren Zeitpunkt veröffentlichen. In ihm wird der Angriff, der zum Erfolg führen kann, detailliert beschrieben. Mailvelope sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegt der Bericht bereits vor.

Das Sicherheits-Audit hat auch positive Ergebnisse zu Mailvelope erbracht, die wir an dieser Stelle erwähnen möchten: Es wurde geprüft, ob E-Mail-Provider, für die Mailvelope genutzt wird, auf den im Browser gespeicherten privaten Schlüssel der Mailvelope-Nutzer zugreifen können: Dies war nicht möglich. Alle anderen Versuche der Sicherheits-Ingenieure, als Betreiber von Dritt-Webseiten oder Man-in-the-Middle-Angreifer auf die in Mailvelope gespeicherten privaten Schlüssel zuzugreifen, waren ebenfalls nicht erfolgreich.

Schwachstelle zeigt: Opensource erhöht die Sicherheit

Wir unterstützen aus Sicherheitsgründen ausschliesslich OpenSource-Komponenten mit transparentem Code – wie das Verschlüsselungs-Plugin Mailvelope. Unserer Ansicht nach ist transparenter Code essentiell für die Sicherheit und die demokratische Kontrolle im Internet: Unabhängige Experten können durch eine Code-Analyse jederzeit Schwachstellen oder Backdoors identifizieren. Wie im aktuellen Fall. Es muss nicht auf die Sicherheits-Aussagen eines Providers oder Entwicklers vertraut werden. Mit den von uns beauftragten Sicherheits-Audits wollen wir dazu beitragen, die Sicherheit gängiger OpenSource-Komponenten und echter Ende-zu-Ende-Verschlüsselung weiter zu erhöhen.

Viele Grüße
Ihr Posteo-Team

Zweites Greenpeace "Repair Cafe" bei Posteo am 22.04.

2017-04-18T15:00:00+02:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

am 22. April wird Greenpeace zum zweiten Mal mit einem “Repair Café” bei uns zu Gast sein.

Zwischen 11 und 17 Uhr helfen Greenpeace-Ehrenamtliche im Posteo Lab bei der Reparatur defekter Smartphones. Interessierte können sich vor Ort außerdem über die schmutzige Produktion und Entsorgung in der Elektronik-Branche informieren. Um 14:30 Uhr wird es einen Vortrag zum Thema “Geplante Obsoleszenz” geben.

Wenn Sie vor Ort ein Smartphone reparieren möchten, melden Sie sich bitte unbedingt an: die Reparaturplätze sind begrenzt. Anmelden können Sie sich per E-Mail bei Greenpeace Berlin, unter: Repaircafe@greenpeace-berlin.de. Bitte geben Sie in der E-Mail Ihr Modell und den Defekt an.

Wer lediglich herausfinden möchte, was genau am eigenen Gerät defekt ist, kann auch ohne Anmeldung vorbeikommen.
Greenpeace bittet alle Reparaturwilligen, die Ersatzteile für ihre Geräte selbst mitzubringen. Die erforderlichen Werkzeuge stellt Greenpeace.

Die Teilnahme an der Veranstaltung ist kostenlos. Für Kinder gibt es ein Bastelprogramm.

Wenn Sie ein altes Smartphone besitzen, das Sie selbst nicht mehr benötigen, können Sie es während des Repair Cafés im Posteo Lab abgeben. Greenpeace spendet funktionstüchtige und reparierbare Geräte an die Flüchtlingshilfe. Alle übrigen werden fachgerecht recycelt.

Die Eckdaten

Repair Café für Smartphones von Greenpeace Berlin
Samstag, 22.04.2017
Posteo Lab
Methfesselstraße 36
10965 Berlin

Programm:
durchgehend von 11-17 Uhr: angeleitete Smartphone-Reparatur, Abgabe alter Geräte für die Flüchtlingshilfe
parallel: Herstellung von Kuscheltieren aus Upcycling-Materialien (Kinderprogramm)
gegen 14:30 Uhr: Vortrag “Geplante Obsoleszenz”

Viele Grüße
Ihr Posteo-Team

Unsere aktuellen Stellenangebote

2017-04-12T12:30:00+02:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

wir suchen zur Verstärkung unseres Teams ab sofort:

- eine(n) vegetarische(n) Koch/Köchin für unseren bio-vegetarischen Mittagstisch
- eine(n) Teamassistent(in)
- eine(n) Systemadministrator(in)
- eine(n) erfahrene(n) PHP- und Javascript-Softwareentwickler(in)

#more#

Posteo beschäftigt alle Mitarbeiterinnen und Mitarbeiter in unbefristeter Festanstellung.

Mehr Informationen zu unseren aktuellen Stellenangeboten finden Sie auf unserer Job-Seite:
https://posteo.de/site/jobs
Sie haben Interesse an einer der ausgeschriebenen Stellen? Dann freuen wir uns auf Ihre Bewerbungsunterlagen an: jobs@posteo.de.

Viele Grüße
das Posteo-Team

Neue Sicherheitszertifikate

2017-01-14T11:00:00+01:00

Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,

wir werden in den nächsten Tagen unsere Sicherheitszertifikate aktualisieren. Sicherheitszertifikate haben eine zeitlich begrenzte Gültigkeit und müssen hin und wieder erneuert werden. Deshalb werden wir sie bis zum 22.01.2017 austauschen. Wir verwenden weiterhin Zertifikate von Geotrust und der Bundesdruckerei (D-Trust).

Neue Fingerprints der TLS-Sicherheitszertifikate

Geotrust:
SHA256: 30:2A:06:B8:CF:A8:5B:93:66:5A:44:66:E2:BB:84:05:FE:80:95:3F:5A:FE:D1:08:DB:3B:B0:0D:7C:42:B4:39
SHA1: BD:16:71:84:B0:B1:40:D9:0A:65:99:8C:E6:7B:01:D6:AA:5B:8B:67
MD5: 55:F5:81:51:91:CD:88:64:14:D5:AA:E2:D5:2E:2C:AB

D-Trust:
SHA256: 06:48:D6:E4:D3:79:42:79:81:77:0F:49:88:43:D7:65:EE:A8:6F:1F:12:6F:72:11:8F:A9:4C:A9:66:34:FE:B5
SHA1: 79:DB:A0:A9:57:D9:30:FA:EF:5F:72:69:FB:1B:EA:06:90:27:9F:4D
MD5: DA:59:74:62:7C:D1:12:4E:15:41:25:37:9B:56:D0:58

Viele Grüße
Ihr Posteo-Team

Transparenzbericht: Behördenanfragen bei Posteo deutlich gesunken

2017-01-09T17:20:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir möchten, dass Sie wissen, wie häufig Behörden bei uns um Kundendaten ersuchen. Deshalb haben wir heute unseren Transparenzbericht für das Jahr 2016 veröffentlicht. In dem Bericht legen wir offen, wie oft Ermittlungsbehörden sich im Jahr 2016 an uns gewandt haben – und wie oft wir tatsächlich Daten herausgeben mussten. Er enthält alle Behördenanfragen, die wir im Jahr 2016 erhalten haben. Wir führen außerdem die Anzahl der rechtswidrigen Ersuchen in der Statistik auf, da in der Praxis Missstände existieren, die wir seit einiger Zeit auch auf unserer Website mit geschwärzten Beispielen dokumentieren. #more#

Anzahl der Behördenanfragen bei Posteo deutlich zurückgegangen

Die Anzahl der bei Posteo geführten E-Mail-Postfächer ist im Jahr 2016 um rund 40 Prozent gestiegen, während die Anzahl der Behördenersuchen deutlich zurückgegangen ist. Insgesamt haben wir im Jahr 2016 nur noch 35 Ersuchen von Behörden erhalten, im Jahr 2015 waren es noch 48.

Bei den Inhaltsdaten war die Anzahl der Ersuchen um 50 Prozent rückläufig: Im Jahr 2015 hatten Behörden noch in 8 Fällen bei uns um Inhaltsdaten ersucht, im Jahr 2016 erreichten uns noch 4 Ersuchen. Die Zahl der von Herausgaben betroffenen Postfächer verringerte sich ebenfalls; von 5 auf 3.

Bei den Verkehrsdaten gingen die Anfragen noch stärker zurück: Von 6 Ersuchen im Jahr 2015 auf 2 Ersuchen im Jahr 2016.

Einzig die Anfragen nach Bestandsdaten stiegen leicht an, von 27 im Jahr 2015 auf 28 im Jahr 2016. Da wir aus Gründen der Datensparsamkeit grundsätzlich keine Bestands- oder Verkehrsdaten zu den E-Mail-Postfächern erheben, sind diese Daten bei uns nicht vorhanden – und können daher auch nicht herausgegeben werden. Darüber informieren wir die anfragenden Stellen stets zeitnah. Alle Ersuchen haben uns von deutschen Behörden erreicht. Darunter war, wie bereits im vergangenen Jahr, eine Anfrage eines Nachrichtendienstes.

Anteil rechtswidriger Ersuchen unverändert

Leider erreichen uns weiterhin zahlreiche Ersuchen, die formal nicht korrekt gestellt werden. 2016 betraf dies die Hälfte der Bestandsdatenanfragen. Der Anteil der rechtswidrigen Bestandsdatenanfragen ist damit im Vergleich zum vergangenen Jahr praktisch konstant geblieben. Wir haben uns in allen Fällen bei den jeweils zuständigen Datenschutzbeauftragten beschwert.

Unsere Transparenz erhält im Jahr 2017 eine neue Form

Bisher haben wir unsere Transparenzberichte jeweils im Sommer veröffentlicht. Der Grund für den später im Jahr gelegenen Veröffentlichungstermin war, dass wir den Berichten inhaltliche Schwerpunkte beigefügt hatten, die oft mit aufwändiger Recherche verbunden waren. Viele von Ihnen hatten sich eine Veröffentlichung der Zahlen zum Jahresanfang gewünscht. Deshalb erhält unsere Transparenz 2017 eine neue Form. Wir wollen die Zahlen zu den Behördenersuchen nun stets Anfang Januar veröffentlichen.

Die zweite Änderung: Wir werden künftig über das Jahr verteilt auf unserer Transparenzberichts-Seite sowie hier im Blog thematische Schwerpunkte veröffentlichen. Das können z.B. Rechtsgutachten sein, die wir beauftragt haben, Missstände, die uns in der Praxis auffallen – oder Erfolge, von denen wir berichten möchten.

Wir haben uns für diese neue, flexiblere Form der Transparenz entschieden, weil sie besser zu unserer praktischen Arbeit passt. Außerdem machen wir immer häufiger die Erfahrung, dass die besonders datenschutzorientierte Ausgestaltung unseres Dienstes für manche Behörden neu ist und zu inhaltlichen Diskussionen oder Präzedenzfall-Entscheidungen führt. Darüber möchten wir Sie auch ausserhalb von festen Terminen informieren.

Transparenzberichte sollen vergleichbarer werden

Posteo war 2014 der erste deutsche Telekommunikations-Anbieter, der einen Transparenzbericht veröffentlicht hat. Inzwischen veröffentlichen auch zahlreiche andere Anbieter ähnliche Berichte.

Wir glauben, dass Transparenzberichte die Informationelle Selbstbestimmung der Verbraucherinnen und Verbraucher stärken. Deshalb freut uns diese Entwicklung. Was wir anmerken möchten: Für die Verbraucher haben diese Berichte nur dann einen echten Mehrwert, wenn sie eine möglichst vergleichbare Form besitzen – und wenn die angegebenen Zahlen vollständig sind.

Deshalb fordern wir, dass in den Berichten zu allen von Behörden angefragten Daten-Typen jeweils zwei Informationen angegeben werden:
Erstens, wie viele Anfragen es zu bestimmten Daten gab, also z.B. zu Bestandsdaten oder zu Verkehrsdaten. Und zweitens, wie oft diese Daten im Anschluss an das Ersuchen auch herausgegeben wurden. Unserer Ansicht nach wird Transparenz nur durch die Angabe beider Informationen erreicht.

Unseren Transparenzbericht finden Sie hier.

Viele Grüße,
Ihr Posteo-Team

Posteo erhält als erster Anbieter Zertifikat über sicheren E-Mail-Versand

2016-12-07T13:07:00+01:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

uns ist besonders wichtig, dass Sie Ihre E-Mails sicher versenden und empfangen können. Dazu haben wir eine Neuigkeit für Sie: Wir haben heute als erster Anbieter ein Zertifikat nach der neuen Richtlinie “Sicherer E-Mail-Transport” des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten.

Das Zertifikat wurde uns von der Zertifizierungsstelle datenschutz cert übergeben. Auch Vertreter des BSI waren anwesend. Sie können ab sofort an dem Zertifikat auf unserer Webseite erkennen, dass unsere Sicherheitsmaßnahmen unabhängig geprüft wurden und nachweislich den Anforderungen des BSI entsprechen.

Übergabe des Zertifikats bei Posteo: Thomas Gast (BSI), Thomas Gilles (BSI), Ralf von Rahden (datenschutz cert), Patrik Löhr (Posteo), Florian Bierhoff (BSI)

Die neue Richtlinie beschreibt Maßnahmen, die ein E-Mail-Dienst ergreifen sollte, um E-Mails beim Transport wirksam vor unbefugten Mitlesern zu schützen. So müssen E-Mail-Dienste die Technologie DANE einsetzen, wenn sie eine Zertifizierung erhalten möchten. DANE beseitigt verschiedene Schwachstellen der gängigen Transportwegverschlüsselung TLS und verhindert so genannte Man-in-the-Middle-Angriffe, bei denen sich Angreifer in einen Kommunikationsvorgang einklinken und die Verschlüsselung aushebeln. Posteo war 2014 der erste Anbieter, der DANE eingesetzt hat. Seither engagieren wir uns für die Verbreitung dieser noch recht neuen, aber für die Vertraulichkeit von digitaler Kommunikation wegweisenden Technologie. Damit unsere Kunden nicht nur untereinander sicher kommunizieren – sondern auch mit den Nutzern anderer E-Mail-Dienste. Deshalb freut uns besonders, dass der freie Standard DANE für eine Zertifizierung verpflichtend ist. #more#

Wir haben uns seit 2014 in einer Arbeitsgruppe gemeinsam mit anderen E-Mail-Anbietern an einem offenen Dialog mit dem BSI beteiligt und an der Entstehung der Richtlinie mitgewirkt. Dabei haben wir uns für hohe Sicherheitsanforderungen und eine einfache Umsetzbarkeit eingesetzt.

Wir kritisieren Behörden häufig, wenn Dinge in der Praxis nicht funktionieren – zum Beispiel in unseren Transparenzberichten. Die neue Richtlinie „Sicherer E-Mail-Transport“ des BSI begrüßen wir hingegen. Das BSI hatte ein großes Interesse daran, die Richtlinie in Zusammenarbeit mit den Anbietern praxisnah zu konzipieren. Die Richtlinie entspricht höchsten Sicherheitsanforderungen und eine Zertifizierung ist auch für kleinere Anbieter wie Posteo vom Zeit- und Kostenaufwand her umsetzbar.

Neues Zertifikat kennzeichnet sichere E-Mail-Dienste

Auch für die Verbraucherinnen und Verbraucher ist es aus unserer Sicht ein großer Fortschritt, dass Angaben von E-Mail-Diensten über ihre Sicherheitsvorkehrungen nun von unabhängigen Stellen überprüft werden können. Ob ein Dienst die Kriterien der Richtlinie nachweislich erfüllt, können sie künftig an den Zertifikaten auf der Website eines Anbieters erkennen. Das Logo verweist mit der Aufschrift “BSI TR-03108 zertifiziert” auf die entsprechende Richtlinie.

Die Richtlinie des BSI stellt keine rechtliche Verpflichtung, sondern eine Empfehlung über Sicherheitsvorkehrungen dar. Anbieter, die ein entsprechendes Zertifikat erhalten möchten, müssen allerdings nachweisen, dass sie alle Anforderungen der Richtlinie erfüllen.

Die Zertifizierung übernimmt eine unabhängige Stelle. Posteo wurde von datenschutz cert zertifiziert. Andere E-Mail-Anbieter und E-Mail-Dienste wie beispielsweise von Firmen oder Universitäten können sich ab sofort für eine Überprüfung anmelden. Wir hoffen, dass die Richtlinie die Verbreitung der empfohlenen Sicherheitstechnologien weiter stärkt. Hohe gemeinsame Standards verbessern das Sicherheitsniveau auch für E-Mails, die Sie an Kontakte bei anderen E-Mail-Anbietern verschicken. So wird E-Mail-Kommunikation insgesamt sicherer.

Viele Grüße,
Ihr Posteo-Team

Zusatzinformationen für Technikinteressierte

– Die Technische Richtlinie finden Sie auf der Website des BSI,
- Posteo verwendet DANE seit Mai 2014. Mehr zu DANE können Sie hier nachlesen.
- Ende-zu-Ende-Verschlüsselung macht Transportwegverschlüsselung übrigens nicht überflüssig: Ende-zu-Ende-Verschlüsselung schützt in der Regel lediglich die Inhalte Ihrer Kommunikation, nicht aber Metadaten – wie die Betreffzeile und die Informationen, wer mit wem kommuniziert. Eine Transportwegverschlüsselung mit TLS schützt sowohl die Inhalte als auch die Metadaten von E-Mails auf dem Weg durch das Internet. DANE sichert diese Verschlüsselung zusätzlich ab. Eine Ende-zu-Ende-Verschlüsselung liegt immer in der Hand der Nutzerinnen und Nutzer selbst, da niemand außer ihnen Zugang zu den privaten Schlüsseln haben darf. Wir raten, Ende-zu-Ende-Verschlüsselung mit einer starken providerseitigen Transportwegverschlüsselung zu kombinieren.

Material für Presseberichterstattung

Posteo-Pressemittelung 07.12.2016, Foto 1, Foto 2, Foto 3, Foto 4, Foto 5, Foto 6

Gegen Elektroschrott: Greenpeace veranstaltet "Repair Café" im Posteo Lab

2016-11-28T15:30:00+01:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

wir möchten Sie auf eine Veranstaltung in unserem Posteo Lab aufmerksam machen. Am 3. Dezember ist Greenpeace Berlin mit einem “Repair Café” bei uns zu Gast. Dabei sollen alte Handys wieder funktionstüchtig gemacht werden, damit sie länger genutzt werden können und weniger Geräte auf dem Müll landen. Ab 11 Uhr hilft Greenpeace Interessierten bei der Reparatur ihres defekten Smartphones. Außerdem wird es eine Sammelaktion für alte Mobiltelefone geben.

Wenn Sie ein Gerät vor Ort reparieren möchten, melden Sie sich bitte unbedingt an, denn die Plätze für eine Reparatur sind begrenzt. Anmelden können Sie sich bei Greenpeace Berlin. Bitte nennen Sie in der Mail Ihr Handymodell und den Defekt. Wer lediglich herausfinden möchte, was genau am eigenen Gerät defekt ist, kann auch ohne Anmeldung vorbeikommen.

Greenpeace bittet alle Reparaturwilligen, die Ersatzteile für ihre Geräte selbst mitzubringen. Informationen und Tipps dazu finden Sie hier. Bei Fragen wenden Sie sich bitte direkt an Greenpeace.

Die Veranstaltung ist kostenlos, für Kinder gibt es ein Bastelprogramm.

#more#
Vortrag und Handysammelaktion

Nach Auffassung von Greenpeace sind viele Geräte gewollt so konstruiert, dass sie nach einer bestimmten Zeit kaputtgehen oder aufgrund fehlender Sicherheitsupdates nicht weiter verwendet werden können. Diese „geplante Obsoleszenz“ wird um 14 Uhr in einem Vortrag thematisiert.

Falls Sie noch ein altes Gerät haben, das Sie selbst nicht mehr benötigen, können Sie es während des Repair Cafés im Posteo Lab abgeben. Greenpeace spendet funktionstüchtige und reparierbare Geräte an die Flüchtlingshilfe, alle übrigen werden fachgerecht recycelt.

Greenpeace weist bereits seit einigen Jahren im Rahmen seiner Elektroschrott-Kampagne auf die enorme Ressourcenverschwendung und den Gifteinsatz in der Elektronik-Branche hin. Beim Gifteinsatz wurde schon einiges erreicht: So haben viele Hersteller Risiko-Chemikalien wie PVC und bromierte Flammschutzmittel inzwischen aus ihren Produkten verbannt. Die Ressourcenverschwendung und die kurze Lebensdauer von Smartphones sind jedoch weiterhin ein großes Problem.

Greenpeace will mit seinen Repair Cafés deshalb auf die kurze Lebensdauer von Handys und Smartphones hinweisen, Hilfestellung für die Reparatur defekter Geräte geben und so Elektroschrott reduzieren. Auch uns bei Posteo ist Nachhaltigkeit ein wichtiges Anliegen. Daher freuen wir uns, dass wir dem Repair Café unsere Räume im Posteo Lab zur Verfügung stellen können.

Die Eckdaten

Repair Café für Smartphones von Greenpeace Berlin
Samstag, 3.12.2016
Methfesselstraße 36
10965 Berlin

11-16 Uhr: Smartphone Repair Workshops, Bastelworkshop für Kinder, Sammelaktion von alten Handys und Smartphones
14 Uhr: Vortrag über beabsichtigte Kurzlebigkeit von Produkten („geplante Obsoleszenz“)

[Update] Unsere Vorabinformation zum neuen Test der Stiftung Warentest

2016-09-26T17:30:00+02:00

Update: Inzwischen wissen wir, dass wir als einer von zwei Testsiegern aus dem Test der Stiftung Warentest hervorgegangen sind. Und das, obwohl einige unserer Verschlüsselungsfunktionen und Sicherheitstechnologien, die wir unterstützen, nicht getestet wurden. Immerhin wurde unser Krypto-Mailspeicher offenbar nachträglich berücksichtigt und im Artikel erwähnt. Der Testsieg freut uns trotzdem.
Unabhängig von unserem Angebot sind wir sehr erleichtert darüber, dass die Stiftung Warentest sich doch noch dazu entschlossen hat, kompromittierbare PGP-Lösungen nicht explizit zu bevorzugen. Dies hatte sich während der Testphase, die wir kritisch begleitet haben, abgezeichnet und war so auch in den Unterlagen dokumentiert.

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir wollen Sie heute rein vorsorglich vorab über einen neuen Test der Stiftung Warentest informieren, der am 28.09. erscheinen wird.

Evtl. ist Ihnen die Vorgeschichte bekannt: Beim letzten Test im Januar 2015 wurde Posteo einer von zwei Testsiegern. Der Test enthielt jedoch zahlreiche Fehler und Falschdarstellungen – auch zu Posteo, sodass die Stiftung Warentest den Vertrieb ihres Heftes damals stoppte und im folgenden Heft fast eine komplette Seite Richtigstellungen veröffentlichte.

Nach den Problemen mit dem letzten Test haben wir die Testphase diesmal kritisch begleitet. Der Testleiter ist derselbe.
Wir wissen als getesteter Anbieter selbst noch nicht, wie der Vergleichs-Test im Einzelnen diesmal ausgeht.

Was wir aber bereits wissen:
Zahlreiche Verschlüsselungsoptionen und Sicherheitstechnologien, von denen Sie bei Posteo profitieren, sind offenbar nicht Bestandteil des E-Mail-Anbieter-Tests. Darauf machen wir vorsorglich vorab aufmerksam. Denn Verbraucher gehen in aller Regel davon aus, dass bei einem unabhängigen Vergleich die wichtigsten Merkmale der jeweiligen Produkte in eine Benotung mit eingehen.

Folgende Funktionen wurden bei der Benotung offenbar nicht berücksichtigt:

- die TLS-Versand-Garantie
- der Posteo-Krypto-Mailspeicher
- das Posteo-Schlüsselverzeichnis
- die weltweite automatische Schlüsselsuche
- die Eingangsverschlüsselung mit S/MIME
- alle sonstigen Angebote rund um S/MIME

Dies geht aus dem endgültigen Untersuchungsprogramm und den Anbieter-Vorab-Informationen vom 30.08.2016 sowie aus den nachgereichten Test-Ergänzungen der Stiftung Warentest vom 16.09.2016 hervor. #more#

Auch ist keine Bewertung wichtiger Qualitätsmerkmale von HTTPS-Verschlüsselung zwischen Browser und Anbieter vorgenommen worden. Funktionen wie zum Beispiel HSTS, OCSP, Certificate Transparency oder HPKP, die wir unterstützen, sind wichtige Schutzmaßnahmen zur Stärkung der Browser-Zugriffs-Sicherheit.

Wir haben das großflächige Vernachlässigen dieser Funktionen und Technologien bemängelt – sie wurden jedoch nicht nachträglich in das Untersuchungsprogramm aufgenommen.

Verschlüsselte Transportwege erst nachträglich in Test aufgenommen

Fast wäre sogar eine der wichtigsten Technologien im Test nicht berücksichtigt worden: die TLS-Verschlüsselung der E-Mail-Transportwege zwischen den Anbietern.
Wir hatten kritisiert, dass sogar diese wichtigste Alltags-Verschlüsselung nicht geprüft werden sollte. Eine qualitativ hochwertige Transportwegverschlüsselung zwischen den Anbietern ist für den Verbraucher in der Alltagskommunikation maßgeblich wichtig.
Die Stiftung Warentest hatte lediglich getestet, wie die Anbieter zum Anwender hin mit TLS verschlüsseln. Wir haben die Tester hier auf eine neue technische Richtlinie des BSI (Bundesamt für Sicherheit in der Informationstechnik) zum sicheren E-Mail-Transport verwiesen. Am 12.09.2016 wurde das Untersuchungsprogramm nachträglich entsprechend erweitert: Nun ist auch STARTTLS zwischen den Anbietern sowie die Unterstützung der Sicherheitstechnologie DANE Bestandteil des Tests.

Ohne dies bewerten zu wollen, möchten wir außerdem vorab darauf hinweisen, dass Nachhaltigkeitskonzepte, soziales Wirtschaften/Engagement (Corporate Social/Environmental Responsibility) ebenfalls nicht untersucht wurden.

Fehler in der Anbieter-Vorab-Information

Zu einem groben Mess- oder Berichtsfehler der Stiftung Warentest haben wir keine inhaltliche Rückmeldung erhalten und wissen deshalb nicht, ob dieser vor der Veröffentlichung beseitigt wurde. In der Anbieter-Vorab-Information ist fälschlicherweise als Testergebnis vermerkt, Posteo würde kein PGP im Webmailer anbieten.

Deshalb stellen wir hierzu vorsorglich fest: Das ist falsch.
Richtig ist: Posteo bietet seit zwei Jahren PGP im Webmailer an. Inzwischen sogar mit einem eigenen Schlüsselverzeichnis mit weltweiter, automatischer Schlüsselsuche, die ebenfalls in den Testunterlagen nicht auftaucht.

Des Weiteren ist in der Anbieter-Vorab-Information erstaunlicherweise vermerkt, unser Datenschutzbeauftragter sei auf der Website nicht auffindbar. Hierzu stellen wir fest: Auch dies ist falsch.
Richtig ist: In unserer Datenschutzerklärung sowie im Impressum geben wir gut auffindbar die Kontakt-Informationen unseres Datenschutzbeauftragten an.

Wir bitten um Verständnis, dass wir auf diese Fehler aufgrund der fehlenden konkreten Rückmeldung der Tester bereits vor der Veröffentlichung hinweisen. Wir möchten hier in jedem Falle einer möglichen Verbreitung falscher Tatsachen vorbeugen. Alleine die Testzeitschrift der Stiftung Warentest hat eine Auflage von mehr als 400 000 Exemplaren – und über die Nachrichtenagenturen werden Testinhalte am Veröffentlichungstag weiter verbreitet.

Wird die Stiftung Warentest kompromittierbare, proprietäre Verschlüsselungslösungen empfehlen?

Die Stiftung Warentest wird Angebote der Anbieter rund um die Ende-zu-Ende-Verschlüsselung PGP bewerten.
In diesem Bereich müssen wir, unter anderem aufgrund der uns zugesandten Anbieter-Vorab-Informationen, damit rechnen, dass die Stiftung Warentest hier eine Position vertreten wird, die fachlich hoch umstritten ist.

Es deutet sich an, dass gerade die Lösungen die beste Bewertung erhalten werden, von denen alle führenden Sicherheitsexperten abraten: Nämlich PGP-Lösungen, bei denen der private Schlüssel des Anwenders (der die Inhalte entschlüsselt) dem möglichen Zugriff des Anbieters ausgesetzt ist. Vor solchen Lösungen wird von vielen Seiten gewarnt – und auch wir lehnen sie strikt ab.

So wird in einer neuen Studie des BSI (Bundesamt für Sicherheit in der Informationstechnik), die erst im August hierzu veröffentlicht wurde, gewarnt:
“Bei der Ende-zu-Ende-Verschlüsselung kommt es darauf an, dass die Verschlüsselungssoftware unter der Kontrolle des Anwenders ist und damit lokal vom Anwender installiert wurde. Dies bedeutet, dass die Verschlüsselungssoftware nicht durch die Webanwendung ausgeliefert werden darf.” (Seite 9) Und an anderer Stelle heisst es: “Eine Browser-Erweiterung muss sicherstellen, dass die Webanwendung nicht in der Lage ist, an den Klartext der zu verschlüsselnden Daten zu gelangen. Dies ist nur dann gegeben, wenn alle kritischen Schritte durch die Erweiterung und nicht durch die Webanwendung vorgenommen werden. Dies beinhaltet in erster Linie die kryptografischen Funktionen.” (Seite 9)

Lösungen mit Schlüsseln im Einflussbereich des Anbieters kompromittieren Ende-zu-Ende-Verschlüsselung – und machen sie so schon per se wertlos. Der Anwender hat keine Kontrolle über sie. Stattdessen muss er der Implementierung seines Anbieters vertrauen. Das BSI betont in seiner Studie, dass es “bei der Ende-zu-Ende-Verschlüsselung jedoch darauf ankommt, dass auch dem Provider nicht vertraut werden muss.” (Seite 11)
Und auch die Fachzeitschrift c’t urteilt zu solchen Verfahren eindeutig: “Der alternative Mail-Service […] bricht mit dem Ende-zu-Ende-Prinzip, indem er die privaten Schlüssel seiner Nutzer serverseitig verwaltet. Integrität der Kommunikation kann so nicht gewährleistet sein, da opfert der Anbieter eindeutig zu viel Sicherheit für etwas mehr Komfort.” (Quelle: c’t 2015, Heft 13, Seite 139)

Wir teilen die fachliche Einschätzung des BSI sowie der führenden Sicherheitsexperten – und haben PGP im Webmailer bei uns auch dementsprechend umgesetzt. Die neue Studie des BSI haben wir der Stiftung Warentest bereits im August zugesandt. An ihr hat auch der Entwickler von GnuPG, Werner Koch, mitgearbeitet.
In der Anbieter-Vorab-Information vom 30.08.2016 wird die von den Experten empfohlene Lösung offenbar als Lösung “nur mit Plugin” bezeichnet. Sie wird dort mit 0,5 Punkten ausgezeichnet. PGP-Lösungen, die beim Anbieter direkt im Webinterface integriert sind, werden hingegen mit 1 Punkt versehen. Das Fehlen von PGP im Webinterface wird mit 0 ausgezeichnet.

Regierungen wollen Nachrichten entschlüsseln können

Endgültig werden wir erst am Mittwoch erfahren, ob die Stiftung Warentest diese Einschätzung hierzu tatsächlich in ihrer Veröffentlichung aufrecht erhält. Sollte dem so sein, halten wir dies für gefährlich: Befindet sich der Schlüssel im Einflussbereich des Anbieters (privater Key auf Anbieter-Servern/ in Smartphone- oder Web-Apps), kann der private Schlüssel kompromittiert werden. Hier gibt es auch eine politische Ebene: Derzeit stellt Ende-zu-Ende-Verschlüsselung noch eine valide Möglichkeit dar, sich gegen unbefugte Mitleser zu schützen. Aktuelle Pläne europäischer Regierungen zeigen jedoch, dass Anbieter womöglich schon bald gesetzlich dazu verpflichtet werden könnten, vorgehaltene Schlüssel herauszugeben, Nachrichten zu entschlüsseln oder sogar eine Hintertür für den Staat einzubauen. Diese kann dann auch von Unbefugten, wie Kriminellen und Geheimdiensten, missbraucht werden.
Spricht sich die Stiftung Warentest zum aktuellen Zeitpunkt, aus evtl. von ihr empfundenen “Komfort”-Gründen, für die Praxis privater Schlüssel auf den Anbieterservern aus, leistet sie genau dieser politischen Entwicklung Vorschub. Werden Anbieter von der Stiftung Warentest wegen echter Ende-zu-Ende-Verschlüsselung abgewertet, werden einige sich bis zum nächsten Test ggf. dafür entscheiden, kompromittierbare Lösungen anzubieten, um nicht schlechter bewertet zu werden. Bei Posteo werden wir dies nicht tun.

Wir haben auch zu einigen anderen Punkten der Anbieter-Vorab-Information Kritik. Hier müssen wir jedoch die Veröffentlichung abwarten.
Sollten Sie Fragen haben, können Sie sich jederzeit per E-Mail an uns wenden.

Viele Grüße
Ihr Posteo-Team

Neu: Webmailer zeigt Server mit höchster Versandsicherheit an

2016-08-18T14:30:00+02:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,

wir haben eine neue Funktion für Sie freigeschaltet: Unser Webmailer zeigt nun an, an welche Kontakte Sie E-Mails bestmöglich abgesichert mit DANE versenden. Sie erkennen dies an einem kleinen, grünen DANE-Symbol über einer E-Mail-Adresse.

Für uns ist die neue DANE-Anzeige etwas ganz Besonderes. Denn als wir im Mai 2014 die neue Sicherheitstechnologie eingeführt hatten, war Posteo laut heise.de offenbar noch der einzige Anbieter weltweit, der DANE unterstützt. Und viele IT-Experten waren damals skeptisch, ob sich die neue Technologie durchsetzen kann. Inzwischen hat sich das geändert und es lohnt sich bereits anzuzeigen, ob andere Server DANE unterstützen: Wir übermitteln E-Mails an viele E-Mail-Server weltweit standardmäßig mit DANE, unter anderem auch an große deutsche Anbieter wie 1&1 (u.a. GMX und web.de). #more#

Die Technologie setzt sich aus gutem Grund durch: DANE eliminiert verschiedene Schwachstellen der zwischen E-Mailservern weit verbreiteten Transportwegverschlüsselung STARTTLS – und erhöht die Sicherheit beim verschlüsselten E-Mail-Transport. Ohne DANE wird eine Verschlüsselung zum Beispiel nicht “erzwungen”, sondern bei jeder einzelnen Verbindung zwischen den beteiligten E-Mailservern neu ausgehandelt. Mit DANE müssen die miteinander kommunizierenden E-Mailserver jede Verbindung zwingend verschlüsseln. Kommt es zu Störungen bei der Verschlüsselung oder ist die Kommunikation einem Angriff ausgesetzt, wird die E-Mail nicht versendet. DANE-fähige Server führen vor dem Übermitteln von E-Mails außerdem eine Überprüfung ihrer Sicherheitszertifikate durch – ähnlich einer Ausweiskontrolle. So stellen sie sicher, dass der andere Server auch tatsächlich “das echte Ziel” der Kommunikation ist und kein so genannter “Man in the Middle”, der sich dazwischen geschaltet hat. Mit DANE kann ein verschlüsselter Versand vorab sicher zugesagt werden. Und deswegen bieten wir eine DANE-Anzeige in unserem Webmailer an. Zusammengefasst bedeutet die neue Anzeige für Sie: Sehen Sie dieses Symbol, wird Ihre E-Mail an diesen Empfänger garantiert mit DANE übertragen. Sie wird erstens über einen verschlüsselten Transportweg und zweitens an den tatsächlichen Empfänger-Server gesendet.

Tipp: TLS-Versand-Garantie schützt Sie auch bei Servern ohne DANE

Wird Ihnen das DANE-Symbol bei einer Adresse nicht angezeigt, unterstützt der Empfänger-Server DANE bisher nicht.
Beispiele für große Anbieter, die DANE bisher nicht unterstützen, sind z.B. Gmail oder Yahoo.
Diese unterstützen zwar verschlüsselte Verbindungen zwischen E-Mailservern. Aber: Ohne DANE kann es bei Störungen oder Angriffen, wie oben beschrieben, dennoch zu unverschlüsselten Verbindungen kommen. Und zwar bei jeder einzelnen E-Mail neu. Deshalb kann ohne DANE keine seriöse Aussage über die Sicherheit einer Verbindung zwischen zwei Mailservern gemacht werden.

Hierzu haben wir einen wichtigen Tipp: Bei Posteo können Sie einen Versand ohne TLS grundsätzlich ausschließen.

Aktivieren Sie Ihre persönliche TLS-Versand-Garantie in den Postfach-Einstellungen.

Sie stellt sicher, dass die Transportwege Ihrer E-Mails auch an E-Mailserver ohne DANE garantiert mit TLS verschlüsselt werden. Aktivieren Sie Ihre TLS-Versand-Garantie, versenden wir Ihre E-Mails nur dann, wenn eine Nachricht verschlüsselt ausgeliefert werden kann. Ist ein sicherer Versand über eine verschlüsselte Verbindung nicht möglich, wird die Übertragung der E-Mail gestoppt- und Sie erhalten eine Benachrichtigung von uns. Sollten unbefugte Dritte also eine sichere Verbindung angreifen und den Rückfall auf eine unverschlüsselte Verbindung erzwingen möchten, wird der Versand abgebrochen.

Viele Grüße
Ihr Posteo-Team

Lesetipp: Warum gibt es bei Posteo eine DANE-Anzeige – und keine TLS-Anzeige?

Nach Posteo-Warnung: SPD sichert ihre Server ab

2016-07-25T12:30:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

In der vergangenen Woche hatten wir Sie u.a. davor gewarnt, Nachrichten an die E-Mailserver der SPD zu senden.
Denn die Server der Hauptdomain @spd.de waren auch drei Jahre nach dem NSA-Skandal nicht abgesichert: Sie konnten E-Mails nicht über einen sicheren, verschlüsselten Übertragungweg empfangen.
Auch andere größere Server wie z.B. die von Amazon Marketplace, Congstar oder der GEWOBAG waren betroffen. Die unsicheren Server hatten wir von Kunden gemeldet bekommen, die unsere neue TLS-Versand-Garantie nutzen.
#more#

Am Freitag hatten auch einige Medien wie Golem und das t3n-Magazin über die fehlende Verschlüsselung der SPD-Server berichtet.

Die SPD hat nun reagiert: Unsere Tests am heutigen Montag haben ergeben, dass offenbar nachgebessert wurde. Die Transportwegverschlüsselung (TLS) wurde aktiviert – und Sie können nun sicherer mit @spd.de-Adressen kommunizieren. Auch wenn Man-in-the-Middle-Attacken weiterhin möglich bleiben, da die SPD die Technologie DANE weiterhin nicht nutzt.

Am vergangenen Donnerstag waren die SPD-Server noch nicht TLS-fähig:

Der Test am heutigen Montag zeigt: Die SPD hat nachgebessert

Auch die Stadt Halle @halle.de und die Gewobag @gewobag haben nach unserem Bericht die TLS-Verschlüsselung aktiviert. Wir bedanken uns bei den Betreibern der jeweiligen E-Mailserver für die Reaktion – und bei allen Posteo-Kunden, die uns die unsicheren Server gemeldet hatten. Andere Betreiber unsicherer Server, wie z.B. Congstar oder Amazon Marketplace, haben noch nicht nachgebessert.

Viele Grüße
Ihr Posteo-Team

SPD, Congstar & Co: Was tun bei unsicheren Servern?

2016-07-21T19:00:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir haben in den vergangenen Tagen viel positives Feedback zu unserer neuen TLS-Versand-Garantie erhalten: Hierfür möchten wir uns herzlich bedanken. Es freut uns, wie gut Sie die neue Sicherheits-Funktion annehmen. Innerhalb weniger Tage haben rund 20 Prozent unserer Kunden die neue Funktion aktiviert. Bei aktivierter TLS-Garantie werden Ihre E-Mails nur dann versendet, wenn sie über einen verschlüsselten Transportweg an den Empfänger übertragen werden können.
Da wir aktuell zahlreiche Nachfragen erhalten, gehen wir hier auf einige unsichere E-Mailserver ein und zeigen auf, welche Optionen Sie nach einem Versandstopp haben.

Zunächst ein Beispiel, zu dem wir zahlreiche Nachfragen erhalten: Die SPD.

Die E-Mail-Server der offenbar weit verbreiteten Domain “@spd.de” sind tatsächlich nicht abgesichert. Sie unterstützen auch drei Jahre nach dem NSA-Skandal noch keine TLS-Verschlüsselung beim Empfang von E-Mails. Das können wir bestätigen. Wir hatten von zahlreichen Kunden mit aktivierter TLS-Versand-Garantie Nachfragen zur Sicherheit von “@spd.de” erhalten.

Einige andere SPD-Domains, zum Beispiel von Landesverbänden, scheinen hingegen nicht betroffen zu sein.

#more#

Die derzeitige Konfiguration ist unsicher und stellt ein Sicherheitsrisiko dar. Ob Sie sensible Inhalte dennoch weiterhin mit “@spd.de”-Adressen austauschen möchten, ist Ihre persönliche Entscheidung. Sie können Ihre TLS-Versand-Garantie für das Versenden ggf. kurzzeitig deaktivieren. Bitte beachten Sie jedoch: Aufgrund der fehlenden Absicherung von “@spd.de” kann diese Kommunikation von unbefugten Dritten, wie Kriminellen und Geheimdiensten, mitgelesen werden. Daten Dritter sollten Sie an spd.de-Adressen aus Gründen des Datenschutzes nicht versenden: Darüber sollten diese Personen selbst entscheiden können.

Wir haben auf die IT der SPD keinen Einfluss. Sie können sich aber an den Parteivorstand wenden, dem diese Domain laut DENIC gehört – und der für sie verantwortlich ist.
Es ist für Administratoren von E-Mailservern in der Regel kein größerer Aufwand, die TLS-Verschlüsselung an ihren Servern zu aktivieren.
Wir gehen davon aus, dass die Domain zeitnah abgesichert wird, wenn Beschwerden eingehen. Denn die fehlende Absicherung stellt ein gravierendes Sicherheitsrisiko dar. Dann können Sie auch bei aktivierter TLS-Versand-Garantie wieder E-Mails an spd.de-Adressen versenden.

Keine Verschlüsselung auch bei Amazon Marketplace und Congstar

Wir bitten auch alle Kunden, die sich wegen der nicht TLS-fähigen E-Mail-Server von @marketplace.amazon.de, @kabelbw.de, @congstar.de, @gewobag.de und anderen (weiter unten aufgeführten) Domains an uns gewendet hatten: Wägen Sie im Einzelfall ab, ob Sie eine E-Mail an das unsichere E-Mailsystem versenden möchten. Für alle nicht TLS-fähigen Server gilt: Die Kommunikation mit solchen veralteten E-Mail-Systemen ist unsicher.

Nach einem Versandstopp haben Sie grundsätzlich folgende Möglichkeiten:
- Sie informieren den Empfänger (ggf. auf einem anderen Weg) darüber, dass ein sicherer E-Mail-Versand an seine Adresse nicht möglich ist und bitten ihn um das Mitteilen einer anderen E-Mail-Adresse.
- Sie deaktivieren die Posteo-TLS-Versand-Garantie kurzzeitig und versenden die E-Mail sicher, indem Sie die Nachricht mit einer Ende-zu-Ende-Verschlüsselung versehen.
- Sie deaktivieren die Posteo-TLS-Versand-Garantie kurzfristig und versenden die E-Mail ausnahmsweise unverschlüsselt bzw. unsicher.

Den Domaininhaber um eine bessere Absicherung bitten

Wenn Sie möchten, können Sie den Inhaber einer Domain auch bitten, die TLS-Verschlüsselung auf seinen Servern zu aktivieren. So tragen Sie dazu bei, eine bessere Absicherung des E-Mailverkehrs insgesamt zu erreichen.

So finden Sie mit wenigen Klicks die Inhaber von .de-Domains:
Rufen Sie die Internetseite www.denic.de auf. Klicken Sie oben rechts auf “Domainabfrage”.
Geben Sie den Domainnamen ein, er steht hinter dem @. Bei einer @spd.de-Adresse geben Sie also z.B. nur spd.de ein. Dann klicken Sie auf Abfrage starten.
Unten erscheint eine Sicherheitsfrage. Geben Sie die angezeigten Buchstaben ein und klicken auf Absenden.
Ihnen werden nun der Domaininhaber und die dazugehörigen Kontaktdaten angezeigt.

Insgesamt lässt sich sagen, dass heutzutage meist nur noch veraltete und schlecht gewartete E-Mailserver kein TLS unterstützen. Aktivieren Sie die TLS-Versand-Garantie, wird es deshalb im Alltag in der Regel nur selten vorkommen, dass eine Ihrer E-Mails aus Sicherheitsgründen nicht versandt wird.

Zum Schluss haben wir für Sie beispielhaft einige E-Mail-Domains mit größerer Reichweite zusammengestellt, die erstaunlicherweise noch kein TLS unterstützen – und zu denen wir in den vergangenen Tagen Rückfragen erhalten haben:

- United Nations Office at Geneva: @unog.ch
- SPD: @spd.de
- Kabel Baden-Württemberg: @kabelbw.de
- Congstar: @congstar.de
- Amazon Marketplace: @marketplace.amazon.de
- Karl-Franzens-Universität Graz: @uni-graz.at
- Deutsche Internetapotheke: @deutscheinternetapotheke.de
- Stadt Halle an der Saale: @halle.de
- Stadt Saarbrücken: @saarbruecken.de
- SWB-Gruppe, Bremen: @swb-gruppe.de
- Deutsche Oper Berlin: @deutscheoperberlin.de
- Gewobag: @gewobag.de
- QVC: Teleshopping @qvc.de

Viele Grüße
Ihr Posteo-Team

Neu: TLS-Versand-Garantie für mehr Sicherheit

2016-07-13T15:20:00+02:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,

wir haben heute eine wichtige neue Funktion für Sie freigegeben: Unsere TLS-Versand-Garantie. Die neue Sicherheitsfunktion schützt Sie davor, E-Mails an unsichere Systeme zu versenden. Sie können die Funktion ab sofort in Ihren Einstellungen aktivieren.

E-Mails müssen sicher über verschlüsselte Verbindungen übertragen werden, damit Kriminelle und Geheimdienste nicht unbefugt mitlesen können. Drei Jahre nach dem NSA-Skandal ist die Verschlüsselung von Transportwegen (TLS) deshalb alltäglich geworden: Alle großen E-Maildienste haben sie inzwischen auf ihren Systemen aktiviert. Doch wie sieht es bei E-Mailsystemen aus, an die Sie im Alltag oder im Berufsleben häufig Nachrichten verschicken? Für Anwender ist vor dem Absenden einer E-Mail nicht ersichtlich, ob die E-Mailsysteme ihrer Geschäftspartner, Ärzte, Vereine oder Schulen sichere Verbindungen unterstützen.
Unsere Systeme hingegen erkennen dies. Denn Posteo versucht vor jedem einzelnen E-Mailversand, mit dem anderen E-Mailserver eine verschlüsselte Verbindung aufzubauen – und so einen sicheren Versand zu erreichen.

Ist kein sicherer Versand möglich, wird die Übertragung gestoppt
Genau hier setzt unsere neue TLS-Versand-Garantie an: Aktivieren Sie die Sicherheitsfunktion, versenden wir Ihre E-Mails nur dann, wenn eine Nachricht sicher an den Empfänger ausgeliefert werden kann. Ist ein sicherer Versand über eine verschlüsselte Verbindung nicht möglich, wird die Übertragung der E-Mail gestoppt- und Sie erhalten eine Benachrichtigung von uns. Der Versand wird auch gestoppt, wenn unbefugte Dritte eine sichere Verbindung angreifen und den Rückfall auf eine unverschlüsselte Verbindung erzwingen möchten.

Benachrichtigen wir Sie über einen gestoppten Versand, können Sie übrigens selbst entscheiden, ob Sie Ihre Nachricht trotzdem an das unsichere E-Mailsystem senden möchten. In diesem Fall können Sie die TLS-Versand-Garantie kurzzeitig deaktivieren und Ihre Nachricht ausnahmsweise ohne TLS versenden.
Wir haben die neue Funktion so praxisnah wie möglich konzipiert: Ob Sie Ihre E-Mails mit Ihrem Smartphone, im Webmailer oder in lokalen Programmen wie Outlook oder Thunderbird verwalten, spielt keine Rolle. Jeder E-Mailversand durchläuft die TLS-Sicherheits-Prüfung. Sollten Sie einmal eine E-Mail an mehrere Empfänger versenden, wird der Versand nur an diejenigen Empfänger gestoppt, denen die E-Mail nicht sicher übermittelt werden kann. Sie werden im Anschluss von uns per E-Mail informiert, welche Empfänger vom Versandstopp betroffen waren.

#more#
Erneute Sicherheitsprüfung vor jedem E-Mail-Versand
Die neue Funktion verschafft Ihnen mehr Klarheit: Sie erfahren stets, wie es aktuell um die Kommunikations-Sicherheit ihrer Kontakte bestellt ist. Aus Sicherheitsgründen wird nämlich auch bei bereits bekannten Empfängern vor jedem Versand eine erneute TLS-Überprüfung durchgeführt. So stellen wir sicher, dass Ihre E-Mails auch dann nicht unsicher versendet werden, wenn ein Server einmal kurzzeitig nicht TLS-fähig sein sollte – zum Beispiel aufgrund technischer Probleme oder eines Angriffs .

Sie können Ihre TLS-Versand-Garantie ab sofort in den Einstellungen Ihres Posteo-Postfachs unter “Einstellungen → Mein Konto → Transportwegverschlüsselung” aktivieren.
In unserer Hilfe haben wir für Sie einen Artikel zur neuen TLS-Versand-Garantie bereitgestellt. Dort erfahren Sie, wie Sie die Funktion aktivieren und deaktivieren – und wie Sie vorgehen können, wenn der Versand einer E-Mail an einen unsicheren E-Mailserver gestoppt wurde.

Zusatz-Infos für IT-Profis:
- Die TLS-Versand-Garantie verhindert Downgrade-Attacken, die einen Rückfall auf unverschlüsselte Verbindungen zum Ziel haben.
- Veraltete und unsichere Verschlüsselungsprotokolle wie SSLv3 oder RC4 werden nicht toleriert: Sie bewirken ebenfalls einen Versandstopp.
- Man-in the-Middle-Attacken werden erschwert und immer dann verhindert, wenn der Empfänger-Server wie Posteo ebenfalls DANE verwendet.

Mehr über die Verschlüsselung bei Posteo
Die Transportwegverschlüsselung ist ein Baustein unseres innovativen Verschlüsselungskonzeptes. Lernen Sie auf unserer Infoseite-Verschlüsselung auch unsere anderen Funktionen kennen: Dort erfahren Sie zum Beispiel, wie Sie alle gespeicherten Daten komfortabel auf Knopfdruck verschlüsseln können (Krypto-Mailspeicher, Adressbuch- und Kalenderverschlüsselung). Außerdem informieren wir darüber, wie wir alle Zugriffe und sensiblen Daten verschlüsseln – und stellen unsere Funktionen aus dem Bereich der Ende-zu-Ende-Verschlüsselung (Schlüsselverzeichnis, PGP im Webmailer etc.) vor.

Viele Grüße
Ihr Posteo-Team

Neue Sicherheitstechnologien und weiteres Zertifikat

2016-04-01T17:00:00+02:00

Liebe Kundinnen und Kunden,
liebe Interessierte

wir möchten Sie über einige neue Sicherheitstechnologien bei Posteo informieren. Wir haben damit begonnen, die Technologie “Certificate Transparency” zu unterstützen. Außerdem setzen wir seit einigen Wochen die sehr neuen Technologien “Certification Authority Authorization (CAA)” und “HTTP Public Key Pinning (HPKP)” ein. Mit diesen Technologien erhöhen wir die Sicherheit bei Posteo noch einmal für Sie.

Für Sie ändert sich im Alltag nichts – und Sie müssen nichts tun. Wir möchten Ihnen in diesem Beitrag nur einen Einblick verschaffen, wie wir Ihre Daten bei Posteo mit diesen neuen Technologien schützen.

Certificate Transparency: Keine Chance für Fälscher von Sicherheitszertifikaten

Mit Certificate Transparency überwachen wir automatisiert weltweit, ob ein unbefugter Dritter (Kriminelle oder Geheimdienste) versucht, sich als Posteo auszugeben – und Zertifikate unserer Posteo-Domains zu fälschen. Es war auch bisher schon sehr unwahrscheinlich, dass eine Zertifizierungsstelle Unbefugten tatsächlich fälschlicherweise bescheinigt, Posteo zu sein. Denn wir nutzen bereits seit vielen Jahren ein so genanntes erweitertes Sicherheitszertifikat (EV-Zertifikat). Und solche Zertifikate werden nur nach Vorlage diverser Unterlagen ausgestellt. Kriminelle und Geheimdienste versuchen aber durchaus, über gefälschte Zertifikate eine andere Identität vorzugeben. Zum Beispiel, um Kunden von Internetdiensten auf gefälschte Phishing-Seiten zu locken und dort ihre Login-Daten abzugreifen. Oder, um sich als “Man-in-the-Middle” in einen Kommunikationsvorgang einzuschalten.

Mit der neuen Technologie werten wir 24 Stunden am Tag nahezu in Echtzeit aus, ob jemand versucht, unsere Zertifikate zu manipulieren und können deshalb sofort reagieren – idealerweise noch bevor ein Angreifer einen Betrugsversuch ausführen kann. Man muss nicht mehr auf die Sorgfalt der Zertifizierungsstellen (CA) beim Ausstellen von Zertifikaten vertrauen: Denn mit der neuen Technologie können Internetdienste wie Posteo nun selbst überprüfen, ob eine Zertifizierungsstelle einem Unbefugten fälschlicherweise ein Zertifikat ausgestellt hat.

Neues Zertifikat im Zuge der Umstellungen

Um die neuen Sicherheitstechnologien unterstützen zu können, werden wir im April damit beginnen, ein weiteres Zertifikat von Geotrust einzusetzen. Diese Zertifizierungsstelle unterstützt bereits die neuen Technologien. Interessierte finden die Fingerprints aller Zertifikate (eine Zeichenfolge, mit der ein Zertifikat als “echt” identifiziert werden kann) ab sofort in unserem Impressum. Alle Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.
#more#
Neue Sicherheitstechnologie Certification Authority Authorization (CAA) bereits seit einigen Wochen im Einsatz

Eine weitere neue Sicherheitstechnologie im Zusammenhang mit Zertifikaten setzen wir bereits seit einigen Wochen ein:
Certification Authority Authorization (CAA). CAA ist eine sehr neue, bisher noch nicht verbreitete Technik. Mit der neuen Technologie haben wir im DNS, dem zentralen Abfrage-Register im Internet, die Information hinterlegt, welche Zertifizierungsstellen berechtigt sind, für unsere Domains Zertifikate auszustellen. Diese Technik ist noch sehr neu, deshalb gibt es für die Zertifizierungsstellen noch keine Verpflichtung, sich daran zu halten. Wir sind aber der Auffassung, dass diese Einträge dennoch schon jetzt sinnvoll sind: Wir wollen zeigen, was heute technisch möglich ist und hoffen, dass schon bald viele Telekommunikationsanbieter und Zertifizierungsstellen CAA nutzen. Die Technologie kann die Internetnutzung insgesamt sicherer machen – und das Risiko gefälschter Zertifikate weiter minimieren.

Deutsche Zertifizierer mit Certificate Transparency noch nicht praxistauglich

Derzeit ist es für E-Maildienste wie Posteo noch unmöglich, Zertifikate deutscher Zertifizierungsstellen als Haupt-Zertifikat in der Praxis einzusetzen.
So kennen einige weit verbreitete Geräte und Programme deutsche Anbieter wie D-Trust bzw. die Bundesdruckerei (noch) nicht. Setzt ein E-Maildienst dennoch ein Zertifikat einer solchen “unbekannten” Zertifizierungsstelle ein, kommt es deshalb bei einer großen Kundenanzahl zu ständig wiederkehrenden Fehlermeldungen. Die Programme melden, dass den eingesetzten Zertifikaten nicht vertraut wird. Auch bei der Unterstützung neuer Sicherheitstechnologien sieht es nicht gut aus: Das Telekom Trust Center (TeleSec), die Zertifizierungsstelle der Deutschen Telekom AG, hat z.B.- laut Angaben uns gegenüber- keine Pläne, Certificate Transparency zu unterstützen. Diese bestehenden Probleme mit deutschen Zertifizierern werden sich – wenn überhaupt – erst im Laufe der kommenden Jahre bessern. Voraussetzung hierfür ist zum Beispiel, dass die deutschen Zertifizierer dafür sorgen, dass ihre so genannten Root-Zertifikate in allen Geräten und Programmen der neueren Generationen als vertrauenswürdig erkannt werden.

Zusatz-Information für Profis: Weitere Zertifikat-Sicherheitstechnologien bei Posteo

- Wir nutzen pro abgesicherter Domain immer mindestens zwei Extended-Validation-Zertifikate gleichberechtigt. Falls es einmal Probleme mit einer Zertifizierungsstelle geben sollte, können wir umgehend auf das andere Zertifikat wechseln, ohne dass es zu Beeinträchtigungen für unsere Kundinnen und Kunden kommt.
- Wir nutzen HPKP (HTTP Public Key Pinning), um Browser zu zwingen, nur unsere Zertifikate zu akzeptieren.
- Wir nutzen DANE, damit andere E-Mailserver, Browser und Programme unsere Zertifikate über eine fälschungssichere DNS-Abfrage überprüfen können.

Viele Grüße
Ihr Posteo-Team

Datenschutzbeauftragte lobt Posteo in Jahresbericht

2016-03-30T12:00:00+02:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

Die neue Berliner Datenschutzbeauftragte, Maja Smoltczyk, hat Posteo in Ihrem Jahresbericht 2015 vorgestellt und als Positiv-Beispiel für innovative Datenschutz-Konzepte angeführt.
Die lobende Erwähnung der Datenschutzbeauftragten freut uns. Deshalb gibt es sie hier noch einmal für Sie zum Nachlesen:

“Posteo (posteo.de) ist ein Web-E-Mail-Dienst mit den üblichen Funktionen. Im Unterschied zu anderen Webmailern ist die Nutzung kostenpflichtig, dafür wird auf jegliche Identifizierungsdaten und auf die Analyse des Nutzungsverhaltens oder gar der Inhalte der Nachrichten verzichtet. Dies beginnt damit, dass die Nutzenden ihre Postfächer unter Pseudonym anlegen: Es werden abgesehen von der gewünschten E-Mail-Adresse und einem Passwort keinerlei Daten verpflichtend erhoben. Auch die Prepaid-Bezahlung kann per Bareinzahlung vollständig anonym erfolgen. Wählt man personenbezogene Zahlverfahren, wird zumindest die über einen Code hergestellte Verknüpfung zum E-Mail-Postfach unmittelbar nach Zahlungseingang gelöscht. Neben der konsequenten Umsetzung aller Möglichkeiten der Transportverschlüsselung beimVersenden und Empfangen der E-Mails sowie beim Zugriff auf die Weboberfläche wird auch eine optionale Ende-zu-Ende-Verschlüsse- lung mit PGP und S/MIME unterstützt. Eine Besonderheit ist die Funktion zum Grund-Verschlüsseln von Postfachinhalt und Adressbuch: Auf einfache Weise lässt sich dafür sorgen, dass selbst unverschlüsselt empfangene E-Mails verschlüsselt gespeichert werden. Im Gegensatz zu der Verschlüsselung bei PGP und S/MIME werden auch die Verkehrsdaten im E-Mail-Kopf verschlüsselt. Die Entschlüsselung erfolgt – transparent im Hintergrund – nur in dem Augenblick, in dem die jeweilige E-Mail abgerufen wird. Bei Nutzung dieser Funktion ist die Wahl eines sicheren und längeren Passwortes besonders wichtig. " (S.51)

“Datenschutz ist durchaus ein erfolgreiches Verkaufsargument, wie das Beispiel Posteo zeigt.” (S.53)

Den vollständigen Bericht der Berliner Datenschutzbeauftragten finden Sie auf der Website datenschutz-berlin.de.

Viele Grüße
Ihr Posteo-Team

Neu: Wen wir mit Spenden unterstützen

2016-03-16T13:30:00+01:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

wir haben einen Transparenzhinweis für Sie: Ab sofort legen wir auf einer eigenen Seite offen, welche Organisationen wir im jeweils vergangenen Jahr (2015) mit Spenden unterstützt haben.
Wir sind um eine solche Seite gebeten worden, da Restguthaben bei Posteo auf Wunsch gespendet werden kann. Die neue Seite “Wen wir unterstützen” finden Sie auf unserer Website im Bereich “Über uns”.

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen.
Deshalb unterstützen wir auch darüber hinaus ausgewählte Organisationen aus den Bereichen Umwelt, Netzpolitik & Meinungsfreiheit sowie aus der Flüchtlingshilfe. #more#

Im vergangenen Jahr hat Posteo insgesamt 24.350,00 EUR gespendet. Davon waren 22.957,30 EUR freiwillige Spenden durch das Unternehmen Posteo.
Aus Restguthaben stammten die übrigen 1.392,70 EUR.

Empfänger der Posteo-Spenden waren im Jahr 2015 u.a. der Bund für Umwelt und Naturschutz Deutschland, Reporter ohne Grenzen, die UNO-Flüchtlingshilfe sowie Netzpolitik.org.

Viele Grüße
Ihr Posteo-Team

Cryptoparty für Frauen im Posteo Lab am 24.02.

2016-02-08T16:45:00+01:00

Liebe Interessierte,

wir haben einen Veranstaltungshinweis für Sie:

Am Mittwoch, den 24.02., findet im Posteo Lab auf dem Berliner Kreuzberg eine Cryptoparty für Frauen statt. Gastgeberinnen sind die Hackerinnen von Heart of Code.

Die Hackerinnen sind ab 19 Uhr bei uns zu Gast. Die Veranstaltung startet mit zwei kurzen Vorträgen zum Thema Verschlüsselung. Im Anschluss wird den Teilnehmerinnen des Workshops gezeigt, wie sie sicher im Internet kommunizieren, und wie sie sich vor Ausspähung durch Geheimdienste und Werbetreibende schützen können.

Zum Hintergrund:
Die Hackerinnen von “Heart of Code” möchten Frauen den Zugang zu Informationstechnologien, Tools und Inhalten erleichtern – und damit die Hacking-Community und die Tech-Landschaft langfristig diverser gestalten. Wir unterstützen dieses Anliegen, da Frauen in der IT-Branche bisher deutlich unterrepräsentiert sind. Deshalb stellen wir den Hackerinnen das Posteo Lab gerne für die Veranstaltung zur Verfügung.

Viele Grüße
Ihr Posteo-Team

Zweites erweitertes Sicherheitszertifikat

2015-12-22T18:00:00+01:00

Liebe Kundinnen und Kunden,

wir setzen ab jetzt auch unser zweites, erweitertes Sicherheitszertifikat ein.

Solche beglaubigten, “grünen Sicherheitszertifikate” werden vor allem von Unternehmen eingesetzt, die mit sensiblen Daten umgehen, z.B. von Banken. Sie können es links von unserer Webadresse https://posteo.de in Ihrem Browser einsehen (meist ein grün hinterlegtes Schlüsselsymbol). So können Sie stets auf einen Blick erkennen, dass Sie tatsächlich auf der Website von Posteo sind – und nicht etwa auf einer Phishing-Site. Wenn Sie ein lokales E-Mailprogramm verwenden, überprüft dieses außerdem vor einem verschlüsselten Verbindungsaufbau zu Posteo das Sicherheitszertifikat – und somit die Echtheit des Verschlüsselungspartners. Hierfür nutzen E-Mailprovider Zertifizierungsstellen: Sie bestätigen die Echtheit eines Sicherheitszertifikats, bevor eine verschlüsselte Verbindung aufgebaut wird. OCSP ist eine zusätzliche Sicherheitsmaßnahme: Ein OCSP-Server bestätigt, dass ein Zertifikat nicht widerrufen wurde.

Darum verwenden wir ein zweites Zertifikat
Und hier liegt auch der Grund für den zusätzlichen Einsatz des zweiten Zertifikates: Die OSCP-Server der Zertifizierungsstelle StartCom waren in den vergangenen Tagen nicht zuverlässig erreichbar. Dies führte in Einzelfällen zu Beeinträchtigungen mit Programmen, die OCSP zusätzlich prüfen – wie z.B. Thunderbird und Firefox. Wir wissen, dass einige unserer Kunden beim Aufruf unserer Website oder bei der Arbeit mit lokalen E-Mailprogrammen deshalb einen Fehler gemeldet bekamen. Bei Posteo selbst lag zu keinem Zeitpunkt eine Störung vor und die Sicherheit Ihrer Verbindungen waren zu keinem Zeitpunkt beeinträchtigt. Da es für uns jedoch völlig inakzeptabel ist, dass eine Störung bei einer einzelnen Zertifizierungsstelle wiederholt einige unserer Kunden beeinträchtigt, verwenden wir ab sofort auch ein von der Bundesdruckerei beglaubigtes Zertifikat, das wir bereits vor einiger Zeit als Zweit-Zertifikat erstellt hatten. #more#

Was eine Zertifizierungsstelle tut
E-Mailprovider nutzen Zertifizierungsstellen, um die Echtheit ihres Sicherheitszertifikats zu bestätigen, bevor eine verschlüsselte Verbindung aufgebaut wird. Ein Zertifizierer beglaubigt außerdem den öffentlichen Schlüssel des SSL-Zertifikats eines Providers. Ähnlich wie ein Notar: Nach der Prüfung zahlreicher Unterlagen (u.a. Handelsregisterauszug, Personalausweise, Anrufe bei uns und unseren Anwälten etc.) bestätigt die Zertifizierungsstelle, dass der öffentliche Schlüssel wirklich zum Provider, in unserem Fall also zu Posteo e.K., gehört. Die Zertifizierungsstelle erstellt unser Zertifikat bzw. unser Schlüsselpaar jedoch nicht – das tun wir selbst. Deshalb kann sie die Schlüssel auch nicht manipulieren oder austauschen.

Unser neues, von der Bundesdruckerei beglaubigtes Zertifikat entspricht den aktuellen Sicherheits-Standards und wurde mit dem SHA-256-Algorithmus signiert.

Falls Ihr Browser, Ihr Mailprogramm, Smartphone oder Tablet nach der Umstellung eine Fehlermeldung wegen eines ungültigen Zertifikates produzieren sollte, liegt dies nicht an einem Angriff oder einem Fehler. Ihr Programm hat dann lediglich noch das alte Zertifikat zwischengespeichert. Abhilfe sollte in den meisten Fällen ein Neustart des Programms oder Gerätes bringen.

Die “elektronischen Fingerabdrücke” unseres neuen Sicherheitszertifikates lauten:
SHA256: 6A:B1:9D:FB:FB:10:2E:D8:89:01:76:8C:B1:6B:61:13:A1:E3:B6:A5:47:D6:85:A3:FD:08:7F:11:DA:35:77:E7
SHA1: 8D:D7:97:B4:45:79:4D:EC:64:AE:D1:90:88:AC:B4:F4:5A:21:EA:6A
MD5: DA:CC:03:04:8C:E8:03:54:4F:6B:B2:2E:C2:ED:94:D8

Sie finden die Fingerabdrücke beider Zertifikate auch in unserem Impressum. Diese Information ist nur für Nutzer relevant, die unsere Zertifikate manuell abgleichen.

Sollte ein von Ihnen verwendetes Programm oder System das Root-Zertifikat der Bundesdruckerei nicht vorinstalliert haben und der Verbindung zu Posteo deshalb nicht trauen, können Sie es nachinstallieren. Sie finden es zum Download auf der Webseite der Bundesdruckerei. Dort finden Sie auf der Downloadseite auch den Fingerprint des Root-Zertifikats “D-TRUST Root Class 3 CA 2 EV 2009”, den wir zum Vergleich auch hier veröffentlichen:
SHA-256 EE:C5:49:6B:98:8C:E9:86:25:B9:34:09:2E:EC:29:08:BE:D0:B0:F3:16:C2:D4:73:0C:84:EA:F1:F3:D3:48:81
SHA-1 96:C9:1B:0B:95:B4:10:98:42:FA:D0:D8:22:79:FE:60:FA:B9:16:83

Die Posteo-Domains, die wir mit dem SSL-Zertifikat verwenden, sind in unserem Besitz. Die Einträge unseres Nameservers im DNS sind auch zusätzlich mit DNSSEC abgesichert, um Manipulationen auszuschliessen. Und durch DANE können die Fingerprints unseres Schlüssels zweifelsfrei von jedem überprüft werden.

Auch, wenn wir keinen Einfluss auf die Beeinträchtigungen durch die Störung bei der Zertifizierungsstelle hatten, möchten wir Sie um Entschuldigung bitten, falls Sie von diesem ärgerlichen Fehler betroffen waren.

Viele Grüße
Ihr Posteo-Team

Neu: Posteo-Webmailer findet Schlüssel automatisch

2015-12-22T13:30:00+01:00

Liebe Kundinnen und Kunden,
Liebe Interessierte,

wir haben die Ende-zu-Ende-Verschlüsselung im Posteo-Webmailer noch einfacher gemacht.
So lassen sich nun auch Anhänge komfortabel im Webmailer (mit PGP/MIME) verschlüsseln.

Zeitgleich haben wir heute die erste Anwendung für unser neues Posteo-Schlüsselverzeichnis freigeschaltet:

Wenn Sie bei uns die Ende-zu-Ende-Verschlüsselung im Browser nutzen, findet Posteo die öffentlichen Schlüssel Ihrer Kontakte jetzt in vielen Fällen automatisch. Möglich machen dies das Posteo-Schlüsselverzeichnis und die Posteo-Schlüsselsuche: Unsere Schlüsselsuche sucht weltweit automatisiert nach passenden öffentlichen Schlüsseln Ihrer Kontakte – und zeigt sie Ihnen an, bevor Sie eine E-Mail versenden.

In vielen Fällen müssen Sie einen Kontakt also nicht mehr um seinen öffentlichen Schlüssel bitten, bevor Sie ihm eine verschlüsselte E-Mail schicken können.
#more#
Das passiert im Hintergrund:
Sobald Sie den Empfänger Ihrer E-Mail eintippen, durchsucht unsere innovative Schlüsselsuche nicht nur die weltweiten PGP-Keyserver im Hintergrund nach passenden Schlüsseln zu dieser E-Mail-Adresse, sondern auch das DNS, das so genannte “Telefonbuch des Internets” sowie weitere Quellen des Posteo-Schlüsselverzeichnisses. Findet die Schlüsselsuche einen passenden Schlüssel zur E-Mail-Adresse Ihres Kontaktes, wird Ihnen dieser angezeigt. So wird Ende-zu-Ende-Verschlüsselung komfortabel und modern. Und zwar ohne Sicherheitseinbußen: Die Verschlüsselung im Webmailer erfolgt mit dem Opensource-Plugin Mailvelope, das Sie lokal bei sich installieren. So ist eine echte Ende-zu-Ende-Verschlüsselung sichergestellt, bei der Ihr privater Schlüssel stets lokal auf Ihren Geräten verbleibt. Er wird zu keinem Zeitpunkt auf unseren Servern gespeichert. Dies würde das Prinzip einer Ende-zu-Ende-Verschlüsselung (zwischen dem Absender und dem Empfänger einer E-Mail) ad absurdum führen. Auch funktioniert die Verschlüsselung und Schlüsselsuche mit allen anderen E-Mail-Anbietern, die sich an die im E-Mail-Bereich international vereinbarten Standards halten. Sie ist keine “Insellösung”, bei der beide Kommunikationspartner bei demselben Anbieter sein müssen, um verschlüsselt miteinander kommunizieren zu können.

Unsere Philosophie ist es, aus Sicherheitsgründen ausschliesslich auf echte Ende-zu-Ende-Lösungen, Opensource-Technologien und freie Standards zu setzen. Unserer Ansicht nach lässt sich nur so ein Höchstmaß an Sicherheit, Transparenz, Komfort und Kompatibilität erreichen. Das Plugin Mailvelope ist z.B. quelloffen (Open Source) und wurde einem Sicherheitsaudit (von Cure53) unterzogen.

Anleitungen:
Schritt-für-Schritt-Anleitungen für das Einrichten und Verwenden der Ende-zu-Ende-Verschlüsselung im Posteo-Webmailer finden Sie in der Posteo-Hilfe.

Kunden, die bereits die Ende-zu-Ende-Verschlüsselung im Posteo-Webmailer verwenden, erfahren in der Posteo-Hilfe außerdem, wie Sie die neue Posteo-Schlüsselsuche und das Verschlüsseln von Anhängen in wenigen Schritten aktivieren können.

Für Entwickler:
Für unsere weltweite Schlüsselsuche haben wir ein Opensource-Plugin für den Webmailer Roundcube entwickelt, welches unter AGPL-Lizenz freigegeben und auf Github zu finden ist.

Viele Grüße und schöne Feiertage
Ihr Posteo-Team

Bundespräsident hat VDS-Gesetz unterzeichnet

2015-12-17T14:00:00+01:00

Wie wir soeben schriftlich aus dem Bundespräsidialamt erfahren haben, hat Bundespräsident Joachim Gauck das Gesetz zur Wiedereinführung der Vorratsdatenspeicherung (“Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten”) bereits am 10. Dezember 2015 unterzeichnet.

Da dies der Öffentlichkeit offenbar bisher nicht bekannt ist, möchten wir hiermit darüber informieren.

Wir hatten den Bundespräsidenten vor einigen Wochen angeschrieben, mit der Bitte, das Gesetz nicht zu unterzeichnen. Auch, wenn E-Maildienste wie Posteo von der Vorratsdatenspeicherung ausgenommen sind.

Denn in der Praxis der Auskunftsverfahren und der Überwachungsvorgänge existieren zahlreiche Missstände, die wir in unserem diesjährigen Transparenzbericht kritisiert hatten. Auf diese hatten wir den Bundespräsidenten in unserem Brief hingewiesen.

Den Schriftwechsel zwischen uns und dem Bundespräsidialamt finden Sie untenstehend.

#more#

Folgende Antwort aus dem Bundespräsidialamt vom 15.12. erreichte uns heute:

“Sehr geehrter Herr Löhr,

Bundespräsident Joachim Gauck hat mich gebeten, für Ihren Brief vielmals zu danken und Ihnen zu antworten.
Im Rahmen der Ausfertigung von Gesetzen hat der Bundespräsident allein deren Verfassungsmäßigkeit, nicht aber die Zweckmäßigkeit einzelner gesetzlicher Regelungen zu überprüfen. Das hat er auch bei dem von Ihnen beanstandeten Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten unter Berücksichtigung der Rechtsprechung des Bundesverfassungsgerichts getan. Nach eingehender Prüfung ist er dabei zu dem Ergebnis gekommen, dass ein Verfassungsverstoß, der allein ihn hätte berechtigen können, die Ausfertigung zu verweigern, nicht vorliegt. Der Herr Bundespräsident hat daher – der Verfassung verpflichtet – das Gesetz am 10. Dezember 2015 unterschrieben und den Auftrag zur Verkündung im Bundesgesetzblatt gegeben.

Mit freundlichen Grüßen
Im Auftrag”

Die Antwort des Bundespräsidialamtes im PDF-Format

Wir schrieben am 11.11.2015:

“Sehr geehrter Herr Bundespräsident,

ich wende mich als Geschäftsführer des deutschen Telekommunikationsanbieters Posteo.de an Sie. Wir erbringen E-Mail-Dienstleistungen und bei uns werden mehr als 120.000 bezahlte E-Mail-Postfächer geführt. Ich schreibe Sie an, da Sie über die Einführung des “Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten” (“Vorratsdatenspeicherung”) entscheiden.

In diesem Zusammenhang möchte ich Sie über Missstände in der Praxis der Auskunftsverfahren und der Überwachungsvorgänge informieren, deren Nutzung mit der Einführung des oben genannten Gesetzes zunehmen wird.

Die Vorratsdatenspeicherung soll in ihrer Anwendung durch den Richtervorbehalt kontrolliert werden.
Jedoch weisen alle öffentlich verfügbaren Zahlen, wie wir in unserem Transparenzbericht aufzeigen, darauf hin, dass in der Praxis offenbar alle Anträge auf Überwachung bewilligt werden. Das Instrument des Richtervorbehaltes wird seiner ihm zugedachten Kontrollaufgabe in der Praxis offenbar nicht gerecht. Der Rechtsschutz der betroffenen Bürgerinnen und Bürger ist deshalb unserer Ansicht nach nicht ausreichend gewährleistet. Öffentliche Statistiken existieren für das Land Berlin: Dort ist nach 2007 kein einziger Antrag auf eine Überwachungsmaßnahme mehr abgelehnt worden. Bewilligt wurden zwischen 2008 und 2014 insgesamt 14.621 Überwachungen. Diese Zahlen bestätigen auch zwei Studien (des Max-Planck-Institutes für ausländisches und internationales Strafrecht und der Universität Bielefeld, siehe Transparenzbericht): Aus ihnen geht ebenfalls hervor, dass nur in absoluten Ausnahmefällen einer beantragten Überwachungsmaßnahme nicht stattgegeben (0,4% Ablehnungsquote) wird. Angesichts der Zahlen aus Berlin sehen wir dringenden Klärungsbedarf. Wird in einem Staat allen Anträgen auf Überwachung stattgegeben, ist dies ein starker Hinweis darauf, dass sich der Rechtsstaat auf dem Weg in einen Überwachungsstaat befindet.
Alleine schon vor diesem Hintergrund darf ein “Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten” (“Vorratsdatenspeicherung”) nicht eingeführt werden, da der Richtervorbehalt seiner ihm zugedachten Kontrollaufgabe in der Praxis offenbar nicht gerecht wird.

Wir haben den Bundesjustizminister auf diesen Umstand aufmerksam gemacht. Leider ist das Bundesministerium der Justiz in seiner schriftlichen Antwort an uns mit keinem einzigen Wort auf die offenbar seit Jahren bestehenden Zustände beim Richtervorbehalt eingegangen.

Wir kritisieren in unserem Transparenzbericht auch den Missstand, dass der Gesetzgeber die Wirksamkeit des Richtervorbehaltes bisher nicht ausreichend evaluiert. Die Information, wie oft ein Richter eine beantragte Überwachungsmaßnahme ablehnt, ist ein wichtiger Indikator dafür, wie wirksam das Kontrollinstrument des Richtervorbehaltes tatsächlich ist. Der Gesetzgeber hat dafür Sorge zu tragen, dass hierzu aussagekräftige Zahlen aus allen Bundesländern vorliegen. Wir sehen daher eine entsprechende Anpassung der Berichtspflichten nach § 100b Abs. 5, Abs. 6 StPo als erforderlich an.

Ich möchte Sie ausserdem davon in Kenntnis setzen, dass große Probleme in der Praxis der Auskunftsersuchen bestehen. Solche Ersuchen werden im Rahmen der Vorratsdatenspeicherung aller Voraussicht nach stark zunehmen. Fast alle Auskunftsersuchen von Ermittlungsbehörden des Bundes und der Länder, die unser Unternehmen erreichen, sind rechtswidrig. Durch Beschwerden bei den jeweils zuständigen Datenschutzbeauftragten haben wir in Erfahrung gebracht, dass dies nicht nur uns betrifft. Wir sind besorgt und sehen die Sicherheit der Verfahren in der Praxis nicht gewährleistet. So werden uns beispielweise fast alle Ersuchen durch Ermittlungsbehörden unsicher übermittelt, es handelt sich hierbei u.a. um Verstöße gegen das BDSG § 9, Anlage, Satz 4 und 8. Dieses Vorgehen verletzt die Rechte der Betroffenen und kann Ermittlungen gefährden. In einem Schreiben an den Fraktionsvorsitzenden der SPD im Bundestag, Thomas Oppermann, hat Bundesinnenminister Thomas de Maiziere hier Rechtsverstöße einräumen müssen (siehe die beigefügte Heise-Meldung vom 19.10.2015). Des Weiteren ersuchen Ermittlungsbehörden regelmäßig bei Bestandsdatenersuchen nach § 113 TKG auch um Verkehrsdaten wie dynamische IP-Adressen oder um andere Daten, die im Rahmen des Verfahrens nicht herausgegeben werden dürfen. Diese Missstände haben wir in unserem Transparenzbericht 2014 vom 20. August 2015 thematisiert, den Sie diesem Schreiben beiliegend erhalten. Der Bericht enthält verschiedene Beispiele solcher rechtswidriger Ersuchen sowie Antworten verschiedener Datenschutzbeauftragter.

Wir möchten Sie auch darauf hinweisen, dass es sich offenbar um ein weitreichendes Problem handelt: Der Branchenverband BITKOM hatte bereits im Oktober 2012 vor dem Rechtsausschuss des Deutschen Bundestages auf “zahllose” solcher rechtswidriger Ersuchen hingewiesen, und die Bundesregierung wurde hierzu inzwischen zweimal befragt (siehe Transparenzbericht). Die Pressestelle der Deutschen Telekom erklärte zu unserem Vorstoß am 26.08.2015 auf Twitter: “Ja, wir beanstanden die Rechtsverstöße und wie auch schon gesagt, wir begrüßen ihren Appell.”

Wir kritisieren außerdem, dass die manuelle Bestandsdatenauskunft nach §113 TKG eine Grauzone darstellt: Es existieren keine öffentlichen Statistiken, so dass für die Öffentlichkeit nicht nachvollziehbar ist, wie oft das Auskunftsverfahren durch Behörden in Anspruch genommen wird. Unserer Auffassung nach sollten deshalb für Abfragen nach § 113 TKG umgehend Berichtspflichten eingeführt werden. Die Zahlen sollten jährlich veröffentlicht werden, wie es auch bei anderen Arten von Auskunftsersuchen wie z.B. bei Abfragen nach § 112 TKG (Veröffentlichung im Jahresbericht der Bundesnetzagentur) und bei Abfragen nach § 100a StPO (Veröffentlichung auf der Internetseite des Bundesamtes für Justiz) üblich ist.

Wenn Überwachungsmöglichkeiten in Deutschland immer weiter ausgebaut werden, während die in unserem Transparenzbericht aufgezeigten Mängel fortbestehen und alle verfügbaren Zahlen darauf hindeuten, dass offenbar jeder Antrag auf Überwachung bewilligt wird, ist dies eine Entwicklung, die der Demokratie nicht zuträglich sein kann. Wir befürchten außerdem, dass es nach der Einführung des “Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten” (“Vorratsdatenspeicherung”) zu einem weiteren Anstieg der rechtswidrigen Abfragen nach § 113 TKG kommt. Die statistischen Belege dafür, dass der Richtervorbehalt als Kontrollinstrument nicht ausreicht, um den Rechtsschutz der Bürgerinnen und Bürger bei solchen Maßnahmen ausreichend zu gewährleisten, halten wir für stichhaltig. Ferner sind wir der Überzeugung, dass die unzureichenden Statistik- und Berichtspflichten zu einer weiteren Schieflage beim System der Checks & Balances beitragen (siehe hierzu auch den aktuellen Tätigkeitsbericht der BfDI). Aufgrund dieser Rechtswirklichkeiten in der Praxis der Auskunftsverfahren darf die Vorratsdatenspeicherung unserer Auffassung nach nicht wieder eingeführt werden.

Wenden Sie sich bei Fragen oder Anmerkungen gerne jederzeit an mich, bis dahin verbleibe ich

mit freundlichen Grüßen
Patrik Löhr"

Unser Schreiben im PDF-Format

Neu: Posteo-Schlüsselverzeichnis

2015-12-04T12:30:00+01:00

Liebe Posteo-Kunden, liebe Interessierte,

Unser Anliegen ist es, den Schlüsselaustausch bei der Ende-zu-Ende-Verschlüsselung einfacher und sicherer zu machen. Hierzu haben wir heute einen ersten Schritt unternommen: Sie können ab sofort Ihren öffentlichen PGP oder S/MIME-Key in unserem neuen Posteo-Schlüsselverzeichnis veröffentlichen und so sicher im DNS, dem so genannten “Telefonbuch des Internets”, hinterlegen. In den kommenden Wochen werden wir in mehreren Schritten weitere Optionen rund um die neue Posteo-Schlüsselverwaltung freigeben.

Zum Hintergrund:
Seit einiger Zeit wird von verschiedenen Akteuren im Internet-Securitybereich daran gearbeitet, den Schlüsselaustausch bei der Ende-zu-Ende-Verschlüsselung einfacher und sicherer zu machen.
Öffentliche Schlüssel sollen sicher im DNS hinterlegt und verfügbar gemacht werden. Hierzu werden bald neue, freie Standards verabschiedet werden. Seit längerem bereiten wir im Hintergrund eine Vereinfachung des Schlüsselaustauschs in mehreren Schritten vor, die entsprechend der neuen Standards erfolgen wird. Die Standards befinden sich bisher zwar noch in einem Entwurfsstatus, wir halten sie aber inzwischen für so ausgereift, dass wir nun damit beginnen, sie anzuwenden.
#more#
Die technische Bezeichnung zum Hochladen von PGP-Keys wurde bereits vor Monaten festgelegt. Wir haben uns in den vergangenen Monaten in der zuständigen Arbeitsgruppe dafür eingesetzt, dass bei der IANA, die im Internet für die Verwaltung des DNS zuständig ist, auch der DNS-Parameter für S/MIME-Schlüssel festgelegt wird. Denn S/MIME ist für uns ein gleichwertiger und ebenfalls wichtiger Verschlüsselungsstandard.
Am Dienstag hat die Organisation nun auch die technische Bezeichnung für das Hinterlegen von S/MIME-Schlüsseln im DNS festgelegt.

Ihr öffentlicher S/MIME oder PGP-Schlüssel zum Verschlüsseln von E-Mails kann deshalb ab sofort durch uns abgesichert im DNS hinterlegt werden.
Dort können andere Ihren Schlüssel finden und E-Mails an Sie mit diesem Schlüssel verschlüsseln. Ihr Schlüssel wird im Schlüsselverzeichnis mit den bald kommenden Standards OPENPGPKEY und SMIMEA fälschungssicher hinterlegt. Diese Verfahren entsprechen in etwa der Technologie DANE: Während DANE die TLS-Server-Zertifikate im DNS absichert, sichern OPENPGPKEY und SMIMEA öffentliche Schlüssel für die E-Mailkommunikation im DNS fälschungssicher ab. Die im DNS veröffentlichten Schlüssel zur Ende-zu-Ende-Verschlüsselung werden ebenfalls, wie bei DANE, mit DNSSEC abgesichert.

Durch die Verwendung von Sicherheitstechnologien, wie zum Beispiel NSEC3, verhindern wir ausserdem ein massenhaftes Auslesen von E-Mailadressen und Schlüsseln im DNS: So kann nur für eine konkrete E-Mailadresse, die dem Suchenden bekannt ist, ein Schlüssel im DNS abgefragt werden. Dies verhindert wirksam den Missbrauch des DNS als E-Mail-Adressen-Quelle für Spammer.

OPENPGPKEY und SMIMEA können in Zukunft eine Alternative zu den bisher verbreiteten Keyservern darstellen, die zahlreiche Probleme aufweisen:
Auf den weltweiten Keyservern kann bisher jeder Ihren öffentlichen Schlüssel hochladen, auch wenn Sie persönlich dies gar nicht möchten. Auch kann jeder einen gefälschten Schlüssel für Sie hochladen. Ein hochgeladener Schlüssel kann dort auch nicht mehr gelöscht werden. Dies führt dazu, dass bei Schlüsselsuchen auf den weltweiten Key-Servern ggf. mehrere, auch veraltete oder falsche Schlüssel zu einer E-Mailadresse gefunden werden. Auf den Keyservern sind zahlreiche, gültige E-Mailadressen gespeichert: Das interessiert auch Spammer, die massenhaft E-Mailadressen aus den Keyservern abfragen, um Spam an diese Adressen zu versenden. Auch die Anonymität wird durch die Keyserver beeinträchtigt:
Bei OpenPGP kann jeder, ähnlich wie bei einer offenen Freundesliste in einem sozialen Netzwerk, einsehen, wer wem das “Vertrauen” ausgesprochen hat. So können soziale Netzwerke für jeden offen eingesehen werden. Die Umsetzung der neuen Verfahren bei Posteo weisen die genannten Schwachstellen der Keyserver nicht auf.

Das Posteo-Schlüsselverzeichnis finden Sie in den Einstellungen Ihres Posteo-Postfachs, unter “PGP- und S/MIME-Verschlüsselung”.

Bitte prüfen Sie vor dem Hochladen Ihres Schlüssels in das Posteo-Schlüsselverzeichnis, dass Ihr Schlüssel den Posteo-Richtlinien entspricht. Zum Schutz Ihrer Privatspäre können Sie u.a. nur Schlüssel hochladen, die lediglich Ihre Posteo-E-Mail-Adresse enthalten oder einen Ihrer Aliase.

In der Standard-Software GnuPG ist die neue Technologie OPENPGPKEY bereits implementiert, und Verisign arbeit an einem SMIMEA-Plugin für Thunderbird. Wir hoffen, dass die Verbreitung von OPENPGPKEY und SMIMEA zügig voranschreiten wird, damit der Austausch öffentlicher Schlüssel einfacher und sicherer wird.

Viele Grüße
Ihr Posteo-Team

Le service de migration comprend maintenant la migration du carnet d'adresses

2015-11-16T19:20:00+01:00

Chers clients Posteo, chers visiteurs,

la migration vers Posteo devient encore plus facile : vous pouvez dorénavant déménager plus que votre ancienne boîte de réception (arborescence de dossiers incluse) en un clic vers votre boîte mail Posteo.
Dès maintenant, le service de migration transfère également votre carnet d’adresses en un clic, ceci depuis la plupart des gros fournisseurs de messagerie. Ainsi, vous pouvez également transférer vos contacts aisément, sans nécessité de connaissances techniques, vers Posteo.
#more#
Comme nous ne faisons intervenir aucun fournisseur tiers lors du transfert de vos données sensibles (ceci pour protéger vos données), nous avons développé une solution propre pour la transfert de vos données, et ceci pour chaque fournisseur figurant dans la liste ci-dessous. Notre spécificité : les données sensibles de vos contacts (comme leur nom, adresse, numéro de téléphone) ne transitent à aucun moment par un fournisseur tiers.
Ces données sont récupérées par Posteo chez votre ancien fournisseur directement et transférées de façon chiffrée vers votre carnet d’adresses Posteo.

Le service de migration Posteo pour votre carnet d’adresses est disponible pour les fournisseurs suivants :

AOL
Gmail
GMX
iCloud
Services Microsoft comme Outlook.com/Hotmail/Office 365
Yahoo!
WEB.DE

Vous trouverez le service de migration dans les paramètres de votre boîte mail Posteo, dans « Mon compte ».
Vous décidez vous-mêmes si vous souhaitez effacer définitivement les données de vos e-mails et de vos contacts chez votre ancien fournisseur.
Le service de migration Posteo est gratuit pour vous. Nous l’avons conçu en suivant notre principe de minimisation maximale des données. Par exemple, nous n’enregistrons pas depuis quelle adresse e-mail vous avez transféré des données vers votre boîte mail Posteo.

Astuce : après le déménagement, vous pouvez chiffrer toutes les données enregistrées chez Posteo, individuellement. Pour cela, vous avez à votre disposition notre chiffrement du carnet d’adresses et du calendrier ainsi que notre Stockage mail crypté Posteo (pour vos données d’e-mail). Vous n’avez besoin d’aucunes notions techniques pour ces deux fonctions : le chiffrement se déroule en un clic. Vous retrouverez toutes les fonctions de chiffrement dans les paramètres de votre boîte mail, dans « Chiffrement ».

Bien cordialement
L’équipe Posteo

Umzugsservice jetzt auch mit Adressbuch-Umzug

2015-11-16T17:27:00+01:00

Liebe Posteo-Kunden, liebe Interessierte,

der Umzug zu Posteo wird noch einfacher: Sie können mit dem Posteo-Umzugsservice nicht mehr nur Ihre bisherigen E-Mail-Postfächer (inkl. der Ordnerstrukturen) per Knopfdruck in Ihr Posteo-Postfach umziehen.
Ab sofort überträgt der Umzugsservice auch Ihr bisheriges Adressbuch auf Knopfdruck von den meisten großen Anbietern zu Posteo. So können Sie auch Ihre Kontakte ohne Technikkenntnisse komfortabel zu Posteo umziehen.
#more#
Da wir bei Posteo für den Transfer Ihrer sensiblen Daten aus Datenschutzgründen keine Lösungen von Drittanbietern einsetzen, haben wir für jeden aufgelisteten Anbieter eine eigene Lösung für die sichere Übertragung Ihrer Daten entwickelt. Das Besondere: Die sensiblen Daten Ihrer Kontakte (wie z.B. Namen, Adressen und Telefonnummern) werden zu keinem Zeitpunkt über Drittdienstleister geleitet.
Die Daten werden durch Posteo direkt bei Ihrem bisherigen Anbieter abgerufen und über verschlüsselte Verbindungen in Ihr Posteo-Adressbuch übertragen.

Der Posteo-Adressbuchumzug ist für folgende Anbieter verfügbar:

AOL
Gmail
GMX
iCloud
Microsoft-Dienste wie Outlook.com/Hotmail/Office 365
Yahoo!
WEB.DE

Den Umzugsservice finden Sie in den Einstellungen Ihres Posteo-Postfachs, unter “Mein Konto”.
Ob Sie Ihre E-Mail- und Kontaktdaten bei Ihrem bisherigen Anbieter nach dem Umzug endgültig löschen möchten, können Sie selbst entscheiden.
Der Posteo-Umzugsservice ist für Sie kostenfrei. Wir haben ihn nach unserem Grundsatz der maximalen Datensparsamkeit konzipiert. So speichern wir z.B. nicht, von welcher E-Mail-Adresse Sie Daten in Ihr Posteo-Postfach übertragen haben.

Tipp: Nach dem Umzug können Sie alle bei Posteo gespeicherten Daten individuell verschlüsseln. Hierfür stehen Ihnen unsere Adressbuch- und Kalenderverschlüsselung sowie der Posteo-Krypto-Mailspeicher (für Ihre E-Mail-Daten) zur Verfügung. Für beide Funktionen benötigen Sie keine Technikkenntnisse: Die Verschlüsselung erfolgt auf Knopfdruck. Die Verschlüsselungsfunktionen finden Sie in den Einstellungen Ihres Postfachs unter “Verschlüsselung”.

Viele Grüße sendet
Ihr Posteo-Team

Kommentar und Glosse zur Vorratsdatenspeicherung

2015-10-16T11:30:00+02:00

Liebe Kundinnen und Kunden, liebe Interessierte,

Heute ist kein guter Tag für unsere Demokratie: Denn der Bundestag hat die Wiedereinführung der Vorratsdatenspeicherung (VDS) beschlossen. Uns bleibt hierzu nicht mehr viel zu sagen.

Wir hatten bereits im Sommer, in unserem Transparenzbericht 2014, einen mit großer Sorgfalt recherchierten Schwerpunkt zum Thema veröffentlicht. In diesem hatten wir dargelegt, warum die Vorratsdatenspeicherung schon alleine aufgrund der chaotischen Zustände in der Praxis auf keinen Fall wieder eingeführt werden darf.

Mit großen Anstrengungen haben wir in den vergangenen Monaten versucht, darauf aufmerksam zu machen, dass in der Praxis der Auskunftsverfahren massive Sicherheitsprobleme und Kontrolldefizite bestehen. Und wir haben darauf hingewiesen, dass Richter in der Praxis offenbar allen Anträgen auf Überwachung zustimmen. Wir haben die Datenschutzbeauftragten und das BSI informiert. Wir haben den Rechtsausschuss des Bundestages und die zuständigen Minister angeschrieben. Und wir haben persönliche Gespräche mit Politikern geführt. Doch unser Eindruck war: Sachargumente zählen nicht mehr, wenn etwas politisch gewollt ist.

Deshalb haben wir uns dazu entschlossen, heute auch einmal ausnahmsweise die „Sachebene“ zu verlassen – und unseren Koch Achim an dieser Stelle zu Wort kommen zu lassen. Achim hat eine Vorliebe für Satire und hat gestern eine Glosse zum Thema für uns verfasst, um uns vorab schon ein wenig aufzuheitern. Deshalb hier nun für alle, die heute auch etwas zum Schmunzeln brauchen: Achims satirische Menükarte zur Vorratsdatenspeicherung. #more#

Viele Grüße
Ihr Posteo-Team

PS: Für alle, die sich Sorgen um die Privatsphäre Ihrer Posteo-E-Mails machen: Das Gesetz nimmt E-Mailanbieter (wie Posteo) von der Regelung aus. Bei Posteo werden deshalb auch weiterhin keine Daten auf Vorrat gespeichert. Wir sehen uns dennoch als Betroffene der Gesetzeseinführung an, da wir von einem weiteren Anstieg rechtswidriger Ersuchen an uns ausgehen.

Achims satirische Menükarte:

Bundesgasthof

“zum Gläsernen Bürger”

Durch unsere akribische und völlig übertriebene Vorratszutatenspeicherung gehört
“solange der Vorrat reicht” endlich der Vergangenheit an.
Unser Lokal empfängt Sie in demokratiefeindlichem Ambiente bei schummrigem Zwielicht.
Die Gasträume sind in einem angenehm kalten Grau gehalten, mit gelegentlichen Brauntönen.

Unser Tagesverfassungs-Gericht

Da haben wir den

Bundes-Datensalat aus unserem Geheimarchiv,
mit reingelegten Wanzen,
mariniert mit digital naiven Olivenöl

Zwischengang

Schaumgeschlagenes, selbst eingebrocktes Süppchen aus
einer Essenz von Inkompetenz und altbewährter Ignoranz

Hauptgerichte

Hausüberwachter Burger, flankiert von humorlosen Bundeskartoffeln
mit einer penetranten Behördensenfsauce
Dazu servieren wir hartgesottenen Spitzelkohl umhüllt mit einem Mantel aus Schweigen

Alternativ ein

Wendehalsfilet “a la Heiko” aus dem eigenen Sud, nichtssagend abgeschmeckt
mit langsam gemahlenen Pfeffer aus der Justizmühle
Dazu reichen wir Überwachungsbandnudeln

Dessert

Halbeingefrorenes Bankkonto an Zermürbeteiggebäck und Verfassungsbruchstückchen von dunkelster Schokoladensorte

Substanzloser roter Wackelpudding garniert mit einer heiklen Auswahl
an persönlichen Daten

Unsägliches Ende

Argumentativer Käse vom Brett vorm Kopf
Geräucherte Salami vom trojanischen Pferd

Getränkeempfehlung

Wählen Sie aus unserer reichhaltigen Auswahl an kaltgestellten verdächtigen Getränken

Wein

1954er Chatêau Migraîne de Maizière
Weingut Maaßen
Ein Spitzelwein!
Jedoch bitter im Abgang, verströmt zudem ein Bukett von Landesverrat

Für eventuelle Druckfehler gilt der Richtervorbehalt!

Transparenzbericht: Unsere Briefe an die Minister

2015-08-28T12:00:00+02:00

Liebe Posteo-Kunden, liebe Interessierte,

in unserem Transparenzbericht für das Jahr 2014 weisen wir auf gravierende Missstände bei Behördenersuchen hin.
Fast alle Ersuchen, die Ermittlungsbehörden uns übermitteln, sind rechtswidrig. Sie werden meist unsicher übermittelt, häufig wird auch nach Daten gefragt, die Behörden auf Grundlage ihrer Anfrage nicht erhalten dürfen. Und der Richtervorbehalt kommt unserer Ansicht nach seiner ihm zugedachten Kontrollfunktion in der Praxis nicht ausreichend nach: So wurde in Berlin nach dem Jahr 2007 kein einziger Antrag auf Überwachung mehr durch einen Richter abgelehnt. Bei vielen Auskunftsverfahren bestehen keine Statistikpflichten, und unserer Ansicht nach sind auch die Kontrollen der Verfahren mangelhaft.
Hintergrundinformationen und Belege für unsere Kritik finden Sie im Schwerpunkt unseres diesjährigen Transparenzberichtes. #more#

Auf einige der von uns angesprochenen Probleme ist die Bundesregierung in den vergangenen Jahren bereits hingewiesen worden: So hatte der Branchenverband BITKOM bereits im Oktober 2012 gewarnt, dass bei der Bestandsdatenauskunft in “zahllosen” Fällen nach Daten gefragt wird, die bei diesem Verfahren gar nicht herausgegeben werden dürfen.

Die Bundesregierung ist zu diesem Thema inzwischen mehrmals offiziell in parlamentarischen Anfragen befragt worden: Im Januar 2013 durch den SPD-Abgeordneten Burkhard Lischka – und ganz aktuell durch den Grünen-Abgeordneten Dieter Janecek. Das Bundesinnenministerium gab stets die Antwort, dass ihm “keine Anhaltspunkte” für rechtswidrige Ersuchen vorlägen.
Dies erklärte auch die Pressestelle des BMJV nach der Veröffentlichung unseres Transparenzberichtes auf Nachfrage von Journalisten.

Für uns ist diese Haltung aufgrund der bestehenden, gravierenden Mängel und Sicherheitsprobleme unverständlich: Wir möchten, dass sich mit den bestehenden Missständen endlich auseinandergesetzt wird.
Deshalb haben wir die zuständigen Minister nun auch offiziell (schriftlich, per Einschreiben) von den Missständen bei den Auskunftsverfahren in Kenntnis gesetzt – und ihnen unseren Transparenzbericht zugesandt. Um die Schreiben zu lesen, klicken Sie bitte auf das Bild:

Wir werden Sie darüber informieren, wenn Antworten aus den Ministerien eingegangen sind. Wir hoffen, dass wir diesmal mehr als nur einen Einzeiler erhalten: Wir wollen, dass sich etwas ändert.

Viele Grüße
Ihr Posteo-Team

Transparenzbericht: Posteo fordert Stopp der VDS

2015-08-20T14:00:00+02:00

Liebe Posteo-Kunden,

wir möchten, dass Sie wissen, wie häufig Behörden bei Posteo um Kundendaten ersuchen. Deshalb haben wir heute unseren Transparenzbericht für das Jahr 2014 veröffentlicht. In dem Bericht legen wir offen, wie oft Ermittlungsbehörden sich im Jahr 2014 an uns gewandt haben – und wie oft Posteo tatsächlich Daten herausgeben musste. Der Bericht umfasst alle Behördenanfragen, die Posteo im Jahr 2014 erhalten hat. Sie erfahren außerdem, wie häufig diese Ersuchen formal korrekt waren und wie viele der Anfragen rechtswidrig waren. #more#

Da fast alle Behördenersuchen, die Posteo bisher erreicht haben, rechtswidrig waren, widmen wir den Auskunftsverfahren einen Schwerpunkt in unserem diesjährigen Bericht. In diesem üben wir Kritik an den chaotischen Zuständen, die insbesondere bei der Bestandsdatenauskunft nach §113 TKG herrschen. Wir zeigen auf, dass in der Auskunftspraxis gravierende Sicherheitsprobleme bestehen, es regelmäßig zu Rechtsbrüchen kommt und Kontrolldefizite die Situation weiter verschlimmern.

Um unsere Kritik an den Auskunfts- und Überwachungsverfahren zu belegen, haben wir heute zahlreiche Beispiele rechtswidriger Behördenersuchen auf unseren Internetseiten veröffentlicht. Außerdem legen wir unseren Schriftwechsel mit der Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten sowie den Justizministerien der Länder offen.

Sie erhalten so einen Einblick in unsere datenschutzorientierte Arbeit, die bei Posteo ganzjährig stattfindet. Außerdem beschäftigen wir uns in unserem Schwerpunkt mit dem Kontrollinstrument des Richtervorbehaltes, der unserer Auffassung nach seiner zugedachten Aufgabe nicht mehr gerecht wird: In der Praxis werden offenbar alle Anträge auf Überwachungsmaßnahmen bewilligt. Obwohl zur Wirksamkeit des Richtervorbehaltes in der Fläche keine Statistiken geführt werden, haben wir Zahlen gefunden, die dies belegen.

Die Bundesregierung bleibt indes untätig, obwohl sie über einige der Missstände seit Jahren informiert ist und wiederholt dazu befragt wurde, wie wir im ersten Teil unseres Schwerpunktes aufzeigen. Dies belegen wir u.a. mit einer Antwort aus dem Bundesinnenministerium, die am Mittwoch (19.08.) veröffentlicht wurde.

Den vollständigen Transparenzbericht finden Sie ab sofort auf der Posteo-Webseite

Wir fordern Bundesjustizminister Heiko Maas hiermit dazu auf, den Gesetzentwurf zur Wiedereinführung der Vorratsdatenspeicherung zu stoppen. Wenn Überwachungsmöglichkeiten in Deutschland immer weiter ausgebaut werden, während die in unserem Transparenzbericht aufgezeigten Mängel fortbestehen und offenbar jeder Antrag auf Überwachung bewilligt wird, ist dies eine Entwicklung, die der Demokratie nicht zuträglich sein kann.

Hinweis: Der Gesetzentwurf der Bundesregierung zur geplanten Wiedereinführung der Vorratsdatenspeicherung ("Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten ") sieht aktuell vor, dass der gesamte E-Mail-Bereich von der Speicherung ausgenommen werden soll. Das bedeutet: Posteo gehört nicht zum Kreis der Verpflichteten. Wir gehen aber davon aus, dass die Einführung des Gesetzes die Anzahl rechtswidriger Bestandsdatenersuchen an uns noch einmal erhöhen würde.

Wenn Sie unsere Arbeit unterstützen möchten, freuen wir uns darüber, wenn Sie unseren Transparenzbericht und die darin enthaltenen Infromationen weiter verbreiten und bei den verantwortlichen Stellen nachfragen. Im vergangenen Mai hat Posteo als erster deutscher Telekommunikationsanbieter einen Transparenzbericht veröffentlicht. Mit unserem Vorstoß haben wir erreicht, dass inzwischen auch andere deutsche Anbieter Transparenzberichte veröffentlichen – unter ihnen auch die Deutsche Telekom. Mit unserem diesjährigen Transparenzbericht möchten wir dazu beitragen, dass bestehende Missstände und Rechtswirklichkeiten bekannter werden und über sie debattiert werden kann. Wir wollen, dass sich etwas ändert: Die Missstände müssen beseitigt und die demokratische Kontrolle staatlicher Auskunftsverfahren in Deutschland muss gestärkt werden.

Viele Grüße
Ihr Posteo-Team

Posteo Lab: Fairphone 2-Vorstellung in Deutschland

2015-07-09T12:30:00+02:00

Liebe Posteo-Kunden,

wir möchten alle Fairphone-Besitzer und Interessierte unter Ihnen auf eine besondere Veranstaltung aufmerksam machen:

Am 17.07. wird im Berliner Posteo Lab zum ersten Mal das neue Fairphone 2 in Deutschland präsentiert.

Miquel Ballester, Mitgründer von Fairphone, wird exklusive Einblicke in die Entwicklung des neuen Fairphone 2 geben. Er verantwortet das Produktmanagement bei Fairphone und möchte die Gelegenheit nutzen, mit der Berliner Fairphone Community die nächsten Schritte zu einem noch faireren Smartphone zu gehen. Miquel Ballaster wird dazu einen Protoypen des Fairphone 2 mit all seinen Einzelteilen “Hands-On” vorstellen und zeigen, wie einfach es reparierbar sein wird. Besucher haben die Möglichkeit, in Kontakt zu treten, Fragen zu stellen und das Fairphone 2 zu erleben. #more#

Ort:
Posteo Lab
Methfesselstrasse 36
10965 Berlin-Kreuzberg

Datum:
17. Juli 2015

Agenda:

17:00 – 17:15 Uhr
Treffen im Posteo Lab

17:15 Uhr
Vorstellung des Fairphone 2 durch Miquel Ballester, Co-Founder und verantwortlich für das Produktmanagement bei Fairphone.

18:15 – 19:00 Uhr
Get-together mit Bio-Drinks und Snacks

(Die Veranstaltung findet in englischer Sprache statt.)

Über Fairphone – und warum uns das Konzept von Fairphone gefällt:

Das Unternehmen Fairphone ist aus einer NGO-Kampagne hervorgegangen, die sich seit 2010 kritisch mit den Herstellungsbedingungen von Mobiltelefonen auseinandersetzt. Neben den Arbeitsbedingungen in den Fertigungsbetrieben sowie Umweltaspekten wurde auch betrachtet, woher die Rohstoffe für die Mobiltelefone stammen. Durch die Herstellung eines faireren Smartphones möchte das Unternehmen Impulse für ein besseres Wirtschaften in der Branche geben, Missstände aufdecken und Lösungswege aufzeigen. Das Fairphone soll möglichst sozial- und umweltverträglich produziert werden – auch wenn viele der benötigten Materialien derzeit noch nicht aus konfliktfreien Quellen bezogen werden können. Posteo wurde aus einer ähnlichen Motivation gegründet: Als wir 2009 vergeblich nach einem E-Mailanbieter suchten, der verantwortungsbewusst mit unseren Daten umgeht und Wert auf Nachhaltigkeit legt, haben wir uns gegen den Verzicht entschieden. Stattdessen haben wir einen eigenen E-Mailanbieter gegründet, der unseren hohen Ansprüchen im Bezug auf Sicherheit, Datenschutz und Nachhaltigkeit gerecht werden sollte: Posteo. Wie Fairphone wird auch Posteo über die Beiträge der Kunden finanziert, um unabhängig arbeiten zu können. Und auch wir wissen um die Probleme, wenn es um Green IT und möglichst nachhaltiges Wirtschaften im IT-Bereich geht. Fortschritte können nur durch beständiges Engagement erreicht werden.

Wir schätzen das Engagement von Fairphone und freuen uns auf das Fairphone 2, das in diesem Jahr auf den Markt kommen wird.

Viele Grüße
Ihr Posteo-Team

Transparenzhinweis: Wir stellen Fairphone das Posteo Lab kostenfrei zur Verfügung. Posteo erhält auch sonst keine finanziellen Mittel von Fairphone.

Krypto-Mailspeicher für alle Kunden verfügbar

2015-05-29T14:00:00+02:00

Liebe Posteo-Kunden,

die Einführung des neuen Krypto-Mailspeichers ist abgeschlossen: Alle Posteo-Kunden können ihre bei uns gespeicherten E-Mail-Daten nun auf Knopfdruck individuell verschlüsseln. Wir stellen Ihnen die neue Verschlüsselungsfunktion ohne Aufpreis zur Verfügung.

Spezielle Technikkenntnisse benötigen Sie nicht: Die Verschlüsselung lässt sich auf Knopfdruck aktivieren und erfolgt ohne Ihr Zutun im Hintergrund.
Sie finden die neue Verschlüsselungsoption in den Einstellungen Ihres Postfachs unter “Verschlüsselung” > “Posteo-Krypto-Mailspeicher”.
Schritt-für-Schritt-Anleitungen finden Sie in der Posteo-Hilfe. Wenn Sie weitere Fragen haben, steht Ihnen unser Support-Team kostenfrei per E-Mail zur Verfügung. #more#

Aktivieren Sie den Krypto-Mailspeicher, werden sämtliche bei Posteo gespeicherten E-Mail-Daten auf Knopfdruck individuell verschlüsselt – mit Hilfe Ihres Passwortes.
Die Verschlüsselung umfasst sowohl die Inhalte und Anhänge aller bei Posteo gespeicherten E-Mails als auch die dazugehörigen Metadaten (wie z.B. die Betreffzeile oder der E-Mail-Header).
Neben Ihrem bisherigen E-Mailarchiv werden auch alle neu hinzukommenden E-Mails verschlüsselt.
Die verschlüsselten Daten in Ihrem Krypto-Mailspeicher sind auch für uns nicht mehr lesbar. Posteo kann die Verschlüsselung auch nicht deaktivieren; dies können nur Sie selbst tun.
Wie die Daten konkret verschlüsselt werden und wo die technischen Daten der Verschlüsselung einsehbar sind, erfahren Interessierte auf unserer Infoseite Verschlüsselung.

Passwort muss sehr gut aufbewahrt werden

Wenn Sie Ihren Krypto-Mailspeicher aktivieren, müssen Sie Ihr Passwort sehr gut aufbewahren. Das Passwort ist der Schlüssel zu Ihren Daten. Vergessen Sie bei aktiviertem Krypto-Mailspeicher Ihr Passwort, haben Sie keinen Zugriff mehr auf Ihr Postfach. Und auch die Passwort-Reset-Funktion steht Ihnen nicht mehr zur Verfügung, da Ihre Daten mit Hilfe des vergessenen Passwortes verschlüsselt wurden. Bitte wägen Sie deshalb vor der Aktivierung ab, ob Sie die passwortbasierte Verschlüsselungsfunktion nutzen möchten.

Kombinierbar mit allen weiteren Verschlüsselungsoptionen

Der Posteo-Krypto-Mailspeicher ist eine zusätzliche Verschlüsselungsschicht in unserem Sicherheitskonzept, mit der Sie Ihre bei uns gespeicherten Daten schützen können. Er lässt sich mit allen weiteren Posteo-Verschlüsselungsfunktionen, z.B. mit der Eingangs-Verschlüsselung, problemlos kombinieren.
Bitte beachten Sie, dass jede Verschlüsselungsschicht unterschiedliche Schutzzwecke erfüllt: Der Krypto-Mailspeicher schützt Ihre gespeicherten E-Mail-Daten und die dazugehörigen Metadaten. Kombinieren Sie ihn mit Ende-zu-Ende-Verschlüsselungsverfahren, die Ihre E-Mails auch während eines Kommunikationsvorgangs schützen (beim Senden und Empfangen von E-Mails durch das Internet), erhöhen Sie das Schutzniveau Ihrer Kommunikation noch einmal.

Ihre häufigsten Fragen zum Krypto-Mailspeicher

Nach unserem ersten Blogbeitrag zum Krypto-Mailspeicher haben uns zahlreiche Fragen von Ihnen erreicht. Auf die häufigsten möchten wir an dieser Stelle noch einmal eingehen.

- Ihr Postfach lässt sich im Webmailer wie gewohnt weiter bedienen, lediglich die Suche kann etwas länger dauern.
- Sie können Ihre E-Mails weiterhin wie gewohnt über IMAP und POP3 abrufen.
- Sie können Ihre E-Mails auch weiterhin in lokalen Programmen verwalten.
- Sie können Ihre E-Mails wie gewohnt mit Ihrem Smartphone, Ihrem Tablet oder auf anderen Geräten abrufen.
- Der Posteo-Krypto-Mailspeicher verschlüsselt alle auf unseren Servern gespeicherten E-Mail-Daten. Werden durch Ihr Programm lokale, ungesicherte Kopien Ihrer E-Mail-Daten erstellt, empfehlen
wir Ihnen, auch alle hierfür verwendeten Geräte abzusichern oder das Erstellen lokaler Kopien zu deaktivieren.
- Rechtliches: Wir haben durch unsere Anwälte vorab die rechtliche Lage prüfen lassen. In Deutschland können E-Mailanbieter nicht dazu gezwungen werden, Verschlüsselung zu “brechen”. Unseren Krypto-Mailspeicher haben wir technisch so realisiert, dass die durch unsere Kunden veranlasste Verschlüsselung aller gespeicherten E-Mail-Daten durch Posteo nicht wieder entfernt werden kann.
- Da eingehende E-Mails erst verschlüsselt werden, wenn sie unsere Server erreichen, schützt der Krypto-Mailspeicher nicht vor einer richterlich angeordneten Überwachung (TKÜ) eines Postfachs.
– Wir haben unser Verschlüsselungs-Plugin einem externen, mehrstufigen Sicherheits-Audit (durch Cure53) unterziehen lassen. Aus Transparenzgründen ist der Code der Verschlüsselung außerdem öffentlich einsehbar. Dies entspricht unserer Open-Source-Strategie und ist in der Post-Snowden-Zeit als vertrauensbildende Maßnahme unerlässlich.
- Wir empfehlen Ihnen, Ihr Postfach zusätzlich mit der Zwei-Faktor-Authentifizierung weiter abzusichern, um Ihr Schutzniveau weiter zu erhöhen.

Viele Grüße sendet
Ihr Posteo-Team

Posteo-Kunden sicher vor "Logjam"-Angriff

2015-05-22T15:15:00+02:00

Liebe Posteo-Kunden,

seit zwei Tagen wird in den Medien über die so genannte “Logjam”-Sicherheitslücke berichtet. Sie wurde von US-Wissenschaftlern entdeckt und kann Angreifern Zugang zu einzelnen verschlüsselten Verbindungen verschaffen, die zum Beispiel für den sicheren Zugriff auf Webseiten, für den E-Mail-Verkehr oder beim Online-Banking genutzt werden.

Wir möchten Sie hiermit darüber informieren, dass Sie beim Zugriff auf Posteo von “Logjam” nicht betroffen sind. Unser Team beobachtet Entwicklungen im Kryptographie- und Sicherheitsbereich sehr genau und wir setzen stets die neuesten Verschlüsselungstechnologien ein. Das bedeutet: Wenn Sie mit Ihrem Browser oder Ihrem lokalen Programm auf Posteo zugreifen, sind Sie durch “Logjam” nicht gefährdet, weil wir diese Angriffsfläche nicht bieten. #more#

Bitte beachten Sie bei Ihrer E-Mail-Kommunikation zu anderen Anbietern, dass derzeit noch nicht alle ihre Systeme gegen “Logjam” abgesichert haben.

Unabhängige Server-Testseiten haben ihre Tests inzwischen um den “Logjam”-Angriff erweitert. Dass Posteo von “Logjam” nicht betroffen ist, können Sie also auch auf unabhängigen Seiten nachprüfen: Auf der Testseite von Qualys erreichen wir z.B. für den Webzugriff weiterhin die Bestnote A +. Eine Angreifbarkeit führt zur Abwertung.

Unabhängig von Posteo können Ihr Browser sowie Ihre lokalen Programme beim Aufruf anderer Dienste und Webseiten jedoch angreifbar sein.
Beobachten Sie in den kommenden Tagen deshalb bitte aufmerksam, ob für Ihre verwendeten Browser (z.B. für Firefox, Safari oder Chrome) oder für Ihre Programme Updates angeboten werden. Installieren Sie diese wichtigen Updates, um die Sicherheit Ihrer Online-Aktivitäten diesbezüglich zu erhöhen. Für die Sicherheit beim Zugriff auf Posteo sind keine Updates auf Ihrer Seite notwendig.

Viele Grüße
Ihr Posteo-Team

Neuer Posteo-Umzugsservice

2015-05-20T17:15:00+02:00

Liebe Posteo-Kunden, liebe Interessierte,

der Umzug Ihrer bisherigen E-Mail-Postfächer zu Posteo wird einfacher: Seit heute steht Ihnen der neue Posteo-Umzugsservice zur Verfügung, mit dem Sie bisherige Postfächer (inkl. der Ordnerstrukturen) in Ihr Posteo-Postfach übertragen können.

Viele von Ihnen hatten sich gewünscht, E-Mail-Ordner-Strukturen auch ohne besondere Technikkenntnisse zu Posteo umziehen zu können.
Da wir bei Posteo für den Transfer Ihrer sensiblen E-Mail-Daten aus Datenschutzgründen aber keine Lösungen von Drittanbietern einsetzen oder empfehlen wollen, haben wir für Sie eine eigene Lösung für den sicheren und komfortablen Umzug zu Posteo entwickelt. #more#

Den neuen Umzugsservice finden Sie ab sofort in den Einstellungen Ihres Posteo-Postfachs, unter “Mein Konto”.

Sie können nun bis zu drei externe E-Mailpostfächer vollständig zu Posteo kopieren.
Spezielle Technikkenntnisse benötigen Sie nicht: Wenn Sie in den Einstellungen Ihres Posteo-Postfachs einen neuen Umzugsservice anlegen, zeigt er Ihnen alle Ordner Ihres bisherigen Postfachs an. Sie entscheiden komfortabel per Mausklick, welche Ordner Sie zu Posteo kopieren möchten. Unser Umzugsservice überträgt daraufhin alle ausgewählten Ordner in Ihr Posteo-Postfach.

Ob Sie die E-Mails bei Ihrem bisherigen Anbieter nach dem Umzug endgültig löschen möchten, können Sie selbst entscheiden. Der Posteo-Umzugsservice ist für Sie kostenfrei – und Sie behalten die Kontrolle über Ihre Daten:
Ihre E-Mails werden zu keinem Zeitpunkt über Drittdienstleister geleitet.
Die ausgewählten Ordner werden durch Posteo bei Ihrem bisherigen Anbieter abgerufen und über verschlüsselte Verbindungen direkt in Ihr Posteo-Postfach übertragen.

Den Posteo-Umzugsservice haben wir nach unserem Grundsatz der maximalen Datensparsamkeit konzipiert. So speichern wir z.B. nicht, von welcher E-Mail-Adresse Daten in Ihr Posteo-Postfach übertragen wurden.

Viele Grüße sendet
Ihr Posteo-Team

Neu: Posteo führt Krypto-Mailspeicher ein

2015-04-09T12:30:00+02:00

Liebe Posteo-Kunden,

es gibt Neuigkeiten. Wir führen seit heute eine neue Verschlüsselungsoption für Sie ein: Den Posteo-Krypto-Mailspeicher. Einigen Kunden steht die neue Funktion bereits seit dem Morgen zur Verfügung. In den kommenden Wochen werden wir den Krypto-Mailspeicher schrittweise für alle Postfächer freischalten. Die neue, passwortbasierte Verschlüsselung erhöht die Sicherheit der bei Posteo gespeicherten E-Mail-Daten noch einmal deutlich: Mit dem Krypto-Mailspeicher können Sie sämtliche E-Mail-Daten auf Knopfdruck individuell verschlüsseln. Die Verschlüsselung ist vollumfänglich. Sie umfasst sowohl die Inhalte und Anhänge aller bei Posteo gespeicherten E-Mails als auch die dazugehörigen Metadaten (wie z.B. die Betreffzeile oder der E-Mail-Header). Neben Ihrem bisherigen E-Mailarchiv werden auch alle neu hinzukommenden E-Mails verschlüsselt.

Wir stellen Ihnen die neue Verschlüsselungsfunktion ohne Aufpreis zur Verfügung. Es ist uns wichtig, dass alle Posteo-Kunden ein Höchstmaß an Sicherheit erhalten. Spezielle Technikkenntnisse benötigen Sie ebenfalls nicht: Sie können die Verschlüsselung auf Knopfdruck aktivieren. Sie erfolgt ohne Ihr Zutun im Hintergrund. #more#

Die Daten in Ihrem Krypto-Mailspeicher sind auch für uns nicht mehr lesbar. Wir können die Verschlüsselung nicht deaktivieren; dies können nur Sie selbst tun. Ob die neue Verschlüsselungsoption für Ihr Postfach bereits freigeschaltet wurde, sehen Sie in den Einstellungen unter “Verschlüsselung” > “Posteo-Krypto-Mailspeicher”. Sollte dies noch nicht der Fall sein, bitten wir Sie um Geduld: Der Krypto-Mailspeicher wird allen Kunden im Laufe der nächsten Wochen zur Verfügung gestellt.

Verschlüsselung mit Hilfe Ihres Passwortes:
Sobald Sie Ihren Krypto-Mailspeicher in den Einstellungen aktivieren, erzeugt Posteo ein individuelles Schlüsselpaar für Sie. Mit diesem verschlüsseln wir alle E-Mail-Daten (Inhalte, Anhänge und Metadaten), die sich in Ihrem Postfach befinden. Dies geschieht mit dem Teil des Schlüsselpaares, der für das “Verschlüsseln” zuständig ist. Jede E-Mail wird einzeln verschlüsselt. Der Schlüssel, der eine E-Mail wieder “lesbar” machen kann, liegt durch Ihr persönliches Passwort geschützt in der Posteo-Datenbank. Somit können nur Sie auf Ihren verschlüsselten E-Mailspeicher zugreifen. An den Arbeitsabläufen im Postfach ändert sich nichts: Klicken Sie bei aktiviertem Krypto-Mailspeicher auf eine E-Mail, wird diese im Hintergrund für Sie lesbar gemacht – und zwar nur für den Moment des Zugriffs. Sie verwalten Ihre E-Mails so komfortabel und einfach wie bisher.

Passwort muss sehr gut aufbewahrt werden
Wenn Sie Ihren Krypto-Mailspeicher aktivieren, müssen Sie Ihr Passwort sehr gut aufbewahren. Das Passwort ist der Schlüssel zu Ihren Daten.Vergessen Sie bei aktiviertem Krypto-Mailspeicher Ihr Passwort, haben Sie keinen Zugriff mehr auf Ihren verschlüsselten E-Mailspeicher.
Die Passwort-Reset-Funktion steht Ihnen nicht mehr zur Verfügung, da Ihre Daten mit Hilfe des vergessenen Passwortes verschlüsselt wurden. Und auch der Posteo-Support kann Ihr Passwort nicht mehr zurücksetzen oder die Verschlüsselung deaktivieren.

Der Krypto-Mailspeicher ist ein durch uns entwickeltes Plugin für den Open-Source-Mailserver Dovecot. Die asymmetrische Verschlüsselung erfolgt mit Hilfe von RSA, die symmetrische Verschlüsselung sowie die Authentifizierung wurden mit AES und HMAC realisiert. Das Hashen erfolgt mit Bcrypt.
Mehr Informationen zu der neuen Funktion finden Sie auf unserer Infoseite Verschlüsselung.

Umfassende Tests und externes Sicherheits-Audit
Ihre persönlichen E-Mail-Daten sind ein sensibles, schützenswertes Gut. Deshalb sind dem Freischalten des Krypto-Mailspeichers umfangreiche Tests vorausgegangen. Wir haben unser Verschlüsselungs-Plugin aber nicht nur intern umfassend getestet: Die Funktion wurde auch einem externen, mehrstufigen Sicherheits-Audit (durch Cure53) unterzogen.

Transparenter Code und rechtliche Prüfung
Außerdem haben wir vorab die rechtliche Lage klären lassen. Das Ergebnis: In Deutschland können E-Mailanbieter nicht dazu gezwungen werden, Verschlüsselung zu “brechen”. Unseren Krypto-Mailspeicher haben wir technisch so realisiert, dass die durch unsere Kunden veranlasste Verschlüsselung aller E-Mail-Daten durch Posteo nicht wieder entfernt werden kann. Aus Transparenzgründen ist der Code der Verschlüsselung außerdem öffentlich einsehbar. Dies entspricht unserer Open-Source-Strategie und ist in der Post-Snowden-Zeit als vertrauensbildende Maßnahme unerlässlich.

Kombinierbar mit allen weiteren Verschlüsselungsoptionen
Der Posteo-Krypto-Mailspeicher lässt sich mit allen Posteo-Verschlüsselungsfunktionen problemlos kombinieren.
So können Sie auch alle Adressbuch- und Kalenderdaten auf Knopfdruck verschlüsseln. Und auch die Posteo-Eingangsverschlüsselung, die alle neu eingehenden E-Mails mit OpenPGP oder S/MIME verschlüsselt, kann problemlos mit dem Krypto-Mailspeicher kombiniert werden.

Wenn Sie die Eingangsverschlüsselung bereits nutzen, empfehlen wir Ihnen, zusätzlich auch den Krypto-Mailspeicher zu aktivieren: Denn der Krypto-Mailspeicher verschlüsselt nicht nur neu hinzukommende E-Mails, sondern sämtliche E-Mails in allen Postfach-Ordnern sowie auch die dazugehörigen Metadaten.

Auch wenn Sie bereits Ende-zu-Ende-Verschlüsselungsverfahren nutzen, profitieren Sie vom Krypto-Mailspeicher: Denn bei Ende-zu-Ende-Verfahren wie OpenPGP werden in der Regel nur die Inhalte einzelner E-Mails verschlüsselt, nicht aber alle gespeicherten E-Mails oder die dazugehörigen Metadaten. Unser passwortbasierter Krypto-Mailspeicher ist eine vollumfängliche Verschlüsselung, die das Sicherheitsniveau bei Posteo noch einmal deutlich erhöht.

Für ein Höchstmaß an Sicherheit empfehlen wir, den Zugriff auf Ihren Krypto-Mailspeicher zusätzlich mit der Posteo-Zwei-Faktor-Authentifizierung abzusichern. Dann wird für das Login nicht mehr nur Ihr reguläres Passwort, sondern auch ein aktuelles Einmal-Passwort benötigt. So lässt sich das Sicherheitsniveau noch einmal erhöhen. Wenn Sie Posteo nicht nur im Webmailer, sondern auch mit anderen Geräten und Programmen verwenden, ändert sich mit dem Aktivieren des Krypto-Mailspeichers nichts: Sie verwalten Ihre E-Mails so komfortabel und einfach wie bisher. Erstellen Sie lokale, ungesicherte Kopien Ihrer E-Mail-Daten, empfehlen wir Ihnen aber, auch alle hierfür verwendeten Geräte abzusichern.
Wir stellen auf unseren Internetseiten zahlreiche Informationen und Hilfeanleitungen zum Posteo-Krypto-Mailspeicher und zu den weiteren Verschlüsselungsoptionen für Sie bereit.

Viele Grüße
Ihr Posteo-Team

Neues Webmail-Design "Gentle Grey" verfügbar

2015-04-07T14:30:00+02:00

Liebe Posteo-Nutzer,

es gibt Neuigkeiten: Seit heute ist das neue “Gentle Grey”-Design unseres Webmailers verfügbar.
Das Design ist eine farbreduzierte Variante unseres neuen Standard-Designs. Für alle, die bei der Arbeit im Webmailer eine dezentere Farbgebung bevorzugen.

Sie haben ab sofort die Möglichkeit, das neue “Gentle Grey”-Design in den Einstellungen Ihres Postfachs unter “Einstellungen” → “Benutzeroberfläche” → “Oberflächendesign” zu aktivieren. Wenn Sie das Design nutzen möchten, wählen Sie dort bitte “Gentle Grey” aus und bestätigen die Design-Umstellung mit “Speichern”.

Wir werden bald weitere Varianten des Webmailer-Designs zur Verfügung stellen.

Viele Grüße
Ihr Posteo-Team

Posteo Lab: Erstes deutsches Fairphone-Meetup

2015-03-13T13:00:00+01:00

Liebe Posteo-Kunden,

wir möchten alle Fairphone-Besitzer unter Ihnen auf eine Veranstaltung aufmerksam machen:
Am 18.03. ist Fairphone ab 16 Uhr im Posteo Lab zu Gast – mit einem ganz besonderen Vorhaben. Das Fairphone-Team lädt seine Unterstützer zum ersten deutschen “Fairphone-Meetup” ein und wird einen Kampagnen-Film in unseren Räumen drehen. Im Film sollen Menschen zu Wort kommen, die mit ihrer Unterstützung die Produktion des ersten fairer hergestellten Smartphones ermöglicht haben.

Das Fairphone-Team wird um 16 Uhr mit dem Filmen beginnen. Fairphone-Unterstützer können ab 16 Uhr jederzeit vorbeischauen. Gefilmt wird individuell – und die Aufnahmen dauern pro Person nicht mehr als 10-20 Minuten. Nach dem Filmdreh ist ab 18 Uhr ein “Community-Meetup” geplant: Wer nicht vor die Kamera möchte, ist deshalb herzlich dazu eingeladen, im Laufe des Abends auf ein paar Drinks vorbeizuschauen und Menschen aus dem Fairphone-Team sowie andere Community-Mitglieder kennenzulernen und sich auszutauschen. #more#

Über Fairphone – und warum uns das Konzept von Fairphone gefällt:

Das Unternehmen Fairphone ist aus einer NGO-Kampagne hervorgegangen, die sich seit 2010 kritisch mit den Herstellungsbedingungen von Mobiltelefonen auseinandersetzt. Neben den Arbeitsbedingungen in den Fertigungsbetrieben sowie Umweltaspekten wurde auch betrachtet, woher die Rohstoffe für die Mobiltelefone stammen: Denn häufig werden zur Herstellung benötigte Metalle (wie Coltan oder Zinn) in Minen abgebaut, die von Warlords kontrolliert werden – und der Erlös aus den Metallen wird zur Finanzierung von Bürgerkriegen eingesetzt. Anfang 2013 ist aus dieser Kampagne das Unternehmen Fairphone hervorgegangen. Die erste Version des Fairphones wurde inzwischen mehr als 60.000 Mal verkauft. Durch die Herstellung eines faireren Smartphones möchte das Unternehmen Impulse für ein besseres Wirtschaften in der Branche geben, Missstände aufdecken und Lösungswege aufzeigen. Das Fairphone soll möglichst sozial- und umweltverträglich produziert werden – auch wenn viele der benötigten Materialien derzeit noch nicht aus konfliktfreien Quellen bezogen werden können. Posteo wurde aus einer ähnlichen Motivation gegründet: Als wir 2009 vergeblich nach einem E-Mailanbieter suchten, der verantwortungsbewusst mit unseren Daten umgeht und Wert auf Nachhaltigkeit legt, haben wir uns gegen den Verzicht entschieden. Stattdessen haben wir einen eigenen E-Mailanbieter gegründet, der unseren hohen Ansprüchen im Bezug auf Sicherheit, Datenschutz und Nachhaltigkeit gerecht werden sollte: Posteo. Wie Fairphone wird auch Posteo über die Beiträge der Kunden finanziert, um unabhängig arbeiten zu können. Und auch wir wissen um die Probleme, wenn es um Green IT und möglichst nachhaltiges Wirtschaften im IT-Bereich geht: Es ist nach wie vor schwierig. Fortschritte können nur durch beständiges Engagement erreicht werden.

Wir schätzen das Engagement von Fairphone und freuen uns auf den Erfolg mit dem Nachfolgemodell, das in diesem Jahr auf den Markt kommen wird. In unserem Berliner “Posteo Lab” stellen wir das inzwischen ausverkaufte erste Modell des Fairphones weiterhin aus. Alle, die mit dem Gedanken spielen, ein Fairphone der neuen Generation vorzubestellen, können sich so ein erstes Bild vom “Fairphone” machen und es bei uns vor Ort ausprobieren.

Viele Grüße
Ihr Posteo-Team

Transparenzhinweis: Wir stellen Fairphone das Posteo Lab kostenfrei zur Verfügung. Posteo erhält auch sonst keine finanziellen Mittel von Fairphone.

Auf bundestag.de: Posteo zu Datenschutzthemen

2015-03-11T16:30:00+01:00

Liebe Posteo-Kunden,

seit heute können Sie eine Stellungnahme von Posteo zum Thema “Datenschutz in der digitalen Welt” auf bundestag.de einsehen:
Der Leiter unserer Öffentlichkeitsarbeit, Dean Ceulic, war in der vergangenen Woche als Sachverständiger im Ausschuss Digitale Agenda des deutschen Bundestages zu Gast. Das Thema des Fachgespräches war: „Startups, Mittelstand und der Datenschutz in der digitalen Welt“. Wir wurden außerdem gebeten, einen Fragenkatalog schriftlich zu beantworten, auf den sich die Fraktionen im Vorfeld der Anhörung verständigt hatten. Seit heute ist unsere Stellungnahme auf der Internetseite des Bundestages abrufbar.

Weitere Dokumente:
Das Fachgespräch selbst steht auch als Video auf bundestag.de zur Verfügung.
Auf netzpolitik.org ist ein Artikel zum Thema verfügbar. #more#

Unsere wichtigsten Punkte im Überblick:

Zu den deutschen und europäischen Datenschutzstandards:

Wir haben betont, dass die hohen deutschen und europäischen Datenschutzregelungen der Wirtschaft nicht im Wege stehen. Im Gegenteil: Europäische Unternehmen haben die Chance, die strengeren Regelungen zum Datenschutz für sich zu nutzen und sich mit anspruchsvollen Datenschutzkonzepten von Mitbewerbern, zum Beispiel aus dem US-amerikanischen Raum, abzusetzen. Hohe Datenschutzstandards sind kein Innovationshemmnis und stellen sogar einen Wettbewerbsvorteil für europäische Unternehmen dar. Diese Ansicht vertrat die überwiegende Mehrheit der zum Fachgespräch geladenen Sachverständigen.

Die Pläne der Bundesregierung, das hohe deutsche und europäische Datenschutzniveau nun dennoch aufzuweichen, kritisierten wir:

“Die hohen deutschen Datenschutzstandards sind zu einem relevanten Standortfaktor geworden, der nicht leichtfertig aufgegeben werden darf. Gerade Datensparsamkeit und die Zweckbindung beim Verwenden von Daten stärken das Vertrauen der Verbraucherinnen und Verbraucher in deutsche Unternehmen und helfen, das Grundrecht auf informationelle Selbstbestimmung der Bürgerinnen und Bürger zu stärken.”

Zudem haben wir gefordert, gesetzlich zu regeln, dass personenbezogene Daten nur dann verarbeitet werden dürfen, wenn ein Gesetz es erlaubt und wenn der Betroffene eingewilligt hat.

Zur Vorratsdatenspeicherung haben wir erklärt:

“Gerade die sensiblen Verkehrsdaten wie z.B. IP-Adressen,(..), stehen in Deutschland unter einem besonderen Schutz. Verbindungs- und Verkehrsdaten (wie IP-Adressen) müssen auch auf europäischer Ebene unter einem besonderen Schutz stehen, da ihre Auswertung das Erstellen weitgehender Persönlichkeitsprofile erlaubt. Insbesondere das Speichern von Verkehrsdaten auf Vorrat ist abzulehnen, da dies nach Auffassung mehrerer höchster Gerichte die Grundrechte der Bürgerinnen und Bürger unverhältnismäßig hoch beeinträchigt.”

Zu Datensparsamkeit und Zweckbindung:

Die Bundesregierung erwägt, vom Grundsatz der Datensparsamkeit und der Zweckbindung beim Verwenden von Daten künftig abzusehen.
Wir haben uns für das Beibehalten dieser beiden grundlegenden Datenschutzprinzipien eingesetzt und erklärt:
“Datensparsamkeit und die Zweckbindung beim Verwenden von Daten sichern nicht nur das Grundrecht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung. Beide Faktoren geben auch Unternehmen klare Handlungsanweisungen und minimieren Unsicherheiten, wie sie Daten erheben und verarbeiten dürfen – insbesondere auch untereinander.”

Zum Verhältnis zwischen Grundrechten und sicherheitspolitischen Interessen:

Wir haben betont, dass kein Zielkonflikt zwischen sicherheitspolitischen Interessen und einem effektiven Schutz der Privatsphäre der Bürgerinnen und Bürger besteht. In einem Rechtsstaat sollten vielmehr beide Pole in einem ausgewogenen Verhältnis zueinander stehen:

“Um die Demokratie in der digitalen Welt wieder zu stärken, ist es unerlässlich, ein ausgewogeneres Verhältnis zwischen beiden Polen wieder herzustellen. Internationalen, flächendeckenden Überwachungstätigkeiten von Geheimdiensten lässt sich nur mit Maßnahmen zur Verschlüsselung, zur Datensparsamkeit und zur Anonymisierung begegnen. Dies ist im Interesse der Bürgerinnen und Bürger – und auch im Interesse von Unternehmen und Behörden.”

Viele freundliche Grüsse
Das Posteo-Team

Classic Bridge: Konzert im Posteo Lab

2015-02-06T18:15:00+01:00

Liebe Posteo Kunden,
liebe Interessierte,

seit dem 02. Februar ist das Posteo Lab auf dem Berliner Kreuzberg täglich für Sie geöffnet. Im Posteo Lab können Sie aber nicht nur Posteo ausprobieren, Verschlüsselungs-Trainings absolvieren, Postfächer eröffnen oder Guthaben aufladen.

Das Lab ist auch ein Begegnungs- und Veranstaltungsort. Ende Februar startet nun eine erste, kleine Konzertreihe: Die Classic Bridge. #more#

Am 26.02. laden Posteo und Sphinx ET gemeinsam zu einem Klavier- und Celloabend in unseren Kuppelsaal ein, der sich zwischen Klassik und Moderne sowie zwischen verschiedenen Stilrichtungen bewegen wird. Durch den Abend führen die beiden Musiker Beatrix Becker (Klavier, Bassklarinette & Komposition) & Sébastian Rateau (Violoncello). Beatrix Becker erzählt gemeinsam mit ihrem musikalischen Partner fließende Klaviergeschichten. Sie lädt mit Eigenkompositionen im Spannungsfeld von Klassik, Tango, Flamenco, Jazzminiatur und epischer Musik zur Mitfahrt auf eine musikalische Reise ein. Inspirieren lässt sich die Berlinerin von großen Komponisten – und nicht zuletzt von Orten, Natureindrücken und Begegnungen.

Die Veranstaltung im Überblick:

Classic Bridge: Klavier- und Celloabend mit Beatrix Becker und Sébastian Rateau
im Posteo Lab, Methfesselstrasse 38, Berlin-Kreuzberg.

Datum: 26. Februar 2015
Beginn: 19 Uhr, Einlass 18:30 Uhr
Eintritt: 10 EUR im VVK/ 15 EUR Abendkasse
Veranstalter: Posteo und Sphinx ET

Wenn Sie Karten im Vorverkauf erwerben möchten, können Sie dies ab dem 10.02. entweder direkt im Posteo Lab tun (Öffnungszeiten Mo-Fr zwischen 15 und 18 Uhr) oder eine E-Mail an info@sphinxet.de senden.

Viele liebe Grüsse
Das Posteo-Team

Update: Stiftung Warentest korrigiert Test-Artikel

2015-02-04T15:15:00+01:00

Liebe Posteo-Kunden,

Im aktuellen Heft der Stiftung Warentest werden E-Mailanbieter getestet. Posteo ist gemeinsam mit einem anderen Anbieter punktgleicher Testsieger. Dennoch waren in dem Test-Artikel zahlreiche Fehler zu verschiedenen Themen (u.a. zu unserer Zwei-Faktor-Authentifizierung und zum Thema Verschlüsselung) enthalten. Diese hatten wir bemängelt.

Unsere bisherigen Blogartikel zum Thema können Sie hier nachlesen:
- 29.Januar 2015, 12:00 Uhr
- 03.Februar 2015, 15:30 Uhr

Die Stiftung Warentest hat inzwischen reagiert und ist in den meisten Punkten unseren Richtigstellungen gefolgt. Die Redaktion hat ihren fehlerhaften Test-Artikel an vielen Stellen korrigiert – und auch den Tenor ihres Artikels geändert.#more#

Dies war notwendig geworden, da der Tenor des Stiftung Warentest-Artikels rund um eine Falschdarstellung aufbaute, die von der Redaktion in das Zentrum des Textes gestellt worden war. Der neue Test-Artikel wurde inzwischen auf der Seite der Stiftung Warentest test.de veröffentlicht.

Der Artikel steht kostenlos zur Verfügung, damit die Verbraucher die neue Fassung ohne Zusatzkosten lesen können. Eine Übersicht der wichtigsten Punkte, die richtiggestellt wurden, finden Sie auch am Ende dieses Blogbeitrags.

In einem Punkt fordern wir die Stiftung Warentest aber weiterhin zu einer Klarstellung bzw. Richtigstellung auf:

Die Stiftung Warentest erklärt bisher öffentlich, die im Test fälschlicherweise als “Verschlüsselung des Postfachs” bezeichnete “Verschlüsselung des Eingangspostfachs” sei nicht “bewertungsrelevant gewesen”. Das ist offensichtlich falsch.

Denn der Bereichsleiter Untersuchungen der Stiftung Warentest, Dr. Holger Brackemann, hat es uns gegenüber bereits gestern Abend schriftlich eingeräumt. Dr. Brackemann schreibt:

“Die Bewertung […] im Urteil Verschlüsselung beruht auf der damals nicht vorhandenen optionalen Verschlüsselung der Eingang-Postfaches.”

Das bedeutet: Das Kriterium war doch bewertungsrelevant. Die Stiftung Warentest hat die Verschlüsselungskonzepte aller anderen Anbieter abgewertet, weil sie damals fälschlicherweise davon ausging, dass ein Anbieter ein vollständig verschlüsseltes Postfach anbieten würde.
Die Stiftung Warentest sollte dies nun auch öffentlich richtigstellen. Wir erwarten, dass der Sachverhalt nun abschließend aufgeklärt wird: Wir haben uns deshalb so intensiv für die Richtigstellungen eingesetzt, weil es im Interesse der Verbraucher ist, dass die Stiftung Warentest Fehler richtigstellt. Wir meinen auch, dass es angemessen wäre, wenn die Stiftung Warentest nun über weitere eigene Kanäle öffentlich darüber informiert, dass sich zahlreiche Fehler in einem Test-Artikel ihres aktuellen Print-Magazins befinden. Das Heft hat eine Auflage von mehr als 450.000 Exemplaren.

Der Überblick über die bisherigen Änderungen der Stiftung Warentest:

- Alle Stellen, in denen die Redaktion fälschlicherweise von einer “Verschlüsselung des Postfachs” bei einem Anbieter sprach, wurden geändert.

- Alle Falschdarstellungen zu unserer Zwei-Faktor-Authentifizierung wurden korrigiert.

- Die Redaktion hat außerdem ihre Falschdarstellung gestrichen, dass nur ein anderer Anbieter über ein umfassendes Datenschutzkonzept verfüge.

- Auch die missverständliche Formulierung, Kunden der PR-Initiative “E-Mail made in Germany” würden generell sehen, ob eine E-Mail verschlüsselt übertragen werde, wurde korrigiert.

- Die Redaktion hatte in der ersten Fassung Ihres Textes fälschlicherweise von nur einem Testsieger gesprochen; auch dies wurde korrigiert.

- Die Falschdarstellung, dass Apple noch nie Kundendaten herausgegeben habe, wurde ebenfalls gestrichen.

- Die Formulierung, die implizierte, dass ein getesteter Anbieter nicht auf Schadsoftware scannen würde, wurde ebenfalls korrigiert.

Viele freundliche Grüße
Das Posteo-Team

Stiftung Warentest: Weitere Richtigstellungen

2015-02-03T15:30:00+01:00

Liebe Posteo-Kunden,
Liebe Interessierte.

Im aktuellen Heft der Stiftung Warentest werden E-Mailanbieter getestet. Posteo ist gemeinsam mit einem anderen Anbieter punktgleicher Testsieger. Dennoch sind in dem Test-Artikel zahlreiche Fehler zu verschiedenen Themen (u.a. zu unserer Zwei-Faktor-Authentifizierung und zum Thema Verschlüsselung) enthalten. Diese hatten wir bemängelt.

Unseren ersten Blogartikel zum Thema können Sie hier nachlesen:
- 29.Januar 2015, 12:00 Uhr

Wir haben noch einmal alle vorliegenden Unterlagen geprüft (den Test-Artikel, die Anbietervorabinformation, das Untersuchungsprogramm). Unsere neuen Erkenntnisse haben wir der Stiftung Warentest zeitnah mitgeteilt.

1.) Im Artikel der Stiftung Warentest befinden sich weitere Falschdarstellungen, die wir beim ersten Lesen übersehen hatten. Einige stellen wir am Ende dieses Blogbeitrags richtig, da sie das Angebot von Posteo diskreditieren.#more#

2.) Beim Durchgehen aller Vorabinformationen der Stiftung Warentest und der E-Mailkommunikation mit der Redaktion haben wir darüber hinaus Unregelmäßigkeiten festgestellt:

Die Stiftung Warentest hat in dem Artikel eine optionale Eingangs-Verschlüsselung fälschlicherweise als “Verschlüsselung des Postfachs” bezeichnet. Der Begriff suggeriert die vollständige Verschlüsselung eines Postfachs – welche keiner der getesteten E-Mail-Dienste anbietet. Das Kriterium wurde maßgeblich zur Bewertung des Verschlüsselungskonzeptes der Provider herangezogen und der gesamte Artikel baut rund um diese Falschdarstellung auf.
Das Verschlüsselungskonzept von 13 der 14 getesteten Provider wurde daraufhin fälschlicherweise deutlich schlechter bewertet – auch das von Posteo.

Das Kriterium “Verschlüsselung des Postfachs” war nachweislich weder im Untersuchungsprogramm des Tests noch in der Anbietervorabinformation der Stiftung Warentest aufgeführt, das den Anbietern im Vorfeld zugesandt wurde. Das bedeutet: Die Anbieter wurden nicht adäquat informiert. Ihnen wurde damit keine Möglichkeit gegeben, vor der Veröffentlichung hierzu Stellung zu nehmen – und die Stiftung Warentest über ihre falschen Annahmen aufzuklären. Selbst gesetzte Verfahrens- und Qualitätsstandards wurden nicht eingehalten.

Die Redaktion war z.B. bereits mindestens seit Mitte November über die Unterschiede zwischen einer vollständigen Postfach-Verschlüsselung und einer optionalen Eingangs-Verschlüsselung informiert. Wir haben beim Durchsehen aller Unterlagen festgestellt, dass wir der Stiftung Warentest Mitte November in einer E-Mail den Unterschied zwischen einer optionalen Eingangs-Verschlüsselung neu eingehender E-Mails (mit PGP/S/MIME) und einer vollständigen “Verschlüsselung des Postfachs” (die keiner der getesteten Dienste anbietet) dargelegt haben.

Wir stellen fest:
Diese Informationen blieben, aus welchen Gründen auch immer, völlig unberücksichtigt.

Weitere Richtigstellungen zu weiteren Falschdarstellungen, missverständlichen Darstellungen und unausgewogenen Formulierungen der Redaktion.

Den ersten Teil unserer Richtigstellungen finden Sie in unserem Blogbeitrag vom 29.01.

-————————————————————————————————————————————————————-
Falschdarstellungen zum Datenschutzkonzept

Stiftung Warentest schreibt:

“Nur der Testsieger setzt konsequent auf Datenschutz und speichert alle E-Mails verschlüsselt.”

Wir stellen richtig:

Erstens schreibt die Redaktion von nur einem Testsieger, obwohl Posteo dasselbe Qualitätsurteil wie ein weiterer Anbieter erhalten hat – und somit auch gleichberechtigter Testsieger ist. Über diese Tatsache geht die Redaktion im Artikel konsequent hinweg.

Dieser Satz ist außerdem eine ungerechtfertigte Abwertung unseres Datenschutzkonzeptes.

Das Datenschutzkonzept von Posteo geht über das des genannten Anbieters hinaus. Und zwar nicht nur, weil die Annahme der Redaktion, dass alle E-Mails bei diesem Anbieter verschlüsselt gespeichert würden, falsch ist. Wir möchten die beiden wichtigsten Unterschiede kurz erläutern, da sie im Test mehrfach aufgegriffen und falsch dargestellt werden:

a) Nur bei Posteo erfolgt die Anmeldung anonym – und zwar jede Anmeldung. Wir erheben als einziger Anbieter grundsätzlich keine personenbezogenen Daten unserer Nutzer. Wir sind gesetzlich dazu nicht verpflichtet und möchten so datensparsam wie möglich arbeiten. Weil wir grundsätzlich solche Daten nicht erheben, beantworten wir auch jede eingehende Bestandsdatenanfrage von Behörden negativ.

Der andere Anbieter erhebt hingegen ganz regulär Bestandsdaten (Pflicht: Name, Vorname und Land. Optional: Adresse) – wie herkömmliche Anbieter auch, und zwar nicht optional. Diese müssen bei behördlichen Bestandsdatenanfragen herausgeben werden. Auch wird dort bei der Anmeldung z.B. ein Recaptcha von Google verwendet, dass u.a. die IP-Adresse des Kunden an Google übermittelt.

Bei Posteo erfolgt jede Bezahlung seit unserer Gründung 2009 anonym. Egal, ob der Kunde in Bar, per Überweisung oder per Paypal zahlt. Hierfür hat Posteo ein eigenes technisches Bezahlsytem zum Anonymisieren aller Bezahlvorgänge entwickelt. Unser konsequentes Anonymisieren von Zahlungen steht ebenfalls im Gegensatz zu allen anderen Anbietern im Test. Im Übrigen liegen uns nur aufgrund dieses Bezahlsystems tatsächlich keine Bestandsdaten unserer Kunden mit Postfachbezug vor. Würden wir eine anonyme Anmeldung ermöglichen, Bezahldaten aber regulär mit Postfächern verknüpfen, wären die bei den Bezahlvorgängen übermittelten personenbezogenen Daten ebenfalls Bestandsdaten. Das alleinige Angebot einer anonymen Anmeldung wäre somit ohne Mehrtwert für den Verbraucher, wenn nicht auch alle Bezahlvorgänge konsequent anonymisiert würden.

Fazit: Die Aussage “Nur der Testsieger setzt konsequent auf Datenschutz” ist deshalb nachweislich falsch und ungerechtfertigt. Auch später im Text stellt die Redaktion diese Zusammenhänge falsch dar.

Zitat 1:
“Die jungen Anbieter (…) schützen gut: Sie erheben nur wenige oder gar keine Kundendaten. Was sie nicht speichern, kann niemandem in die Hände fallen.”

Wir stellen erneut richtig:

Aus den oben genannten Gründen ist diese Aussage bzw.Gleichstellung falsch.

Zitat 2:
Beschreibung von Posteo im Test ganz unten:
“Vertraulich. Kunden können Konto anonym einrichten und bezahlen (Geld im Briefumschlag zusenden).”

Hierzu stellen wir erneut richtig:
Bei Posteo erfolgt jede Anmeldung und Bezahlung seit unserer Gründung 2009 anonym (nicht “können”). Egal, ob der Kunde in Bar, per Überweisung oder per Paypal zahlt. Hierfür hat Posteo ein eigenes technisches Bezahlsytem zum Anonymisieren der Bezahlvorgänge entwickelt (siehe oben). Die Darstellung, die anonyme Bezahlung bei Posteo beschränke sich auf den Barbrief, ist deshalb falsch. In diesen setzen Verbraucher im Allgemeinen wenig Vertrauen. Unser Bezahlsystem erläutern wir den Verbrauchern u.a. hier.

-———————————————————————————————————————————————-
Falschdarstellung im Absatz “Anbieter liest mit”

Die Redaktion schreibt, ausser einem Anbieter würden alle Dienste die E-Mails im Klartext speichern. Sie schreibt: “Sie scannen sie auf Schadsoftware, Google nutzt das auch für Werbung.”

Wir stellen richtig:
Auch der genannte Anbieter speichert E-Mails im Klartext ab. Der zweite Satz impliziert außerdem, dass dieser Anbieter E-Mails nicht auf Schadsoftware scannen würde.

Das ist falsch. Auch dieser Anbieter scannt E-Mails mehrfach auf Schadsoftware. Dies hätte die Redaktion auf der Website des Anbieters nachlesen können.
-——————————————————————————————————————————————-
Falschdarstellungen Transparenzberichte

Falschdarstellung zur iCloud

Stiftung Warentest schreibt:
“Das US-Unternehmen gab laut Transparenzbericht bislang keine Kundendaten heraus.”

Wir stellen richtig:
Diese pauschale Aussage ist selbstverständlich falsch und entbehrt jeglicher Grundlage – auch für Deutschland. Dies kann in den Transparenzberichten von Apple eingesehen werden.

-—————————————————————————————————————————————————
Absatz “Angriff unterwegs: Mann in der Mitte”

Der komplette Abschnitt ist leider missverständlich und enthält Falschdarstellungen. Wir können in diesem Text nicht alles im Detail ausführen. Wir raten der Redaktion, sich beim Überarbeiten an Experten zu wenden.

Update 3: Richtigstellungen zu Stiftung Warentest

2015-01-29T12:00:00+01:00

Liebe Posteo-Kunden,

Heute ist ein Test der Stiftung Warentest erschienen, der E-Mailanbieter testet. Posteo ist gemeinsam mit einem anderen Anbieter punktgleicher Testsieger.

Leider sind im Test trotzdem zahlreiche Falschaussagen zu unserem Angebot und zu den Angeboten anderer Anbieter enthalten. Die Redaktion der Stiftung Warentest hat außerdem verschiedene technische Zusammenhänge falsch dargestellt.

Update: Wir haben bereits eine Richtigstellung von Stiftung Warentest eingefordert.

Update 2 (30.01., ca. 11:00): Die Stiftung hat den Test kurzfristig von ihrer Seite test.de genommen und hat uns mitgeteilt, dass Anfang der kommenden Woche eine aktualisierte Fassung veröffentlicht wird. Darüber hinaus wird die Stiftung Warentest den Sachverhalt auch in der nächsten Ausgabe ihrer Zeitschrift “test” aufgreifen.

Update 3 (30.01., ca. 16:00): Die Stiftung Warentest hat uns soeben erlaubt, ihre Stellungnahme an uns vollständig zu veröffentlichen.

“Sehr geehrter Herr Löhr,

ich muss mich zunächst entschuldigen, dass wir auf Ihre Mail inhaltlich am gestrigen Tage nicht reagieren konnten. Es war leider so, dass – aus verschiedenen Gründen – keine der Personen, die sich inhaltlich vertieft mit dieser Untersuchung beschäftigt haben, im Haus war.

Wir haben inzwischen mit dem von uns beauftragten Prüfinstitut Ihre Punkte besprochen und gehen nun davon aus, dass wir unsere Veröffentlichung an mehreren Stellen ändern werden. Wir werden deshalb den Test kurzfristig von unserer Seite test.de nehmen und Anfang der kommenden Woche eine aktualisierte Fassung veröffentlichen. Darüber hinaus werden wir den Sachverhalt auch in der nächsten Ausgabe unserer Zeitschrift test aufgreifen.

Ich bedauere, dass in dieser Veröffentlichung offensichtlich nicht alle Sachverhalte korrekt wiedergegeben wurden, und kann Ihnen versichern, dass wir die Ursachen dafür untersuchen und notwendige Schlussfolgerungen daraus ziehen werden.

Mit freundlichen Grüßen,

Dr. Holger Brackemann

Leiter des Bereichs Untersuchungen”

Mit diesem Blogbeitrag möchten wir die verschiedenen Falschaussagen von Stiftung Warentest richtigstellen.#more#

-————————————————————————————

Falschaussagen: Zwei-Faktor-Authentifizierung

Zu unserer Zwei-Faktor-Authentifizierung macht Stiftung Warentest gleich mehrere Falschaussagen.

Sie schreibt: „Die Crux: Sicherheits-Funktionen wie die Zwei-Faktor-Authentifizierung realisiert auch Posteo über ein via Handy übertragenes Einmalpasswort. Einzige Lösung, um anonym zu bleiben: eine im Ausland gekaufte, nicht personalisierte Guthabenkarte fürs Handy. Verzichten Kunden auf das Zwei-Faktor-Verfahren, steigt das Risiko, dass das Konto gehackt wird. “

Wir stellen richtig:

1.) Es ist falsch, dass beim Nutzen der Zwei-Faktor-Authentifizierung bei Posteo ein Passwort „via Handy übertragen“ wird. Die Redaktion hat schlicht das für die Zwei-Faktor-Authentifizierung bei Posteo verwendete TOTP-Verfahren nicht verstanden, das wie folgt funktioniert: Das Einmal-Passwort wird auf dem Kunden-Gerät (z.B. auf einem Mobiltelefon, Tablet oder Desktop) erzeugt und angezeigt, für das der Kunde zuvor die Zwei-Faktor-Authentifizierung aktiviert hat. Aktiviert der Kunde die Absicherung, wird auf seinem Gerät ein individueller Algorithmus hinterlegt, der auch in unserem System gespeichert wird. Mit diesem wird alle 30 Sekunden ein individuelles Einmal-Passwort berechnet – und zwar auf dem Gerät des Kunden und unabhängig davon auch im System von Posteo.

Das Passwort wird nicht per Handy übertragen. Der Kunde gibt das Einmal-Passwort selbst beim Login-Vorgang auf der Posteo-Website ein. Die beiden Codes werden beim Login dort miteinander verglichen. Stimmen sie überein, erfolgt das Login. Eine Verbindung zwischen dem Gerät des Kunden und Posteo besteht nicht.

2.) Es ist falsch, dass die Authentifizierung bei Posteo per Handy erfolgen muss. Unsere Kunden können hierfür auch ein Tablet, einen Computer oder einen Yubikey benutzen. In keinem Fall besteht aber eine Verbindung zwischen der Zwei-Faktor-Authentifizierung und der Mobilfunk-Karte des Kunden.

3.) Es ist aus den oben genannten Gründen auch falsch, dass die Zwei-Faktor-Authentifizierung die Anonymität unserer Kunden beeinträchtigt. Dies behauptet die Stiftung Warentest und geht sogar so weit, Posteo-Kunden zu empfehlen, eine im Ausland gekaufte, nicht personalisierte Guthabenkarte für ihr Handy zu kaufen. Diese Empfehlung ist völliger Unfug und entbehrt jeder Grundlage (siehe unsere Ausführungen oben).

-————————————————————————————

Falschaussagen: Verschlüsseltes Postfach

Die Stiftung Warentest behauptet in ihrem Testbericht:
„Nur einer liest nicht mit“ und betont in ihrem Text wiederholt: „Mit einer Ausnahme speichert jeder der geprüften E-Mail-Dienste Nachrichten seiner Kunden im Klartext.“ Nur ein Anbieter schütze die Kunden und speichere deren E-Mails verschlüsselt.
Diese Aussage ist falsch.

Wir stellen richtig:

Alle getesteten Anbieter speichern die E-Mails der Kunden grundsätzlich im Klartext ab – es sein denn, der Kunde selbst nutzt eine Ende-zu-Ende-Verschlüsselung und aktiviert eine optionale Eingangs-Verschlüsselung, dann wird der Inhalt (ohne Betreff, Absender und andere so genannte Metadaten) neu eingehender E-Mails verschlüsselt gespeichert. Die Stiftung Warentest bezeichnet dennoch eine optionale Verschlüsselung neu eingehender E-Mails durch den Anbieter als “Verschlüsselung des Postfachs”. Sie suggeriert so fälschlicherweise, bei dem Anbieter würden alle E-Mails verschlüsselt gespeichert. Tatsächlich ist dies eine optionale Funktion, die zudem nur einen Teil der E-Mails betrifft (z.B. nicht die gesendeten E-Mails) und nur Nutzern von PGP vorbehalten bleibt.
Posteo bietet seit dem 28.01. ebenfalls eine Eingangs-Verschlüsselung mit PGP und mit S/MIME an. Zur Klarstellung beschreiben wir die Funktionsweise einer Eingangs-Verschlüsselung näher:

Bei einer Eingangs-Verschlüsselung können lediglich Kunden, die bereits PGP (oder S/MIME) verwenden, ihren öffentlichen Schlüssel hochladen und alle neu eingehenden E-Mails mit PGP oder S/MIME verschlüsseln. Die bereits im Postfach enthaltenen Nachrichten bleiben unverschlüsselt, alleine deshalb ist die pauschale Bezeichnung „verschlüsseltes Postfach“ schon falsch.

Eine Verschlüsselung neu eingehender E-Mails ist erstens keine Postfach-Verschlüsselung, da das E-Mail-Archiv unverschlüsselt bleibt. Zweitens ist sie ausschließlich Kunden vorbehalten, die eine Ende-zu-Ende-Verschlüsselung nutzen. Ende-zu-Ende-Verschlüsselung muss stets der Nutzer selbst einrichten – und nur wenige tun das.

Trotzdem hat Stiftung Warentest die optionale Eingangs-Verschlüsselung als grundsätzliche “Verschlüsselung des Postfachs” bezeichnet und maßgeblich zur Bewertung des Verschlüsselungskonzeptes der Provider herangezogen.

Auch der Titel „Nur einer liest nicht mit“ suggeriert Sicherheit, die nicht existiert: Maßnahmen wie das Scannen auf Spam oder eine richterlich angeordnete Postfach-Überwachung sind bei einer Eingangs-Verschlüsselung weiterhin möglich, da die E-Mails erst nach dem Eintreffen auf den Servern des Providers verschlüsselt werden.

-————————————————————————————

Falschaussage Umzugshilfe

Die Stiftung Warentest zählt im Artikel Anbieter auf, die eine Umzugshilfe bieten. Posteo wird hier fälschlicherweise nicht genannt.
Wir stellen richtig:
Posteo bietet seit Jahren eine Umzugshilfe an, mit der E-Mails zu Posteo übertragen werden können. In unserer Hilfe bieten wir hierzu Anleitungen an und unser Support-Team hilft kostenfrei ebenfalls bei Fragen rund um den Umzug.

-————————————————————————————

Missverständliche Formulierung: „E-Mail made in Germany“

Stiftung Warentest schreibt, dass Kunden der in der Initiative „E-Mail made in Germany“ verbundenen Firmen sehen würden, ob die Nachricht verschlüsselt übermittelt und nach deutschem Datenschutz gespeichert wird. Zitat: "Schon beim Eintippen der Mailadresse des Empfängers signalisiert ein grüner Haken, ob beides zutrifft.“

Wir stellen richtig:
Kunden der Initiative „E-Mail made in Germany“ sehen nicht in allen Fällen, ob eine E-Mail verschlüsselt übermittelt und nach deutschem Datenschutzrecht gespeichert wird.

Beides trifft z.B. auch auf Posteo zu, trotzdem wird beim Versand zu Posteo kein „grüner Haken angezeigt“. Posteo ist nicht Mitglied der PR-Initiative. Offene und sichere Methoden wie DANE, das Posteo als erster deutscher E-Mail-Provider eingeführt hat, bleiben unberücksichtigt, obwohl Posteo damit eine sichere Transportverschlüsselung anbietet – und deutschen Datenschutz ebenfalls.

-————————————————————————————

Missverständliche Formulierung: SSL-Verschlüsselung.

Zur gängigen SSL-Verschlüsselung behauptet Stiftung Warentest:
Die Stiftung Warentest behauptet, dass jeder zweite Anbieter im Test bei unsicherer Verbindung einfach nicht senden würde.

Wir stellen richtig:
Das ist eine missverständliche Darstellung. Hier fehlen der Redaktion vermutlich die grundlegenden Kenntnisse der E-Mailtechnik: SSL-fähige E-Mailserver versuchen in der Regel beim Versand zwar stets, eine mit SSL-verschlüsselte Verbindung aufzubauen – ist dies aber nicht möglich, weil z.B. der E-Mailserver des Empfängers nicht verschlüsseln kann, wird die E-Mail auch ohne SSL-Verschlüsselung versendet. Das gehört zum E-Mail-Standard und wird allgemein so gehandhabt. Wir können nur vermuten, dass die Redaktion die erzwungene SSL-Verschlüsselung der Anbieter meint, die bei vielen Anbietern besteht, wenn der Kunde eine E-Mail von seinem Rechner an seinen jeweiligen Anbieter „übergibt“, bevor dieser die E-Mail dann zu anderen Anbietern versendet. Beim eigentlichen E-Mailversand durch das Internet wird eine E-Mail in der Regel entgegen der Annahme von Stiftung Warentest von den Anbietern auch dann (unverschlüsselt) versendet, wenn der Gegenserver nicht verschlüsseln kann.

Neue Angebote zu Ende-zu-Ende-Verschlüsselung

2015-01-28T18:24:00+01:00

Liebe Posteo-Kunden,

wir haben unser Angebot rund um den Einsatz von Ende-zu-Ende-Verschlüsselung erweitert. Zum einen bieten wir nun persönliche Verschlüsselungs-Trainings in unserem Posteo Lab auf dem Berliner Kreuzberg an. Posteo-Kunden können ab sofort Termine vereinbaren. Zum anderen haben wir neue Verschlüsselungsfunktionen für Sie freigeschaltet: Kunden, die eine Ende-zu-Ende-Verschlüsselung verwenden, um mit einzelnen Kontakten verschlüsselte E-Mails auszutauschen, haben ab sofort die Möglichkeit, alle neu eingehenden E-Mails mit einer Verschlüsselung zu versehen.#more#

Unabhängig davon, ob der Absender einer E-Mail diese ursprünglich verschlüsselt hatte oder nicht. Wir unterstützen hierbei beide gängigen Technologien: S/MIME und OpenPGP.
Mit den neuen Angeboten möchten wir die Verbreitung von Ende-zu-Ende-Verschlüsselung insgesamt fördern. Verschlüsselungstechnologien werden noch immer viel zu selten genutzt. Dabei sind sie ein wirksames Instrument, mit dem Menschen ihr Grundrecht auf unbeobachtete Kommunikation tatsächlich wahrnehmen können. Wir wissen aus dem Kontakt zu vielen von Ihnen, dass die Hemmschwelle sehr hoch ist, E-Mails mit S/MIME oder PGP zu verschlüsseln. Viele trauen sich das Verschlüsseln von E-Mails nicht zu – dabei ist es gar nicht so kompliziert. Wir tun bei Posteo viel dafür, Ihre Daten bestmöglich zu schützen. Bei der Ende-zu-Ende-Verschlüsselung kann der Provider den Kunden aber nur unterstützen, da dieser seine Schlüssel aus Sicherheitsgründen unbedingt selbst verwalten sollte. Daher versuchen wir, Sie durch Hilfe-Anleitungen, dem Unterstützen von Plugins wie Mailvelope – und nun auch mit den persönlichen Verschlüsselungs-Trainings und der Eingangs-Verschlüsselung zum Verschlüsseln zu ermutigen.

Persönliche Verschlüsselungs-Trainings

Die persönlichen Verschlüsselungs-Trainings finden im Posteo Lab statt, das ab dem 02.02. täglich zwischen 15 und 18 Uhr für Sie geöffnet ist. Interessenten können Posteo dort auch ausprobieren, Postfächer eröffnen, nachhaltig produzierte IT-Produkte wie die faire Computermaus entdecken oder Guthaben aufladen. Die Trainings beinhalten nicht nur kompetente Hilfestellung beim Einrichten von S/MIME oder PGP: Unsere Verschlüsselungs-Trainer üben mit den Teilnehmern auch, wie sie die Verschlüsselung im Alltag verwenden können. Die Kosten für ein Training betragen 29 EUR.

Eingangs-Verschlüsselung mit S/MIME und OpenPGP

Die neue Eingangs-Verschlüsselung können Sie bequem in den Einstellungen Ihres Posteo-Postfachs aktivieren. Wir stellen die neue Funktion ohne Aufpreis bereit. Sie müssen lediglich den öffentlichen Teil Ihres S/MIME- oder PGP-Schlüssels bei Posteo importieren. Mit diesem verschlüsseln wir dann jede neu eingehende E-Mail – eine wirkungsvolle Maßnahme, um die Sicherheit Ihrer gespeicherten E-Mails noch einmal zu erhöhen.
Eine reguläre Ende-zu-Ende-Verschlüsselung, welche bereits beim Absender einer E-Mail ansetzt, ersetzt sie aber nicht. Wir raten Ihnen, vor dem Aktivieren der Verschlüsselung sorgfältig abzuwägen, ob Sie alle neu eingehenden E-Mails mit S/MIME oder PGP verschlüsseln möchten. Einmal verschlüsselte E-Mails bleiben dauerhaft verschlüsselt, auch wenn Sie die Eingangs-Verschlüsselung für neu eingehende E-Mails später wieder deaktivieren. Und auch eine Volltextsuche ist bei verschlüsselten E-Mails nicht mehr möglich.

Tipp: In unserer Hilfe finden Sie verschiedene Anleitungen zur Eingangs-Verschlüsselung und zum Einrichten bzw. dem Arbeiten mit einer Ende-zu-Ende-Verschlüsselung.

Posteo-Postfach-Verschlüsselung folgt bald

Das Freischalten der Eingangs-Verschlüsselung und der Start der persönlichen Verschlüsselungs-Trainings sind nur der erste Schritt beim weiteren Ausbau unseres Verschlüsselungskonzeptes. In Kürze werden wir eine selbst entwickelte, voll umfängliche Postfachverschlüsselung einführen, die nicht nur neu eingehende E-Mails, sondern auch das gesamte E-Mailarchiv inklusive aller enthaltenen Inhalte und Metadaten auf Knopfdruck verschlüsselt. Ein externes Sicherheits-Audit ist bereits abgeschlossen. Sobald wir die Posteo-Postfach-Verschlüsselung veröffentlichen, informieren wir Sie in unserem Blog darüber.

Viele freundliche Grüße
Ihr Posteo-Team

Update: Avira stört Posteo-Anzeige

2015-01-14T11:34:00+01:00

Liebe Posteo-Kunden,

wir erhalten zurzeit vermehrt Meldungen darüber, dass einige Kunden Anzeigeprobleme beim Arbeiten in unserem Webmailer haben. Unter anderem wurde uns gemeldet, dass nur wenige E-Mails im Webmailer angezeigt werden oder “ewig geladen” wird. Bei uns liegen aber keine Störungen vor.

Unserem Team ist es gelungen, die Ursache für die Anzeigeprobleme zu identifizieren: Ein Add-on des Antiviren-Herstellers Avira stört die korrekte Anzeige bzw. Funktionalität unseres Webmailers. #more#

Betroffen sind alle Nutzer, die das Add-on “Avira Browserschutz” nutzen. Uns wird in allen Rückmeldungen betroffener Kunden übereinstimmend geschildert, dass die fehlerhafte Anzeige behoben ist, sobald das Avira Add-on im Browser deaktiviert wurde. Wir haben dies daraufhin in Tests nachgestellt und können nun bestätigen, dass das Add-on die Ursache der Anzeigeprobleme ist.

UPDATE: (23.01.)

Avira hat die Fehlerursache inzwischen identifiziert und uns mitgeteilt, dass sie voraussichtlich in der kommenden Woche behoben werden kann. Avira-Kunden können dann auch bei aktiviertem Browser-Schutz wieder fehlerfrei auf Ihr Posteo-Postfach zugreifen.

Sollten auch Sie von den Anzeigeproblemen betroffen sein, deaktivieren Sie bitte bis zur Fehlerbehebung das “Avira Browserschutz”-Add-on. Rufen Sie Posteo dann erneut in Ihrem Browser auf. Ihr Postfach sollte wieder störungsfrei angezeigt werden und laden.

Wir stehen weiter mit Avira in Kontakt. Wir werden diesen Blogbeitrag erneut updaten, wenn wir bestätigen können, dass der Fehler behoben wurde.

Bei Rückfragen können Sie sich gerne per E-Mail an unseren Support wenden unter support@posteo.de.

Viele Grüße
Ihr Posteo-Team

Neu: Anonymes Bezahlsystem erweitert

2014-12-31T12:13:00+01:00

Liebe Posteo-Kunden,

ab sofort wickeln wir Bezahlvorgänge über unser neues, erweitertes Einmal-Code-System zum Anonymisieren von Zahlungen ab. Bislang haben wir unser codebasiertes Bezahlsystem ausschließlich dazu verwendet, die Bezahldaten von den E-Mail-Postfächern zu trennen. Seit heute enthalten die Einmal-Codes auch eine chiffrierte Landeskennung, damit wir trotz einer neuen Gesetzeslage auch weiterhin unser datensparsames Konzept beibehalten können.#more#

Am 01.01. tritt das so genannte “Kroatien-Gesetz” in Kraft. Das Gesetz ist die deutsche Umsetzung einer EU-Verordnung. Sie schreibt vor, dass Anbieter elektronischer Dienstleistungen jeweils in dem EU-Land Umsatzsteuer abführen müssen, in dem der Verbraucher sitzt. Bisher war der Firmensitz des Dienstleisters ausschlaggebend für den Ort der Besteuerung. Ab dem 01.01. sind wir deshalb dazu verpflichtet, bei jedem Zahlungsvorgang durch mehrere Maßnahmen festzustellen, aus welchem EU-Land uns eine Zahlung erreicht. Dies kann zum Beispiel mit Hilfe einer Geo-IP-Bestimmung oder der Auswertung von Zahlungsdaten erfolgen. Der Gesetzgeber fordert, mindestens zwei Merkmale festzustellen, die sich nicht widersprechen dürfen. Das Erfüllen dieser neuen gesetzlichen Vorgaben war eine Herausforderung für uns: Denn wir speichern keine personenbezogenen Daten von Ihnen und möchten dies auch weiterhin nicht tun.

Deshalb haben wir unser anonymes Bezahlverfahren zum Inkrafttreten des neuen Gesetzes erweitert, um unser konsequentes Datensparsamkeitskonzept beibehalten zu können. Wir sind nun zwar dazu verpflichtet, eine gesetzlich vorgeschriebene Landesbestimmung durchzuführen. Ihr Ergebnis wird aber in einen Abschnitt unserer Einmal-Codes chiffriert, den ausschließlich Sie erhalten, wenn Sie künftig einen Bezahlvorgang starten. Dieser Teil des Codes beinhaltet das Ergebnis einer Geo-IP-Bestimmung und einer Browser-Regions-Bestimmung (Ihre IP-Adresse wird nicht gespeichert). Der Teil des Codes, der in unserem System liegt, ist etwas kürzer und beinhaltet diese sensible Information nicht. Sie wird bis zum Abschluß der Zahlung also zu Ihnen “ausgelagert”. Das ist wichtig, da wir sonst bis zum Zahlungsabschluß personenbezogene Daten mit Postfachbezug in unserem System hätten. Und das wollen wir nicht.

Sie teilen uns den vollständigen Code, und damit auch das Ergebnis der Landesbestimmung, erst im Verwendungszweck Ihrer Zahlung mit. Trifft eine Zahlung per Überweisung oder in einem Brief bei Posteo ein, wertet unser Bezahlsystem automatisiert den Code aus – und kann die Zahlung so dem Postfach zuordnen. Die chiffrierte Landeskennung in den letzten 3 Zeichen wird ebenfalls automatisiert ausgewertet, um die abzuführende Umsatzsteuer für das jeweilige EU-Land zu berechnen. Mit Ihrem Postfach wird die ausgewertete Information nicht verknüpft. Der Auswertungs-Vorgang dauert nur den Bruchteil einer Sekunde. Ist der Code ausgewertet, ist das Guthaben aufgeladen und der Einmal-Code ist aus
dem System gelöscht. So ist nicht mehr feststellbar, für welches Posteo-Postfach Sie Guthaben eingezahlt haben. Und es ist nicht mehr feststellbar, in welchem Land der Besitzer eines Posteo-Postfachs lebt.

Paypal- und Kreditkartenzahlungen werden direkt nach dem Start des Bezahlvorgangs abgeschlossen. Deshalb ist das Anwenden des Code-Systems hier nicht notwendig. Auch die Informationen zur Landesbestimmung werden umgehend ausgewertet und müssen nicht temporär gespeichert werden. Paypal- und Kreditkartenzahlungen sowie die bei ihnen erhobenen Landeskennungen werden ebenfalls nicht mit den E-Mailpostfächern verknüpft.

Wir haben Verständnis für das Vorhaben des Gesetzgebers, mit dem neuen Gesetz Steuerschlupflöcher stopfen zu wollen. Problematisch ist aber, dass auch Unternehmen, die datensparsam arbeiten wollen, durch das “Kroatiengesetz” verpflichtet werden können, personenbezogene Daten ihrer Kunden zu erheben und zu speichern. In der Regel verfügen Anbieter nicht über komplizierte codebasierte Bezahlsysteme, die es ermöglichen, datensparsam zu arbeiten – sie müssen die Daten dann schlicht abfragen und speichern. So entstehen neue, weitere Datenhalden. Außerdem: Eine Bankverbindung ist schon recht manipulationssicher. Ob zusätzliche Maßnahmen wie Geolokalisierungen die Trefferquote nennenswert erhöhen, bezweifeln wir.

Weitere Informationen zum anonymen Bezahlsystem von Posteo finden Sie auf einer Infoseite Bezahlung, die wir seit heute bereit stellen.

Viele Grüße und einen guten Rutsch ins neue Jahr wünscht Ihnen,
Ihr Posteo-Team

Neu: Zwei-Faktor-Authentifizierung im Webmailer

2014-11-12T08:05:00+01:00

Liebe Posteo-Nutzer,

es gibt Neuigkeiten: Sie haben ab sofort die Möglichkeit, den Zugriff auf Ihr Posteo-Postfach (im Browser) mit einer Zwei-Faktor-Authentifizierung zusätzlich abzusichern.

#more#

Die Technologie ist vergleichbar mit den mehrstufigen Sicherheitsverfahren im Bankenbereich. An einem Geldautomaten können Sie nur dann Geld abheben, wenn Sie etwas wissen (Ihre Geheimzahl) und etwas besitzen (Ihre EC-Karte). Mit der Zwei-Faktor-Authentifizierung verhält es sich ähnlich: Sie benötigen für den Login etwas, das Sie wissen: Ihr Posteo-Passwort. Und etwas, das Sie besitzen, z.B. Ihr Mobiltelefon. Der Login-Vorgang verändert sich durch die neue Absicherung nur geringfügig: Nachdem Sie Ihren Benutzernamen und Ihr Passwort eingegeben haben, wird zusätzlich ein aktuelles Einmal-Passwort abgefragt. Das Einmal-Passwort wird Ihnen auf einem Gerät (z.B. auf einem Mobiltelefon, Tablet oder Desktop) angezeigt, für das Sie zuvor die Zwei-Faktor-Authentifizierung aktiviert haben.

Sollten Kriminelle oder Geheimdienste einmal Ihre Zugangsdaten (Benutzername und Passwort) erbeuten, haben sie keine Möglichkeit, über den Webmailer auf Ihr Konto zuzugreifen – und dort z.B. Ihre Konto- und Sicherheitseinstellungen zu manipulieren. Die herkömmlichen Zugangsdaten reichen für den Login-Vorgang nicht mehr aus.

Wir haben die Zwei-Faktor-Authentifizierung für Sie so einfach und so sicher wie möglich bereitgestellt: Bei Posteo haben Sie nicht nur die Möglichkeit, die Technologie mit kostenfreien Apps auf allen gängigen Plattformen zu nutzen; Sie können hierfür auch spezielle Zusatzhardware (wie z.B. einen Yubikey) verwenden. Alle Nutzer, die Posteo nur im Browser (über den Webmailer) aufrufen, können mit der Zwei-Faktor-Authentifizierung sogar die Sicherheit Ihrer E-Mails und Ihres Postfachs insgesamt deutlich erhöhen. Wenn sie in den Einstellungen angeben, dass Sie ausschließlich den Webmailer verwenden, wird der Zugriff für lokale E-Mailprogramme gesperrt. So lassen sich auch Angriffe ausschließen, die nicht über den Browser, sondern über externe Programme (via IMAP und POP3) erfolgen.

Das Einrichten der Zwei-Faktor-Authentifizierung ist simpel. Sie ist auch für Nutzer ohne technische Fachkenntnisse empfehlenswert. Die Technologie basiert auf dem offenen TOTP-Standard. Weitere Kosten entstehen Ihnen nicht: Wir stellen die neue Funktion ohne Aufpreis bereit. Wie Sie die Zwei-Faktor-Authentifizierung aktivieren können, erfahren Sie in der Posteo-Hilfe.

Die Zwei-Faktor-Authentifizierung erhöht die Sicherheit beim Webmail-Zugriff bereits signifikant. Unser Entwickler-Team arbeitet darüber hinaus aktuell an einer Lösung, die auch den Zugriff über lokale E-Mailprogramme mit einem mehrstufigen Sicherheitsverfahren absichern soll. Wir hoffen, Ihnen auch diese Lösung bald zur Verfügung stellen zu können.

Liebe Grüße
das Posteo-Team

Eingabe des aktuellen Einmal-Passworts bei der Anmeldung

Aktivierung der Zwei-Faktor-Authentifizierung in den Einstellungen

E-Mail-Verschlüsselung im Browser mit Mailvelope

2014-10-10T11:16:00+02:00

Liebe Posteo-Nutzer,

seit einigen Tagen ist eine neue Version des Verschlüsselungs-Add-ons Mailvelope (für Firefox und Chrome) verfügbar. In der neuen Version ist es für Posteo bereits vorkonfiguriert.
Dadurch ist es nun komfortabel möglich, die Inhalte einzelner E-Mails im Posteo-Webmailer mit OpenPGP zu verschlüsseln.

#more#

Anhänge können mit dem Add-on nicht verschlüsselt werden. Mailvelope ist besonders interessant für alle, die Posteo bevorzugt im Webmailer nutzen und ihre E-Mails dort mit einer Ende-zu-Ende-Verschlüsselung absichern möchten. Mailvelope ist quelloffen (Open Source): Der Programmcode des Add-ons ist einsehbar und basiert auf offenen Standards.

In der Posteo-Hilfe im Bereich “Webmail” finden Sie eine Anleitung, wie Sie das Add-on in Ihrem Browser (Firefox oder Chrome) installieren können – und wie das Verschlüsseln mit Mailvelope funktioniert. Andere Browser, wie z.B. Safari oder den Internet Explorer, unterstützt Mailvelope bisher nicht. Sollten Sie Probleme beim Verwenden von Mailvelope oder Fragen zu dem Verschlüsselungs-Add-on haben, wenden Sie sich bitte an den Mailvelope-Support.

Viele Grüsse
Ihr Posteo-Team

Email encryption in your browser with Mailvelope

Dear Posteo user,

A few days ago, a new version of the encryption add-on Mailvelope (available for Firefox and Chrome) was released. The new version is preconfigured to work with Posteo.

Using the add-on, it is now possible to easily encrypt the content of emails using OpenPGP within the Posteo webmail interface. You can also sign your emails, but attachments can not be encrypted using the add-on. Mailvelope is especially interesting for all who prefer to use the Posteo webmail interface and who would like to secure their emails with end-to-end encryption. Mailvelope is open source: The program code for the add-on is visible and based on open standards.

In the Posteo help section “Webmail”, you can find instructions on how to install the add-on in Firefox or Chrome and how encryption using Mailvelope works. Other browsers such as Safari or Internet Explorer do not yet support Mailvelope. If you encounter problems using Mailvelope or have questions about the add-on, please contact Mailvelope support.

Best regards,
The Posteo Team

Posteo-Webmailer: Neues Design verfügbar

2014-09-23T15:23:00+02:00

Liebe Posteo-Nutzer,

es gibt Neuigkeiten: Seit heute ist das neue Standard-Design unseres Webmailers verfügbar. #more#

Sie haben ab sofort die Möglichkeit, das neue Design in den Einstellungen Ihres Postfachs unter “Einstellungen” → “Benutzeroberfläche” → “Oberflächendesign” zu aktivieren. Wenn Sie das Design nutzen möchten, wählen Sie dort bitte “Standard” aus und bestätigen die Design-Umstellung mit “Speichern”.

Unser Team hat in den vergangenen Monaten an dem Erscheinungsbild der Benutzeroberfläche gearbeitet. Der Webmailer ist nun optisch ansprechender – und lässt sich einfacher bedienen.
Das alte Design wird übergangsweise noch bis zum Frühjahr 2015 unterstützt – wir empfehlen aber, schon jetzt auf das neue Design umzustellen.

Wir werden bald weitere Varianten des neuen Standard-Designs zur Verfügung stellen. Andere Bereiche, wie zum Beispiel die Hilfe, werden schrittweise an das neue Design angepasst.

Im Zuge der Design-Umstellungen wurden im Hintergrund auch technologische Verbesserungen vorgenommen: Diese bilden die Grundlage für verschiedene neue Funktionen, wie zum Beispiel die Posteo-Postfach-Verschlüsselung, die wir in diesem Herbst einführen werden.

Viele Grüße
Ihr Posteo-Team

Demo gegen Überwachung in Berlin

2014-08-22T14:15:00+02:00

Liebe Posteo Nutzer,

wir wenden uns heute mit einem kurzen Terminhinweis an Sie:

Am Samstag, dem 30. August, findet in Berlin die Großdemonstration “Freiheit statt Angst” statt, zu der ein breites gesellschaftliches Bündnis aufruft. #more# Die Demonstration richtet sich gegen die Überwachung der Bürgerinnen und Bürger. Der Umzug startet um 14 Uhr auf der Westseite des Brandenburger Tores. Mehr Informationen finden Sie auf der Website der Demonstration.

Viele Grüße
Ihr Posteo-Team

Telekom-Router "Speedport W 724V" blockiert Posteo

2014-06-17T14:30:00+02:00

Liebe Posteo-Nutzer,

wir haben einen wichtigen Hinweis für alle Nutzer, die den Router “Speedport W 724V” der Telekom verwenden: Dieser Router blockiert ab Werk das Versenden von E-Mails aus lokalen E-Mail-Programmen (z.B. aus Thunderbird, Outlook oder von Smartphones und Tablets), wenn ein E-Mailanbieter nicht auf der im Router hinterlegten “Liste der sicheren Mailserver” steht. #more#

Posteo steht nicht auf dieser Liste. Deshalb schlägt der Mailversand fehl, wenn Posteo-Nutzer mit einem “Speedport W 724V” Router versuchen, E-Mails aus E-Mail-Programmen zu versenden. Wir erhalten seit einiger Zeit täglich Anfragen von Betroffenen – und sind daraufhin in Dialog mit der Telekom getreten. Nun wurde uns eine Änderung bzw. Ergänzung der Liste zugesagt. Allerdings wird dies voraussichtlich nicht zeitnah geschehen, da die Liste von der Telekom nur mit einem Firmware-Update erweitert werden kann.
Dynamisch aktualisierbar ist sie nach Angaben der Telekom nicht. Leider hat diese “starre” Konfiguration zur Folge, dass unsere Nutzer zurzeit massive Probleme im Zusammenspiel mit diesem Router haben.

Das Problem betrifft nur das Modell “Speedport W 724V”. Dass Posteo nicht auf der Telekom-Liste der “sicheren Mailserver” steht, lässt keine Rückschlüsse auf die Sicherheit unserer Server zu. Es handelt sich vielmehr um eine “Liste erlaubter Mailserver”, die die Telekom führt. Das Unternehmen möchte mit der Sendebeschränkung auf bestimmte Anbieter/Server den Spamversand durch verseuchte Nutzer-PC`s eindämmen.

Die gute Nachricht: Betroffene Nutzer können Posteo selbst in die “Liste der sicheren Mailserver” eintragen und die Sendeprobleme so beheben.

Und so geht es:
Wenn Sie einen “Speedport W 724V” Router der Telekom besitzen, rufen Sie in Ihrem Browser bitte die Bedienoberfläche Ihres Routers auf. Sie ist unter der Adresse “speedport.ip” erreichbar. Loggen Sie sich nun bitte mit dem Passwort ein, das als “Gerätepasswort” auf der Rückseite Ihres Gerätes steht. Sollten Sie das Passwort Ihres Routers geändert haben, geben Sie bitte dieses Passwort ein. Wählen Sie in der Bedienoberfläche nun bitte den Punkt “Internet” und dort “Liste der sicheren Mailserver” aus. Klicken Sie auf “Weiteren E-Mail-Server eintragen” und geben “posteo.de” ein. Fertig – nun können Sie über Ihr Netzwerk mit allen Programmen und Geräten über Posteo E-Mails versenden. Zur Illustration haben wir diesem Beitrag einen Screenshot beigefügt.

Viele Grüße,
Ihr Posteo-Team

Posteo unterstützt DANE/TLSA

2014-05-12T08:45:00+02:00

Liebe Posteo-Nutzer,

wir unterstützen seit heute die innovative Technologie DANE/TLSA (DNS-based Authentification of Named Entities).#more# DANE eliminiert verschiedene Schwachstellen der weit verbreiteten Transportwegverschlüsselung SSL/TLS – und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und beim Zugriff auf Webseiten.

Mit DANE werden die so genannten „digitalen Fingerabdrücke“ eines Verschlüsselungs-Zertifikates im „Telefonbuch“ des Internets (DNS) hinterlegt. Dort können sie von Mailservern, Mailprogrammen und Browsern automatisiert überprüft werden, bevor eine verschlüsselte Verbindung zu einer Seite aufgebaut oder eine E-Mail übertragen wird. So lässt sich die Echtheit eines Servers vor jedem Verbindungsaufbau verifizieren. Bisher senden die meisten Server Daten über verschlüsselte Verbindungen, ohne vorab die Echtheit des anderen Servers verifiziert zu haben. DANE verhindert wirksam, dass Dritte (Kriminelle, Geheimdienste) vortäuschen können, ein bestimmter Web- oder Mailserver zu sein, um an Zugangsdaten oder Inhalte zu gelangen (gefälschte Zertifikate).

Die Einträge im „Telefonbuch“ des Internets werden zusätzlich mit der Technologie DNSSEC abgesichert, damit DANE vertraut werden kann. DNSSEC verhindert, dass Dritte Einträge verändern und die „digitalen Fingerabdrücke“ der Verschlüsselungs-Zertifikate austauschen können. Leider wird DNSSEC von den meisten Domainanbietern noch nicht unterstützt. Auch Posteo musste vor der Einführung von DANE seinen Domainanbieter wechseln.

DANE eröffnet auch auf anderer Ebene neue Möglichkeiten: Mailserver können ab sofort mit Hilfe eines DANE-Eintrages verschlüsselte Verbindungen erzwingen. Bisher handeln Mailserver vor dem Aufbau jeder Verbindung neu aus, ob beide Partner aktuell eine Verbindungsverschlüsselung unterstützen. Posteo hat seine Server bereits so konfiguriert: Haben andere Mailanbieter auch einen DANE-Eintrag, versendet Posteo an deren Server grundsätzlich nur noch über verschlüsselte Verbindungen. Kommt keine verschlüsselte Verbindung zustande, wird der Mailversand aus Sicherheitsgründen abgebrochen. So lassen sich nicht nur Man-in the-Middle-Attacken verhindern. Das Verfahren ist auch aus folgendem Grund so wichtig: Mit DANE können Mailserver sich weltweit eindeutig authentifizieren – und sich gegenseitig garantieren, dass E-Mails stets über verschlüsselte Verbindungen übertragen werden. Anders als z.B. bei „E-Mail Made in Germany“, einem Verbund weniger deutscher Anbieter, der alle anderen Mailserver aussen vor lässt und seinen Nutzern nur untereinander verschlüsselte Verbindungen verspricht. Posteo lehnt diese Art der „Abschottung“ einzelner deutscher Anbieter ab: Ein globales Netz erfordert globale Verbesserungen in der Sicherheit der Kommunikation über einheitliche, offene Standards.

Da die Technologie noch sehr wenig verbreitet ist, gibt es derzeit kaum Programme oder andere Provider, die DANE unterstützen. Wir wollen deshalb mit gutem Beispiel vorangehen, um die Verbreitung dieses wichtigen Verfahrens vorantreiben – DANE wird künftig maßgeblich dazu beitragen, die Kommunikation im Internet wieder sicherer zu machen.

Immerhin: Für alle gängigen Browser gibt es bereits DANE-Addons, mit denen Internetnutzer den Zugriff auf Posteo schon jetzt mit DANE absichern können. Auf folgender Webseite finden Sie eine Liste aller bereits verfügbaren Erweiterungen. Wir können keinen Support für Addons und Prüftools leisten, bitte haben Sie Verständnis.

Direkt implementiert ist die Technologie bisher aber in keinem Browser. Wir hoffen, dass die Hersteller DANE und DNSSEC möglichst bald nachrüsten. Auch möchten wir andere Mailanbieter dazu anregen, DANE zu implementieren, damit die Kommunikation über verschlüsselte Verbindungen zwischen den Mailservern weltweit sicherer wird.

Liebe Grüße
das Posteo-Team

Nach Posteo-Transparenzbericht: Telekom zieht nach

2014-05-05T14:15:00+02:00

Liebe Posteo-Nutzer,

heute ist ein guter Tag für die Bürgerrechte im Netz: Erst heute morgen hatten wir als erster deutscher Provider einen Transparenzbericht über Auskunftsersuchen von Behörden veröffentlicht.#more#
Wir hatten darauf gehofft, dass andere deutsche Anbieter schon bald folgen würden. Nun ging alles schneller als erwartet. Die Telekom ist unserem Beispiel bereits heute Mittag gefolgt: Das Unternehmen hat soeben einen eigenen Transparenzbericht veröffentlicht. Heute morgen hatte die taz noch berichtet, dass die Telekom sich für nicht zuständig halte.

Aus dem Bericht der Telekom geht hervor, dass Behörden im vergangenen Jahr 49.796 Telekom-Anschlüsse überwacht haben. Außerdem erhielten Behörden 436.331 Verkehrsdatensätze und 28.162 Bestandsdatensätze von dem Unternehmen und ermittelten 946.641 Mal Anschlussinhaber hinter bestimmten IP-Adressen. Leider ist nicht dokumentiert, wie viele Anfragen abgelehnt wurden, und wie viele erfolgreich waren.

Einem Artikel der Zeit zufolge wollen auch andere Anbieter nun nachziehen:

Ein Sprecher von GMX und WEB.DE erklärte zeit.online, man arbeite “an einem Modell, hier für Transparenz zu sorgen”. Von Vodafone und Strato liegen bislang keine Antworten vor.

Wir haben zum Schluss eine Bitte an Sie: Wir möchten erreichen, dass Transparenzberichte Standard werden. Bitte fragen Sie mit Hilfe unseres Rechtgutachtens und der Antwort der Bundesregierung Ihre Provider nach Transparenzberichten. Es besteht eine gute Chance, jetzt mehr Transparenz bei deutschen Anbietern zu erreichen.

Viele liebe Grüße,
Ihr Posteo-Team

Posteo veröffentlicht Transparenzbericht

2014-05-05T06:00:00+02:00

Liebe Posteo-Nutzer,

vor einiger Zeit hatten wir es angekündigt, nun ist es endlich soweit: Wir haben heute als erster deutscher Telekommunikationsanbieter einen Transparenzbericht veröffentlicht.#more# Vorab hatten wir in einem Rechtsgutachten untersuchen lassen, ob dies deutschen Unternehmen trotz gesetzlicher Verschwiegenheitspflichten gestattet ist. Die Gutachter sind zu dem Schluss gekommen, dass das Veröffentlichen von Transparenzberichten zulässig ist, solange keine Ermittlungen gefährdet werden. Unterstützung für unseren Bericht haben wir von Hans-Christian Ströbele (MdB) erhalten: Er hatte die Bundesregierung Mitte April zur Rechtmäßigkeit von Transparenzberichten deutscher Anbieter befragt. Die Bundesregierung hat in ihrer Antwort die Ansicht unserer Gutachter bestätigt.

Unser Transparenzbericht dokumentiert alle Anfragen von Strafverfolgungsbehörden und Nachrichtendiensten, die wir im Jahr 2013 erhalten haben und informiert darüber, wie oft tatsächlich Daten herausgegeben wurden. Er enthält außerdem Informationen über die Art der Anfragen sowie über die Anzahl von Behördenersuchen mit formalen Mängeln. Im Rahmen des Berichtes machen wir auch einen Fall von Behördenwillkür öffentlich: Beamte des Staatsschutzes hatten im Juli 2013 eine Durchsuchung bei Posteo durchgeführt und versucht, uns zu einer rechtswidrigen Kooperation zu nötigen. Auch zu diesem Vorfall hatte Ströbele die Bundesregierung befragt. Er sagte heute zur Veröffentlichung: “Ich habe sehr aufmerksam zur Kenntnis genommen, dass heute das Berlin-Kreuzberger Unternehmen Posteo, das verschlüsselte E-Maildienste anbietet, als erster deutscher Dienst mutig einen detaillierten Transparenzbericht veröffentlicht hat über dort eingegangene Auskunftsersuchen deutscher Strafverfolger. Ich werde mich für eine Klarstellung der Rechtslage – entsprechend dem von Posteo eingeholten Rechtsgutachten – dahin einsetzen, dass Posteo und alle ähnlichen Unternehmen zukünftig außer statistischen Angaben auch Einzelinformationen über solche Ersuchen veröffentlichen dürfen, ohne dabei Sanktions-Androhungen zu befürchten.”

Behörden fragen vor allem nach Bestandsdaten
Deutsche Strafverfolgungsbehörden richteten im Jahr 2013 in sieben Fällen Anfragen zur Herausgabe von Nutzerdaten an uns. In allen Fällen wurde um die Bestandsdaten einzelner Nutzer ersucht. Diese Anfragen wurden von uns stets negativ beantwortet, da wir aus Gründen der Datensparsamkeit keine Bestandsdaten erheben. In einem Fall lagen weitere Ersuchen vor: Unter anderem Beschlüsse zur Beschlagnahmung und zur laufenden Überwachung (TKÜ) eines E-Mailpostfachs. Diesen musste Posteo nachkommen.

Nur zwei der insgesamt sieben Behördenersuchen um Bestandsdaten waren formal korrekt.
Mehr als zwei Drittel der Ersuchen wurde entweder nicht vorschriftsmäßig an uns übermittelt oder es wurden Daten abgefragt, die ohne einen richterlichen Beschluss gar nicht hätten abgefragt werden dürfen. Wegen zwei Fällen haben unsere Anwälte Beschwerde beim zuständigen Landesdatenschutzbeauftragten eingelegt.

Posteo ist ein sehr kleiner Anbieter. Wir haben im Jahr 2013 nur sieben Behördenanfragen erhalten. Uns geht es aber darum, hier Pionierarbeit zu leisten. Dass deutsche Anbieter bisher keine Transparenzberichte veröffentlichen, liegt auch an der nicht eindeutigen Rechtslage hierzulande. Deshalb hatten wir vorab ein Rechtsgutachten erstellen lassen und hoffen, dass andere Unternehmen nun nachziehen. Wir möchten etwas für die Bürgerrechte im Internet erreichen. Unser Rechtsanwalt Matthias Bergt, der Autor des Gutachtens erklärt die Rechtslage wie folgt: "Eigentlich verpflichten Gesetze wie das TKG oder das G10-Gesetz deutsche Unternehmen, Auskunftsersuchen geheim zu halten. Wer Informationen zu staatlichen Überwachungsmaßnahmen weitergibt, macht sich in vielen Fällen strafbar. Wir sind in unserem Gutachten aber zu dem Schluss gekommen, dass die Intention des Gesetzgebers nicht ist, ein allgemeines Verbot jeglicher Aussagen zu Behördenanfragen auszusprechen. Vielmehr geht es darum, eine Gefahrdung der Ermittlungen durch einzelfallbezogene Angaben zu vermeiden. Statistische Angaben wie sie Posteo in seinem Transparenzbericht macht, sind deshalb zulässig. Nicht erlaubt wäre es dagegen, einen Nutzer über eine erfolgte oder gar erst noch bevorstehende Auskunft zu seinem Namen und seiner Anschrift zu informieren.“
Wir freuen uns sehr, dass die Bundesregierung die Rechtsauffassung unserer Anwälte bestätigt hat. Denn nun kann sich kein Provider mehr auf die unklare Rechtslage berufen: Wer jetzt keinen Transparenzbericht veröffentlicht, will das nicht tun.

Staatsschutz-Beamte setzten Posteo unter Druck
Im Rahmen des Berichtes machen wir auch öffentlich, wie Beamte des Staatsschutzes im Juli 2013 eine Durchsuchung bei Posteo durchgeführt haben und versuchten, uns zu einer rechtswidrigen Kooperation zu nötigen. Als Druckmittel setzten sie einen angeblichen Beschluss zur Durchsuchung und Beschlagnahmung der gesamten Geschäftsunterlagen von Posteo ein – über den sie tatsächlich aber nicht verfügten. Die Beamten wollten unter anderem erreichen, dass wir für sie dokumentieren, mit welchen IP-Adressen sie (die Kunden von Posteo) beim Login auf ihre E-Mailadressen zugreifen (ähnlich einer Vorratsdatenspeicherung). Unsere Anwälte haben Strafanzeigen und Dienstaufsichtsbeschwerden gegen alle beteiligten Beamten und Richter gestellt.

Detaillierte Informationen zu diesem Vorfall finden Sie in unserer Strafanzeige gegen die beteiligten Beamten (im Transparenzbericht).

Wir hoffen, dass unsere Anzeigen bewirken, dass es bei Posteo künftig nicht mehr zu solchen Vorfällen kommt.
Auch in Zukunft werden wir bei Willkür stets Anzeige erstatten und uns auch für betroffene Nutzer einsetzen, wenn unserer Anwälte feststellen, dass ein Ersuchen nicht rechtskonform ist.

Hinweis: Wir können aus Kapazitätsgründen keine individuellen Fragen zu unserem Transparenzbericht beantworten oder eine Rechtsberatung leisten. Wir bitten um Verständnis.

Liebe Grüße,
Ihr Posteo-Team

Neu: Kontakte nach Nachnamen sortierbar

2014-04-23T16:00:00+02:00

Liebe Posteo-Nutzer,

wir haben heute eine neue Funktion freigeschaltet: Das Adressbuch kann im Webmailer ab sofort auch nach Nachnamen sortiert werden. #more# Viele von Ihnen hatten sich dies gewünscht. Die Sortierung Ihrer Adressbuch-Kontakte können Sie ab sofort in den Einstellungen Ihres Postfachs unter “Einstellungen” > “Adressbuch” ändern, indem Sie im Bereich “Sortierung” die Option “Nachname” auswählen.

Viele liebe Grüße,
Ihr Posteo-Team

Unser neues, erweitertes Zertifikat ist installiert

2014-04-17T09:10:00+02:00

Liebe Posteo-Nutzer,

bereits in der vergangenen Woche hatten wir wegen der Heartbleed-Sicherheitslücke unser Zertifikat gegen ein vorübergehendes neues Zertifikat ausgetauscht. Nun wurde auch unser neues Zertifikat, ein sogenanntes “Zertifikat mit erweiterter Überprüfung”, von der Zertifizierungsstelle beglaubigt. #more#
Das bedeutet, dass die Stelle unsere Identität bestätigt hat, nachdem Sie verschiedene Unterlagen von Posteo (Handelsregisterauszug, Gewerbeanmeldung, Schreiben von unserem Anwalt, Anruf bei uns und unserem Anwalt, Kopien von Kreditkarte und Personalausweis) geprüft hat.

Wir haben das Zertifikat nun ersetzt – das alte Zertifikat wurde widerrufen. Sie müssen Ihr Passwort nicht erneut ändern.

Das neue, erweiterte Zertifikat wird mit einer grün hinterlegten Adresszeile (vor unserer Internetadresse) ausgezeichnet. Klicken Sie darauf, wird Ihnen bestätigt, dass Sie wirklich auf unserer Webseite sind. Sie erfahren auch, wann unser Zertifikat ausgestellt wurde. Diese Information ist nach Heartbleed besonders wichtig. Mit dem erweiterten Zertifikat wollen wir Sie vor Betrug in Form von Phishingversuchen schützen. Erweiterte Zertifikate werden vor allem von Unternehmen eingesetzt, die mit sensiblen Daten umgehen, z.B. von Banken.

Unser neues Zertifikat entspricht den aktuellen Sicherheits-Standards und wurde mit dem SHA-256-Algorithmus signiert.

Falls Ihr Browser, Ihr Mailprogramm, Smartphone oder Tablet nach der Umstellung eine Fehlermeldung wegen eines ungültigen Zertifikates produzieren sollte, liegt dies nicht an einem Angriff oder einem Fehler. Ihr Programm hat dann lediglich noch das alte Zertifikat zwischengespeichert. Abhilfe sollte in den meisten Fällen ein Neustart des Programms oder Gerätes bringen.

Die “elektronischen Fingerabdrücke” unseres neuen Sicherheitszertifikates lauten:
SHA256: 80:2B:33:67:66:39:C4:27:27:29:D6:14:11:1E:2B:7F:CF:C1:3D:58:5E:B7:6B:26:A3:63:80:2E:56:77:C6:03
SHA1: 3A:89:D8:AD:DC:A7:23:5C:8F:44:E9:DD:2E:85:6A:31:D2:D3:C9:70
MD5: 96:F6:19:7E:BE:1F:26:18:CB:37:15:85:04:97:07:13

Sie finden die Fingerabdrücke auch in unserem Impressum. Diese Information ist nur für Nutzer relevant, die unsere Zertifikate manuell abgleichen.

Viele liebe Grüße,
das Posteo-Team

Heartbleed Bug: Bitte ändern Sie Ihr Passwort

2014-04-11T14:30:00+02:00

Liebe Posteo-Nutzer,

wir wenden uns mit einem wichtigen Sicherheitshinweis an Sie.

Wir hatten bereits am Dienstag in unserem Blog darüber informiert, dass eine sehr schwerwiegende Sicherheitslücke in der weit verbreiteten Verschlüsselungssoftware OpenSSL entdeckt wurde. Die Software wird weltweit von den meisten Internetdiensten eingesetzt, die Verbindungen aus Sicherheitsgründen verschlüsseln.#more#

Posteo hatte deshalb am Dienstag auf allen Servern die “reparierte” Version der Verschlüsselungsbibliothek eingespielt und einen neuen TLS-Schlüssel generiert.

Nach dem aktuellen Kenntnisstand waren Posteo-Nutzer vor dem nachträglichen Entschlüsseln von Verbindungen zwar geschützt, weil wir alle verschlüsselten Verbindungen zusätzlich mit der Technologie Perfect Forward Secrecy absichern.

Wir wollen aber “auf Nummer sicher gehen”.

Leider benötigt die Zertifizierungsstelle nun länger als angenommen, um unser neues – besonders sicheres – erweitertes Zertifikat zu beglaubigen. Deshalb haben wir heute Mittag einen Schnitt gemacht. Wir haben das alte erweiterte Sicherheitszertifikat nun zunächst durch ein neues herkömmliches Zertifikat ausgetauscht. Dieses vorübergehende neue Zertifikat wurde uns von einer anderen Zertifizierungstelle (SwissSign) umgehend ausgestellt.

Nun wenden wir uns mit folgender Bitte an Sie:

Wir haben die alten Zertifikate ausgetauscht.
Ändern Sie aus Sicherheitsgründen nun bitte Ihr Posteo-Passwort.

Dies ist eine präventive Vorsichtsmaßnahme.
Wir empfehlen Ihnen ausserdem, auch bei anderen Onlinediensten (z.B. bei Banken, Online-Shops und sozialen Netzwerken) Ihr Passwort zu ändern, sobald die Dienste nicht mehr anfällig für den “Heartbleed” Bug sind und ihre Zertifikate ausgetauscht haben.

Da OpenSSL so weit verbreitet ist, waren fast alle wichtigen Dienste und Seiten betroffen. Viele große Internetdienste rufen aktuell ihre Nutzer dazu auf, die Passwörter zu ändern. Bitte folgen Sie diesem Rat.
Bei dem Heartbleed Bug handelt es sich um ein sehr schwerwiegendes Sicherheitsproblem, dass alle Internetnutzer ernst nehmen sollten.

Sobald unser neues, erweitertes Sicherheitszertifikat eintrifft, werden wir die Zertifikate erneut austauschen und darüber in unserem Blog (in der Kategorie “Info”) informieren. Es ist nicht notwendig, das Passwort nach diesem Zertifikatetausch noch einmal zu ändern.

Die folgenden Informationen sind nur für Nutzer relevant, die unsere
Fingerprints manuell abgleichen:

Die Fingerprints des aktuellen Zertifikats lauten:
SHA1: 73:F0:49:85:ED:15:66:FD:2C:D8:4A:93:51:08:D7:15:93:71:3D:E6
MD5: 2F:CB:9E:2F:DB:40:59:E2:72:13:D1:6F:0D:00:40:99

Viele liebe Grüße,
Ihr Posteo-Team

BSI-Reaktion: Posteo informiert betroffene Nutzer

2014-04-09T11:00:00+02:00

Liebe Posteo-Nutzer,

nun ging alles sehr schnell: Noch vorgestern hatten wir darüber berichtet, dass das BSI kleinen Anbietern wie Posteo leider nicht mitteilt, welche ihrer Nutzer vom aktuellen Datendiebstahl betroffen sind.#more# Die Behörde hatte diese Auskünfte nur Providern mit mehr als 20.000 betroffenen Postfächern erteilt.

Nun hat die Behörde auf unsere Nachfragen reagiert. Das BSI hat uns heute morgen eine Liste der betroffenen Postfächer (verschlüsselt) übermittelt. Wir haben die betroffenen Nutzer umgehend per E-Mail informiert.

Wenn Sie bisher keine E-Mail von uns erhalten haben, ist Ihr Posteo-Postfach deshalb sicher nicht betroffen. Sie müssen die BSI-Testseite nicht mehr aufsuchen und dort Ihre E-Mailadresse eingeben, um Gewissheit zu bekommen.

Insgesamt wurden uns 22 E-Mailadressen übermittelt. Drei davon gibt es nicht mehr.

Drei weitere waren Alias-Adressen. Mit erbeuteten Alias-Adressen ist bei Posteo aus Sicherheitsgründen aber keine Anmeldung möglich. Deshalb empfehlen wir unseren Nutzern, sich bei Online-Diensten und Shops bevorzugt mit Alias-Adressen anzumelden.

Über keines der übrigen 16 Postfächer wurde in den vergangenen 7 Tagen tatsächlich Spam versandt.

Datendiebe können auf ganz unterschiedlichen Wegen an Zugangsdaten gelangen. Zum Beispiel, indem Sie Anmeldedaten bei Online-Shops oder sozialen Netzwerken entwenden. Oder, indem Sie sich über Schadprogramme Zugang zu Geräten verschaffen. Es ist deshalb nicht sicher, in wievielen Fällen tatsächlich eine gültige Kombination aus einer E-Mailadresse und einem dazu gehörenden Passwort erbeutet wurde.

Für die Zukunft würden wir uns wünschen, dass das BSI auch kleineren E-Mailanbietern dieselben konkreten Auskünfte erteilt, wie den großen Providern. stern.de berichtet heute, das BSI wolle nun im Einzelfall klären, ob eine Datenweitergabe an kleinere E-Mail-Anbieter möglich sei. Ein Mitarbeiter des BSI wird wie folgt zitiert: “Leider gibt es keinen Gesamtüberblick: Wer ist Provider und wer nicht?”

Dazu möchten wir Folgendes anmerken: Wer in Deutschland E-Maildienstleistungen für die Öffentlichkeit erbringt, muss dies der Bundesnetzagentur mitteilen.

Liebe Grüße,
Ihr Posteo-Team

Posteo zum "Heartbleed"-Bug

2014-04-08T14:15:00+02:00

Liebe Posteo-Nutzer,

gestern wurde eine schwerwiegende Sicherheitslücke in der weit verbreiteten Verschlüsselungssoftware OpenSSL entdeckt. Die Software wird weltweit von den meisten Internetdiensten eingesetzt, die Verbindungen aus Sicherheitsgründen verschlüsseln. Die Entwickler von OpenSSL haben inzwischen ein Update ihrer Verschlüsselungsbibliothek veröffentlicht.#more#

Die neue Version enthält den Fehler nicht mehr. Allen besorgten Nutzern möchten wir auf diesem Wege Folgendes mitteilen: Posteo hat heute Vormittag auf allen Servern die “reparierte” Version der Verschlüsselungsbibliothek eingespielt und die Dienste neu gestartet.

Damit ist Posteo – nach dem aktuellen Wissensstand – nicht mehr von der Sicherheitslücke betroffen. Sollten in den kommenden Stunden und Tagen neue Informationen öffentlich werden, reagieren wir im Hintergrund umgehend auf diese Erkenntnisse. Es ist nicht notwendig, uns im Support mit neuen Informationen zu versorgen.

Wir möchten darauf hinweisen, dass Posteo alle Verbindungen zusätzlich mit der Technologie Perfect Forward Secrecy (PFS) absichert. Nach dem aktuellen Kenntnisstand schützt das Verwenden von PFS vor der nachträglichen Entschlüsselung durch potentielle Angreifer – auch, wenn diese den gestern bekannt gewordenenen Bug ausgenutzt haben sollten.

Wir haben als Konsequenz aus der Sicherheitslücke ausserdem bereits einen neuen TLS-Schlüssel generiert. Dieser muss nun von der Zertifizierungsstelle beglaubigt werden. Sobald der neue Schlüssel verfügbar ist, werden wir den Schlüssel austauschen und Ihnen die neuen Fingerprints mitteilen (im Blog und im Impressum). Diese Information ist nur für Nutzer relevant, die unsere Fingerprints manuell abgleichen.

Viele liebe Grüße,
Ihr Posteo-Team

Datendiebstahl: BSI informiert kleine Anbieter nicht

2014-04-07T17:00:00+02:00

Liebe Posteo-Nutzer,

wir haben in den vergangenen Tagen zahlreiche Anfragen von verunsicherten Nutzern erhalten. Sie wollten erfahren, ob sie vom Datendiebstahl betroffen sind, der in der vergangenen Woche bekannt wurde. Medienberichten zufolge wurden insgesamt 18 Millionen Zugangsdaten für E-Mailpostfächer entwendet.#more#

Wir würden unsere Nutzer sehr gerne darüber informieren, ob sie betroffen sind – und bemühen uns intensiv, Kontakt zu Verantwortlichen im BSI herzustellen. Bisher leider ohne Erfolg.

Das BSI hat uns bisher nicht mitgeteilt, ob – und wenn ja, wieviele bzw. welche Posteo-Postfächer vom aktuellen Datendiebstahl betroffen sind. Inzwischen wurde uns von der Pressestelle mitgeteilt, dass diese Auskünfte nur E-Mailanbietern erteilt wurden, bei denen mehr als 20.000 Postfächer betroffen sind. Diese (sehr großen) Anbieter haben nun die Möglichkeit, alle betroffenen Kunden adäquat zu informieren.

Da bei Posteo nur wenige Nutzer betroffen sein dürften, wurden wir nicht informiert. Deshalb haben wir zurzeit auch keine Möglichkeit, eventuell betroffene Posteo-Nutzer aufzuklären.

Das würden wir aber gerne: Deshalb versuchen wir weiter, Kontakt zu den Verantwortlichen im BSI herzustellen. Auch bei einer geringen Anzahl von Betroffenen möchten wir gerne dieselben konkreten Auskünfte erhalten wie die großen Provider.

Was können Posteo-Nutzer bis dahin tun?

Das BSI empfiehlt verunsicherten Nutzern, auf der Testseite des BSI selbst zu überprüfen, ob Ihre Adresse betroffen ist. Das BSI gibt an, dass während des Tests die eingegebene E-Mailadresse sowie ein Hash Ihrer IP-Adresse dort gespeichert wird. Die Behörde versichert aber auch, dass alle personenbezogenen Daten, die bei der Nutzung des Tests erhoben werden, vollständig gelöscht werden, “sobald sie zur Durchführung des Tests nicht mehr benötigt werden”. Die angegebene E-Mail-Adresse werde zu “keinem anderen Zweck als zur Durchführung des Sicherheitstests verwendet”. Leider erhalten Sie bei diesem Test nur dann eine Antwort, wenn Ihre E-Mailadresse sicher betroffen ist. Wenn Ihre E-Mailadresse nicht betroffen ist, gibt es keine Entwarnung. Diese Lösung ist unbefriedigend, weil natürlich auch ein technischer Fehler eine Antwort verhindern könnte.
Wenn Sie verunsichert sind, empfehlen wir Ihnen – unabhängig vom BSI-Test -, einfach Ihr Passwort zu ändern.

Liebe Grüße,
Ihr Posteo-Team

Posteo zur Mär von der "Abhör-Schnittstelle"

2014-01-29T18:05:00+01:00

Liebe Posteo-Nutzer,

in diesem Blogbeitrag geht es um ein Thema, das viele von Ihnen verunsichert und zu dem wir aktuell zahlreiche Anfragen erhalten. Es geht darum, auf welche Art deutsche E-Mailanbieter Daten an Ermittlungsbehörden übergeben, wenn ein richterlicher Beschluss zur Herausgabe oder Überwachung eines E-Mailpostfachs vorliegt. #more#

Die Computerzeitschrift c`t schreibt hierzu in Ihrer aktuellen Ausgabe (4/2014):

“E-Mailprovider mit mehr als 10.000 Kunden müssen eine so genannte SINA-Box betreiben, die den Mailverkehr aller Kunden ausleiten kann, ohne dass es der Provider oder der Kunde bemerkt.”

Das ist falsch. Es ist deutschen Behörden nicht möglich, ohne das Wissen eines Providers auf E-Mails von Nutzern zuzugreifen. Und eine SINA-Box hat keinen Zugriff auf die Systeme eines Providers.
Wir haben die Redaktion um Richtigstellung gebeten. Sie hat den Fehler inzwischen eingeräumt und eine Richtigstellung im c’t-Blog veröffentlicht. Da wir nicht alle Anfragen persönlich beantworten können, möchten wir nun an dieser Stelle darüber informieren, wie es sich mit der SINA-Box verhält:

Bei Posteo steht bisher keine SINA-Box.
In der Telekommunikations-Überwachungsverordnung gibt es die Pflicht für Telekommunikations-Anbieter, ab einer Teilnehmerzahl von 10.000 einen speziellen Computer (SINA-Box) aufzustellen. Bei uns ist nicht zweifelsfrei zu sagen, wieviele Teilnehmer unser Dienst hat, da wir keine Bestandsdaten unserer Nutzer erheben. Wir wissen nur die Anzahl der Postfächer.

Wir werden sicher irgendwann eine SINA-Box anschaffen müssen – die Einschätzung des richtigen Zeitpunkts überlassen wir unseren sehr erfahrenen Anwälten, die für verschiedene Telekommunikations-Unternehmen SINA-Lösungen mit der Bundesnetzagentur verhandeln. Das ist aber eher ein finanzielles Ärgernis. Die Sicherheit der Daten unserer Nutzer wird dadurch nicht gemindert. Davon sind wir inzwischen, nach einer intensiven Auseinandersetzung mit diesem Thema (u.a. mit Anwälten und Behörden), überzeugt – und können Ihnen dies versichern.

Eine SINA-Box ist ein Computer, der eine verschlüsselte Verbindung zu den berechtigten Behörden aufbaut, ein so genanntes VPN. Wir hätten zwar keinen Zugriff auf die SINA-Box. Aber die Behörden hätten über die SINA-Box umgekehrt auch keinen Zugriff auf unsere Server oder auf unseren Netzwerkverkehr.
Im Gegenteil: Die Behörde hätte keinen Zugriff auf unsere Server. Sie würde uns aber die Möglichkeit geben, den Inhalt eines Postfachs über die SINA-Box auf einem Behörden-Server abzuspeichern, wenn ein Richter die Herausgabe/Überwachung eines Postfachs angeordnet hätte.
Auf diesen hätten wir danach keinen Zugriff mehr, sondern nur die Behörde. Allerdings würden sich auf diesem Computer ausschließlich die Daten befinden, die wir selbst (Posteo) dort hinterlegt hätten.
-———
Anmerkung: Die c`t schreibt, dass über eine SINA-Box der Mailverkehr aller Kunden ausgeleitet werden kann, ohne dass es der Provider oder der Kunde bemerkt.
Das ist falsch.
-———
Auch der Behördencomputer (hinter der SINA-Box) wäre, ebenso wie die SINA-Box selbst, weder mit unseren Servern verbunden, noch würde er Zugriff auf unsere Server ermöglichen. Es geht den Behörden sogar im Gegenteil darum, ein absolut abgeschottetes System aufzustellen, damit Dritte keine Möglichkeit erhalten, Daten mitzulesen, die wir manuell übergeben müssten. Wenn ein richterlicher Beschluss vorliegt, müssten wir über diesen Computer Kopien der Daten zur Verfügung stellen, also z.B. indem wir die Daten per FTP-Zugriff an die Behörde übertragen (einseitig durch uns).

Schon jetzt, auch ohne SINA-Box, sind wir dazu verpflichtet, auf einen richterlichen Beschluss hin die Daten eines Postfachs herauszugeben, worauf wir in unserer Datenschutzerklärung auch hinweisen. Dazu ist jeder E-Mailanbieter in Deutschland ab dem ersten Nutzer verpflichtet.

Der Gesetzgeber hat die Hürde zur Herausgabe von Inhalten recht hoch gelegt: Ihre E-Mails unterliegen dem Fernmeldegeheimnis.
Da wir Postfächer niemals freiwillig herausgeben (§ 94 Abs. 1 StPO), sondern Anfragen stets förmlich widersprechen, muss eine strafrechtliche Beschlagnahme eines Posteo-Postfachs durch einen Richter angeordnet werden (§ 94 Abs. 2 StPO, § 98 Abs. 1 S. 1 bzw. Abs. 2 S. 1 StPO). Eine strafrechtliche TKÜ-Anordnung zur Überwachung eines Postfachs kann ausschließlich bei bestimmten schweren Straftaten erwirkt werden – nicht bei Ordnungswidrigkeiten o.ä. Die gesetzliche Regelung hierzu finden Sie z.B. hier. Der richterliche Beschluss muss von den Behörden bei uns (dem Provider) vorgelegt werden und wird durch unsere Anwälte auf Umfang und formale Korrektheit geprüft, bevor wir Daten ausleiten.

Der Provider händigt Daten nach Vorlage eines richterlichen Beschlusses also selbst aus. Der Kunde darf über eine TKÜ-Anordnung nicht informiert werden. Das ist verboten, damit würden wir uns strafbar machen.

Aktuell müssten wir z.B. eine DVD mit dem Postfach-Inhalt an die abfragende Stelle schicken – über die aufgestellte Sina-Box haben die Behörden die Daten schneller und sicherer. Sonst gibt es keinen Unterschied zum bisherigen Vorgehen. Und auch keine darüber hinausgehenden Möglichkeiten der Behörden, auf Daten unserer Nutzer zuzugreifen.

Wir würden gerne so bald wie möglich einen Transparenzbericht zur Anzahl von Behördenanfragen herausgeben. Dies würde der allgemeinen Verunsicherung sicher entgegenwirken. Leider ist noch nicht abschließend geklärt, ob dies nach deutschem Recht überhaupt zulässig ist. Eventuell würden wir uns mit dem Veröffentlichen eines Transparenzberichtes strafbar machen. Wir lassen hierzu gerade ein Rechtsgutachten erstellen. Wir werden in Kürze ausserdem eine Seite bereitstellen, auf der wir über rechtliche Fragen informieren, die uns häufig erreichen.

Wir hoffen, wir konnten mit diesem Beitrag zur Klärung beitragen.

Viele liebe Grüße sendet,
das Posteo-Team

PS: Hier finden Sie ein Dokument mit häufigen Fragen des Herstellers von SINA-Boxen.

Grüße zum Jahreswechsel

2013-12-31T20:00:00+01:00

Liebe Posteo-Nutzer,

wir wünschen Ihnen Alles Gute für das Jahr 2014 – und möchten uns ganz herzlich bei allen bedanken, die uns in diesem Jahr unterstützt, Vertrauen entgegengebracht und uns weiterempfohlen haben. #more#

Das vergangene Jahr war sehr ereignisreich für uns. Die Enthüllungen von Edward Snowden bzw. der NSA-Skandal haben viel Aufmerksamkeit auf unser kleines Projekt gelenkt. Das war sehr anstrengend, aber wir nehmen die Herausforderung und die Verantwortung gerne an.

Posteo steht am Ende des abgelaufenen Jahres deutlich solider da als zuvor. Das Wachstum ermöglicht uns, auch sehr anspruchsvolle Vorhaben zeitnah umzusetzen, ohne auf Fremdfinanzierung angewiesen zu sein. So haben wir in den vergangenen Monaten unsere Server noch sicherer gemacht, zusätzliche Verschlüsselungsoptionen eingeführt (Kalender- und Adressbuch) und arbeiten inzwischen mit einem Team sehr erfahrener Linux-Administratoren zusammen. Auch lassen wir uns nun intensiv von Anwälten betreuen, die auf E-Maildienstleistungen spezialisiert sind. Sie vertreten unsere Interessen kompetent und engagiert – und stärken damit Ihr Recht auf informationelle Selbstbestimmung.

Wir haben in den vergangenen Monaten ein sehr professionelles Entwickler-Team zusammengestellt, das nun an zusätzlichen Verschlüsselungsoptionen arbeitet. Wir hoffen, noch im Frühjahr mit den ersten Tests zur individuellen Verschlüsselbarkeit der E-Mailpostfächer (mithilfe Ihrer Passwörter) beginnen zu können. Auch am Kalender und in vielen anderen Bereichen wird fleissig gearbeitet, um Posteo weiter zu verbessern und den Unterbau flexibler zu gestalten.

Unser Support-Team ist ebenfalls gewachsen. Es wird Ihnen auch im kommenden Jahr kompetent und zeitnah Hilfestellung bei all Ihren Problemen bieten. Ausserdem sitzt es daran, unsere Hilfe-Seiten auszubauen und zu überarbeiten. So werden wir in Kürze alle Beiträge zu E-Mailprogrammen um konkrete Anleitungen und Tipps zu Verschlüsselung per PGP und S/Mime erweitern. Diese Art der Verschlüsselung ist zwar mit einem gewissen Mehraufwand für Sie verbunden, stellt aber einen weiteren und zuverlässigen Schutz gegen unbefugte Mitleser dar.

Die Politik reagiert leider anders auf die Enthüllungen von Edward Snowden, als von uns erhofft – und möchte die anlasslose und flächendeckende Vorratsdatenspeicherung wieder einführen. Deswegen werden wir uns im neuen Jahr politisch vor allem gegen die Wiedereinführung der Vorratsdatenspeicherung einsetzen. Neben unserem und dem Engagement unseres Rechtsbeistands wird es hier auch auf Sie ankommen: Die Vorratsdatenspeicherung wird kommen, wenn es keinen gesellschaftlichen artikulierten Widerspruch dagegen gibt.

Viele liebe Grüße,
das Posteo-Team

Neu: Newsletterfunktion

2013-11-25T10:30:00+01:00

Liebe Posteo-Nutzer,

wir haben eine neue Funktion für Sie bereitgestellt:

Ab sofort haben Sie die Möglichkeit, Nachrichten aus unserem Bereich “Aktuelles” als Newsletter zu abonnieren. #more#

In den Einstellungen Ihres Postfachs können Sie unter “Newsletter” festlegen, ob Sie Nachrichten aus den verschiedenen Kategorien unseres Blogs künftig per E-Mail erhalten möchten. Abonnierte Nachrichten lassen sich jederzeit wieder abbestellen, indem Sie das Häkchen in der jeweiligen Kategorie wieder entfernen und Ihre Eingabe speichern.

Für alle Nutzer voreingestellt ist ab sofort das Abonnement der Kategorie “Wichtige Infos”. In dieser Kategorie informieren wir ausschliesslich über wichtige Dinge, die Ihr Posteo-Postfach betreffen – wie z.B. über anstehende Wartungsarbeiten oder mögliche AGB-Änderungen. Sie haben die Möglichkeit, auch diese Nachrichten in den Einstellungen unter “Newsletter” wieder abzubestellen.

Hinweis: Wir versenden grundsätzlich keine Werbe-Mails, wenn Sie unsere Blog-Nachrichten abonnieren.

Viele liebe Grüße sendet,
das Posteo-Team

Mehrere Kalender für Mobilgeräte
und externe Programme

2013-10-16T16:00:00+02:00

Liebe Posteo-Nutzer,

wir haben in den vergangenen Monaten zahlreiche E-Mails erhalten, in denen wir darum gebeten wurden, mehrere Kalender bereitzustellen.

Ein erster Schritt ist nun geschafft: Sie können ab sofort mehrere Kalender bei Posteo nutzen, wenn Sie mit einem Mobilgerät oder externen Programmen arbeiten. Es ist möglich, bis zu 20 Kalender anzulegen und per CalDAV auf diese zuzugreifen. Da die Kalender sehr ressourcenintensiv sind, gilt: Drei Kalender sind ohne Aufpreis im Postfach enthalten. Jeder weitere Kalender wird mit 0,10 EUR pro Monat berechnet.

Achtung: Zusätzliche Kalender lassen sich aktuell nur mit externen Programmen oder Mobilgeräten nutzen. Im Webmailer ist dies noch nicht möglich. Wir arbeiten daran, diese Funktion baldmöglichst zur Verfügung zu stellen.

Sie finden die Funktion unter “Einstellungen”→“Kalender”.
Kalender lassen sich jeweils (lesend) mit anderen teilen.
In der Hilfe von uns finden Sie weitere Informationen zur Einrichtung Ihrer Programme und Geräte.

Viele liebe Grüße sendet,
das Posteo-Team

Umstellung auf PFS abgeschlossen

2013-10-16T14:00:00+02:00

Liebe Posteo-Nutzer,

seit Bekanntwerden des NSA-Skandals haben wir an vielen Stellen unser Sicherheitskonzept erweitert und unsere Server weiter abgesichert. Unter anderem haben wir im Sommer damit begonnen, die Technologie Perfect Forward Secrecy (PFS) einzuführen, die das nachträgliche Entschlüsseln von SSL-Verbindungen durch unbefugte Dritte wirksam verhindern kann.

Seit Anfang August unterstützen wir PFS bereits für die meisten Browser. Nun ist die Umstellung unserer Server abgeschlossen und PFS wird von Posteo für alle gängigen Browser angeboten. Dies gilt, mit einer Ausnahme, auch für den Internet Explorer: Alle Versionen des Internet Explorers unter Windows XP unterstützen PFS nicht. Wir können dies nicht beeinflussen. Wir empfehlen WindowsXP-Nutzern deshalb, aus Sicherheitsgründen auf andere Browser zurückzugreifen und nicht den Internet Explorer zu verwenden.

Die Sicherheit unseres SSL-Zertifikats können Sie auch selbst auf der unabhängigen Testseite der Qualys-Labs überprüfen: https://www.ssllabs.com/ssltest/analyze.html?d=posteo.de

Viele liebe Grüße sendet,
das Posteo-Team

Neu: Verschlüsselung der Handynummern

2013-08-30T13:30:00+02:00

Liebe Posteo-Nutzer,

wir haben eine neue Sicherheitsfunktion umgesetzt. Sie müssen nichts weiter tun, dies ist nur eine Information. #more#
Die Handynummern, die bei uns für das Zurücksetzen von Passwörtern hinterlegt werden können, liegen nun verschlüsselt in unserer Datenbank. Für uns ist Ihre Nummer also nicht mehr einsehbar – und auch unser System kann sie nicht mehr lesen.

Trotzdem funktioniert das Zurücksetzen des Passwortes weiterhin.

Wenn Sie Ihr Passwort vergessen haben, müssen Sie ab sofort neben Ihrer Posteo-Adresse auch Ihre Handynummer eingeben. Sobald Sie ihre Handynummer eingegeben haben, wiederholt unser System die Verschlüsselung der Handynummer und vergleicht das Ergebnis mit dem bei uns in der Datenbank verschlüsselten Wert. Nur wenn dieser übereinstimmt und damit sicher ist, dass es sich um die richtige Handynummer handelt, schickt Ihnen unser System eine SMS mit einem neuen Passwort an die eingegebene Handynummer zu.

Die Handynummern sind nun ähnlich abgelegt wie die Passwörter: Sie liegen als gesalteter Hash in der Datenbank. Nur die letzten drei Ziffern jeder Nummer speichern wir unverschlüsselt, damit Sie eine Chance haben, die von Ihnen hinterlegte Nummer zu erkennen, falls sich Ihre Nummer einmal ändern sollte.

Bisher war es aus Sicherheitsgründen nur möglich, Passwörter einmal pro Monat zurükzusetzen.
Im Zuge der Umstellung ist diese Limitierung nun weggefallen. Nach dem Versand einer SMS können Sie nun schon nach 30 Minuten eine Weitere anfordern. Dies ist notwendig, wenn Sie die SMS einmal versehentlich gelöscht haben sollten, es Netzprobleme beim Versand gab oder die SMS aus anderen Gründen nicht angekommen sein sollte.

Bisher mussten Nutzer sich in solchen Fällen an unseren Support wenden. Dies ist nun nicht mehr notwendig.

Posteo ist mit dieser Umstellung wieder ein wenig sicherer geworden, weil wir nun noch weniger von Ihnen wissen.

Viele freundliche Grüße sendet,
das Posteo-Team

Posteo unterstützt Demoaufruf "Freiheit statt Angst"

2013-08-21T10:45:00+02:00

Ein breites gesellschaftliches Bündnis ruft zu einer Großdemonstration für Freiheitsrechte, für einen modernen Datenschutz und für ein freies Internet auf: Am Samstag, den 7. September 2013, protestiert das Bündnis in Berlin unter dem Motto “Freiheit statt Angst” in Berlin für eine offene Gesellschaft und gegen den ausufernden Überwachungswahn. #more#

Posteo unterstützt den Aufruf zur Demonstration “Freiheit statt Angst” auch in diesem Jahr. Seit den Enthüllungen um Prism, Tempora und Co. steht fest: Es ist heute wichtiger denn je, für Bürgerrechte auf die Straße zu gehen und diese einzufordern.

Die Überwachung stellt alle Bürgerinnen und Bürger unter Generalverdacht. Die Unschuldsvermutung wird zunehmend zu einem Lippenbekenntnis aus vergangener Zeit. Überwachungsstrukturen und Datenhalden sind missbrauchsanfällig und bilden ein Sicherheitsrisiko.

Die Massenüberwachung gefährdet die freie Gesellschaft.

Wer sich ständig überwacht und beobachtet fühlt, kann sich nicht mehr unbefangen bewegen und freizügig seine Rechte ausüben. Überwachung schadet nicht nur Minderheiten und jedem Einzelnen von uns, sondern behindert auch massiv die Arbeit und das Engagement von Privatpersonen und Organisationen der Zivilgesellschaft. Überwachung, Misstrauen und Angst erzeugen schrittweise eine Gesellschaft unkritischer Bürger und Bürgerinnen, die “nichts zu verbergen” haben, und dem Staat gegenüber – zur vermeintlichen Gewährleistung einer totalen Sicherheit – gehorsam ihre Freiheitsrechte aufgeben. Eine solche Gesellschaft wollen wir nicht.

Wir wollen eine freie, demokratische und offene Gesellschaft. Solch eine Gesellschaft kann ohne private Räume und ungehinderte Kommunikation nicht existieren. Wir streiten für ein freies Internet, ohne Diskriminierung einzelner Inhalte und für den Schutz der Meinungs- und Pressefreiheit im Internet weltweit. Unsere Privatsphäre ist unabdingbarer Bestandteil unserer menschlichen Würde – und zwar in allen Lebensbereichen. Wir fordern ein Ende des Überwachungswahns.

Treffpunkt für die diesjährige Demonstration “Freiheit statt Angst 2013″ ist am Samstag, 7. September um 13.00 Uhr der Alexanderplatz in Berlin-Mitte.

Informationen zur Demonstration, sowie zur An- und Abreise erhalten Sie unter: http://blog.freiheitstattangst.de

Verschlüsselung bei Posteo

2013-08-13T22:00:00+02:00

Liebe Nutzer und Interessierte,

es gibt eine aktuelle dpa-Meldung (u.a. hier) zum Thema E-Mailsicherheit, in der wir lobend erwähnt werden. Leider aber mit falschen, zu positiven Fakten. #more#
Im Artikel heisst es:
“Eine Ausnahme ist zum Beispiel Posteo: Der Anbieter verspricht, die Nachrichten mit dem Nutzerpasswort verschlüsselt abzuspeichern.”

Das Versprechen wir jedoch nicht. Auch haben wir dies bisher nicht öffentlich angekündigt. Tatsächlich arbeiten wir daran, sind aber mit dieser Funktion noch nicht fertig. Wir möchten eine zusätzliche Verschlüsselung der E-Mails in Zukunft bereitstellen. Wir bieten bisher die Verschlüsselung der Adressbuch- und Kalenderdaten mit dem persönlichen Passwort des Nutzers an (AES). Diese Funktion war einfacher umzusetzen, deswegen haben wir damit begonnen. Für solche Funktionen gibt es keine Standardsoftware, wir müssen diese Lösungen selbst programmieren.

Die Mails liegen bei uns aktuell auf vollverschlüsselten Festplatten und Servern, sind aber selbst nicht verschlüsselt. Auch der Zugriff erfolgt verschlüsselt, dies schützt wirksam vor dem Mitlauschen unbefugter Dritter. Das gilt auch, wenn Sie ein lokales Mailprogramm oder ein Mobilgerät benutzen, weil die Verbindungen zu Posteo nur verschlüsselt aufgebaut werden kann (unverschlüsselte Verbindungen zu Clientsystemen bieten wir nicht an).

Auch werden wir gerade sehr oft gefragt, ob wir eine Ende-zu-Ende Verschlüsselung per PGP oder S/Mime im Webmailer anbieten oder dies planen. Wir bieten bisher keine Ende-zu-Ende Verschlüsselung im Webmailer an, wollen sie aber künftig gerne bereitstellen. Dies ist allerdings ebenfalls anspruchsvoll, weil die privaten Schlüssel der Nutzer hierbei auf unserem Server liegen würden. Wir wollen deshalb eine Lösung anbieten, bei der wir als Betreiber keinen Zugriff mehr auf den dafür notwendigen privaten Schlüssel unserer Nutzer erlangen können. Dies könnte ähnlich wie die Verschlüsselung der Adress- und Kalenderdaten ablaufen. Aber auch hier gilt: Es gibt aktuell sehr hohe Erwartungen an uns, wir sind aber immer noch ein sehr kleines Team und brauchen Zeit für Entwicklungen. Es wird also noch eine Weile dauern, bis wir diese zusätzlichen Verschlüsselungsoptionen anbieten können.
Bis dahin können Sie Ende-zu-Ende-Verschlüsselung mit Posteo auf nahezu allen Betriebssystemen mit so gut wie jedem E-Mailprogramm benutzen – auch auf den allermeisten Mobilplattformen. Wir werden demnächst unsere Hilfe um entsprechende Anleitungen erweitern.

Liebe Grüße,
das Posteo-Team

"Perfect Forward Secrecy" bei Posteo

2013-08-12T13:00:00+02:00

Liebe Nutzer, liebe Interessierte,

es tut uns leid, dass wir erneut einen sehr technischen Beitrag veröffentlichen müssen. #more#
Wir erhalten aktuell sehr viele Support-Anfragen zum Thema Perfect Forward Secrecy bei Posteo.
Die Fachbegriffe TLS/SSL und PFS erklären wir unter dem Artikel.

In der heute veröffentlichten Ausgabe der Computerzeitschrift c’t werden die TLS-Verschlüsselungen verschiedener Mailanbieter auf das sicherheitsrelevante Merkmal PFS (Perfect Forward Secrecy) untersucht. Erfreulicherweise werden wir neben den großen Anbietern erwähnt – und schneiden dabei auch gut ab. Unerfreulich ist jedoch, dass die Angaben zu uns an einer Stelle falsch sind. In der c`t steht, dass wir PFS zwar auf Mailserver-Ebene unterstützen würden, nicht aber im Webmailer. Das ist nachweislich falsch. [UPDATE] Die c’t hat über folgende Heise News-Meldung die Darstellung aktualisiert. [/UPDATE]

Die Umstellungen unserer Server zur Einführung von PFS haben sich offensichtlich zeitlich mit den Tests der c’t-Redaktion überschnitten. Wir bedauern, dass die Redaktion bei so einem aktuellen Thema nicht zeitnaher getestet hat. Auch wäre es möglich gewesen, uns zu kontaktieren und zu PFS zu befragen.

Wir unterstützen PFS seit dem 02.08. für alle Browser – mit Ausnahme des Internet Explorers. Seit Ende Juni arbeiten wir an der Umsetzung von PFS. Ende Juli haben wir PFS im Webmailer bereits für alle Browser unterstützt, die TLS 1.2 fähig sind (iOS und Opera, wenn in Opera manuell TLS1.2 aktiviert wurde). Seit dem 02. August unterstützen wir PFS generell für alle gebräuchlichen Browser – mit Ausnahme des Internet Explorers. Um den Internet Explorer zu unterstützen, müssen wir noch weitere Updates vornehmen, die bald umgesetzt sein werden. Der Internet Explorer wird für 10% der Zugriffe auf unser System genutzt – 90% der Zugriffe auf unseren Webmailer erfolgen seit Anfang August sicher mit PFS (automatisch: Sie müssen nichts einstellen).

Es lässt sich übrigens sehr leicht überprüfen, für welche Browser wir PFS bereits unterstützen. Sie können auf der unabhängigen Testseite der Qualys-Labs jederzeit die Sicherheit unseres Sicherheits-Zertifikats selbst überprüfen: https://www.ssllabs.com/ssltest/analyze.html?d=posteo.de Im Bereich “Handshake Simulation” bedeutet ein “FS” hinter dem jeweiligen Browser, dass PFS von uns mit diesem Browser unterstützt wird.

Viele liebe Grüße sendet,
das Posteo-Team

Begriffserläuterungen:
TLS ersetzt seit Version 3.0 namentlich das SSL-Protkoll. TLS ist also einfach nur die Weiterentwicklung von SSL. Gemeint ist damit ein Verfahren zur sicheren, verschlüsselten Datenübertragung im Internet. Wenn Sie auf eine Webseite zugreifen oder eine E-Mail verschicken und diese Daten werden über eine mit TLS gesicherte Verbindung geleitet, kann niemand diese Daten mitlesen.

Ohne die PFS-Funktion könnte man den per TLS verschlüsselten Verkehr aufbewahren und alle Inhalte im Nachhinein entschüsseln, falls die Entschlüsselung einmalig gelingt und der geheime Schlüssel bekannt würde. Mit dem Einsatz von PFS kann dies effektiv ausgeschlossen werden. Beim Einsatz von PFS einigen sich die beiden Verschlüsselungspartner jeweils neu auf einen geheimen Sitzungsschlüssel für die Verbindung, der nicht ausgetauscht werden muss und im Nachhinein automatisch zerstört wird. Dazu wird das Diffie-Hellmann-Prinzip benutzt.

Endlich: Verbindungsverschlüsselung
auch bei anderen Mailanbietern

2013-08-09T18:00:00+02:00

Liebe Posteo Nutzer,

wir haben erfreuliche Neuigkeiten zu vermelden: #more#
Die großen deutschen Mailprovider gmx, web.de und t-online haben heute endlich bekannt gegeben, dass sie die serverseitige Verschlüsselung der E-Mailkommunikation (SSL) aktiviert haben.

Wie Sie evt. bereits wissen, versendet und empfängt Posteo E-Mails standardmäßig über eine mit SSL verschlüsselte Verbindung, wenn der Empfängerserver dies ebenfalls unterstützt. Ist dies der Fall, handeln die Server miteinander eine verschlüsselte Verbindung aus, so dass die Mails sicher übertragen werden. Diese Art der Verschlüsselung arbeitet im Hintergrund, ohne dass Sie oder der Empfänger Ihrer Nachrichten irgendetwas tun müssen. Das geht, weil wir beim Versand den Übertragungsweg verschlüsseln, über den die Mail gesendet wird. Nicht die Mail selbst.

Das Problem hierbei war bisher: Die Server vieler großer Provider haben diese Art der Verschlüsselung nicht unterstützt (bis heute hauptsächlich Googlemail). Weil die meisten Provider diese einfache Art der Verschlüsselung noch nicht angeschaltet hatten, mussten Nutzer leider selbst zusätzlich aktiv werden (End-To-End-Verschlüsselung), wenn sie vollständigen Schutz beim Senden und Empfangen ihrer Mails haben wollten. Nun können Posteo-Nutzer seit heute auch mit Nutzern von web.de, gmx und T-Online Mails über verschlüsselte Verbindungen austauschen.

Wir haben die Aussagen der Betreiber für Sie überprüft und es sieht gut aus.

Große Anbieter im Überblick mit denen wir die Verschlüsselung getestet haben:

	von Posteo	zu Posteo
Arcor	ja	ja
Freenet	ja	ja
AOL	ja	ja
Gmail	ja	ja
GMX	ja	ja
Kabel Deutschland	ja	ja
O2	nein	nein
Outlook.com	nein	nein
Riseup	ja	ja
T-Online	ja	ja
Vodafone	ja	ja
web.de	ja	ja
Yahoo	nein	nein

Stand: 11.08.2013

Wir werden dies in den kommenden Tagen regelmäßig für Sie überprüfen und eine ständig aktualisierte Übersicht in unserem neuen Hilfebeitrag: Mit welchen Anbietern werden meine E-Mails verschlüsselt ausgetauscht? bereitstellen.

Was wir noch anmerken möchten: Die großen deutschen Provider (T-Online, GMX und web.de) haben heute auch eine PR-Kampagne unter dem Namen “E-Mail Made in Germany” vorgestellt. Dies ist unserer Einschätzung nach eine reine Werbekampagne. Die drei größten deutschen Mailanbieter haben sich selbst ein “Sicherheits-Siegel” ausgedacht und stellen es sich auch selbst aus. Natürlich soll dies Sicherheit suggerieren und das Vertrauen der Nutzer zurückgewinnen. Die Anbieter haben jahrelang die Empfehlungen des BSI zum sicheren Betrieb von Mailservern missachtet und erst heute die SSL-Verschlüsselung angeschaltet. Was wir sehr begrüßen, wir tun dies bereits seit unserer Gründung 2009. Dass diese Provider sich jetzt aber mit einem eigenen Siegel bescheinigen, sicher zu sein, finden wir, um es vorsichtig auszudrücken, befremdlich.

Sie können auch selbst prüfen, ob eine Mail verschlüsselt übertragen wurde: Wenn Sie im Webmailer eine Mail anklicken, können Sie mit dem Zahnradsymbol über Ihrer Mailübersicht den Quelltext der Mail anzeigen lassen.

Hier ein Beispiel aus dem Quelltext einer Mail, die zwischen gmail und Posteo gesendet wurde:
-———————-
Received: from mail-pb0-f49.google.com (mail-pb0-f49.google.com [209.85.160.49])
by mail.posteo.de (Postfix) with ESMTPS
for <support@posteo.de>; Tue, 16 Jul 2013 09:25:38 +0200 (CEST)
-————————
Die Verschlüsselung erkennen Sie bei uns an dem ESMTPS hinter unserem Servernamen (mail.posteo.de (Postfix)). Die Verschlüsselung zeigt das “S” am Ende an.

Achtung: In den Mailheadern gibt es immer mehrere Received-Bereiche. Relevant ist jeweils nur die Zeile, in der beide Server, die miteinander kommuniziert haben, aufgeführt werden. Im Beispiel also mail-pb0-f49.google.com und mail.posteo.de.

Finden Sie ein ESMTPS in dieser Zeile, war die Verbindung, über die gesendet wurde, verschlüssselt. In den anderen Bereichen kann dennoch ESMTP stehen, das sagt jedoch nichts über die Verbindung durch das Internet aus.

Viele liebe Grüße sendet,
das Posteo-Team

Update:
Der Artikel wurde am 11.08. mit weiteren Ergebnissen zu getesteten Mailprovidern aktualisiert.

Neu: Nutzerdaten-Verwaltung

2013-06-12T13:00:00+02:00

Liebe Posteo-Kunden,

seit heute ist unsere neue Nutzerdaten-Verwaltung verfügbar. Dort haben Sie ab sofort die Möglichkeit, persönliche Daten wie Termine und Adressbuch-Einträge “in einem Schwung” zu löschen.

#more#

Bisher mussten angelegte Termine und Kontakte einzeln wieder gelöscht werden. Nun können Sie sämtliche Kontakte und Kontaktgruppen aus Ihrem Adressbuch mit einem Mausklick löschen. Bei den Terminen können Sie wahlweise alle Termine oder nur Termine eines bestimmten Zeitraums aus Ihrem Kalender löschen lassen.

Auch können Sie nun Ihre Webmailer-Einstellungen mit einem Klick zurücksetzen. Betroffen sind ausschließlich Einstellungen, die sich unter “Einstellungen” ändern lassen. E-Mails, Sammeldienste, Filterregeln, Aliase, etc. bleiben erhalten.

Datenschutz-Hinweis: Löschen Sie Daten bei uns, werden diese tatsächlich restlos von unseren Servern gelöscht und nicht nur in der Datenbank als gelöscht markiert. Befanden sich Daten zum Zeitpunkt unseres täglichen Backups auf unseren Servern, sind diese Daten nach der Löschung noch maximal 7 Tage in den Backups zu finden und lassen sich dort auch bei versehentlicher Löschung wiederherstellen.

Die Nutzerdaten-Verwaltung finden Sie in den “Einstellungen” Ihres Postfachs unter “Nutzerdaten-Verwaltung”.

Wir werden die Nutzerdaten-Verwaltung in Zukunft erweitern und Ihnen an dieser zentralen Stelle auch den Im- und Export Ihrer Daten ermöglichen. Zurzeit finden Sie die Möglichkeiten zum Im- und Export Ihrer Daten noch in den jeweiligen Bereichen (Kalender bzw. Adressbuch).

Viele freundliche Grüße sendet,
das Posteo-Team

Neues Design und neue Funktionen

2013-05-17T18:00:00+02:00

Liebe Nutzer,

es ist soweit: Posteo hat endlich ein neues Design!

Die Seiten sind moderner und funktionaler geworden – und wir sind froh, Ihnen nach Monaten des Tüftelns nun das Ergebnis unserer Arbeit präsentieren zu können. Wir hoffen, die neuen Seiten gefallen Ihnen so gut wie uns #more# – und hoffen, dass die Umgewöhnung nicht zu schwer fällt.

Zeitgleich mit dem Redesign haben wir auch neue Funktionen für Sie freigeschaltet. Ihr Kalender und Ihr Adressbuch sind ab sofort (ohne Aufpreis) mit Ihrem persönlichen Passwort verschlüsselbar. Mit unserer Verschlüsselung können Sie den Zugriff Dritter auf Ihre Daten wirksam verhindern. Selbst wir haben dann keinen Zugriff mehr auf Ihre Daten. Mehr Informationen zur optionalen AES-Verschlüsselung finden Sie in unserer Hilfe.

Neu ist auch unsere reduzierte Version der Startseite, der “ECO-Switch”.

Nutzer, die sich täglich einloggen und nicht immer die gesamte Startseite angezeigt bekommen möchten, können sich ab sofort nur noch das Login anzeigen lassen. Da ein Großteil der Seite bei der ECO-Switch-Version nicht mehr mitgeladen werden muss, spart die Nutzung der reduzierten Startseite Energie und schont so Ressourcen.

Viele freundliche Grüße sendet
das Posteo-Team

Die Website neu macht der Mai

2013-05-01T20:00:00+02:00

Liebe Posteo-Nutzer,

die Ankündigung ist schon ein Weilchen her – in Kürze wird sich die Website von Posteo im neuen Design und mit mehr und besser aufbereiteten Informationen über Posteo präsentieren. #more# Für das tägliche Login werden wir eine auf das Login reduzierte Seite bereitstellen, die sich jeder auf Wunsch mit nur einem Klick aktvieren kann (ECO-Switch).

Zeitgleich mit dem neuen Webauftritt werden wir wie angekündigt die Verschlüsselungsmöglichkeit für Kontakte und Termine freischalten. Damit bekommen Sie auf Wunsch die vollständige Hoheit über Ihre Daten – obwohl sie bei uns auf dem Server gespeichert sind.

Der Webmailer und die Hilfe sind von den Designänderungen nicht betroffen – die Modernisierung dieser beiden Teile steht bei uns für die nächste Zeit ganz oben auf der ToDo-Liste.

Viele freundliche Grüße,
das Posteo-Team

Screenshot einer neuen Unterseite.

Neu: Posteo-Gutscheinfunktion

2013-01-18T13:30:00+01:00

Liebe Posteokunden,

ab heute ist es möglich, mit Gutscheinen Guthaben an andere Posteo-Nutzer oder Posteo-Interessenten zu verschenken. #more#
Mit einem Posteo-Gutschein können Sie Anderen eine Freude machen. Sie können aber auch Ihren Kindern oder Ihrem Partner das Postfach aufladen – oder den Bekannten unterstützen, der nur über eingeschränkte Computerkenntnisse verfügt.

Gutscheine können wahlweise für ein bestimmtes Posteo-Postfach oder ohne Postfach-Bindung erstellt werden. Gutscheine ohne Postfach-Bindung eignen sich für Posteo-Interessenten oder Personen, deren Posteo-Adresse Sie nicht kennen.

Wenn Sie einen Gutschein für einen bestimmten Posteo-Nutzer erstellen, erhält der Empfänger eine E-Mail mit einem Link, über den sich der Gutschein mit einem Klick einlösen lässt. Wenn Sie möchten, können Sie der E-Mail eine persönliche Nachricht hinzufügen.

Erstellen Sie einen Gutschein ohne Postfach-Bindung, erhalten Sie eine E-Mail mit einem Gutscheincode. Diesen können Sie dem Empfänger z.B. in einer Karte oder in einer persönlichen E-Mail mitteilen. Der Beschenkte kann mit dem Gutschein-Code entweder ein Postfach eröffnen oder ein bestehendes Postfach aufladen.

Die Funktion zum Erstellen eines Gutscheins finden Sie in Ihrem Postfach unter “Einstellungen”→“Gutscheine”.

Viel Freude mit der neuen Funktion wünscht
das Posteo-Team

Neues erweitertes Sicherheitszertifikat

2013-01-05T10:00:00+01:00

Liebe Posteo-Kunden,

Freitagnacht (in der Nacht vom 04. auf den 05.01.) haben wir unser Sicherheitszertifikat aktualisiert. #more# Sicherheitszertifikate haben eine begrenzte zeitliche Gültigkeit und müssen ab und an erneuert werden.
In den meisten Fällen werden Sie davon nichts mitbekommen haben.
Falls Ihr Browser, Ihr Mailprogramm, Smartphone oder Tablet nach der Umstellung jedoch eine Fehlermeldung wegen eines ungültigen Sicherheitszertifikates produziert, liegt dies nicht an einem Angriff oder einem Fehler. Ihr Programm hat dann lediglich noch das alte Zertifikat zwischengespeichert. Abhilfe sollte in den meisten Fällen ein Neustart des Programms bringen.

Unser neues Sicherheitszertifikat ist ein sogenanntes “Zertifikat mit erweiterter Überprüfung”. Solch ein Zertifikat wird mit einer grün hinterlegten Adresszeile ausgezeichnet und lässt Sie auf einen Blick erkennen, ob Sie wirklich auf unserer Webseite sind. Damit wollen wir Sie vor Betrug in Form von Phishingversuchen schützen.
Unsere Webseite war bisher schon immer nur per SSL-Verschlüsselung erreichbar. Allerdings konnten Sie ohne manuelle Überprüfung nicht sicher sein, mit wem Sie verschlüsselt kommunizieren. Theoretisch hätte ein Angreifer unsere Identität vortäuschen können.
Mit der grünen Adressleiste, in der unser Firmenname hervorgehoben ist, können Sie nun mit einem Blick sicher sein, sich wirklich auf unserer Webseite zu befinden.

Wer das Vetrauen der Zertifikate (trotzdem) durch manuellen Abgleich regelt – hier sind die alten und neuen Fingerprints, die Sie auch immer im Impressum finden können:

Alt:
SHA1: 77:FA:75:68:3F:5D:3A:90:53:8C:F8:20:7B:99:A1:5F:7E:DC:53:46
MD5: CA:5B:EA:36:60:7B:78:D5:89:C1:F6:AE:11:B8:1B:C2

Neu:
SHA1: 63:24:A1:4B:7F:50:EF:A1:59:15:97:5F:23:0F:33:D3:E4:BD:42:31
MD5: 9D:7B:CE:9B:11:57:01:2D:49:C8:A6:2D:58:B3:93:45

Viele freundliche Grüße,
das Posteo-Team

Neue Bankverbindung

2013-01-01T16:00:00+01:00

Liebe Posteo-Kunden,

wir wünschen Ihnen Alles Gute für das Jahr 2013. #more#

Mit dem Jahreswechsel gibt es bei Posteo einige kleine Änderungen im Hintergrund.

Wir haben ein neues Konto bei der GLS-Bank. Sie können Ihre ausgelösten Überweisungen noch problemlos auf das alte Konto überweisen, für alle neuen Kontoaufladungen bekommen Sie per Mail automatisch unsere neue Bankverbindung mitgeteilt.

Die Barbriefe können jetzt direkt an “Posteo” adressiert werden, die Adresse bleibt ansonsten gleich.

Posteo war bisher ein “Projekt von Löhr Computer”. Damit wir ab jetzt unkompliziert direkt als “Posteo” auftreten können, haben wir Posteo zum 01.01.2013 in eine eigenständige Firma überführt. Die Änderungen für Sie und uns sind nur kosmetischer Natur, an Posteo ändert sich nichts – wir sind dasselbe Team und haben denselben hohen Anspruch wie immer.
Posteo ist nach wie vor ein Einzelunternehmen.

Viele freundliche Grüße,
das Posteo-Team

Neu: Posteo-Kalender freigeschaltet!

2012-11-23T20:00:00+01:00

Liebe Posteokunden,

wir haben heute den neuen Posteo-Kalender zur Nutzung freigeschaltet. #more# Sie finden den Kalender ab sofort im Webmailer rechts neben dem Adressbuch.
In der Hilfe haben wir dokumentiert, wie er funktioniert und wie Sie ihn auf Smart-Phones, Tablets und Desktop-Computern einrichten können. Die Synchronisation erfolgt per CalDAV, dieser Standard lässt sich momentan mit folgenden Geräten und Programmen verwenden:

alle Apple-Geräte (iPhone, iPad, iPod und alle Mac Computer)
alle Android-Smartphones und Tablets (erfordert eine kostenpflichtige App eines Drittanbieters)
Thunderbird mit Lightning
EM-Client
Outlook (erfordert ein kostenpflichtiges Programm eines Drittanbieters)
Evolution und einige andere Programme für Linux

Die Kalenderfunktion erfordert keine Preiserhöhung, Posteo wird weiterhin 1 EUR pro Monat kosten. Wer die Entwicklung neuer Funktionen unterstützen möchte, kann gerne mehr als ein Jahr im Voraus bezahlen. Posteo kommt komplett ohne Förderung und Kredite aus und wir möchten auch keine Spenden – auch wenn uns die Angebote im Supportpostfach natürlich ehren…

Bald werden wir auch die Möglichkeit freischalten, den Kalender und das Adressbuch auf Wunsch zu verschlüsseln.

Wir wünschen viel Spass mit dem neuen Werkzeug!

Viele freundliche Grüße,
das Posteo-Team

Verbesserung des Adressbuchabgleichs

2012-11-22T19:30:00+01:00

Liebe Posteo-Nutzer,

heute können wir die ersten Verbesserungen verkünden. #more# Die Adressbuch-Synchronisation wurde erheblich verbessert. Sie funktioniert jetzt mit mehr externen Programmen. Konkret wurden die Probleme beseitigt, die eine Synchronisation mit dem Adressbuch unter MacOS X 10.6 und 10.8 verhindert haben. Ausserdem funktioniert jetzt der Abgleich mit Thunderbird über ein Add-on (den SOGo Connector) und wir haben ein externes Programm gefunden, und getestet, welches Ihnen die Synchronisation mit Outlook ermöglicht. Das Programm iCal4OL ermöglicht generell die Anbindung von CardDAV-Servern. Es ist allerdings kostenpflichtig und kostet einmalig 18,- EUR bei einem externen Anbieter. Andere Möglichkeiten für den Abgleich von Outlook mit Posteo sind uns nicht bekannt.
Das iPhone und Android synchronisieren weiter wie gewohnt mit Posteo.

Für alle Programme stehen Anleitungen in der Hilfe bereit.

Viele freundliche Grüße,
das Posteo-Team

Ausblick: Neue Funktionen bei Posteo

2012-11-14T19:00:00+01:00

Liebe Posteo-Nutzer,

zunächst einmal: Vielen Dank für Ihr Vertrauen #more# – und dafür, dass Sie uns so fleissig weiterempfehlen!

Die grosse Nachfrage und die vielen freundlichen Mails in unserem Supportpostfach zeigen uns, dass wir mit Posteo eine Lücke schliessen, die die grossen Mailanbieter nicht bedienen. Unserem Projekt geht es sehr gut und wir sind fleissig dabei, Posteo weiter auszubauen. Wir haben in den vergangenen Monaten hart gearbeitet, entwickelt und getestet und werden in nächster Zeit einige neue Funktionen für Sie freischalten. Mit diesen Funktionen wollen wir, – noch stärker als bisher -, als Alternative zu den großen Internet-Konzernen auftreten.

Wir werden Posteo um einen per CalDAV synchronisierbaren Kalender erweitern. Ihre Termine werden dann mit den meisten Smartphones, Tablets und lokalen Kalenderprogrammen synchronisierbar sein. Und damit wir nicht die nächste Datenhalde in der Cloud werden, haben wir eine einzigartige Besonderheit für die Daten des Adressbuchs und des Kalenders entwickelt: Die Daten können mit Ihrem persönlichen Passwort verschlüsselt werden. Sie sind dann weder für uns, noch für Dritte einsehbar. Das Beste dabei ist: Die Verschlüsselung erfolgt völlig unkompliziert. Sie müssen nichts installieren oder lernen – und die Verschlüsselung funktioniert mit allen Endgeräten und Programmen ohne weitere Anpassungen. In den kommenden Wochen werden wir diese Neuerungen nach und nach freischalten und jeweils umfassend in der Hilfe dokumentieren, damit hoffentlich keine Fragen offen bleiben.

Auch unsere Server-Infrastruktur wird in den kommenden Wochen umgebaut und erweitert. Davon sollen Sie so wenig wie möglich merken – deshalb werden wir alle notwendigen Wartungsarbeiten Nachts durchführen. Die Arbeiten werden wir jeweils vorher ankündigen und immer erst nach 1 Uhr in der Früh beginnen, damit wir möglichst wenig stören. Es werden wahrscheinlich zwei bis drei solcher Wartungstermine notwendig sein.

Und zu guter Letzt wollen wir Sie auch schon darauf vorbereiten, dass wir zurzeit an einem neuen Aussenauftritt von Posteo arbeiten und Sie auf unserer Webseite bald mit einem frischen Design begrüßen werden. Versprochen: Es wird unaufdringlich und unaufgeregt bleiben – wir können das jetzige Design nur langsam nicht mehr sehen. Dem Webmailer werden wir erst im Laufe des kommenden Jahres ein neues Gesicht verpassen, aber auch für ihn ist eine Designaktualisierung geplant.

Wir hoffen, Sie haben viel Freude mit den Verbesserungen,
viele freundliche Grüße,
das Posteo-Team

Neue Sicherheitszertifikate

2012-09-26T17:00:00+02:00

Liebe Posteo-Kunden,

Freitagnacht (in der Nacht vom 28. auf den 29.09.) haben wir unsere Sicherheitszertifikate aktualisiert. #more# Sicherheitszertifikate haben eine begrenzte zeitliche Gültigkeit und müssen ab und an erneuert werden.
In den meisten Fällen werden Sie davon nichts mitbekommen haben.
Falls Ihr Browser, Ihr Mailprogramm, Smartphone oder Tablet nach der Umstellung jedoch eine Fehlermeldung wegen eines ungültigen Sicherheitszertifikates produziert, liegt dies nicht an einem Angriff oder einem Fehler. Ihr Programm hat dann lediglich noch das alte Zertifikat zwischengespeichert. Abhilfe sollte in den meisten Fällen ein Neustart des Programms bringen.
Wer das Vetrauen der Zertifikate durch manuellen Abgleich regelt – hier sind die alten und neuen Fingerprints, die Sie auch immer im Impressum finden können:

Alt:
SHA1: 09:54:A1:02:D4:0E:18:9A:83:C7:FF:6E:7B:2F:26:63:3A:EB:07:A2
MD5: 73:46:F4:49:66:1B:66:21:0A:04:5D:83:1C:A0:B9:A4

Neu:
SHA1: 77:FA:75:68:3F:5D:3A:90:53:8C:F8:20:7B:99:A1:5F:7E:DC:53:46
MD5: CA:5B:EA:36:60:7B:78:D5:89:C1:F6:AE:11:B8:1B:C2

Viele freundliche Grüße,
das Posteo-Team

Posteo mit neuem Adressbuch

2012-03-02T20:00:00+01:00

Endlich ist es soweit – ab sofort steht allen Posteo-Nutzern die erweiterte Adressbuchfunktion zur Verfügung. #more# Das neue Adressbuch speichert nun Adressen, Telefonnummern und ggf. mehrere Mailadressen Ihrer Kontakte. Eine weitere Neuerung: Das Adressbuch lässt sich via “CardDAV”-Standard mit lokalen E-Mailprogrammen und vielen Smartphones synchronisieren.
Alle wichtigen Informationen rund um die Adressbucherweiterung finden Sie in der Posteo-Hilfe . Hier erfahren Sie auch, wie Sie Ihr Posteo-Adressbuch mit Ihrem Smartphone oder Ihrem lokalen Mailprogramm synchronisieren können. Sollten Sie einmal ein Problem haben, für das Sie in der Hilfe keine Lösung finden, können Sie sich per Mail an unseren Support (support@posteo.de) wenden.

Stellungnahme zur TKG-Entscheidung des Verfassungsgerichts

2012-02-25T17:00:00+01:00

Das Bundesverfassungsgerichts hat gestern Teile des TKG (Telekommunikationsgesetzes) für verfassungswidrig erklärt. #more#
Die Medien haben im Zuge dieser Entscheidung vor allem herausgestellt, dass bei Telekommunikationsanbietern gespeicherte Daten und Passwörter von Ermittlungsbehörden abgefragt werden. In der Berichterstattung wurden allerdings keine Unterschiede zwischen Telekommunikationsanbietern im Allgemeinen und Mailanbietern im Speziellen gemacht. Denn Anbieter elektronischer Post sind laut TKG (§111) von der Pflicht ausgenommen, Bestandsdaten Ihrer Kunden zu erheben. Erst wenn ein Mailanbieter Bestandsdaten erhebt, muss er sie auch zur automatisierten Abfrage bereitstellen.
Wir haben uns daher bei der Gründung von Posteo dazu entschieden, eine anonymisierte Zahlung unserer Postfächer zu ermöglichen, damit wir keine Bestandsdaten erheben und weitergeben müssen. Wir bedauern, dass die meisten Emailanbieter die Möglichkeiten, die Ihnen das TKG bietet, nicht nutzen – da sie in der Regel selbst Interesse an den Bestandsdaten Ihrer Kunden haben. Bei uns werden keine Bestandsdaten erhoben.
Deswegen können Ihre Daten bei Posteo weder verkauft, noch gestohlen oder abgefragt werden. Posteo steht für Selbstbestimmtheit im Internet.

Posteo noch schneller und effizienter.

2012-02-05T21:00:00+01:00

Sie haben es hoffentlich nicht gemerkt #more# – in den letzten Wochen haben wir umfangreiche Umstrukturierungen an unseren Servern vorgenommen. Diese sind seit diesem Wochenende abgeschlossen.
Aufgrund der tollen Resonanz auf unser Projekt wurde es notwendig, die technische Basis von Posteo grundlegend zu ändern. Unsere Systeme wachsen nun problemlos mit und werden auch mit größer werdenen Nutzerzahlen spielend fertig. Die blitzschnellen Reaktionszeiten des Posteosystems basieren nun auf einem Verbund von Festkörperlaufwerken (SSDs). Diese sparen nicht nur Strom und Abwärme im Vergleich zu herkömmlichen Festplatten, sie sind vor allem um ein vielfaches Schneller. Um diese Schnelligkeit auch mit der sehr aufwendigen, vollständigen Verschlüsselung unseres Speichersystems nutzen zu können, mussten wir einige spezielle Optimierungen vornehmen – wir sind nun zufrieden, wir hoffen Sie auch…

Viele freundliche Grüße,
das Posteo-Team

Adressbuch: Erweiterung Ende Dezember (Update)

2011-12-01T11:00:00+01:00

Liebe Posteokunden,

uns erreichen fast täglich Fragen nach einer Erweiterung des Adressbuchs. #more#
Aufgrund der Menge der Anfragen möchten wir nun gerne auch öffentlich vorab informieren, dass wir an der Erweiterung arbeiten.
Wir werden allen Nutzern ein vollständig überarbeitetes Adressbuch bieten, mit der Option auch Adressen, Telefonnummern und mehrere Mailadressen pro Kontakt zu speichern.
Das Adressbuch wird nicht nur im Webmailer verfügbar, sodern auch synchronisierbar sein. Die Adressen werden sich in lokalen E-Mailprogrammen oder Smartphones nutzen lassen. Das wird nicht mit allen Programmen und Geräten funktionieren, aber mit einem sehr großen Teil. Wir verwenden den sogenannten “CardDAV”-Standard, der aus der Apple-Welt kommt und immer mehr Verbreitung findet.
Im zweiten Schritt werden wir die Möglichkeit bieten, dass Sie sich optional das Adressbuch verschlüsseln lassen können. Und zwar mit Ihrem eigenen Passwort – wir werden keinen Nachschlüssel haben. Wir wollen damit die Möglichkeit bieten, dass Ihre Daten trotz zentraler Speicherung im Internet wirklich Ihre bleiben. Der einzige Haken: Vergessen Sie Ihr Passwort, können auch wir Ihre Daten nicht mehr rekonstruieren. Die Verschlüsselung wird es deswegen nur optional geben, mit großen Warnhinweisen und Apellen an die eigene Verantwortung.
Unser Zeitplan sieht die Erweiterung des Adressbuches bis Ende Dezember vor. Die Verschlüsselungsoption werden wir nachträglich bis zum Ende des Winters anbieten.

Update: Leider brauchen wir noch ein bisschen, wir hoffen bis Ende Januar fertig zu werden. Der nassfeuchte Winter hat uns leider einige krankheitsbedingte Ausfälle beschert…

Viele freundliche Grüße,
das Posteo-Team

Bug bei Paypal

2011-10-24T19:00:00+02:00

Liebe Posteokunden,

einige Nutzer haben einen Bug im Zusammenhang mit der Bezahlung per Paypal #more# erleben müssen. Zahlungen per Paypal scheitern, wenn als Zahlungsmethode bei Paypal Giropay ausgewählt wird und mit einem aktiven Javascriptblocker gesurft wird. Die Zahlung wird von Paypal als erfolgreich an uns vermeldet und kurze Zeit später aber wieder als “offen” gekennzeichnet: Es fliesst kein Geld zu uns, Sie bekommen aber Guthaben von unserem System gutgeschrieben. Danach ist manueller Aufwand von uns aus nötig, damit das Geld uns dann auf anderem Weg erreicht.
Bitte schalten Sie bis aus weiteres während dem Bezahlvorgang per Paypal jegliche Javascriptblocker ab.
Der Fehler ist bei uns zuerst vor einer Woche aufgetreten und bis heute aber nun schon drei mal. Paypal ist der Fehler (laut Hotline) bekannt, sie bieten bisher aber keinen Workaround, den wir einsetzen könnten.

UPDATE: Der Fehler konnte in Zusammenarbeit mit Paypal behoben werden, es funktioniert jetzt wieder alles reibungslos.

Viele freundliche Grüße,
das Posteo-Team

Fehler mit Firefox 7 ist behoben

2011-10-02T08:30:00+02:00

Liebe Posteokunden,

der Fehler mit Firefox 7 ist behoben. #more#

Viele freundliche Grüße,
das Posteo-Team

Fehler mit Firefox 7

2011-10-01T10:00:00+02:00

Liebe Posteokunden,

mit der gerade veröffentlichten Version 7 des Webbrowsers Firefox gibt es leider ein Darstellungsproblem #more# in unserem Webmailer. Der Browser ersetzt leider den kompletten Inhalt der Betreffzeile durch drei Punkte, wenn der Text nicht komplett in die Zeile passen würde: Der Betreff ist nicht mehr lesbar. Wir werden den Fehler zeitnah in der kommenden Woche beheben.

Viele freundliche Grüße,
das Posteo-Team

Posteo unterstützt Demoaufruf "Freiheit statt Angst"

2011-08-30T10:00:00+02:00

Es ist wieder soweit: Am 10. September findet in Berlin die Großdemonstration “Freiheit statt Angst” statt. #more# Ein breites gesellschaftliches Bündnis ruft dazu auf, gegen die ausufernde Überwachung durch Wirtschaft und Staat und für eine offene Gesellschaft zu protestieren. Der Demonstrationszug startet um 13 Uhr vor dem Brandenburger Tor und zieht von dort aus zum Alexanderplatz. Posteo unterstützt den Demoaufruf auch in diesem Jahr. Egal, ob die geplante Wiedereinführung der Vorratsdatenspeicherung, das unverhältnismäßige Datensammeln von Unternehmen und Behörden oder der meist fahrlässige Umgang mit den gesammelten Daten: Es gibt viele Gründe, auch in diesem Jahr auf die Strasse zu gehen und ein Zeichen für eine offene Gesellschaft zu setzen. Informationen zur Demo erhalten Sie unter: http://blog.freiheitstattangst.de/about/

Sie wollen mehr darüber erfahren, was wir für den Schutz Ihrer Daten unternehmen? Unter https://posteo.de/site/datenschutz finden Sie alles rund um den Datenschutz bei Posteo.

Vereinfachung des Spamfilters

2011-03-25T20:00:00+01:00

Wir arbeiten beständig daran, den Spamfilter von Posteo zu verbessern. #more# Dazu gehört auch der Umgang mit den von uns als Spam eingestuften Mails, den wir schon eine ganze Weile als verbesserungswürdig auf unserer To-Do-Liste hatten. Wir haben Spammails bisher in zwei Kategorien eingeteilt: Mails, die sicher Spam sind und Mails, die mit einer hohen Wahrscheinlichkeit Spam sind. Die sicheren Spammails wurden abgewiesen und die „wahrscheinlichen“ Spammails landeten bisher im Ordner „Spam“ und wurden dort nach 14 Tagen automatisiert gelöscht. Wer nicht regelmäßig in den Ordner schaute, dem konnte es bisher passieren, dass Mails verschwanden. Denn der Absender bekam keine Rückmeldung über die Einstufung seiner E-Mail als „wahrscheinlicher“ Spam.

Deswegen haben wir unseren Umgang mit Spammails vereinfacht. In Zukunft weisen wir auch alle Mails zurück, die bisher im Spam-Ordner gelandet wären. Der Absender erhält darüber immer eine Nachricht von seinem Mailanbieter. So hat er die Chance, die Umstände abzustellen, weswegen die Mail als Spam eingestuft wurde oder sich auf anderem Weg an den Empfänger zu wenden – es kann keine Kommunikation mehr im Sand verlaufen.

Für den Fall, dass es dem Absender nicht möglich ist, seine Umstände zu verbessern, damit die Mails nicht mehr als Spam eingestuft werden, haben wir eine sogenannte „Whitelist“ eingeführt. Diese ist in den Einstellungen zu finden. Alle Absender, die von den Nutzern dort eingetragen werden, lassen wir immer durch unseren Spamfilter durch. Diese Whitelist sollte aber mit Vorsicht und nur in wirklichen Problemfällen benutzt werden. Das Problem ist, dass E-Mailabsender fast beliebig gefälscht werden können und deshalb bei Absendern, die so „erlaubt“ werden, eine erhöhte Vorsicht angebracht ist (Stichwort Phishing). Im Gegensatz zu vorher ist es mit der „Whitelist“ nun möglich, selbst Einfluss auf den Spamfilter zu nehmen.

Die Umstellung haben wir heute abgeschlossen. Der Spamordner wird erst in 14 Tagen verschwinden, denn solange können darin noch Mails enthalten sein, die wir vor der Umstellung als Spam eingestuft haben.

Demoaufruf "Fukushima heisst: Alle AKWs abschalten!"

2011-03-23T09:30:00+01:00

Posteo ruft zur Teilnahme an den Anti-Atom-Demonstrationen am 26.03. auf. #more# Die Großdemonstrationen finden am Samstag, den 26. März, in Berlin, Hamburg, Köln und München statt. Die Reaktorkatastrophe in Fukushima hat noch einmal bestätigt: Es gibt keinen Schutz vor dem nuklearen Restrisiko. Die Natur hält sich nicht an Berechnungen. Technik und Menschen können auch in hochentwickelten Ländern versagen. Alle AKWs müssen jetzt endgültig vom Netz! Mehr Informationen zu den Großdemos am Wochenende finden Sie unter: www.ausgestrahlt.de

Die Vorratsdatenspeicherung ist keine Lösung

2010-11-23T10:00:00+01:00

Wir haben uns heute öffentlich gegen eine Wiedereinführung der Vorratsdatenspeicherung ausgesprochen #more# und das Recht unserer Kunden auf informationelle Selbstbestimmung unterstrichen.
In der aktuellen Debatte wird von der Politik fälschlicherweise das Bild vermittelt, die Vorratsdatenspeicherung sei die einzige Methode, Verbrechen im Internet aufzuklären. Mit richterlichem Beschluss ist es jederzeit möglich, Telefone und E-Mailpostfächer zu überwachen. Die Vorratsdatenspeicherung ist teuer, unwirksam und greift unverhältnismäßig in die Privatsphäre der Bürgerinnen und Bürger ein. Die meisten Onlinedelikte sind Betrugsfälle oder Urheberrechtsverletzungen – und keineswegs Terrorismus oder Schwerstkriminalität. Das macht Online-Straftaten nicht harmlos, es ist aber schwer nachvollziehbar, wie die Vorabverdächtigung von 80 Millionen Deutschen und die Speicherung aller ihrer Verbindungsdaten dazu in einem angemessenem Verhältnis stehen sollen.

Am vergangenen Freitag hatte die Innenministerkonferenz in Hamburg gefordert, die Vorratsdatenspeicherung möglichst schnell wieder einzuführen. Begründet wurde dies damit, dass viele schwere Straftaten ohne die Vorratsdatenspeicherung nicht aufgeklärt werden könnten.

Wir über uns: Anonyme Anmeldung

2010-10-26T10:00:00+02:00

Es gibt Fragen, die uns regelmäßig gestellt werden. #more# Die Häufigsten beantworten wir ab sofort in der Rubrik “Wir über uns”.

Warum bieten wir eine anonyme Anmeldung an? Welche Vorteile hat das?

Die Vorteile der anonymen Anmeldung liegen auf der Hand: Mit nicht erhobenen Daten kann auch kein Missbrauch betrieben werden. Weder bei uns noch anderswo. Bei uns werden Daten nicht verkauft, sie können nicht gestohlen und auch nicht abgefragt werden. Posteo steht für Selbstbestimmheit im Internet.

Beim Betrieb von „elektronischer Post“ gibt es einige Gesetze, die beachtet werden müssen. Das wichtigste ist das TKG, das Telekommunikationsgesetz. Es schrieb bis vor kurzem noch die Vorratsdatenspeicherung vor, regelt aber noch viele andere Dinge. Unter anderem, dass man als Telekommunikationsanbieter von seinen Kunden Bestandsdaten erheben muss, also Namen und Adresse. Diese Daten muss man dann wiederum über eine automatisierte Schnittstelle der Bundesnetzagentur bereitstellen, die diese allen möglichen Behörden, insbesondere der Polizei, dem Zoll, dem BND, aber auch den Notrufabfragestellen bereitstellt. Insgesamt haben über 1000 Behörden Zugriff auf die Bestandsdaten aller Telekommunikationsanbieter und nutzen das laut Bundesnetzagentur rund 11.000 mal am Tag (Tätigkeitsbericht 2009).
Die einzige Ausnahme von diesem automatisierten Datensauger sieht das Gesetz für „Anbieter elektronischer Post“ vor, die keine Bestandsdaten erheben. Wer keine Daten hat, muss sie auch nicht zur Verfügung stellen. Als E-Mailanbieter ist die Erhebung von Bestandsdaten also freiwillig.

Würden wir für die Bezahlung Daten erheben, hätten wir Bestandsdaten und müssten diese bereitstellen.
Deswegen bieten wir nur anonymisierbare Vorauszahlungsmethoden. Wir verknüpfen die Daten der Bezahlungen nicht mit den Postfächern über z.B. den Namen, sondern über Zahlungscodes. Damit entkoppeln wir die Zahlungen von den Postfächern. Das ermöglicht es uns auch, die vollständig anonyme Barzahlung per Brief anzubieten. Es hindert uns aber auch daran, die eigentlich sehr bequeme Zahlung per Lastschrift anzubieten, denn dafür müssten wir neben dem Namen sogar die Kontodaten speichern.

Barzahlung voller Erfolg

2010-10-25T17:00:00+02:00

Anfang September haben wir die Möglichkeit geschaffen Posteo Postfächer Bar zu bezahlen. #more#
Wir sind überwältigt von der Resonanz. Über 10 Prozent aller Nutzer schicken uns Geld per Brief. Mit einem solch großen Anteil hatten wir im Vorfeld nicht gerechnet, ist die Bezahlmethode doch mit dem meisten Aufwand verbunden.
Was uns besonders freut, ist das positive Feedback, welches wir über die Briefe bekommen. Einige Nutzer geben sich besondere Mühe und schmücken die Briefe oder schreiben uns anonym ihren Dank – dafür möchten wir uns an dieser Stelle bedanken!

Demoaufruf "Atomkraft: Schluss jetzt!"

2010-09-09T17:00:00+02:00

Posteo ruft zur Teilnahme an der Großdemonstration Atomkraft: Schluss jetzt! auf. #more# Die Demonstration findet am Samstag, den 18. September, in Berlin statt und startet um 13 Uhr am Hauptbahnhof. Ausserdem unterstützt Posteo ab sofort den privaten Atomausstieg: Alle, die in diesem Herbst zu einem der vier unabhängigen Ökostromanbieter wechseln, können Posteo ein Jahr lang kostenlos nutzen. Mehr dazu auf unserer Kampagnenseite.

Posteo verurteilt die Entscheidung der Bundesregierung, die Atomkraftwerke länger laufen zu lassen. Die Regierung Merkel handelt unverantwortlich und gegen den Willen der Menschen im Land. Atomkraft ist eine unbeherrschbare Risikotechnologie, die deutschen Meiler sind hoffnungslos veraltet und das Unfallrisiko steigt mit jedem weiteren Betriebsjahr an. Der Ausbau der Erneuerbaren Energien wird durch die längeren Laufzeiten nicht etwa gefördert, wie die Regierung behauptet, sondern gebremst. Deshalb wollen wir gerade jetzt ein Zeichen setzen und all jene unterstützen, die zu einem Ökostromanbieter wechseln, und so den Ausbau der Erneuerbaren vorantreiben.

Demoaufruf "Freiheit statt Angst"

2010-09-01T19:00:00+02:00

Am Samstag, den 11. September, findet in Berlin die Großdemonstration Freiheit statt Angst statt. #more# Zusammen mit über 150 Organisationen rufen wir zur Teilnahme auf. Der Umzug startet um 13 Uhr am Potsdamer Platz. Die Demo richtet sich gegen die ausuferne Überwachung durch Wirtschaft und Staat und ist Teil des weltweiten Aktionstages “Freedom not Fear”. Die Demo kann auch durch Spenden unterstützt werden.

Die Vorratsdatenspeicherung ist noch längst nicht vom Tisch, sie ist nur ausgesetzt. Die Richtlinie zur Vorratsdatenspeicherung muss nun EU-weit gekippt werden, um eine Wiedereinführung in Deutschland zu verhindern. Egal, ob soziale Netzwerke, internationale Unternehmen oder der Staat: Unsere Daten werden gesammelt, miteinander verknüpft und an Dritte weitergegeben. Sie lagern auf Servern auf der ganzen Welt. Wir wollen die Kontrolle über unsere Daten zurück – und gehen mit gutem Beispiel voran: Datensparsamkeit war bei unserem E-Mailprojekt von Anfang an das Leitmotiv. Bei uns ist eine anonyme Anmeldung möglich und seit neuestem akzeptieren wir als Internetdiensleister sogar Bargeld als Bezahlmethode – ungewöhnlich, aber konsequent.

Neue Zahlmethode: Barzahlung

2010-09-01T18:00:00+02:00

Ab sofort bieten wir die Möglichkeit der Barzahlung an. #more# Damit wird die anonyme Nutzung von Posteo noch besser gewährleistet. Wie bei der Überweisung gibt es für jeden Zahlvorgang einen Code, der zusammen mit dem Bargeld in Scheinen per Post an uns geschickt werden kann. Durch den Code wissen wir, welchem Postfach das Bargeld zugeordnet werden soll. Nähere Hinweise zum Briefversand des Geldes gibt es beim Zahlvorgang. Statt 12 Monate werden bei der Barzahlung 15 Monate im Voraus bezahlt, weil wir nur Scheine per Post akzeptieren.
Für uns sind auch die bisherigen Bezahlmethoden anonym, weil wir die Daten, die wir bei Überweisungen oder Nutzung von Paypal zwangsläufig erhalten, nicht mit den Postfächern verknüpfen. Mit der Barzahlung können wir unseren Anspruch nach Datensparsamkeit allerdings noch besser erfüllen.

Adressbuch: Gruppen möglich

2010-08-20T23:10:00+02:00

Wir haben unseren Webmailer aktualisiert #more# und damit hält eine stark nachgefragte Funktionen bei Posteo Einzug: Es gibt endlich Gruppen im Adressbuch.

Im Adressbuch gibt es nun links unten ein Plus-Symbol. Damit können Sie neue Gruppen erstellen. Dann können Sie Kontakte mit der Maus in eine solche Gruppe ziehen. Wenn Sie eine E-Mail verfassen, können Sie im Empfängerfeld den Namen der Gruppe eintippen.
Oft empfiehlt es sich, die Gruppen nicht im Feld “Empfänger” zu verwenden, sondern im Feld “BCC”. Dann sehen nicht alle Empfänger die Adressen der anderen.

Webmailer: Neue Konversationsansicht

2010-08-20T23:00:00+02:00

Unser Webmailer ist aktualisiert #more# und um neue Konfigurationsmöglichkeiten bereichert. Nachrichten lassen sich jetzt beliebig sortieren und ausserdem in einer Konversationsansicht anzeigen.

Die Neuerung ist ein bisschen versteckt zu aktivieren. Im Posteingang gibt es links oben neben dem Wort “Betreff” ein neues Symbol. Dort lässt sich der Anzeigemodus auf “Konversationen” umstellen. Dabei werden Mails thematisch sortiert angezeigt, was es einfacher macht z.B. Diskussionen nachzuverfolgen. Eine weitere Neuerung ist dort auch noch versteckt. Sie können nun völlig frei definieren, welche Spalten Sie im Posteingang sehen möchten und wonach die E-Mails sortiert werden sollen.

Umzugshilfe: Bis zu drei Mailsammeldienste

2010-02-14T10:00:00+01:00

Wir haben die Funktionen zur Umzugshilfe erweitert. #more# Sie können nun bis zu drei E-Mail-Konten von beliebigen Anbietern in Ihrem Posteo-Postfach abrufen. Bereits empfangene E-Mails werden importiert, Neue werden automatisch übertragen. Der Abruf erfolgt per POP3. Wenn Ihr bisheriger Anbieter dies unterstützt, läuft die Übertragung verschlüsselt ab.
Mit einigen wenigen Anbietern, wie T-Online in der kostenfreien Variante, funktioniert der Sammeldienst leider nicht, weil diese Anbieter den Abruf per POP3 nicht unterstützen.

Adressbuch: Empfängerwahl vereinfacht

2010-01-25T18:30:00+01:00

Ab sofort ist es einfacher möglich, mit Posteo Mails an einzelne oder alle Empfänger aus Ihrem Adressbuch zu senden. #more#

Wenn Sie eine neue Mail verfassen möchten, erscheint nun ein “Adressbuch-Symbol” oben rechts in der Symbolleiste. Klicken Sie es an, öffnet sich eine Liste mit allen Einträgen aus Ihrem Adressbuch. Sie können nun einzelne oder alle Teilnehmer auswählen und per Klick in die Felder “Empfänger”, “Kopie” oder “Blindkopie” übernehmen.

Adressbuch: Neue Importmöglichkeiten

2010-01-25T18:15:00+01:00

Wir haben unsere Importfunktion für Adressbücher verbessert. #more# Ab sofort können Sie auch dann Ihr Adressbuch zu Posteo übernehmen, wenn Ihr bisheriger Anbieter keinen Export im v-Card Format anbietet (gmx, web.de…). Die entsprechende Funktion finden Sie ab sofort im Adressbuch.

Passwort vergessen: Per SMS können Sie ein Neues anfordern

2010-01-25T18:00:00+01:00

Wenn Sie Ihr Passwort vergessen haben, senden wir Ihnen gern per SMS ein neues Passwort zu. #more# Für diesen Fall können Sie im Kundenmenü Ihre Handynummer hinterlegen. Die Nummer wird von Posteo ausschliesslich zu diesem Zweck verwendet, und Sie können sie jederzeit wieder vollständig löschen.