Posteo.de - Aktuelles

Österreich: Staatstrojaner und Kennzeichenerkennung sind verfassungswidrig

2019-12-12T16:00:00+01:00

Der österreichische Verfassungsgerichtshof hat den “Bundestrojaner” und die automatische Kennzeichenerfassung für verfassungswidrig erklärt. Beide Maßnahmen waren Teil eines von der ehemaligen Regierung beschlossenen “Sicherheitspaketes” – weitere Gesetzesänderungen treten wohl in Kraft.

Der österreichische Verfassungsgerichtshof hat den “Bundestrojaner” für verfassungswidrig erklärt. Quelle: VfGH/Achim Bieniek

#more#

Der “Bundestrojaner” sowie die Kfz-Kennzeichenerfassung sind verfassungswidrig, hat der Verfassungsgerichtshof (VfGH) in Österreich entschieden. Der VfGH hatte mehrere Teile des im Jahr 2018 von FPÖ und ÖVP verabschiedeten “Sicherheitspakets” überprüft.

Nach Auffassung des Gerichts ist eine vertrauliche Nutzung von Computern “wesentlicher Bestandteil des Rechts auf Achtung des Privatlebens” nach der Europäischen Menschenrechtskonvention. Computer heimlich zu überwachen, stelle daher einen schwerwiegenden Eingriff in die Privatsphäre dar: Durch eine solche Überwachung würden Daten anfallen, die Rückschlüsse auf “Vorlieben, Neigungen, Orientierung und Gesinnung sowie Lebensführung des Nutzers” erlauben. Die Richter kritisierten außerdem, dass eine solche verdeckte Überwachung auch unbeteiligte Personen betrifft.

Keine heimlichen Hausdurchsuchungen

Teil der geplanten Gesetzesänderung war, dass Behörden in Wohnungen eindringen dürfen, um den Staatstrojaner zu installieren. Hausdurchsuchungen sollten möglich sein, ohne dass betroffene Personen davon erfahren. Beides verstoße gegen das von der Verfassung gewährleistete Recht auf die Unverletzlichkeit der Wohnung, urteilten die Richter.

Bei der als Bundes- oder Staatstrojaner bezeichneten Spionagesoftware handelt es sich um ein heimlich installiertes Programm, das es Sicherheitsbehörden unter anderem ermöglicht, Computer zu durchsuchen und verschlüsselte Nachrichten mitzulesen. In Deutschland wurde 2017 eine Rechtsgrundlage für den Einsatz solcher Überwachungssoftware verabschiedet.

Das Überwachen verschlüsselter Nachrichten verstößt laut dem VfGH schon deshalb gegen die Europäische Menschenrechtskonvention, da der Anwendungsbereich so umfassend formuliert war, dass er Straftaten eingeschlossen hätte, “bei denen das Interesse an der Strafverfolgung nicht jenes an der Privatsphäre der Betroffenen überwiegt.”

Automatische Kennzeichenerfassung ist “unverhältnismäßig”

Die österreichischen Richter haben auch das Vorhaben gekippt, Daten zur Identifizierung von Fahrzeugen und Fahrern mithilfe einer automatisierten Kennzeichenerfasssung zu sammeln. Bis zu vierzehn Tage sollten Marke, Typ, Farbe und Kennzeichen eines Fahrzeuges gespeichert werden. Diese Maßnahme bezeichneten die Richter als “unverhältnismäßig” und sehen einen Eingriff in das Recht auf Achtung des Privatlebens laut der Europäischen Menschenrechtskonvention, aber auch gegen im österreichischen Datenschutzgesetz festgelegte Geheimhaltungsinteressen.

Behörden dürfen zudem Daten der sogenannten “Section-Control-Anlagen” nicht über die Geschwindigkeitsahndung und die Fahndung nach gestohlenen Fahrzeugen hinaus verarbeiten. Die Richter des VfGH führen auch in diesem Zusammenhang die Geheimhaltungsinteressen sowie das Recht auf Privatleben an. Die geplante Änderungen hätte auch Bürger betroffen, die keinen Anlass gegeben hätten, dass ihre Daten an Sicherheitsbehörden übermittelt werden, so die Richter. Weiterhin sei nicht gewährleistet, dass diese Daten nur verarbeitet werden, wenn eine entsprechend schwere Straftat vorliege.

In Deutschland gibt es ebenfalls eine laufende Diskussion über automatische Kennzeichenerfassung. Zuletzt hatte die Berliner Polizei angekündigt, mit der Technik Dieselfahrverbote durchsetzen zu wollen.

Briefgeheimnis von Gesetzesänderungen betroffen

Die nun für verfassungswidrig erklärten Gesetzesänderungen waren im Jahr 2018 von der letzten österreichischen Regierung aus ÖVP und FPÖ verabschiedet worden. Sie sollten im April 2020 in Kraft treten. Daraufhin hatten oppositionelle Abgeordnete Verfassungsbeschwerde eingelegt. “Diese Entscheidung des VfGH ist eine klare Absage an die umfassenden Überwachungsfantasien […] der gesamten ÖVP/FPÖ-Regierung. In erster Linie ist die Entscheidung aber ein fulminanter Sieg für die Freiheit, die Bürgerrechte der Bürgerinnen und Bürger in Österreich und für die Rechtsstaatlichkeit in diesem Land”, kommentierte der Neos-Abgeordnete Niki Scherak die Entscheidung.

Das Sicherheitspaket ist mit diesen Entscheidungen jedoch nicht komplett vom Tisch: Die Videoüberwachung im öffentlichen Raum, wie auf Flughäfen und Bahnhöfen, wird ausgeweitet. Mit “Quick-Freeze” ist eine anlassbezogene Datenspeicherung für zwölf Monate geplant.

Beim Kauf von Prepaid-SIM-Karten ist bereits seit Jahresbeginn ein Identitätsnachweis notwendig – und auch die Lokalisierung von Mobiltelefonen soll erleichtert werden. Außerdem sieht das Sicherheitspaket ein gelockertes Briefgeheimnis vor. Briefe dürfen demnach beschlagnahmt werden, wenn dies zur Aufklärung einer vorsätzlichen Straftat beiträgt, die mit mindestens einem Jahr Freiheitsentzug bestraft wird. (js)

"Bad News": Online-Spiel gegen Fake News

2019-12-10T17:00:00+01:00

Im Internet kann jeder seine Meinung äußern. Das wird auch ausgenutzt, um Desinformationen zu verbreiten. Wie entstehen Fake News? Das Online-Spiel „Bad News“ gibt einen Einblick.

Das Spiel “Bad News” klärt über Stimmungsmache auf. Quelle: DROG/getbadnews.de

#more#

In dem Online-Spiel “Bad News” kann jeder zum Meinungsmanipulator werden. Die niederländische Organisation DROG und Forscher der Universität Cambridge wollen so über die Mechanismen hinter Fake News aufklären. Ziel des Spiels ist es, über Internet-Kanäle authentisch wirkende Falschinformationen zu streuen – und möglichst viele Leser zu gewinnen. Dafür interagieren die Spielerinnen und Spieler mit einem Chat-Bot, der sie in die Künste der Stimmungsmache einführt.

Zu Beginn kann man etwa gegen die “Lügenpresse” wettern, was bereits ein paar Follower einbringt. Der Chat-Bot bietet im weiteren Verlauf verschiedene Taktiken an, um Desinformationen weiterzuverbreiten. Beispielsweise, indem Social-Media-Accounts bekannter Persönlichkeiten gefälscht werden, um den eigenen Beiträgen Glaubwürdigkeit zu verleihen.

Wer möchte, kann auch einen virtuellen Blog aufsetzen, über den Artikel mit Desinformationen verbreitet werden. Dort lassen sich Nachrichten aufgreifen und überspitzen, um zu polarisieren oder auf Emotionen abzuzielen. Später kommen Verschwörungstheorien an die Reihe. Dabei merkt man schnell: Ist die gewählte Verschwörungstheorie zu abstrus, glaubt sie auch niemand. Deshalb muss eine subtile Theorie her, die sich dann langsam verbreitet.

Das Spiel geht verschiedene Strategien durch, für die man am Ende jeweils ein “Abzeichen” erhält: für Identitätsbetrug, das Spiel mit Emotionen, Polarisierung, eine Verschwörung, Verleumdung und für erfolgreiches Trollen. Spätestens hier wird deutlich, wie dicht das Spiel an der Realität ist: Denn diese Konzepte für Desinformationen werden auch in einem Bericht des NATO Strategic Communications Centre of Excellence beschrieben. Wenn Spieler ein solches Abzeichen erhalten, zeigt “Bad News” weitere Informationen zu dem entsprechenden Konzept an.

Um erfolgreich falsche Informationen zu streuen, müssen Spieler subtil vorgehen. Screenshot: Posteo

Ziel des Spiels ist es, möglichst viele Follower zu gewinnen und dabei glaubwürdig zu bleiben. Das geht nur mit gut ausgewählten, aber falschen Inhalten. Wer übertreibt oder aber journalistisch ordentlich arbeiten will, verliert bei “Bad News”. Der Chat-Bot fragt nach den ersten Aktionen einmal, ob man an einer Umfrage teilnehmen möchte – sie ist freiwillig und anonym. Die Macher möchten über die Rückmeldungen erfahren, wie wirkungsvoll ihre Methode ist.

Wissenschaftlicher Hintergrund

Die Initiative Wissenschaft im Dialog hat das kostenlose Spiel ins Deutsche übersetzt. Es wurde für den Einsatz in Schulen und in der Forschung entwickelt. Für Lehrer gibt es auch ein Begleitblatt, das weitere Hintergründe und mögliche Einsatzszenarien im Unterricht erklärt. Dank der teils absurden Vorschläge, die der Chat-Bot macht, ist das Spiel unterhaltsam und zugleich lehrreich. “Bad News” basiert auf der sogenannten Inokulationstheorie. Demnach soll eine Konfrontation mit falschen Informationen dazu führen, weniger anfällig für solche zu werden. Denn am Ende hat das Spiel einen wichtigen Zweck: Spieler sollen lernen, wie Meinungsmache funktioniert und mit welchen Maschen falsche Informationen gestreut werden, damit sie glaubwürdig wirken. Es geht also darum, kritischer zu werden und mehr zu reflektieren, ob eine Nachricht im Internet oder einem sozialen Netzwerk plausibel ist. (dpa / js)

Geschäfte zählen Kunden mit Videoüberwachung und WLAN-Routern

2019-12-09T16:00:00+01:00

Während im Internet fleißig Daten gesammelt werden, vermitteln Besuche in stationären Läden ein Gefühl der Anonymität. Doch der Einzelhandel analysiert die Verbraucher ebenfalls.

Dieses Piktogramm weist auf Videoüberwachung hin – dahinter kann sich mehr verbergen, als man denkt. Quelle: DIN e.V.

#more#

Gerade vor den Feiertagen sind die Kaufhäuser voll. Dass sie dort gezählt werden, ist den wenigsten Ladenbesuchern bewusst. Dabei ist es gerade für Betreiber von Shopping-Centern oder großen Kaufhäusern entscheidend zu wissen, wie viele der Besucher tatsächlich Geld ausgeben. Mit Technik ist es möglich zu erfassen, wie lange ein Kunde verschiedene Abteilungen im Kaufhaus besucht. Die Entwicklung wird von der Verbraucherzentrale kritisch beobachtet.

Die Zahl der Besucher wird auf unterschiedlichen Wegen festgestellt. So werde schon seit etwa 20 Jahren mittels Infrarot-Schranke gezählt, wie viele Menschen ein Geschäft betreten, sagt Erik Maier, Professor für Handelsmanagement an der Leipziger Handelshochschule, gegenüber der DPA. Maier geht davon aus, dass alle großen Einkaufszentren in Deutschland die Besucherströme messen. Gerade größere Unternehmen greifen dabei auf neuere Technik wie die genauere Laser-Zählung oder WLAN-Router zurück.

Die Router können erfassen, wie viele Smartphones mit angeschaltetem WLAN versuchen, sich zu verbinden. Das funktioniert über die sogenannte MAC-Adresse, eine eindeutige Gerätenummer. Zwar werden keine anderen Daten übermittelt, doch mit ausreichend Routern lassen sich dennoch Bewegungsprofile der Kunden erstellen, sagt Maier. Zudem sollen diese Informationen ausreichen, um beispielsweise Besucherzahlen im Jahresvergleich gegenüberzustellen.

Kameras bieten mehr Informationen

Einen Schritt weiter als die Zählung mit WLAN-Routern geht die Kundenerkennung mit Kameras: So lassen sich auch Geschlecht und ungefähres Alter der Ladenbesucher erkennen. Manche Systeme können gar die Stimmung der Kunden deuten oder Besuchergruppen und Personal identifizieren. Welche Bereiche im Geschäft besonders beliebt sind, können Verkäufer mit diesen Videosystemen ebenfalls ablesen.

“Das ist aber in deutschen Kaufhäusern verhältnismäßig unüblich”, sagte Maier. Händler bewegen sich mit solchen Videosystemen im Grenzbereich dessen, was datenschutzrechtlich möglich ist. Fraglich sei etwa, ob solche Aufnahmen gespeichert werden dürfen, oder ob Gesichter verpixelt und damit unkenntlich gemacht werden müssen.

Marco Atzberger, Mitglied der Geschäftsführung im Kölner Handelsforschungsinstitut EHI, beobachtet hingegen einen deutlichen Anstieg der Zählungen mit Kameras. Die meisten Geschäfte hätten ohnehin schon eine Videoüberwachung, um sich gegen Diebstahl zu schützen.

Verbraucherzentrale fordert klare Regeln

Die Verbraucherzentrale Sachsen gibt sich nicht mit einer Selbstregulierung der Händler zufrieden, sondern fordert eine transparente und datenschutzfreundliche Regelung in der ePrivacy-Verordnung der Europäischen Union – die allerdings noch immer nicht verabschiedet wurde.

Es müsse sichergestellt werden, dass auch bei der Verfolgung mit WLAN-Routern keine personenbezogenen Daten ohne Einwilligung der Kunden gespeichert werden, teilt Stefanie Siegert, Referentin für Digitales und Energie der Verbraucherzentrale Sachsen, mit. Es könne nicht Aufgabe des Verbrauchers sein, die WLAN-Funktion auszuschalten, um nicht vom Netzwerk eines Kaufhauses erfasst zu werden. Genau das rät allerdings Erik Maier von der Leipziger Handelshochschule: Wer der Datenerfassung im stationären Handel entgehen wolle, soll die automatische Suche nach Netzwerken in den Smartphone-Einstellungen deaktivieren.

Auf Android-Telefonen lässt sich die Option unter “Einstellungen → WLAN → Dreipunkte-Menü → Erweitert” deaktivieren, indem der Schalter “Scannen immer verfügbar” umgelegt wird. Bei iPhones können unter “Einstellungen → WLAN” die beiden Optionen “Auf Netze hinweisen” sowie “Automatisch mit Hotspot verbinden” auf “Nie” gesetzt werden. (dpa / js)

iPhone 11: Verwirrung um Standortabfragen

2019-12-06T15:24:00+01:00

Für einige Standortabfragen des iPhone 11 gibt es in den Systemeinstellungen keinen Deaktivierungs-Schalter. Nun lieferte Apple eine Erklärung dafür: Neue Funktionen sind verantwortlich.

Nicht alle Ortungsdienste sind auf dem iPhone 11 einzeln deaktivierbar. Quelle: Apple

#more#

IT-Journalist Brian Krebs war erstaunt, als auf seinem Apple iPhone 11 Pro immer wieder das Pfeilsymbol in der Benachrichtigungsleiste auftauchte. Es signalisiert, dass das iPhone gerade seinen Standort ermittelt. Krebs war deswegen überrascht, weil er eigentlich den Standortzugriff für jede einzelne App und jeden einzelnen Systemdienst deaktiviert hatte. Da er sich keinen Reim auf das Verhalten des Smartphones machen konnte, veröffentlichte er den Sachverhalt auf seinem Blog.

Apples Betriebssystem iOS lässt den Nutzerinnen und Nutzern viele Möglichkeiten, die Lokalisierung des iPhones einzuschränken oder ganz abzuschalten. Auf Krebs iPhone lief das aktuelle iOS 13.2.3. Seine Entdeckung hat er auch in einem Video auf YouTube festgehalten. Das von Krebs beschriebene Verhalten des iPhone 11 Pro konnten wir auf einem iPhone X und iPhone 8 mit gleicher iOS-Version nicht nachvollziehen; Nutzer berichten im Hilfe-Forum von Apple aber von der gleichen Erfahrung auf dem iPhone 11.

Ursache neuer Ultrabreitband-Chip

Nach seinem Fund kontaktierte Krebs Apple. Ein Ingenieur antwortete: “Wir sehen keine tatsächlichen Auswirkungen auf die Sicherheit.” Der Konzern bestätigte aber, dass man einigen Systemprozessen die Standortfreigabe nicht einzeln verweigern kann. Um welche Funktionen es sich dabei handelt, verriet die Firma aber vorerst nicht.

Die Auflösung des Rätsels kam dann zwei Tage später doch noch von Apple selbst: Gegenüber der IT-News-Seite “Techcrunch” erklärte ein Unternehmenssprecher, dass das Verhalten im Zusammenhang mit dem nur im iPhone 11, 11 Pro und 11 Pro Max eingebauten “U1-Chip und dessen Ultrabreitbandfunk (UWB) steht”. Der Chip soll andere Apple-Geräte in der Nähe lokalisieren und zukünfitg beispielsweise die Suche nach verlorenen Kopfhörern oder der Smartwatch erleichtern. Momentan hat er aber nur die Aufgabe, die Dateiübertragung per AirDrop zu vereinfachen. Der Funkstandard muss an bestimmten Orten und in bestimmten Regionen ausgeschaltet werden. “UWB funkt in einem außergewöhnlich breiten Frequenzbereich” von mindestens 500 MHz und kann deswegen andere Funksysteme wie Radioteleskope stören.

Schaltet man alle Ortungsdienste des iPhones einzeln ab, wird der Ultrabreitbandfunk offensichtlich nicht deaktiviert, weil es keinen eigenen Schalter dafür gibt. Stattdessen fragt das iPhone gelegentlich seine Position ab, um den U1-Chip automatisch zu deaktivieren, sobald sich das Gerät in einer Verbotszone für Ultrabreitbandfunk befindet. Apple gibt in seinem Statement zu, dass dafür die Ortungsdienste verwendet werden. Doch blieben die Daten laut Hersteller lokal auf dem Gerät und würden nicht von Apple gesammelt.

Lösung: Standortfreigaben deaktivieren

Apple versprach gegenüber Techcrunch, dass ein Schalter in die Systemeinstellungen aufgenommen werden soll, mit dem sich die Funktion einzeln abschalten lässt. Einen Zeitpunkt für das Update nannte der Konzern nicht. Momentan hift es auch, die Ortungsdienste komplett mithilfe des Hauptschalters zu deaktivieren. Die Option findet man in den Systemeinstellungen von iOS: “Einstellungen → Datenschutz → Ortungsdienste”.

Wer nur einzelne Apps davon abhalten möchte, den Standort abzufragen, kann dies im selben Menü tun. Die Zugriffsrechte einzelner Systemdienste findet man als letzten Punkt in der App-Liste. Geht man diesen Weg, muss man auf dem iPhone 11 aber damit leben, dass das Smartphone den eigenen Standort für Ultrabreitband abfragt. (hcz)

ePrivacy-Verordnung liegt auf Eis

2019-12-06T13:00:00+01:00

Die EU-Mitgliedsstaaten konnten sich nicht auf eine gemeinsame ePrivacy-Verordnung einigen. Nun muss ein neuer Entwurf her. Die Verordnung sollte den Datenschutz von Internet-Nutzern stärken.

Die EU wollte vor Datensammlern schützen. Doch noch gibt es keine Einigkeit. Quelle: Mauro Bottaro, EU

#more#

Wer sich im Internet bewegt, gibt Daten von sich preis. Diese zu sammeln und zu verkaufen, ist mittlerweile Grundlage ganzer Geschäftsmodelle. Die EU wollte Nutzerinnen und Nutzer besser vor Datensammlern schützen. Bisher ist es jedoch beim Versuch geblieben: Ursprünglich sollte die ePrivacy-Verordnung bereits 2018 parallel zur Datenschutzgrundverordnung (DSGVO) in Kraft treten. Doch schon zu diesem Zeitpunkt war keine Einigung möglich. Nun hat der EU-Kommissar für Binnenmarkt und Industriepolitik, Thierry Breton, angekündigt, einen neuen Gesetzesentwurf vorlegen zu wollen. Da bereits an der Verordnung gearbeitet wurde, müsse man dafür nicht bei Null anfangen, so Breton.

Zuletzt hatte es einen neuen Vorschlag der finnischen EU-Ratspräsidentschaft gegeben, der die vorgesehenen Regeln bereits aufweichte. Offensichtlich konnten sich die EU-Mitgliedsstaaten hierauf nicht einigen.

Verordnung soll Privatsphäre schützen

Grundsätzlich geht es beim Thema ePrivacy darum, wie im Internet mit personenbezogenen Daten umgegangen wird. Das beinhaltet den Schutz der Privatsphäre.

Bisher gibt es eine ePrivacy-Richtlinie. Diese musste von den EU-Mitgliedsstaaten in nationales Recht umgesetzt werden. Die Verordnung würde die Richtlinie ersetzen und muss nicht weiter in nationales Recht umgesetzt werden, sondern könnte direkt in Kraft treten – so sie denn verabschiedet wird.

Beispielsweise soll die Verordnung einschränken, wie im Internet mit Cookies Daten gesammelt werden. Außerdem sollen für Telekommunikationsanbieter geltende Datenschutzbestimmungen auf Dienste wie den Facebook Messenger, Skype und WhatsApp ausgeweitet werden.

Streit um Cookies

Ein großer Streitpunkt bei der ePrivacy-Verordnung sind Cookies. Dabei handelt es sich um Dateien, die der Browser beim Aufruf einer Webseite auf dem Computer der Nutzerinnen und Nutzer speichern kann.

Cookies werden beispielsweise genutzt, um Anmeldedaten für eine Webseite zu speichern. Webseiten-Betreiber können sie aber auch einsetzen, um Anwender zu “tracken”, also Informationen über sie zu sammeln. Mittels sogenannter “Third Party Cookies” kann das Surf-Verhalten dabei über verschiedene Webseiten hinweg verfolgt werden. Firmen können durch diese Informationen personalisierte Werbung anzeigen.

Die ePrivacy-Verordnung sollte solche Cookies ursprünglich nur noch nach einer expliziten Einwilligung zulassen. Cookies, die beispielsweise dazu dienen, Artikel in einem digitalen Warenkorb zu halten, sollten hiervon nicht betroffen sein. In der Praxis würde das bedeuten, dass Nutzer Tracking-Cookies explizit zustimmen müssten (Opt-in). Ein Hinweis wie “Diese Seite nutzt Cookies” würde damit nicht mehr ausreichen.

Browser mit Datenschutzfunktionen

Die Entscheidung bezüglich der Cookies sollte dabei direkt vom Browser an die Webseiten übermittelt werden. Die Idee war, hier “Privacy by Default” umzusetzen. Das bedeutet, dass Browser standardmäßig datenschutzfreundlich eingestellt sind. Schon jetzt bieten viele Browser die Option “Do not Track”, die Webseiten eine Aufforderung schickt, das Nutzerverhalten nicht zu verfolgen. Allerdings ist dies nicht verpflichtend, sondern vielmehr eine Bitte, die von der Werbeindustrie einfach ignoriert werden kann.

Genau gegen diesen Teil der Verordnung hatte es erhebliche Proteste gegeben. Sowohl von der Werbebranche, als auch von Verlagen, die ihr bisheriges Online-Geschäftsmodell dadurch gefährdet sahen. Zumal ein sogenanntes Kopplungsverbot gefordert wurde: Selbst wenn zielgerichtetes Tracking abgelehnt wird, müsste die Webseite demnach zugänglich bleiben. Zwischen EU-Kommission, EU-Parlament und Europäischem Rat herrschte früh Uneinigkeit über dieses Kopplungsverbot.

Weiterhin ging es darum, wie man mit Metadaten umgeht. Die verraten etwa, wer wann mit wem über einen Messenger-Dienst kommuniziert. Aus manchen Metadaten lässt sich zudem ablesen, mit welchem Gerät Nutzer unterwegs sind. Diese Informationen sind ebenfalls für Unternehmen interessant, natürlich aber auch für Behörden. Kritiker warnen, dass Metadaten alleine ausreichen, um Menschen zu überwachen.

Nach der ursprünglichen Idee für die ePrivacy-Verordnung sollten sich Metadaten ebenfalls nur nach expliziter Einwilligung verwenden lassen. Wichtig dabei ist, dass die Verordnung gelten soll, solange sich Nutzer innerhalb der EU befinden. Sie ist also auch für US-Unternehmen wie Facebook und Google bindend.

Stückweise Abschwächung

Von Anfang an war die ePrivacy-Verordnung hart umkämpft. So wurde im Dezember 2016 ein Entwurf vorab veröffentlicht. Schon der offiziell von der Kommission im Januar 2017 veröffentlichte Entwurf war dem gegenüber abgeschwächt, enthielt aber weiterhin die Regel, dass “Do not Track” beachtet werden muss.

Spätestens dieser Entwurf rief die Lobbyisten auf den Plan. Laut dem Bericht “Big Data is Watching You” des Corporate Europe Observatory soll es sich um eine der intensivsten Lobby-Kampagnen überhaupt gehandelt haben.

In der Folge passierte seitens der EU im Ergebnis nicht viel. Zuletzt gab es Ende November einen weiter abgeschwächten Kompromissvorschlag. Teil des Vorschlags war, Tracking für werbefinanzierte journalistische Angebote grundsätzlich zuzulassen. “Privacy by Default” wurde in dieser Fassung gestrichen. Eine pseudonymisierte Weiterverarbeitung von Metadaten der Kommunikationsdienste war in diesem Vorschlag ebenso vorgesehen. Über diesen sollte eigentlich im Europäischen Rat verhandelt werden. Doch eine Einigung sei derzeit unmöglich, schätzt Breton die Lage ein.

Breton könnte noch an Bedeutung gewinnen. Beobachter erwarten von einem neuen Vorschlag unter seiner Federführung nämlich eine wirtschaftsfreundlichere Haltung. Der Grund: Breton war zuvor unter anderem Geschäftsführer der Telekommunikationsunternehmen France Telecom und Atos.

Wie es nun weitergeht, ist ungewiss. Ein neuer Vorschlag dürfte erst im kommenden Jahr vorliegen. Dann muss es immernoch zur Einigung kommen. Bis dahin gilt weiterhin die ePrivacy-Richtlinie aus dem Jahr 2002 mit der Erweiterung von 2009. (js)

Das Smart Home als Datenschleuder

2019-12-04T13:00:00+01:00

Autarke Saugroboter, programmierte Thermostate und vernetzte Beleuchtung – Smart-Home-Geräte bringen Komfort ins Heim. Viele sind aber auch Datenschnüffler.

Hersteller wie eQ-3, Eve oder AVM haben auch Smart-Home-Geräte im Angebot, die man auch datenschutzfreundlich nutzen kann. Quelle: eQ-3

#more#

Egal, ob es um die Reinigung oder die Überwachung des Eigenheims geht: Das Wohnen wird zunehmend digital. Doch das Smart Home birgt auch Gefahren: denn die meisten vernetzten Geräte sammeln fleißig Daten über ihre Nutzer und deren Heim. Im Anschluss schicken sie diese an die Hersteller. Die allermeisten Smart-Home-Haushaltsgeräte stünden regelmäßig mit dem jeweiligen Hersteller in Kommunikation – und sei es nur, um den Wartungsstatus oder Updates abzurufen, erklärt Dennis-Kenji Kipker, Rechtswissenschaftler von der Universität Bremen, gegenüber der dpa.

Kipker weist auch darauf hin, dass einige Hersteller die Gerätenutzung von einer Online-Registrierung abhängig machen, bei der neben der E-Mail-Adresse auch Daten wie der Wohnort abgefragt werden. Deshalb sollten sich Verbraucher überlegen, ob es wirklich notwendig ist, ihre genauen Adressdaten und den Klarnamen anzugeben. Alternativ könne man mit Pseudonymen arbeiten, erklärt der Experte. Eine Angabe von echten Daten ist den allermeisten Fällen überflüssig. Doch auch Pseudonyme besitzen nur eine begrenzte Schutzwirkung: Denn die Hersteller aggregieren auch jede Menge Daten über die Gewohnheiten der Nutzer.

Datenschutz oder Datensammelei

Die Smart-Home-Anbieter lassen sich grob in zwei Kategorien unterteilen: Das sind Unternehmen, die sich stark an den geltenden Datenschutzrichtlinien orientieren und sich um Transparenz bemühen. Und es gibt jene, die so viele Daten wie möglich erfassen und diese dann etwa für Marketingzwecke nutzen.

Beim Kauf von Smart-Home-Geräten sollte daher zusätzlich Wert darauf gelegt werden, dass die Hersteller ein datenschutzfreundliches System sowie entsprechende Voreinstellungen verwenden – das nennt man auch Privacy by Design beziehungsweise Privacy bei Default. Dazu rät Helga Block, die Landesbeauftragte für Datenschutz und Informationsfreiheit von Nordrhein-Westfalen.

Vor dem Kauf von elektronischen Haushaltshelfern sollte man sich genau über den Hersteller informieren. Ein wichtiges Kriterium: Wo kommt der Produzent her? “Unter Datenschutzgesichtspunkten sollte man immer EU-Herstellern den Vorzug geben, da diese der Datenschutzgrundverordnung, DSGVO, unterliegen – selbst wenn sie Daten ins Ausland übermitteln”, rät IT-Rechtler Dennis-Kenji Kipker.

Die Frage ist: Was passiert mit den erfassten Informationen? Unter Datenschutzgesichtspunkten sei zu unterscheiden, ob die gesammelten Informationen im heimischen Netz bleiben oder auch in eine Hersteller-Cloud übertragen und dort ausgewertet würden, meint Block.

Deutsche Anbieter wie eQ-3, Vorwerk, AVM oder Eve / Elgato bieten Geräteserien an, die für den Betrieb benötigte Daten nicht weitersenden. Die Informationen bleiben (auf Wunsch) im heimischen Netz, auf den Smart-Home-Geräten oder dem Smartphone und Tablet.

Apps sammeln noch mehr

Zu fast jedem Smart-Home-Gerät gibt es eine Steuerungs- oder Überwachungs-App für das Smartphone oder Tablet. Auch diese stellen sich oft als große Datenschleudern heraus und fragen zahlreiche Informationen vom Smartphone ab – wie etwa den Standort oder Kontakte. Wer überlegt, das Smart Home einfach ohne App zu betreiben, wird oft enttäuscht. Viele Geräte lassen sich ohne die zugehörige App nicht einmal einrichten und starten.

Gerade die Apps neigen aus Expertensicht dazu, zusätzliche personenbezogene Daten zu sammeln, die für den Betrieb der Geräte überhaupt nicht nötig wären. Maik Morgenstern vom IT-Sicherheit-Forschungsinstitut AV-Test empfiehlt deswegen, vor dem Kauf Erfahrungs- und Testberichte zu lesen. Für den Durchschnittsnutzer ist es aber schwierig herauszufinden, welche Daten die Programme wirklich abfragen und weiterleiten. Die Hersteller stellen sich durch ihre allgemein formulierten Nutzungsvereinbarungen fast einen Blankoscheck für das Datensammeln aus. Was im Endeffekt mit den Daten passiert, ist in der Regel nicht vollständig nachvollziehbar und detailliert dokumentiert – obwohl die DSGVO dies eigentlich vorschreibt. Auch kann man nicht zuverlässig überprüfen, ob die Firmen ihrer Löschpflicht nachkommen, wenn der Nutzer dies verlangt.

Datenschutzoptionen nutzen

Einige Apps ermöglichen, die Datenerfassung in den Einstellungen einzuschränken. Meist sind diese Optionen unter Menüpunkten wie “Datenschutz” oder “Privatsphäre” zu finden. Nutzer sollten sofort nach dem ersten Start der App nach Optionen wie “Nutzungsdaten teilen” suchen und dort die Datenübertragung deaktivieren.

Unter iOS und Android müssen die Apps außerdem viele ihrer Privilegien erst beim Nutzer erfragen. So erscheint beim ersten Start der App beispielsweise die Frage, ob das Programm den Standort des Smartphones nutzen oder Kontakte abgleichen darf. Wenn einem als Nutzer nicht vollkommen klar ist, für welche Funktion diese Abfrage stattfindet, sollte man diese Erlaubnis vorerst verweigern. Möchte man später eine Funktion nutzen, für die tatsächlich Datenfreigaben notwendig sind, wird die App darauf hinweisen – und man kann die Erlaubnis nachträglich in den Systemeinstellungen des Smartphones erteilen.

Mit Vernunft kaufen

Ob die Gefahren so gravierend und einschneidend sind, dass man von einem Kauf absehen sollte, hängt vom Gerät und dessen Nutzung ab. “Wenn Kameras und Mikrofone im Spiel sind, sind immer auch hochsensible Daten betroffen”, sagt Dennis-Kenji Kipker. Bei anderen Geräten wie einer vernetzten Kaffeemaschine bestehe hingegen weniger Risiko. Auch nicht immer muss es sich bei der Neuanschaffung zwingend um ein smartes Gerät handeln: Vielleicht reicht als Waschmaschine, Steckdose oder Zahnbürste auch ein (preiswerteres) Offline-Modell aus. (dpa / hcz)

Dieselfahrverbote: Berliner Polizei will automatische Kennzeichenerkennung

2019-12-03T17:00:00+01:00

Um die Dieselfahrverbote in Berlin zu kontrollieren, will die Berliner Polizei auf eine automatische Kennzeichenerfassung setzen. Kritiker halten das für unverhältnismäßig.

Solche Anlagen können Kennzeichen erfassen. Quelle: Jenoptik AG

#more#

Die Berliner Polizei will das Einhalten von Dieselfahrverboten mit einer automatischen Kennzeichenerkennung kontrollieren. Eine technische Lösung sei die einzige Möglichkeit, teilten die Gewerkschaft der Polizei (GdP) und die Polizeipräsidentin des Landes Berlin mit.

Die ersten Dieselfahrverbote gelten seit Ende November, bis zum Jahresende sollen insgesamt acht Verbotszonen mit einer Gesamtlänge von 2,9 Kilometern eingerichtet werden. Betroffen sind alle Dieselfahrzeuge bis einschließlich Abgasnorm Euro 5. Ausgenommen sind Anwohner und Personen, die ein berufliches oder privates Anliegen haben.

Die GdP erklärte nun, das Personal der Berliner Polizei reiche “nie im Leben” aus, um die Fahrverbote zu kontrollieren.

Polizei will technische Kontrolle

Man habe früh eine Plakette oder eine technische Lösung zur Kontrolle gefordert. Sonst müssten Fahrzeuge angehalten und Papiere kontrolliert werden. Die Polizeipräsidentin und die Gewerkschaft fordern zunächst drei Systeme, um Kennzeichen automatisiert zu erfassen. Die Kosten dafür sollen sich auf jeweils 150.000 bis 200.000 Euro belaufen. “Wir als Polizei Berlin sehen uns ebenfalls in der Verantwortung, unseren Beitrag zum Umwelt- und Klimaschutz zu leisten.”, sagte Polizeipräsidentin Dr. Barbara Slowik. Das umfasse, die Fahrverbote durchzusetzen.

Allerdings ist die Erkennungstechnik umstritten. Das Bundesverfassungsgericht hatte sich 2008 und 2018 mit solchen Systemen beschäftigt. Beide Male kam das Gericht zu der Entscheidung, dass sie in das Recht auf informationelle Selbstbestimmung eingreifen, solange die Kennzeichen nicht unverzüglich verarbeitet und dann sofort gelöscht würden.

Brandenburg speichert Kennzeichen

Anfang des Jahres war zudem bekannt geworden, dass diese Technik in Brandenburg eingesetzt wird. Dabei sollen die Daten nicht nur bei einer Fahndung erfasst, sondern auf Vorrat gespeichert werden. Sie lassen sich später abgleichen, um festzustellen, ob eine Person zu einer bestimmten Zeit an einem bestimmten Ort war.

Netzpolitik.org hatte in der Folge die Originalfassung eines Gutachtens des Brandenburger Innenministeriums veröffentlicht. Darin heißt es, die Auto-Vorratsspeicherung sei unverhältnismäßig und illegal. Das Innenministerium veröffentlichte aber nur eine geänderte Version des Gutachtens. Die Rechtmäßigkeit des Kennzeichenerkennungs-Systems in Brandenburg ist nach wie vor fraglich und Gegenstand von Untersuchungen.

Polizei beruft sich auf Gesetz

“Wir kennen die Entscheidung des Bundesverfassungsgerichtes und auch die Diskussionen in den einzelnen Ländern, in denen die automatisierte Kennzeichenerfassung zur Gefahrenabwehr eingesetzt wurde”, sagte Stephan Kelm, stellvertretender Vorsitzender der GdP Berlin, dazu. Das Straßenverkehrsgesetz (StVG) ermögliche den Einsatz einer solchen Technik. Der Berliner Senat solle sie nun im Zeichen des Klimaschutzes zur Verfügung stellen.

Der Klimaschutz ist allerdings gar nicht der Hintergrund dieser Maßnahme. Vielmehr geht es darum, die Stickoxidgrenzwerte einzuhalten und damit um die Gesundheit der Bürger.

Die GdP bezieht sich auf § 35 (1) 18, § 36 (2i) sowie § 63c des überarbeiteten StVG. Dort ist festgelegt, dass Fahrzeug- und Halterdaten erfasst und über das Internet übertragen werden dürfen, um die Einhaltung der durch das Bundes-Immissionschutzgesetz festgelegten Verkehrsbeschränkungen und -verbote zu überprüfen.

Im zitierten Gesetz geht es allerdings nur um Stichproben mit mobilen Geräten. Zudem ist dort von “Einzelaufnahmen” die Rede, und nicht von Videos. Auch ist im Gesetz klar geregelt, dass eine “verdeckte Datenerhebung” unzulässig ist und der Abgleich “unverzüglich” nach der Erfassung erfolgen muss. Zudem dürfen die Daten nur zu diesem Zweck verwendet werden und müssen anschließend gelöscht werden.

Kritik aus der Politik

Der infrastrukturpolitische Sprecher der FDP im Berliner Abgeordnetenhaus, Henner Schmidt, hält die Forderung für unverhältnismäßig. “Es würden dabei viele Fahrzeuge erfasst, um einige wenige Verstöße zu ahnden. Aus den gewonnenen Daten könnten Bewegungsbilder abgeleitet werden. Es ist offensichtlich, dass dies ein Fall für die Datenschutzbeauftragte wäre”, zitiert ihn der RBB.

Ende Oktober hatte es in Berlin bereits einen Feldversuch in Abstimmung mit der Berliner Datenschutzbeauftragten gegeben. Hierbei wurden jedoch nur technische Daten des registrierten Fahrzeuges übermittelt, keine Orts- und Halterdaten.

In dem Versuch sollte unter anderem festgestellt werden, welche Fahrzeuge einen besonders hohen Anteil an der Luftbelastung haben. Es ging nicht darum, Verkehrsverstöße zu ahnden. Das wäre bei der Durchsetzung von Fahrverboten anders, hierfür würden mehr Daten benötigt. (js)

So schützen sie Ihre NFC-fähige Bankkarte

2019-11-29T17:00:00+01:00

Viele Bankkarten unterstützen mittlerweile das kontaktlose Bezahlen. Theoretisch ist so ein digitaler Taschendiebstahl möglich. Es gibt aber Gegenmaßnahmen.

Ist dieses Logo auf einer Bankkarte, unterstützt sie die Funktechnik NFC. Quelle: EMVCo

#more#

Egal, ob Girocard oder Kreditkarte: viele Bankkarten sind mittlerweile mit einem sogenannten NFC-Chip (Near Field Communication) ausgestattet, der kontaktlose Zahlungen ermöglicht. Ob die eigene Karte über die NFC-Funktechnik verfügt, ist in der Regel an dem aufgedruckten Wellensymbol erkennbar.

NFC-Karten müssen zum Bezahlen nicht mehr in ein Lesegerät gesteckt werden. Es reicht aus, sie vor das Gerät zu halten. Solange der Betrag unter 25 Euro liegt, muss auch keine PIN mehr eingegeben werden. Bei einigen Banken liegt diese Bezahlgrenze höher, so fragt die Visa-Karte der DKB erst ab 50 Euro nach einer PIN.

Geld lässt sich unbemerkt abbuchen

Mobile Bezahl-Terminals sind bei verschiedenen Anbietern bereits ab 29 Euro erhältlich. Ihre Bedienung ist einfach: Sie werden mit einem Smartphone gekoppelt, in einer App wird dann der jeweils abzubuchende Betrag angegeben.

Ein digitaler Taschendiebstahl lässt sich mit einem solchen mobilen Bezahlterminal schnell und unbemerkt verüben. Hierfür muss lediglich eine Zahlung in der App initiiert und das Terminal in einem Abstand von wenigen Zentimetern an ein Portemonnaie mit NFC-Karte gehalten werden. Sofern der eingegebene Geldbetrag unter den 25 Euro liegt, können Betrüger so Geld von einer fremden Karte abbuchen – quasi im Vorbeigehen. Auch dann, wenn die Geldbörse sicher in der eigenen Tasche getragen wird. Die Reichweite lässt sich über entsprechende Antennen sogar verlängern. Zudem ist es Sicherheitsforschern gelungen, das Limit für Transaktionen zu umgehen.

Zahlen aus Großbritannien zeigen, dass die Gefahr real ist: 2018 lag der Schaden durch Betrug mit kontaktlosen Bezahlkarten bei 1,8 Millionen Pfund, wie die Zeitung The Independent aus einer Polizeistatistik zitiert. Der SWR hat in einem Feldversuch gezeigt, dass sich Geld mittels eines mobilen Terminals tatsächlich im Vorbeigehen abbuchen lässt.

Es gibt Gegenmaßnahmen

Sich vor solchen Szenarien zu schützen ist einfach: Es gibt spezielle Hüllen für eine oder mehrere Karten, die das NFC-Signal blockieren. Diese sind nicht teuer und verhindern, dass unbemerkt Geld abgefischt werden kann.

Eine weitere Möglichkeit ist es, die Funktion zum kontaktlosen Bezahlen zu deaktivieren. Allerdings ist dies nur bei wenigen Banken möglich. Bei den Volks- und Raiffeisenbanken geht es direkt am Geldautomaten. Die Sparkassen verweisen auf die Bankberater in der Filiale. Bei den meisten anderen Banken lässt sich die Funktion hingegen nicht abschalten.

Eine Gefahr ist auch, wenn die eigenen Karten mit NFC abhandenkommen – denn dann kann mit der physischen Karte im Geschäft bezahlt werden. Zumindest, so lange der Betrag unterhalb des Transaktionslimits liegt. Zudem fragen manche Banken nach einer bestimmten Anzahl von kontaktlosen Zahlungen in jedem Fall nach der PIN, was zumindest unbegrenzten Missbrauch verhindert.

In diesem Fall sollte man seine Karte daher schnell sperren lassen. Das ist unter der Telefonnummer 116 116 rund um die Uhr möglich. Wichtig ist dies außerdem, da Kunden ansonsten bei Verlust bis zu einer Höhe von 50 Euro haften könnten. (js)

Analyse: CDU-Digitalcharta setzt Umsatz vor Datenschutz

2019-11-28T17:00:00+01:00

Mit der “Digitalcharta Innovationsplattform: D” will die CDU vor allem der datengetriebenen Wirtschaft helfen – indem sie den Datenschutz aufweicht. Eine Analyse von Posteo-Redakteur Hannes Czerulla.

Die auf dem CDU-Parteitag abgesegnete Charta soll die CDU-Digitalpolitik der nächsten Jahre bestimmen."

#more#

Die CDU hat auf ihrem Parteitag neue Grundsätze für die Digitalpolitik beschlossen: In der “Digitalcharta Innovationsplattform: D” hat sie unter anderem zusammengefasst, wie aus ihrer Sicht künftig mit persönlichen, digitalen Daten umgegangen werden sollte. Kurzum: Sie strebt eine Aufweichung der Datenschutz-Grundverordnung (DSGVO) an, damit der momentan geltende Grundsatz der Datensparsamkeit außer Kraft tritt. Dabei bildet dieses Prinzip den Grundpfeiler unserer Privatsphäre im digitalen Raum und schützt die Bürgerinnen und Bürger vor allzu übergriffigen Datenkraken aus Wirtschaft und Forschung.

Die DSGVO und die noch in der Entstehung befindliche E-Privacy-Verordnung (ePrivacyVO) entsprechen offenbar nicht den Vorstellungen der CDU. Sie will ein anderes Konzept und spricht von “Datensouveränität”. Unter dem Begriff der Datensouveränität verstehen die Christdemokraten unter anderem, dass “die Nutzer ertüchtigt werden, eigenverantwortlich in einem Rechtsrahmen zu agieren”. Zwar klingt diese Umschreibung zunächst harmlos, doch in der Praxis steckt Zündstoff: Der Staat soll nicht mehr regeln, ob und welche Daten überhaupt erhoben werden dürfen. Stattdessen sollen die Bürgerinnen und Bürger selbst entscheiden, wem sie ihre Daten zur Verfügung stellen. Das Konzept der Datensouveränität will, dass der Staat nicht mehr gesetzlich in den Datenfluss eingreift – und sich auch nicht mehr als schützende Instanz vor die Bürger stellt.

Datensouveränität als Liebling der Datensammler

Was die CDU verkennt: Das von ihr angestrebte System des selbstverantwortlichen Nutzers könnte nur dann funktionieren, wenn die Bürger allumfassend über die Verwendungszwecke und die Nutznießer ihrer Datenfreigaben Bescheid wüssten. Konzerne, Forschungseinrichtungen und jeder andere, der auf die Daten zugreifen möchte, müsste alle Absichten zur Verwendung und Speicherung offen legen. Dieses Szenario entspricht eher Wunschdenken – was mit den eigenen Daten genau passiert, ist für Normalsterbliche unmöglich herauszufinden. Erst mit der DSGVO wurden die Nutzerrechte hier entscheidend gestärkt. Diese Situation oder wie die CDU sie verbessern möchte, wird in der Digitalcharta nicht angesprochen.

Der Begriff der Datensouveränität, der in der Absichtserklärung eine zentrale Rolle spielt, kursiert seit längerem in Wirtschafts- und Politikerkreisen. Ohne dass er einheitlich definiert wäre, gilt er als Alternative zum Prinzip der Datensparsamkeit und dem allgemeinen Datenschutz. Durch Datensouveränität sollen Daten großflächig, allumfassend und ohne staatliche Kontrollinstanz von der Industrie gesammelt und verarbeitet werden können – so wie es sich ein Großteil der Wirtschaftsvertreter wünscht. Von Netzaktivisten wie Markus Beckedahl wird die Datensouveränität als Lobbybegriff bezeichnet.

Damit die Visionen der Christdemokraten legal umgesetzt werden könnten, müssten die Grundfesten der DSGVO überarbeitet oder abgeschafft werden. Dass die Umsetzung ihrer Ideen derzeit gegen geltendes Recht verstoßen würden, ist der CDU bewusst. Daher erwähnt sie eine “Reform” in ihrer Absichtserklärung. Was genau wie überarbeitet werden soll, ist aber nicht zu lesen.

Auch der dafür nötige politische Prozess wird nicht angesprochen. Denn bei der Datenschutz-Grundverordnung handelt es sich um europäisches Recht und ein Alleingang Deutschlands – geschweige denn der CDU – ist unmöglich. Eine Änderung der DSGVO nach Willen der Christdemokraten wäre ein massiver Rückschritt für den Datenschutz, die IT-Sicherheit und die Bewahrung der Privatsphäre in ganz Europa.

Digitalisierung ist für CDU nur Wirtschaftsthema

In der “Charta” finden sich hauptsächlich wirtschaftliche Gründe für die (aufwendige) Reform der DSGVO; ebenso wichtige soziale oder gesellschaftliche Bedürfnisse werden höchstens gestreift. “Start-ups”, “aufstrebende Mittelständler”, “etablierte Unternehmen” und nicht näher benannte “Akteure der Zivilgesellschaft” haben Priorität vor dem Datenschutz der Bürger. Kleinere Organisationen sollen “nicht unnötig mit bürokratischen Vorschriften belastet werden” – Deregulierung und der Abbau von staatlichen Schutzmechanismen zu Lasten der Bürgerrechte und der schutzbefohlenen Bürger scheint der von der CDU angestrebte Weg zu sein. Weitere Ziele fasst die Partei in Floskeln zusammen wie “Deutschland digital besser zu machen”.

Gleichzeitig soll bei der digitalen Entwicklung angeblich jeder Bürger berücksichtigt werden; die Charta spricht beispielsweise von “Digital Natives” und “Silver Surfern”. Man wolle unterschiedliche Geschwindigkeiten und Ambitionen akzeptieren. Diese Beschreibung der divergenten Gesellschaft widerspricht der angestrebten Eigenverantwortung jeden Bürgers grundlegend. Geht es nach der CDU, wären nämlich Bürger, die sich nur langsam an die Digitalisierung gewöhnen, schnell agierenden Weltkonzernen auf Augenhöhe ausgesetzt und müssten jeweils alleine und akut entscheiden, ob die Firmen irreversibel ihre Daten bekommen sollen oder nicht. Wie Menschen ohne Digitalkompetenz geschützt werden sollen, dazu hat die CDU keine konkreten Ideen.

Konkreter oder vermittelnder wird der Beschluss auch nicht, wenn es um die sozialen und gesellschaftlichen Auswirkungen der Digitalisierung geht. Digitalisierung sieht die CDU primär als wirtschaftliches Thema – man will der datensammelnden Industrie entgegenkommen.

Im Kapitel über den “Regeln setzenden Staat” und den Schutz der Privatsphäre ist hingegen kaum noch etwas zu den Unternehmen zu lesen. Stattdessen werden dort nur die Bürger in die Pflicht genommen: “Bürgerinnen und Bürger haben im digitalen Raum dieselben Rechte und Pflichten wie im analogen Raum. Das gilt beispielsweise für Persönlichkeitsrechte, wie den Schutz der Privatsphäre oder das Recht auf informationelle Selbstbestimmung.”

Ursprüngliche Version entschärft

Die Digitalcharta wurde von den CDU-Mitgliedern auf dem 32. Parteitag in Leipzig beschlossen. Somit gilt sie als offizielle Parteilinie. Die Christdemokraten reagieren mit der Charta vor allem auf den Druck der Industrie und deren Unzufriedenheit mit der DSGVO.

Bereits Ende September hatte die Partei einen Entwurf der Chartaveröffentlicht. Bis zur jetzt erfolgten Abstimmung wurden entscheidende Stellen entschärft, die bereits harter Kritik ausgesetzt waren.

So erwähnten die Autoren in der ersten Version noch explizit die Datensparsamkeit und dass diese von der Datensouveränität ersetzt werden solle. Die DSGVO greife “übertrieben in die Lebenswirklichkeit und den Alltag der Bürgerinnen und Bürger ein”, war damals noch zu lesen. Welcher Umstand damit gemeint ist, findet sich sowohl im ursprünglichen Entwurf als auch in der finalen Version des Programms erst 10 Seiten später: Dort heißt es verallgemeinert, Nutzer müssten ihre Daten zwangsweise freigeben, da sonst ihre “gesellschaftliche Teilhabe” nicht möglich sei. Kritik an den Unternehmen, die die Nutzer zur Datenfreigabe drängen, übt die Partei aber nicht.

Beim Surfen eingeblendete Cookie-Fenster “nerven” laut CDU. Webseiten müssen seit der DSGVO das Einverständnis des Nutzers einholen, um dessen Verhalten verfolgen zu dürfen und Cookies zu setzen. Die Einblendungen geben dem Nutzer also sein Entscheidungsrecht zurück. Dass die Warnfenster regelmäßig die Aufmerksamkeit des Nutzers fordern, liegt aber nicht daran, dass die DSGVO “übertrieben” wäre – wie es die CDU behauptet. Vielmehr liegt es an den weiterhin aggressiven Geschäftsmodellen der Webseiten und der Werbeindustrie.

Denn was die CDU an diesem Punkt verkennt, ist dass die “nervenden” Cookie-Fenster nur existieren, weil die Webseiten-Betreiber ihre Geschäftsmodelle weiterhin darauf ausrichten, so viele Daten über das Nutzerverhalten zu sammeln wie möglich – und die Bürger selbstverständlich nach Erlaubnis fragen müssen. Den staatlichen Schutz des Bürgers herunterzufahren, die DSGVO also zu entschärfen, ist eine befremdliche Schlussfolgerung der Partei. Es käme der Entscheidung gleich, Gesetze so weit zu entschärfen, bis begangene Vergehen keine mehr sind.

Antiquierte Bilder des Digitalen

Absurd wird es in Abschnitten, wo die Partei davon spricht, wie der Nutzer seine Daten kontrollieren soll. Nutzerdaten werden dargestellt, als handele es sich um physisch vorhandenes Gut und nicht nur um digitalisierte, beliebig vervielfachbare Daten.

So ist beispielsweise die Rede von einer vom Nutzer verwalteten Datenbank. Zugriffsrechte sollen “jederzeit gewährt und vom Nutzer wieder entzogen werden können”. Diese Darstellung zeugt von einer naiven Sicht auf digitale Daten. Denn sind diese einmal weitergegeben, gibt es de facto keine Möglichkeit mehr, sie wieder zuverlässig zu “entziehen”. Sie können unbegrenzt kopiert und weitergegeben werden.

Selbst wenn europäisches Recht eine zwingende Löschung auf Wunsch des Nutzers vorsieht, sind diese Nutzerrechte gegenüber ausländischen Firmen und Einrichtungen wirkungslos. Selbst internationale Regelungen verhindern nicht, dass bereits weiterverbreitete Daten bei externen Dienstleistern, Geheimdiensten oder anderen Organisationen weiter gespeichert bleiben, obwohl der Nutzer das Nutzungsrecht entzogen hat.

Ein weiteres Problem besteht darin, dass die CDU nur den Singular verwendet, wenn sie die nicht näher beschriebene Datenbank der Nutzerdaten erwähnt. Sollten die Daten zentral in einer einzelnen Datenbank gespeichert werden, würde diese ein hochattraktives Ziel für Hacker aller Art darstellen. Alle Daten eines oder gar mehrerer Millionen Nutzer an einer zentralen Stelle zu haben, wäre aus Datenschutzsicht ein Albtraum und könnte unmöglich genügend gegen Angriffe von Staaten, organisierten Kriminellen und der Wirtschaft geschützt werden. (hcz)

UN: Weltweiter CO2-Ausstoß so hoch wie nie

2019-11-27T16:00:00+01:00

Trotz anhaltender Diskussionen sind die globalen Treibhausgasemissionen im Jahr 2018 auf ein neues Allzeithoch gestiegen. Das Umweltprogramm der Vereinten Nationen ruft die Staaten zu entschiedenem Handeln auf.
#more#

Noch nie wurden weltweit so viele Treibhausgase emittiert wie im Jahr 2018: Insgesamt wurden im vergangenen Jahr rund 55,3 Gigatonnen Treibhausgase freigesetzt. Das berichtet das Umweltprogramm der Vereinten Nationen in seinem diesjährigen “Emissions Gap Report”. Im Vergleich zum Vorjahr ist das ein Anstieg um mehr als 2 Prozent. Ein überdurchschnittlich hoher Wert: In den letzten zehn Jahren waren die Emissionen im Durchschnitt noch um etwa 1,5 Prozent pro Jahr gestiegen.

Die UNEP warnt: Werden die globalen Treibhausgasemissionen nicht drastisch reduziert, sind die Klimaziele des Pariser Abkommens nicht mehr erreichbar.

Im Jahr 2015 hatten sich 197 Staaten in Paris darauf verständigt, die Erderwärmung bis zum Jahr 2100 auf möglichst 1,5°C gegenüber den vorindustriellen Werten zu begrenzen.

Länder müssen Klimaschutzpläne verschärfen

Die UNEP prüft fortlaufend, ob die Staaten genug für den Klimaschutz tun – und veröffentlicht einmal im Jahr ihren “Bericht zur Emissionslücke”.
Angesichts der drastischen neuen Zahlen ruft sie die Länder nun dazu auf, ihre Klimaschutzpläne zu verschärfen und umzusetzen:
Hätten die Staaten bereits 2010 ernsthaft damit begonnen zu handeln, würden nun geringere Emissionssenkungen pro Jahr ausreichen. Da dies aber nicht geschehen sei, müssten die Emissionen nun zwischen 2020 und 2030 um mindestens 7,6 Prozent jährlich gesenkt werden. Sonst sei es nicht mehr möglich, die selbst gesetzten Klimaziele noch zu erreichen. Die Temperaturen würden dann bis zum Ende des Jahrhunderts um 3,2°C steigen.

Besonders die G20-Nationen werden in dem Bericht in die Verantwortung genommen. Sie sind zusammen für 78 Prozent aller Treibhausgasemissionen verantwortlich: Über die Hälfte werden alleine von China, den EU-Staaten, Indien und den USA verursacht. Und nur fünf Mitglieder haben sich das Ziel gesetzt, ihre Emissionen langfristig auf Null zu senken.

Sollten die globalen Temperaturen um mehr als 1,5°C steigen, werde dies zerstörerische Auswirkungen zur Folge haben. So würden selbst bei einer Erwärmung um 1,5°C bereits über 70 Prozent aller Korallenriffe sterben – bei 2°C aber ausnahmslose alle.

Kohleausstieg und Elektromobilität

Um die in Paris vereinbarten Ziele noch erreichen zu können, gibt der Bericht Empfehlungen. Mindestens 1,6 Billionen US-Dollar sollen pro Jahr in erneuerbare Energien und effiziente Energiesysteme investiert werden. Auch müssten mehr erneuerbare Energien für die Stromerzeugung genutzt werden. Bis 2050 soll ihr Anteil 85 Prozent betragen. Die UNEP fordert darüber hinaus den Kohleausstieg und alternative Antriebe mit einem Fokus auf Elektromobilität. Energieintensive Industrien dürften nicht mehr auf Kohlenstoffe setzen.

Positiv bewertet die UNEP, dass technische Lösungen für mehr Klimaschutz inzwischen vermehrt zu günstigeren Preisen verfügbar sind. Solarsysteme seien beispielsweise so günstig wie nie zuvor – sie könnten helfen, neue Kohlekraftwerke überflüssig zu machen oder bestehende stillzulegen. (js)

Amnesty International: Google und Facebook bedrohen Menschenrechte

2019-11-22T17:00:00+01:00

Amnesty International macht Facebook und Google für allgegenwärtige Überwachung verantwortlich. Ihr Geschäftsmodell bedrohe grundlegende Menschenrechte. Regierungen sollten eingreifen, die Unternehmen sich aber auch selbst ändern. Allerdings nutzt Amnesty die Plattformen selbst für seine Zwecke.

Amnesty International kritisiert die Geschäftsmodelle von Facebook und Google. Quelle: Amnesty International

#more#

Die Menschenrechtsorganisation Amnesty International hat einen Bericht mit dem Titel “Surveillance Giants” veröffentlicht, in dem in erster Linie den beiden Unternehmen Google und Facebook eine unbeschränkte Überwachung vorgeworfen wird.

Amnesty International prangert in dem Bericht die Geschäftsmodelle der beiden Unternehmen an, denn dieses basiere auf Überwachung. Sowohl Google als auch Facebook nehmen zwar kein Geld für ihre Angebote, Nutzerinnen und Nutzer zahlen jedoch mit ihren Daten. Diese analysieren die Unternehmen dann, um Profile zu erstellen und beispielsweise für zielgerichtete Werbung zu nutzen. Dies gefährde grundlegende Rechte.

Google und Facebook stehen keineswegs alleine da. Microsoft und Amazon haben laut Amnesty International dieses Geschäftsmodell teilweise übernommen. Doch die von Google und Facebook erlangte Macht sei einmalig. Beide dominieren gleich mehrere Bereiche, darunter natürlich Social Media und Web-Suchen. Doch mit WhatsApp hat Facebook auch einen erheblichen Marktanteil im Bereich der Sofortnachrichten. Google betreibt mit YouTube die zweitgrößte Suchmaschine und gleichzeitig die größte Videoplattform. Außerdem beherrscht Google mit dem Android-Betriebssystem weitestgehend den Smartphone-Markt und ist damit für viele Menschen ein täglicher Begleiter.

Google und Facebook haben fast die komplette Kontrolle über die primären Kanäle, mit denen viele Nutzer im Internet arbeiteten. Amnesty kritisiert, dass die Macht der beiden so groß ist, dass sie Einfluss auf die Politik nehmen können. “Daraus ergibt sich die paradoxe Situation, in der Menschen sich, um das Internet zu nutzen und ihre Rechte online wahrnehmen zu können, einem System unterwerfen müssen, das ihre Rechte einschränkt.” Amnesty International schätzt, das ein Drittel der Menschheit von diesem Geschäftsmodell der Überwachung betroffen ist.

Facebook und Google dringen in neue Bereiche vor

Mit neuen Techniken wie Smart-Home-Lautsprechern ziehen die beiden Firmen zunehmend auch in viele Wohnungen ein. Hinzu kommt die spezielle Bedeutung in einigen Ländern. So kooperiert Facebook in zahlreichen Entwicklungsländern mit Mobilfunkanbietern, sodass Facebook-Dienste ohne anfallende Datengebühren über das mobile Internet verfügbar sind. Facebook stelle dieses Angebot als philanthropische Initiative dar, um mehr Menschen Zugang zum Internet zu ermöglichen, würde so aber weitere Daten sammeln, wirft Amnesty dem Social-Network-Anbieter vor. Dabei weiten sie ihren Einfluss immer weiter aus: Aktuell gelangt Google durch die Übernahme des Fitnesstracker-Herstellers Fitbit in Besitz unzähliger Fitness- und Gesundheitsdaten.

Das Hauptproblem sei, dass Googles und Facebooks Macht zu einer allgegenwärtigen Überwachung führten. Dabei gehe es um weit mehr Informationen als die, die man angeben muss, wenn man sich registriert. Googles Werbenetzwerk sammelt etwa Daten auf Webseiten von Drittanbietern. Facebooks Mobil-Apps sammeln darüber hinaus Metadaten, also beispielsweise mit wem man wie oft über WhatsApp Kontakt hatte. Solche Metadaten sind laut dem Bericht “tatsächlich weitaus wertvoller als die reinen Daten”: Nutzer lassen sich mit ihrer Hilfe noch weitreichender analysieren.

Bedrohte Grundrechte

Amnesty International sieht in diesen Geschäftsmodellen eine Bedrohung für die Grundrechte auf Privatsphäre und informationelle Selbstbestimmung. Also darauf, welche Daten man preisgibt – und was mit diesen passiert. Privatsphäre schließe Informationen von Computern mit ein. In dem Bericht steht außerdem, dass Regierungsbehörden ein immer größeres Interesse an den Datenbanken von Google und Facebook hätten. Das setze Nutzer einer weiteren Gefahr aus. Zudem lassen sich zielgerichtet platzierte Botschaften nutzen, um Meinungen zu beeinflussen. Ein Beispiel für diese “Überzeugungsarchitektur” ist der Cambridge-Analytica-Skandal. Dasselbe Vorgehen diskriminiere bestimmte Bevölkerungsgruppen.

Amnesty: Politik ist gefordert

Regulatoren und Gesetzgeber haben ein zunehmendes Interesse daran, die Marktmacht von Facebook und Google einzuschränken. So finden derzeit in Europa mehrere Untersuchungen statt und auch in den USA sind die Konzerne im Visier von Behörden. Laut Amnesty sollen Regierungen sicherstellen, dass sich “essentielle digitale Angebote” ohne Überwachung nutzen lassen. Dafür müsse man verhindern, dass Firmen Daten sammeln und diese als Gegenleistung für ihre digitalen Angebote ansehen. Außerdem sollen Regierungen starke Datenschutzbestimmungen schaffen und für deren Durchsetzung sorgen.

Für die Unternehmen selbst hat Amnesty ebenfalls Empfehlungen gesammelt: Sie müssten einen Weg finden, ihr Geschäftsmodell zu ändern, heißt es da etwa. Ob sie stattdessen auf ein Bezahlmodell setzen sollen, lässt der Bericht offen. Außerdem sollten die Unternehmen davon absehen, weiter für schwächere Datenschutzrichtlinien zu werben.

Facebook weist Vorwürfe zurück

Teil des Berichtes ist auch eine mehrseitige Stellungnahme von Facebook. Hierin heißt es, man sammle nicht so viele Daten wie möglich, sondern nur wenige Daten bei der Anmeldung. Darüber hinaus ignoriere die Beschreibung von Facebook als Überwachungssystem den Unterschied zwischen einer durch Werbung finanzierten Plattform, bei der Nutzer sich freiwillig anmelden und unfreiwilliger Überwachung durch eine Regierung. Daten von nicht angemeldeten Nutzern könnten ebenfalls bei Facebook landen, dies gehöre zu den “grundlegenden Funktionen des Internet”. Facebook nutze diese Daten jedoch nicht, um Profile zu erstellen. Auch bei “Free Basics” gehe es nicht um Datensammlung, schreibt Facebook. Im Übrigen trage man nicht zu unrechtmäßiger staatlicher Überwachung bei, sondern wehre sich sogar aktiv gegen solche.

Auszug aus der Kommunikationsstrategie von Amnesty International. Screenshot: Posteo

Während von Google keine Stellungnahme vorliegt, hat Facebook die Vorwürfe von Amnesty International auch gegenüber der Deutschen Presse-Agentur (DPA) zurückgewiesen. Facebook ermögliche es Nutzern, sich miteinander unter Berücksichtigung der Privatsphäre zu vernetzen. Das Geschäftsmodell trage dazu bei, dass Organisationen wie Amnesty Unterstützer erreichen und Geld einsammeln können – auch Amnesty International sei Werbekunde von Facebook. Amnesty argumentiert, man sei abhängig von diesen Plattformen, um Interessierte zu erreichen. Sich selbst von Google und Facebook zurückzuziehen, mache es schwerer, die eigenen Anliegen zu verbreiten und sei damit ebenfalls schlecht für die Menschenrechte. Es gebe keine brauchbare Alternative, um die Öffentlichkeit zu erreichen.

Tatsächlich kritisiert Amnesty International sowohl Google als auch Facebook in dem Bericht stark. In der aktuellen Kommunikationsstrategie von Amnesty International nimmt Facebook allerdings die erste Position unter den “Key Channels” ein. In seinem Strategie-Papier schlägt Amnesty International vor, so viel als möglich aus Facebook-Werkzeugen herauszuholen, die Informationen über Personen bieten. Also aus den Werkzeugen, die Amnesty grundlegend kritisiert. Man müsse klar eingeteilte Personengruppen ansprechen. Unter anderem möchte Amnesty International herausfinden, für welche Themen sich Menschen interessieren und was ihnen wichtig ist. Diese Informationen soll Amnesty sich zu Nutze machen, um diese Menschen vom eigenen Vorhaben zu überzeugen, heißt es dort. (js)

BND-Urteil: Geheimhaltung überwiegt nicht pauschal Pressefreiheit

2019-11-21T17:00:00+01:00

Entgegen der Meinung des BND geht die Geheimhaltung nicht pauschal über Pressefreiheit. Ein Journalist klagte gegen exklusive Hintergrundgespräche.

Auch der BND hat der Presse gegenüber eine Auskunftspflicht. Quelle: S. J. Müller

#more#

Ob die Pressefreiheit der Geheimhaltung untergeordnet ist, entscheidet nicht der Bundesnachrichtendienst (BND), sondern im Einzelfall die deutsche Judikative – das stellte nun das Bundesverwaltungsgericht in einem Urteil klar. Ein Redakteur des Tagesspiegel hatte geklagt, weil der BND Hintergrundgespräche mit ausgewählten Journalisten führte und sowohl Themen als auch Teilnehmer vor der Öffentlichkeit geheim hielt.

Handverlesener Kreis von Journalisten

Bereits am 18. September hatte das Gericht sein Urteil verkündet, die 26 Seiten lange Begründung kam aber erst jetzt. Bislang lud der BND mehrmals im Jahr eine ausgewählte Gruppe von Journalisten ein, um sie in sogenannten Hintergrundgesprächen über bestimmte außenpolitische Themen des Nachrichtendienstes aufzuklären. Während eines Treffens ging es beispielsweise um den Militärputsch in der Türkei. Zugang hatten etwa 30 Journalisten, die eine persönliche Einladung bekamen.

Nach einem Vortrag stellte sich der Präsident des Nachrichtendienstes Bruno Kahl (CDU) meist den Fragen der Journalisten. Die Gespräche liefen stets “unter drei” ab – im Journalistenjargon heißt das, dass Informationen oder Zitate nicht direkt veröffentlicht werden dürfen. Sie dienen den Journalisten nur als Hintergrundwissen. Das Problem: Selbst auf Nachfrage teilte der BND anderen Journalisten nicht mit, wer zu den Treffen kam und worüber gesprochen wurde.

Auskunftsrecht ist Individualrecht

Der Redakteur Jost Müller-Neuhof des Berliner Tagesspiegel hielt dies für Unrecht und war der Meinung, dass die Öffentlichkeit ein Recht darauf habe zu erfahren, wie die Hintergrundgespräche ablaufen. Er klagte vor Gericht und bekam teilweise Recht: Gästelisten, Termine und Themenagenda muss der Nachrichtendienst seit dem Urteilsspruch veröffentlichen. Den Inhalt der Gespräche können die Teilnehmer weiterhin geheim halten.

So reicht es laut Urteil auch nicht mehr aus, wenn der BND eine Redaktion generell über die Gespräche informiert oder ein Redakteurs-Kollege Bescheid weiß. Die Behörde hatte die Auskunftsanfragen Müller-Neuhofs unter anderem mit der Begründung abgewiesen, dass andere Tagesspiegel-Redakteure zu den Gesprächen eingeladen waren und die Informationen ja schon in der Reaktion vorhanden seien. Die Richter stellten fest, dass nach Artikel 5, Absatz 1 des Grundgesetzes (Pressefreiheit und die Freiheit der Berichterstattung) jeder einzelne Journalist ein Recht darauf hat, Auskunft über die Hintergrundgespräche zu erhalten: “[…] bei dem Auskunftsanspruch der Presse handelt es sich um ein Individualrecht der einzelnen Presseangehörigen und nicht um ein Recht zur gesamten Hand der Mitglieder einer Redaktion.”

Keine Sonderrechte für Geheimdienst

Der Nachrichtendienst versuchte innerhalb des Verfahrens darzustellen, dass nur er selbst bei Auskunftsanfragen beurteilen kann, ob eventuell die Geheimhaltung der Pressefreiheit überwiegt und der BND sich Anfragen verweigern kann. Als Vergleich zogen die BND-Anwälte die Bundesregierung heran: Wenn diese beispielsweise der Meinung ist, dass bestimmte Auskünfte schädlich für die Außenpolitik sind, können diese auch verweigert werden. Die Justiz schreitet in solchen Fällen nicht ein. Der BND wünscht sich einen ähnlichen Umgang.

Dieser Ansicht erteilten die Richter eine klare Absage und hielten in der Begründung fest: “Es gibt keine Bereichsausnahme von dem Auskunftsanspruch zu Gunsten des Bundesnachrichtendienstes.” Ein Beurteilungsspielraum in Bezug auf die Sicherheitsrelevanz von begehrten Auskünften stehe der Behörde nicht zu.

Nur das “öffentliche Interesse an der Funktionsfähigkeit des Bundesnachrichtendienstes” würde in bestimmten Fällen den Auskunftsanspruch überwiegen. Ob ein solcher Fall vorliegt, habe aber nicht die Behörde zu entscheiden, sondern ein Gericht. Die Auskunftspflicht endet laut Gericht erst dort, wo die Zusammenarbeit mit ausländischen Nachrichtendiensten gefährdet ist, die Arbeitsweise und Methodik des BND bedroht werden oder Mitarbeiter und Quellen enttarnt werden könnten.

Seitdem keine Gespräche mehr

Dass Behörden wie der BND prinzipiell solche Hintergrundgespräche im “kleinen Kreis” organisieren dürfen, bestätigt das Gericht. Doch dürfen diese nicht beabsichtigen, die Medien zu steuern. Die Auswahl der Journalisten muss dem “allgemeinen Gleichheitssatz” genügen. Dennoch fanden seit dem Urteil im September keine Treffen solcher Art mehr statt. Die Behörde wolle erst prüfen, ob und wie Gespräche solcher Art weitergeführt werden.

Anderen Behörden und Ministerien, die ebenfalls vertrauliche Gespräche mit ausgesuchten Medienvertretern führten, reagierten ähnlich: Linke-Abgeordneter André Hahn befragte den Staatssekretär im Kanzleramt, Johannes Geismann, (CDU) nach den Gesprächen. Dieser sagte, es gebe einen “Prüfprozess”. Das SPD-geführte Bundesjustizministerium will seine Hintergrundgespräche prinzipiell weiter führen. In einer früheren Stellungnahme teilte das Ministerium mit, dass es weiterhin beabsichtigt, “Journalisten im Rahmen von Hintergrundgesprächen Informationen zukommen zu lassen und andere Journalisten von diesem Informationsfluss ausschließen.” Seit der Urteilsverkündung fanden noch keine weiteren Hintergrundgespräche beim BND statt. (hcz)

Android-Apps konnten unbemerkt Fotos und Videos aufnehmen

2019-11-20T17:00:00+01:00

Durch eine Sicherheitslücke konnten Android-Apps Fotos und Videos aufnehmen, ohne dass der Nutzer etwas davon merkt. Updates gibt es bereits.

Samsungs Kamera-App ließ sich angreifen. Quelle: Samsung

#more#

Manipulierte Apps für Android-Smartphones konnten Fotos und Videos mit Ton aufnehmen, um Nutzerinnen und Nutzer auszuspionieren. Durch eine Sicherheitslücke war es möglich, die eigentlich für Kamera und Mikrofon nötigen Zugriffsbeschränkungen zu umgehen. Das berichtet das Sicherheitsunternehmen Checkmarx.

Die Sicherheitslücke haben die Sicherheitsforscher in der Google-Kamera-App gefunden. Sie ist auf den Pixel-Geräten von Google vorinstalliert. Auch in der Kamera-App auf Samsung-Smartphones war die Sicherheitslücke vorhanden. Beide Hersteller haben das Problem bereits beseitigt.

Berechtigungen ließen sich umgehen

Normalerweise brauchen Apps unter Android Berechtigungen, um etwa auf die Kamera oder das Mikrofon zuzugreifen. Üblicherweise fragen neu installierte Anwendungen beim ersten Start nach den Berechtigungen, die sie gerne hätten. Man kann diese dann auch verweigern.

In dem von Checkmarx aufgedeckten Fall konnten bösartige Apps jedoch die Kamera-App missbrauchen, die dann für sie Videos aufzeichnete oder Fotos machte. Die einzige Berechtigung, die die App eines möglichen Angreifers benötigte, war der Zugriff auf den internen Speicher, in dem Fotos und Videos liegen. Dies ist unter Android eine gängige Berechtigung, nach der viele Apps fragen. Ein Problem hierbei ist, dass diese nach dem Prinzip “Alles oder Nichts” erfolgt. Apps können also entweder auf alle oder auf gar keine Dateien zugreifen. Speziell auszuschließen, dass eine App mit Speicherzugriff Fotos sehen kann, ist nicht möglich.

Smartphone wurde zur Wanze

Um einen möglichen Spionageversuch zu demonstrieren, hat Checkmarx eine Beispiel-App erstellt, einen sogenannten “Proof of Concept”. Damit wird gezeigt, dass sich die Sicherheitslücke tatsächlich ausnutzen lässt. Dieses Beispiel-Programm war als Wetter-App getarnt, führte aber anderes im Schilde. Wurde die App das erste Mal gestartet, baute sie eine Verbindung zu einer Server-Software auf, die auf einem entfernten Computer lief. Diese Verbindung blieb nach Angaben von Checkmarx auch dann bestehen, wenn die App geschlossen wird.

Über das Server-Programm ließen sich Befehle an die App schicken. So war es möglich, ein Foto aufzunehmen und dieses an den Server zu übermitteln. Die Töne der Kamera-App lassen sich ausschalten, um nicht sofort aufzufallen.

Videos inklusive Ton ließen sich ebenfalls aufnehmen und übertragen. Dabei war es dem Sicherheitsteam auch möglich, solche Aufnahmen während eines Telefonates zu starten und damit beide Seiten einer Konversation mitzuschneiden. Während den Aufzeichnungen öffnete sich kurzzeitig die Kamera-Software. Um dies zu umgehen, konnten die Entwickler mit ihrer App auch den Näherungssensor des Telefons ansprechen. So ließ sich erkennen, ob das Gerät ans Ohr gehalten wird oder mit dem Bildschirm nach unten liegt, um nur in diesem Fall Fotos oder Videos aufzunehmen.

Bettete die Kamera Standortdaten in die Fotos ein, wurden auch diese übertragen. Sie konnten auch aus bereits vorhandenen Fotos auf dem Handy ausgelesen werden. Effektiv ermöglicht dies, den Standort des Handys nachzuvollziehen.

Checkmarx führt die Möglichkeiten in einem Video vor.

Updates teilweise verfügbar

Bereits Anfang Juli 2019 hat Checkmarx die Sicherheitslücke an das Android-Sicherheitsteam von Google gemeldet. Zu diesem Zeitpunkt wurde das Problem noch nicht öffentlich gemacht. Dies ist ein übliches Vorgehen, um zu verhindern, dass potenzielle Angreifer auf eine noch nicht geschlossene Sicherheitslücke aufmerksam werden. Samsung hat das Problem daraufhin ebenfalls bestätigt.

Erst jetzt wurden die Details zu dem Problem veröffentlicht, nachdem beide Hersteller Updates veröffentlich haben, die die Sicherheitslücke schließen. Checkmarx empfiehlt daher, die installierten Anwendungen auf dem aktuellen Stand zu halten. Das geht im Play Store über das Dreistrich-Menü unter “Meine Apps und Spiele”. Dort werden verfügbare Updates aufgelistet. Die jeweils aktuellste, verfügbare Android-Version lässt sich über “Einstellungen → System → Erweitert → Systemupdate” herunterladen.

Laut dem Checkmarx-Bericht haben auch andere Hersteller, die das Android-Betriebssystem auf ihren Geräten verwenden, die Sicherheitslücke gegenüber Google bestätigt. Um welche es sich handelt und ob diese bereits entsprechende Updates veröffentlicht haben, ist nicht bekannt. (js)

Hausdurchsuchung wegen Drohnenflug

2019-11-19T17:00:00+01:00

Die thüringische Polizei die Wohnung eines Drohnenbesitzers durchsucht. Es soll seine Nachbarn ausspioniert haben.

Wer mit seiner Drohne die Privatsphäre anderer verletzt, muss unter Umständen mit harten Konsequenzen rechnen. Quelle: DJI

#more#

Thüringische Polizeibeamte haben auf Anordung des Erfurter Amtsgerichts die Wohnung eines Drohnenpiloten durchsucht, um dort Speichermedien sicherzustellen. Beim Thüringischen Datenschutzbeauftragten (TLfDI) war zuvor eine Beschwerde darüber eingegangen, dass ein Nachbar sein Fluggerät abends durch fremde Gärten fliegen lasse und mit einer integrierten Videokamera unter anderem in Schlafzimmerfenster filme.

Laut Pressemitteilung nahm Landesdatenschutzbeauftragter Lutz Hasse die Sache so ernst, dass er einen Durchsuchungsbeschluss beim Amtsgericht Erfurt beantragte -und diesem wurde auch stattgegeben. Daraufhin durchsuchten Beamte die Wohnung und stellten Beweismittel sicher. Vermutlich handelte es sich dabei um die Speicherkarten aus der Drohne. Die Polizei vermutet auf diesen “Videoaufzeichnungen mit personenbeziehbaren Daten”. Die Drohne selbst konnten die Beamten nicht mitnehmen.

“Akuter Handlungsbedarf”

Hasse ruft betroffene Bürger dazu auf, “unzulässige Drohnen-Videoüberwachung” nicht hinzunehmen. Er schlägt vor: “Sie können sich an den TLfDI wenden, der mit den gesetzlich vorgesehenen Instrumenten effektiv Abhilfe schaffen kann.”

Zum scharfen Mittel der Hausdurchsuchung griff der Datenschutzbeauftragte nach eigener Aussage, weil er “eine massive Beeinträchtigung der Rechte und Freiheiten der Nachbarn für wahrscheinlich” hielt. “Damit bestand akuter Handlungsbedarf”, so die Pressemitteilung. Auch das zuständige Amtsgericht sah “konkrete Tatsachen zur Verletzung der Privatsphäre vorliegen, die den Anfangsverdacht überstiegen”.

Ob der Drohnenpilot tatsächlich gegen die Datenschutz-Grundverordnung (DSGVO) Artikel 4 verstoßen hat, wird sich nach Auswertung der Speichermedien herausstellen. Je nach Inhalt droht ihm ein Bußgeld. Die Datenschutz-Grundverordnung sieht vor, dass solche Strafen “wirksam, verhältnismäßig und abschreckend” sein sollten.

Unverletzlichkeit der Wohnung

Die Unverletzlichkeit der Wohnung ist in Deutschland ein hohes Gut und durch Artikel 13 des Grundgesetzes geschützt. Nur ein Richter kann eine Durchsuchung anordnen – oder bei Gefahr in Verzug die Staatsanwaltschaft und ihre Ermittlungspersonen. Prinzipiell können laut Gesetz Wohnungen auch wegen Ordnungswidrigkeiten durchsucht werden.

Abgesehen von Persönlichkeitsrechten hat der Pilot voraussichtlich gegen mehrere Auflagen der Drohnenverordnung vom April 2017 verstoßen: Im vorliegenden Fall soll der Pilot die Drohne aber teils außerhalb der Sichtweite mit einem Videomonitor geflogen haben. Dies ist für Fluggeräte unter 5 Kilogramm hierzulande nicht erlaubt. Überflüge über Wohngrundstücke sind ohne Genehmigung verboten. In Privaträume hinein dürfen keine Aufnahmen gemacht werden. Auch darf nicht ohne Sondergenehmigung nach Sonnenuntergang geflogen werden. (hcz)

Deutsche produzieren mehr Verpackungsmüll

2019-11-18T17:00:00+01:00

Im Jahr 2017 hat jeder Deutsche durchschnittlich 226,5 Kilogramm Verpackungen weggeworfen. Die Recyclingquoten sind teilweise hoch – doch hieran gibt es Kritik.

In Deutschland wird viel recycelt, doch die Zahlen unterscheiden sich je nach Material stark. Quelle: Public Domain

#more#

Im Meer schwimmende Plastiktüten. Ein Bild, das immer wieder in den Nachrichten auftaucht. Die Debatte um Verpackungen jeglicher Art ist nicht neu. Dass Verpackungen ein Problem für die Umwelt sind, ist bekannt. Doch zumindest 2017 haben wir mehr Verpackungsmüll produziert, als zuvor.

Insgesamt 18,7 Millionen Tonnen Verpackungsmüll sind in Deutschland im Jahr 2017 angefallen. Der Anteil der privaten Verbraucher an diesen Zahlen betrug 47 Prozent, also 8,84 Millionen Tonnen Verpackungen. Das bedeutet einen Zuwachs von 3,8 Prozent gegenüber 2016 und 107 Kilogramm pro Kopf. Das geht aus dem neuen Bericht “Aufkommen und Verwertung von Verpackungen in Deutschland im Jahr 2017” des Umweltbundesamtes hervor, den die Behörde zum Beginn der diesjährigen Europäischen Woche der Abfallvermeidung veröffentlicht hat.

Der Bericht basiert auf den Ergebnissen verschiedener Einzelstudien. Die Zahlen für 2018 liegen erst im kommenden Jahr vor. Hintergrund ist die Europäische Verpackungsrichtlinie, aus der sich eine Berichtspflicht der Mitgliedsstaaten gegenüber der Europäischen Kommission ergibt. In dem vorliegenden Bericht sind Verpackungen aus Glas, Kunststoff, Papier, Aluminium, Weißblech, Verbundstoffen, Stahl, Holz und sonstigen Packstoffen berücksichtigt.

Mehr Mehrweg

“Wir verbrauchen viel zu viele Verpackungen. Das ist schlecht für die Umwelt und für den Rohstoffverbrauch. Wir müssen Abfälle vermeiden, möglichst schon in der Produktionsphase”, sagte Maria Krautzberger, Präsidentin des Umweltbundesamtes. Krautzberger fordert mehr Mehrweg. Dies solle nicht nur für Mineralwasser und Bier gelten, sondern auch für Kaffee und Speisen zum Mitnehmen.

Die Ursachen für den hohen Verpackungsverbrauch sind demnach vielfältig. So soll ein Grund im Wirtschaftswachstum liegen. Mehr Produkte führten zu mehr Verpackungen. Die Verfasser des Berichts sehen aber noch weitere Gründe. So habe der Anteil der Ein-Personenhaushalte in Deutschland zwischen 1991 und 2018 stetig zugenommen. Der Anteil der Zwei-Personenhaushalte ist mit über 30 Prozent ebenfalls verhältnismäßig hoch. In solchen Haushalten werden häufig kleinere Packungsgrößen und vorportionierte Produkte gekauft, was wiederum zu mehr Verpackungsmüll führt. Zudem gebe es in kleineren Haushalten einen höheren Verbrauch an Außer-Haus-Produkten, also etwa Kaffee oder Mahlzeiten zum Mitnehmen.

Der Anteil an Seniorenhaushalten nimmt laut den Statistiken aus dem Bericht ebenfalls zu. Auch in diesen Haushalten komme es zu einem erhöhten Verbrauch an kleineren Verpackungsgrößen.

Gleichzeitig wird in den Haushalten immer weniger Zeit damit verbracht, Lebensmittel zuzubereiten. Daher würden mehr Fertiggerichte, Tiefkühlkost oder verzehrfertige Speisen verkauft, was wiederum mehr Verpackungen zur Folge hat. Aber auch Bequemlichkeit spielt ein Rolle. So müssen Verpackungen immer mehr Funktionen zum Dosieren oder Wiederverschließen aufweisen. Dies treffe besonders auf sogenannte Funktionsverschlüsse bei Kunststoffverpackungen zu, sei es bei Zahnpasta oder Ketchup. Diese Verschlüsse bringen es alleine auf einen Anteil von 6 Prozent am Gesamtverbrauch von Kunststoffverpackungen.

Der Versandhandel sorgt zusätzlich für einen Anstieg beim Verpackungsmüll. 2017 wurden demnach 3,35 Milliarden Sendungen auf den Weg gebracht. Ein Anstieg von 98 Prozent gegenüber dem Jahr 2000.

Hohe Recyclingquoten

Umweltbundesamt-Präsidentin Krautzberger fordert, mehr zu recyceln. Dabei sehen die Zahlen in diesem Bereich auf den ersten Blick gut aus. Gesamt betrachtet, werden 70 Prozent aller Verpackungsabfälle dem Recycling zugeführt.

Mit 92,2 Prozent ist die Recylingquote bei Stahl besonders hoch. Bei Papier und Karton liegt diese Quote bei 87,6 Prozent und auch bei Glas ist sie mit 84,4 Prozent hoch. Kunststoffe hingegen seien schwierig zu recyceln, etwa da diese Verpackungen häufig durch verschiedene Materialien zusammengesetzt sind. Damit liegt die Recyclingquote hier nur bei 49,7 Prozent.

LKW voll Plastikmüll

An diesen Zahlen gibt es jedoch Zweifel, etwa von der Lobby “Plastics Recyclers Europe”. Die Zahlen sollen in der Realität viel niedriger liegen. Der Grund: In Deutschland und den meisten EU-Ländern wird gezählt, was in der Sortieranlage ankommt. Das kann aber nicht alles wiederverwertet werden. Wenn Verunreinigungen vorliegen oder sich die Verbundmaterialien nicht einfach recyceln lassen, wird aussortiert. Solche Abfälle werden häufig verbrannt oder exportiert. Die “Plastics Recyclers Europe” schätzen, dass etwa 10.000 Lastwagen mit Plastikmüll jeden Tag die EU verlassen und in ärmere Länder gebracht werden, anstatt sie von europäischen Recyclingbetrieben verwerten zu lassen.

Henning Wilts, vom Wuppertal Institut für Klima, Umwelt und Energie, hatte schon Anfang des Jahres im Spiegel kritisiert, dass die von der Bundesregierung genannte Quote zum recycelten Plastik “Fiktion” sei. Der Großteil werde in Kraftwerken verbrannt oder eben exportiert. Laut Wilts sollen im ersten Halbjahr 2018 gut 84.000 Tonnen Kunststoffabfälle alleine nach Malaysia geschickt worden sein. Die Recyclingquote bei Plastik soll demnach 2017 nur im einstelligen Prozentbereich gelegen haben.

Neue Regeln gegen Plastikmüll

Um die Gesamtsituation zu ändern, gibt es seit dem 1. Januar 2019 ein neues Verpackungsgesetz. Hierin hat die Bundesregierung die Quote für Plastikabfälle auf 58,5 Prozent erhöht. Die Recyclingfähigkeit von Verpackungen soll durch die Gesetzesänderung ebenfalls verbessert werden. Hersteller, die Verpackungen verschicken, müssen sich bei einer zentralen Stelle registrieren. Sie müssen sich außerdem an einem Dualen System beteiligen und etwa den “Grünen Punkt” lizenzieren.

Die EU plant vor allem, den Plastikmüll einzuschränken. So werden Trinkhalme, Teller, Besteck, Rührstäbchen für Getränke, Wattestäbchen, Luftballonstäbe aus Plastik sowie Verpackungen aus aufgeschäumten Polystyrol verboten. Letztere werden für heiße Lebensmittel und Getränke benutzt. Die EU-Richtlinie soll ab 2021 gelten. Bis dahin muss sie in nationale Gesetze gefasst werden.

Dass dies helfen kann, zeigt sich am Beispiel der Kunststofftragetaschen, auch wenn es hier bisher kein Gesetz, sondern nur eine Vereinbarung zwischen Handel und Politik gibt. Diese 2016 geschlossene Vereinbarung hatte zur Folge, dass viele Händler ihren Kunde keine kostenlosen Plastiktüten mehr zur Verfügung stellen. Zwischen 2012 und 2018 sank der Verbrauch um 67 Prozent. 2018 lag er noch bei 2 Milliarden Tüten, ein weiterer Rückgang um 18 Prozent gegenüber dem Vorjahr. Ab nächstem Jahr sollen die Plastiktüten komplett verboten werden. Der Bundestag muss dieses Gesetz aber noch verabschieden. (js)

Siri speichert verschlüsselte E-Mails im Klartext

2019-11-12T19:00:00+01:00

Eigentlich verschlüsselte E-Mails landen im Klartext auf dem Mac, weil Siri sie schutzlos abspeichert. Schaltet man den Sprachassistenten ab, hilft das nur zum Teil.

Ein Problem ist Siris Verhalten für Behörden, Firmen und Privatpersonen, die ihre Kommunikation schützen wollen. Quelle: Bob Gendler

#more#

Der Sprachassistent Siri soll dem Nutzer helfen, indem er beispielsweise auf anstehende Termine hinweist oder neue Kontakte speichert. Wenig hilfreich ist ein anderes Verhalten von Siri, auf das der IT-Spezialist Bob Gendler gestoßen ist: Der Sprachassistent speichert E-Mails, die eigentlich per S/MIME-Ende-zu-Ende-Verschlüsselung geschützt sind, im Klartext ab.

Siri speichert alle E-Mails aus Apple Mail in einer eigenen Datenbank namens “snippets.db”. Laut Gendler werden E-Mails immer unverschlüsselt in der Datei gespeichert – auch wenn sie ursprünglich per S/MIME geschützt waren. Siri speichert die Nachrichten, um daraus Vorschläge für den Nutzer zu generieren. So erkennt die Software beispielsweise Termine, die erwähnt werden und kann diese automatisch in den Kalender des Nutzers übernehmen. Gleiches gilt für neue Kontakte oder unbekannte Telefonnummern.

Wir haben uns Siris Verhalten und die betreffende Datenbank auf Testrechnern angeschaut und festgestellt, dass neue E-Mails erst nach kurzer Verzögerung in der Indexdatei auftauchen. Löscht man eine Nachricht in Apple Mail, verschwindet sie nach kurzer Verzögerung auch wieder aus der Siri-Datenbank. Per PGP verschlüsselte Mail-Inhalte sind nicht betroffen; die Inhalte tauchten während unseres Tests nie unverschlüsselt in der Datenbank auf.

Der Test zeigte eine weitere Problematik: In einer zweiten Datenbank namens “entities.db” sammelt Siri außerdem Kontaktdaten von Personen, mit denen man per E-Mail kommuniziert hat. Und zwar unabhängig davon, ob bei der Kommunikation eine Ende-zu-Ende-Verschlüsselung genutzt wurde: Hier ist auch PGP betroffen. Löscht man alle E-Mails eines Kommunikationspartners, bleiben diese Daten in der Datenbank gespeichert.

Lösung: Siri abschalten, Daten löschen

Die auf der Hand liegende Lösung, Siri abzuschalten, schafft das Problem nicht gänzlich aus der Welt: Geht man auf dem Mac-System in die “Systemeinstellungen → Siri → Siri-Vorschläge & Datenschutz” kann man dort den Punkt “Von dieser App lernen” für Apple Mail deaktivieren. Anschließend werden aber nur keine neuen E-Mails mehr in die Datenbanken übernommen. Die Dateien “snippets.db” und “entities.db” bestehen weiterhin und zuvor gespeicherte E-Mails beziehungsweise Kontaktdaten liegen dort immer noch unverschlüsselt. Erst wenn man die Datenbanken manuell löscht, hat man das Problem beseitigt.

Apple hat sich mit dieser Lücke einen deutlichen Patzer in Sachen Sicherheit geleistet. Um die E-Mails lesen zu können, muss ein Angreifer allerdings Zugriff auf den jeweiligen Mac haben. Entweder muss er also physisch an den entsperrten Rechner kommen oder es muss eine Malware in Form eines Trojaners, Keyloggers oder ähnlichem laufen. Dann hätte der Angreifer allerdings leichtes Spiel und könnte die beiden Datenbanken “snippets.db” und “entities.db” kopieren und die Informationen lesen.

Apps, denen der Nutzer vollen Zugriff auf die Festplatte beziehungsweise SSD gewährt hat, könnten ebenfalls auf die offene Datenbank zugreifen und sie auslesen. Backups mit dem systemeigenen Programm Time Machine schließen die Vorschlagsdatenbank aber aus. Auch mithilfe eines AppleScripts könne man die Datenbank über den Finder lesen. Dafür muss der Nutzer seine Erlaubnis per Mausklick geben. Gendler meint, dass das aber schnell passiere, da die aktuelle Betriebssystemversion macOS Catalina sowieso ständig Erlaubnisdialoge öffne und der Nutzer dadurch unaufmerksam werde.

Generell sollte auf Mac-Rechnern die Festplattenverschlüsselung FileVault aktiv sein. Das ist auf allen Mac-Modellen ab 2018 mit T2-Sicherheitschip automatisch der Fall; auf älteren Macs kann man die Verschlüsselung manuell einschalten (“Systemeinstellungen → Sicherheit → FileVault → FileVault aktivieren”).

Apple reagiert nach 100 Tagen

Entdeckt hat die Lücke der US-Amerikaner Bob Gendler, der für die US-Behörde NIST (National Institute of Standards and Technology) arbeitet. Nach eigenen Angaben meldete er das Problem bereits Ende Juli an Apple. Einen Fix seitens der Firma gibt es aber bis heute nicht. Der Firmen-Support Apples teilte Gendler nach knapp 100 Tagen lediglich mit, dass er die automatische Indexierung in den Einstellungen deaktivieren könne. Erst jetzt – auf Nachfrage der Nachrichtenseite The Verge – bestätigte Apple, dass eines der kommenden macOS-Patches die Sicherheitslücke schließen wird. Genaue Infos gibt es aber noch nicht. (hcz)

Update: Richtigstellungen: Falsche Berichterstattung heute und gestern zu E-Mail-Diensten wie Posteo

2019-11-12T16:00:00+01:00

Update 14.11.2019:

Die Redaktionen haben sich inzwischen bei uns gemeldet und die falschen Presseberichte von Tagesschau, SZ, Spiegel Online u.a. wurden korrigiert bzw. ergänzt.
Dass Webmaildienste nicht mehr dem TKG unterliegen, war vielen offenbar noch nicht bekannt. Die uns vertretende TK- und Verfahrensrechtsexpertin Dr. Grace Nacimiento (GvW) hat sich freundlicherweise dazu bereit erklärt, für Interessierte noch einmal eine kurze schriftliche Einordnung der aktuellen rechtlichen Situation zu geben:
#more#
Zitat Dr. Grace Nacimiento vom 13.11.2019:
“Der EuGH hat in seinem Googlemail-Urteil vom 13. Juni 2019 entschieden, dass Webmaildienste wie Posteo nicht als Telekommunikationsdienste im Sinne der einschlägigen Definition in den EU-Richtlinien einzustufen sind. In Deutschland ist diese unionsrechtliche Definition im TKG umgesetzt worden. Die Auslegung der unionsrechtlichen Definition eines Telekommunikationsdienstes durch den EuGH ist für die mitgliedstaatlichen Verwaltungen verbindlich. Die Bundesnetzagentur ist demnach in ihrer Verwaltungspraxis verpflichtet, die vom EuGH getroffene Auslegung zugrunde zu legen. Behördliche Maßnahmen gegenüber Anbietern von Webmaildiensten sind daher jedenfalls auf Basis des TKG nicht zulässig. Das gilt insbesondere auch für Maßnahmen zur Erfüllung von Pflichten, die das TKG im Zusammenhang mit TK-Überwachungen für Anbieter von Telekommunikationsdiensten regelt. In zeitlicher Hinsicht hat dieses Urteil nach den unionsrechtlichen Vorschriften Rückwirkung. Das heißt, es gilt auch für alle vor dem Urteil entstandenen Sachverhalte, bei denen es um Verpflichtungen von Webmaildiensteanbietern nach dem TKG geht.”

Liebe Posteo-Nutzerinnen und Posteo-Nutzer,

dieser Blogbeitrag richtet sich ausnahmsweise einmal nicht direkt an Sie, sondern an Redaktionen. Seit gestern befinden sich leider falsche Tatsachenbehauptungen zu E-Mail-Diensten wie Posteo (Webmaildienste), Rechtsgrundlagen und Urteilen im Zusammenhang mit Posteo in der medialen Berichterstattung, die zu korrigieren sind.

Viele Grüße,
das Posteo-Team

A) Falsche Berichterstattung u.a. der SZ, tagesschau.de und anderen Medien zur aktuellen Rechtslage bei E-Maildiensten:

Die gestern (11.11.2019) und heute (12.11.2019) in den Medien dargestellte Rechtslage zu E-Mail-Diensten, die dort pauschal als TK-Dienste bezeichnet werden, ist inzwischen veraltet und falsch. Von dieser falschen Grundannahme ausgehend folgt eine in vielen Punkten falsche Berichterstattung. Richtig ist: E-Mail-Dienste wie Posteo (Webmaildienste) unterliegen bereits seit Juni 2019 überhaupt nicht mehr dem TKG. Über die neue Rechtslage informieren wir bereits seit dem Sommer 2019 auf unserer Transparenzberichte-Website wie folgt:

Screenshot vom Posteo Transparenzbericht mit Klarstellungen zur Rechtslage

“In Folge eines Urteils des Europäischen Gerichtshofes vom 13.06.2019 fallen E-Mail-Dienste wie Posteo nicht mehr unter die Pflichten des TKG.

Alle Verweise auf das Telekommunikationsgesetz (TKG) auf diesen Seiten sowie die Bezeichnung von Posteo als „Telekommunikations-Anbieter nach dem TKG“ sind daher nicht mehr aktuell.

Derzeit gibt es keine Rechtsgrundlage mehr für etwaige Telekommunikationsüberwachungen (TKÜ) bei E-Mail-Diensten; Posteo darf und wird solche Anordnungen daher nicht mehr umsetzen.

Auch alle sonstigen Ersuchen/Verpflichtungen auf Grundlage des TKG sind hinfällig.

Voraussichtlich wird eine neue gesetzliche Regelung im Jahr 2020 auf den Weg gebracht werden.”

Bis zur neuen gesetzlichen Regelung gilt außerdem:

1) In der Folge des EUGH-Urteils vom 13.06. ist der Bundesdatenschutzbeauftragte ab sofort nicht mehr für E-Mail-Dienste wie Posteo zuständig, da diese nicht mehr dem TKG unterliegen.

Quelle/Beleg für Redaktionen:

Aus dem Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder – 12.09.2019

“Sachliche Zuständigkeit für E-Mail und andere Over-the-top (OTT)-Dienste

Auf Basis des Urteils des EuGH vom 13. Juni 2019 (Az. C – 193/18) zur Auslegung des Begriffs des „Telekommunikationsdienstes“ gelten für die Zuständigkeitsverteilung zwischen dem BfDI und den Aufsichtsbehörden der Länder vorbehaltlich einer Änderung der gesetzlichen Zuständigkeitsregelungen folgende Grundsätze:

Webmaildienste sind keine Telekommunikationsdienste i.S.d. Telekommunikationsgesetzes (TKG) in der derzeit geltenden Fassung. Dies gilt für reine Webmaildienste und für E-Maildienste, die zusammen mit einem Internetzugang angeboten werden, wenn die E-Mails (zumindest auch) über einen Webmailer abgerufen werden können. Daraus folgt, dass für die Datenschutzaufsicht mangels anderer besonderer Zuständigkeitsvorschriften allein die jeweiligen Landesdatenschutzaufsichtsbehörden zuständig sind. Die bisher beim Bundesbeauftragten für den Datenschutz (BfDI) geführten Verfahren werden an die jeweils zuständigen Landesaufsichtsbehörden zur Bearbeitung zuständigkeitshalber abgegeben."

Original-Quelle im Pdf-Format: Beschluss der Konferenz der unabhängigen Datenschutzaufsichtsbehörden vom 12.09.2019

2) Die Bundesnetzagentur ist ebenfalls nicht mehr die für Webmaildienste wie Googlemail oder Posteo zuständige Aufsichtsbehörde. Achtung Redaktionen: Das Urteil des EuGH hat bereits ab Entscheidungsverkündung (Juni 2019) sofortige und rückwirkende Wirkung (ex tunc), auch wenn das zugrundeliegende Verfahren auf nationaler verwaltungsrechtlicher Ebene – nach den Vorgaben des EuGH – noch abgeschlossen werden muss.

B) Falsche Berichterstattung zum heute und gestern in den Medien zitierten Nicht-Annahme-Beschluss des BVerfG zu Posteo vom Januar 2019:

Der Beschluss vom Januar 2019 war keine “Grundsatzentscheidung zum TKG”, wie u.a. die Süddeutsche Zeitung berichtet: Unsere damalige Beschwerde wurde vielmehr schlichtweg überhaupt nicht zur Entscheidung angenommen – und diese Nichtannahme wurde durch das Gericht ausführlich begründet. Das macht in der Praxis einen Unterschied (ein Nicht-Annahmebeschluss ist rechtlich nicht bindend). Außerdem hat das BVerfG damals vieles von tatsächlichen Annahmen abhängig gemacht, die die Verwaltungsgerichte noch aufzuklären hätten (wenn sich das nicht durch das EuGH-Urteil ohnehin erledigt hätte).
Auch wurde nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Das BVerfG hat angenommen, dass IP-Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall.

Achtung Redaktionen:

Aufgrund der EuGH-Entscheidung im Juni 2019 ist der Nichtannahme-Beschluss des BVerfG in Bezug auf das TKG überholt.

Posteo hat u.a. aufgrund der vorliegenden EuGH-Entscheidung außerdem keinerlei Umbaumaßnahmen an seinen Systemen vorgenommen.

C) Falsche Berichterstattung zum weiteren Vorgehen von Posteo

Des Weiteren wird unter anderem von der SZ der falsche Eindruck vermittelt, dass wir uns nicht weiter gegen den Beschluss des BVerfG gewehrt hätten.
Hierzu stellen wir richtig: Das ist falsch. Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

Die Richtigstellungen im Einzelnen:

SZ:
“Wenige Monate, nachdem Tutanota Post vom Itzehoer Amtsgericht bekommen hatte, traf das Bundesverfassungsgericht eine Grundsatzentscheidung zum TKG.”
→ Richtig ist: Es handelt sich nicht um eine Grundsatzentscheidung zum TKG, sondern um einen Nichtannahmebeschluss einer Verfassungsbeschwerde von Posteo. Wie wir inzwischen wissen, entfaltet dieser keine rechtliche Bindungswirkung. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist.

SZ:
“Ende Januar 2019 urteilten die Richter aber, dass Posteo die Daten nun speichern und herausgeben muss.”
Richtig ist:
→ Es wurde nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Wie wir inzwischen wissen, entfaltet dieser keine rechtliche Bindungswirkung. Das BVerfG hat angenommen, dass IP Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist. Es werden auch in Einzelfällen weiter keine IP-Adressen erhoben.

SZ:
“Nach diesem Urteil entschied auch (…), sich nicht weiter gegen die Forderung vom Amtsgericht zu wehren.”
→ Der Satz impliziert fälschlicherweise, Posteo habe sich in der Sache nicht weiter gewehrt. Richtig ist: Posteo hat sich weiter gewehrt, das implizierende “auch” ist richtigzustellen. Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

SZ:
“Welche Daten E-Mail-Anbieter weitergeben müssen, regelt das Telekommunikationsgesetz (TKG).”
Das ist falsch. Richtig ist: Webmail-Dienste wie Posteo fallen derzeit nicht mehr unter das TKG.

SZ:
“Es (das TKG) stammt aus einer Zeit, in der es noch keine Smartphones und Krypto-Mails gab. Damals bedeutete Überwachung, dass ein Telefonanbieter der Polizei einen Zugang zur Leitung freischaltet.”
Richtig ist: Das ursprüngliche TKG stammt von 1996 und wird laufend aktualisiert. PGP gibt es als IETF-Standard seit 1996, als Programm seit 1991. Der erste Nokia Communicator ist aus 1996. Mit ihm konnte man E-Mails verschicken. Eine grundlegende Erneuerung des TKG fand 2004 statt, bei der das TKG auf die Richlinien der EU (2002) angepasst wurde.

tagesschau.de
“Jurist: Keine Chance gegen Aufforderung”
→ Richtig ist: In dem Text geht es um Webmaildienste. E-Mail-Dienste wie Posteo oder Googlemail fallen derzeit nicht mehr unter das TKG. Derzeit gibt es aufgrund einer Entscheidung des EuGH vom 13.06.2019 keine Rechtsgrundlage mehr für etwaige Telekommunikationsüberwachungen (TKÜ) (“solche Aufforderungen”) bei Webmaildiensten; Posteo darf und wird solche Anordnungen daher nicht mehr umsetzen. Auch alle sonstigen Ersuchen/Verpflichtungen auf Grundlage des TKG sind hinfällig.

tagesschau.de
“Das Telekommunikationsgesetz (TKG) regelt in Deutschland, welche Daten ein Provider weitergeben muss und welche nicht.”
Richtig ist: Im Text geht es um E-Mail-Dienste. Webmail-Dienste wie Posteo fallen derzeit (s.o.) aber nicht mehr unter das TKG.

tagesschau.de
“Allerdings stammt das Gesetz aus einem Zeitalter, als es noch keine Smartphones oder kryptierten E-Mail-Dienste gab.”
Richtig ist: Das ursprüngliche TKG stammt von 1996 und wird laufend aktualisiert. Verschlüsselte E-Mail-Kommunikation gab es auch damals schon: PGP gibt es als IETF-Standard seit 1996, als Programm seit 1991. Der erste Nokia Comunicator ist aus 1996. Mit ihm konnte man E-Mails verschicken. Eine grundlegende Erneuerung des TKG fand 2004 statt, bei der das TKG auf die Richlinien der EU (2002) angepasst wurde.

tagesschau.de
“[…] traf das Bundesverfassungsgericht eine Grundsatzentscheidung in Sachen Telekommunikationsgesetz (TKG): Der Berliner E-Mail-Anbieter Posteo hatte dagegen geklagt, die IP-Adressen seiner Kunden an die Polizei herauszugeben. Dabei speicherte das Unternehmen, das mit großer Datensparsamkeit wirbt, diese Informationen gar nicht. Die Richter am Bundesverfassungsgericht aber sahen Posteo in der Pflicht: Ende Januar 2019 urteilten sie, dass die Firma die Daten speichern und auch herausgeben muss.”

Richtig ist: Es handelt sich nicht um eine Grundsatzentscheidung zum TKG, sondern um einen Nichtannahmebeschluss einer Verfassungsbeschwerde von Posteo. Die Beschwerde von Posteo wurde nicht zur Entscheidung angenommen.
Es wurde auch nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Wie wir inzwischen wissen, entfaltet dieser Nichtannahme-Beschluss keine rechtliche Bindungswirkung. Das BVerfG hat angenommen, dass IP Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist. Es werden auch in Einzelfällen weiter keine IP-Adressen erhoben.
Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil des EuGH im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

spiegel.de
“Das TKG regelt, welche Daten Provider weitergeben müssen, es gilt allerdings in vielen Punkten als veraltet oder vage formuliert.”
→ Richtig ist: Im Text geht es um E-Mail-Dienste. Webmail-Dienste fallen derzeit aber tatsächlich nicht mehr unter das TKG. Derzeit gibt es aufgrund einer Entscheidung des EuGH vom 13.06.2019 keine Rechtsgrundlage mehr für etwaige Telekommunikationsüberwachungen (TKÜ) bei Webmaildiensten; Posteo darf und wird solche Anordnungen daher nicht mehr umsetzen. Auch alle sonstigen Ersuchen/Verpflichtungen auf Grundlage des TKG sind hinfällig.

spiegel.de
“(…)und das Bundesverfassungsgericht fällte ein Urteil,(…)”
“In einem Rechtsstreit um den Berliner Anbieter Posteo entschied das Bundesverfassungsgericht im Januar, dass Mail-Anbieter IP-Adressen ihrer Kunden an Strafverfolger herausgeben können müssen – selbst dann, wenn sie diese wie im Fall von Posteo gar nicht erheben wollen.”
Es handelt sich nicht um ein Urteil des BVerfG, sondern um einen Nichtannahmebeschluss einer Verfassungsbeschwerde von Posteo. Die Beschwerde von Posteo wurde nicht zur Entscheidung angenommen.
Es wurde auch nicht geurteilt, dass Posteo IP-Adressen seiner Nutzer grundsätzlich speichern und im Bedarfsfall herausgeben muss. Das wäre Vorratsdatenspeicherung, und von dieser sind E-Maildienste wie Posteo explizit ausgenommen. Es ging lediglich um das Erheben von IP-Adressen im Einzelfall – im Rahmen einer Strafermittlung. Wie wir inzwischen wissen, entfaltet dieser Nichtannahme-Beschluss keine rechtliche Bindungswirkung. Das BVerfG hat angenommen, dass IP Adressen ausgeleitet werden müssten, wenn diese Daten in den Posteo-Systemen tatsächlich vorhanden seien – das ist aber nicht der Fall. Das Verfahren vor dem BVerfG ist in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist. Es werden auch in Einzelfällen weiter keine IP-Adressen erhoben.
Über konkrete rechtskonforme Lösungen für die Ausgestaltung von Telekommunikationsüberwachungen hat Posteo sich weiter mit der Bundesnetzagentur rechtlich auseinandergesetzt. Verwaltungsgerichtliche Verfahren hierzu laufen, seit dem Googlemail-Urteil des EuGH im Juni 2019 fallen Webmaildienste aber nicht mehr unter das TKG. Die Bundesnetzagentur kann daher nach aktuellem Stand keine Anordnungen mehr uns gegenüber treffen.

spiegel.de
“Posteo kündigte nach der Entscheidung aus Karlsruhe eine “architektonische Lösung” an, die “die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt”."
→ das ist falsch (da verkürzt).
Richtig ist das vollständige Zitat aus unserer Blogmeldung von damals: “Wie es jetzt weitergeht: Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt.”
Wir haben also eine rechtliche Prüfung “angekündigt” und diese auch durchgeführt, zusammen mit unseren Anwälten und einem Verfassungsrechtler.
Eine mögliche architektonische Lösung wurde nur in dem oben zitierten Kontext im Konjunktiv erwähnt – und zwingend an die Bedingung etwaiger fehlender rechtlicher Optionen geknüpft.

Google übernimmt Fitbit: jetzt Daten löschen

2019-11-11T16:00:00+01:00

Fitbit hat mithilfe seiner Fitnesstracker sehr private Daten seiner Nutzer aufgezeichnet. Nun übernimmt Google die Firma und deren Datensammlung. Nutzer können ihr Konto einfach löschen.

Für 2,1 Milliarden US-Dollar kauft Google Fitbit – und damit auch eine riesige Sammlung an Fitness- und Bewegungsdaten.

#more#

Anfang November hat Google den Fitnesstracker-Anbieter Fitbit gekauft. Somit wird der Internetkonzern künftig auf die gespeicherten Fitness- und Gesundheitsdaten aller 28 Millionen aktiven Fitbit-Nutzer zugreifen können. Darauf macht die Verbraucherzentrale Nordrhein-Westfalen aufmerksam, denn nicht jeder Nutzer dürfte mit der Datenweitergabe an Google zufrieden sein.

In einer Mitteilung hat Fitbit zwar versprochen, dass die gesammelten Nutzerdaten künftig weder verkauft noch für Werbung genutzt werden. Die Verbraucherschützer sehen das aber kritisch: Nutzern bliebe nichts anderes übrig, als das erst einmal so zu glauben und darauf zu vertrauen, dass dieses Versprechen gehalten wird. Ein ähnliches Versprechen gab Facebook bei der Übernahme von WhatsApp ab – und brach es zwei Jahre später.

Konto-Daten sichern und löschen

Fitbit-Nutzer, die von vorneherein verhindern wollen, dass ihre Daten an Google gehen, müssen ihren Account löschen. Nachteil: Ohne Konto funktionieren die meisten Fitbit-Dienste nicht mehr, erklärt die Verbraucherzentrale. Vor dem Löschen seines Accounts sollte man aber in jedem Fall seine Daten herunterladen.

Das funktioniert so:Auf der Internetseite von Fitbit anmelden, mit einem Klick auf das Zahnrad oben rechts die Einstellungen und darin die Rubrik “Datenexport” öffnen. Wer danach sein Fitbit-Konto komplett löschen möchte, geht zur Rubrik “Persönliche Einstellungen” und dort auf “Konto löschen”. Es öffnet sich ein Pop-up-Fenster, in dem die Aktion per Passwort das erste Mal bestätigt werden muss. Anschließend erhält man eine E-Mail, in der man das Löschen der Daten endgültig bestätigt – und zwar per Klick auf den enthaltenen Link. (dpa / hcz)

Zentrale Gesundheits-Datenbank in der Kritik

2019-11-05T15:00:00+01:00

Nach dem Willen von Bundesgesundheitsminister Jens Spahn sollen Gesundheitsdaten der gesetzlich Versicherten in einem Forschungszentrum zentral gespeichert werden. Der Vorschlag trifft auf viel Kritik.

Bundesgesundheitsminister Jens Spahn will der Forschung Gesundheitsdaten schneller zur Verfügung stellen – ohne die Einwilligung der Patienten.

#more#

Was nach dem Traum vieler Forscher klingt, ist für Datenschützer eher ein Albtraum: Gesundheitsdaten von 73 Millionen Versicherten an einer zentralen Stelle. Jens Spahn will die Patienteninformationen der gesetzlichen Krankenkassen in einem Forschungszentrum zusammenführen und Forschern, Behörden und Berufsvetretungen wie der Bundesärztekammmer schneller und umfangreicher als bisher zur Verfügung stellen. Im Rahmen des geplanten Digitale-Versorgung-Gesetzes (DVG) sollen die Krankenkassen Patientendaten an den Spitzenverband “Bund der Krankenkassen” weiterleiten. Die Daten sollen dort pseudonymisiert und im Anschluss an ein Forschungsdatenzentrum übermittelt werden, wo sie unter anderem zu Forschungszwecken zur Verfügung stehen. Dass die Patienten ihr Einverständnis dazu geben, sieht der Gesetzesentwurf nicht vor.

Schon jetzt laufen Gesundheitsdaten beim Spitzenverband der Krankenkassen zusammen und werden teils der Forschung zur Verfügung gestellt. Neu ist allerdings, dass die Daten auch noch automatisch an ein neu zu schaffendes Forschungszentrum gehen sollen, das nicht in der Infrastruktur der Krankenkassen liegt. Zudem sollen die Daten in deutlich größerem Umfang als momentan von Forschern genutzt werden können. Um die Patientenakte geht es in dem Gesetzesentwurf explizit nicht, sondern um pseudonymisierte Patientendaten.

Hochattraktives Hacker-Ziel

Konkret geht es um Kosten- und Leistungsdaten – also auch darum, welche Behandlungen ein Patient erhalten hat – und um persönliche Daten wie Alter, Geschlecht und Wohnort. Das geplante Forschungszentrum, das sie speichern soll, ist dem Bundesgesundheitsministerium unterstellt. Das Redaktionsnetzwerk Deutschland spricht von einer der umfangreichsten Datensammlungen Deutschlands.

Zugriff auf die Daten hätten Behörden, Forschungseinrichtungen und Universitätskliniken zwecks “Längsschnittanalysen über längere Zeiträume, Analysen von Behandlungsabläufen oder Analysen des Versorgungsgeschehens” und “zur Unterstützung politischer Entscheidungsprozesse”. Dass die Industrie auf die Daten zugreift, ist nicht vorgesehen.

Befürchtet wird vor allem, dass die Daten nicht ausreichend geschützt und pseudonymisiert werden. Die konkreten Schutzmaßnahmen sind noch nicht festgelegt. In einer Anhörung im Bundestag vom 16. Oktober kritisierten die eingeladenen Experten, der Entwurf beschreibe unzureichend den geplanten Schutz der sensiblen Gesundheitsdaten. Und auch das Grundprinzip des Systems wird als gefährlich erachtet: Denn in der IT-Sicherheit gilt eine solch zentrale Anhäufung von hochsensiblen und gleichzeitig wertvollen Daten als attraktives Ziel für Angreifer (alias Hacker). Professionell organisierte Angriffe gelten als vorprogrammiert.

Um den Datenschutz zu wahren, sollen die Informationen pseudonymisiert an das Forschungszentrum übertragen werden. Den genauen Prozess wird das Bundesamt für Sicherheit in der Inforamtionstechnik (BSI) entwickeln.

Datenschutz spielt untergeordnete Rolle

Für seinen Vorstoß erntet der Gesundheitsminister viel Kritik:
Auf Twitter äußerte sich der Bundesdatenschutzbeauftragte Ulrich Kelber zu dem Entwurf: “Wir haben BMG [Bundesministerium für Gesundheit] Empfehlungen gegeben und werden gegenüber Bundestag Stellungnahme abgeben, die dann öffentlich ist. Spoiler: Wir haben Bedenken!”

Für die Bundestagsfraktion der Grünen ist es “hoch bedenklich, dass Spahn im Schweinsgalopp praktisch ohne gesellschaftliche Diskussion komplette Gesundheitsdaten der gesetzlich Versicherten für die Forschung zugänglich machen möchte”, wie die grüne Gesundheitsexpertin Maria Klein-Schmeink dem Redaktionsnetzwerk Deutschland sagte. Sie bemängelte auch, dass Regelungen zu Löschfristen und Widerspruchsmöglichkeiten erst in einer Verordnung folgen sollten.

In einer Anhörung des Gesundheitsausschusses vom 16. Oktober antwortete der Informatikprofessor Dominique Schröder von der Uni Erlangen-Nürnberg auf die Frage, ob das geplante Gesetz die Daten ausreichend schütze: “Es wird immer von pseudonymisierten und anonymisierten Daten geredet und jeder ist der Meinung, wenn da anonymisiert steht, dass das auch so ist. Aber es gibt viele Beispiele aus der Kryptografie und der IT-Sicherheit, wo wir wunderbar zeigen konnten, wie wir die Daten deanonymisieren können, das geht wirklich wunderbar.”

Der Vorstand der Deutschen Stiftung Patientenschutz, Eugen Brysch, betonte, niemand bezweifele die Notwendigkeit, Zahlen und Fakten für Medizin und Pflege in Deutschland zu erheben. Zuständig sei besonders das Statistische Bundesamt. So sei gewährleistet, dass beim Sammeln von Informationen “höchste Datenschutzstandards” eingehalten werden. “Wenn der Bundesgesundheitsminister das durchlöchern will, braucht es das Einverständnis der Betroffenen. Doch der Datenschutz für Patienten spielt bei Jens Spahn eher eine untergeordnete Rolle”, sagte Brysch der Deutschen Presse-Agentur. Schon das Konzept zur Einführung der elektronischen Patientenakte sei dafür ein “erschreckendes Beispiel”.

Der Verein Digitale Gesellschaft kritisiert in einem offenen Brief an die Bundestagsabgeordneten vor allem die zentrale Speicherung der Gesundheitsdaten. Sie öffne “der Überwachung, der Kontrolle und der Sortierung von Menschen sowie der Diskriminierung bestimmter Risikogruppen Tür und Tor.”

”Ein Problem bei Datenschutz und Datensicherheit hat es nie gegeben”

Das Bundesgesundheitsministerium wies die Vorwürfe zurück: “Wir nehmen Datenschutz und -sicherheit immer sehr ernst. Gesundheitsdaten sind die sensibelsten Daten, die es gibt”, stellte Ministeriumssprecher Hanno Kautz klar. Das beschriebene Verfahren bestehe bereits seit vielen Jahren. Abrechnungsdaten würden der Forschung bereits heute in anonymisierter Form zur Verfügung gestellt. “Ein Problem bei Datenschutz und Datensicherheit hat es nie gegeben”, betonte der Sprecher.

Mit dem neuen Verfahren werde sichergestellt, dass Daten vor allem schneller und in besserer Qualität – und nicht um Jahre zeitverzögert – für die Forschung zugänglich sind. Eine gute Versorgungsforschung komme chronisch kranken Patientinnen und Patienten zugute. “Es wäre unethisch, Versorgung nicht durch Nutzung anonymisierter Daten zu verbessern, obwohl man es könnte”, so Kautz. Es würden auch künftig nur anonymisierte Daten zur Verfügung gestellt. Die berechtigten Forschungsinstitutionen seien im Gesetz abschließend aufgezählt und eng eingegrenzt.

Das DVG soll am Donnerstag den 7. November im Bundestag verabschiedet werden und muss anschließend vom Bundesrat abgesegnet werden. (dpa / hcz)

Streit über Huaweis 5G-Beteiligung

2019-10-31T17:00:00+01:00

Nachdem sich der BND-Präsident klar gegen eine Beteiligung des chinesischen Netzausrüsters Huawei beim Aufbau des 5G-Netzes ausgesprochen hatte, rudert er nun zurück.

Auch BND-Chef Bruno Kahl fällt es schwer, beim 5G-Ausbau eine klare Position gegenüber Huawei zu finden.

#more#

Der Präsident des Bundesnachrichtendienstes (BND), Bruno Kahl, hat seine kritischen Äußerungen zur Beteiligung des chinesischen Netzwerkausrüsters Huawei am Aufbau des neuen deutschen Mobilfunknetzes abgeschwächt. “Das 5G-Netz wird wegen seiner großen Bedeutung für Zukunftstechnologien wie das autonome Fahren und die Industrieautomation hohen Sicherheitsanforderungen genügen müssen”, sagte Kahl am Mittwoch bei einer Diskussionsveranstaltung in Ingolstadt. "Deshalb geht es nicht so sehr um die Beteiligung bestimmter Unternehmen oder Länder, sondern um die richtigen Kriterien für die Auswahl der beteiligten Akteure.”

Das gelte nicht nur für die Netzbetreiber selbst, sondern auch für deren Zulieferer, sagte Kahl BND-Angaben zufolge. "Hierzu hat die Bundesregierung Lösungen entwickelt, in die die Argumente der Beteiligten einschließlich der Erkenntnisse der Sicherheitsbehörden laufend einfließen.”

”Beteiligung Huaweis riskant”

In einer öffentlichen Anhörung des parlamentarischen Gremiums zur Kontrolle der Geheimdienste hatte Kahl erst am Vortag in Berlin noch deutlich gemacht, dass der deutsche Auslandsgeheimdienst eine Beteiligung von Huawei am deutschen 5G-Netz für riskant hält. Seine Behörde sei “zu dem Schluss gekommen, dass die Infrastruktur kein tauglicher Gegenstand ist für einen Konzern, dem man nicht voll vertrauen kann”, hatte Kahl gesagt. Es gebe möglicherweise Bereiche, in denen eine Beteiligung Huaweis denkbar wäre. Dort wo es um die “Kerninteressen” gehe, sollte dies jedoch nicht möglich sein.

Die Bundesnetzagentur hatte Mitte des Monats ein Entwurfspapier vorgelegt, das Regeln für den sicheren Bau und Betrieb eines 5G-Netzes vorsieht. Dem zufolge müssen Lieferanten eine Erklärung der Vertrauenswürdigkeit abgeben; darin muss zum Beispiel stehen, dass die Firma keine vertraulichen Infos ins Ausland weiterleitet. Eine Klausel, die explizit gegen Huawei gerichtet ist, ist in dem Regelwerk nicht enthalten. Sie war von Huawei-Kritikern gefordert worden.

Bislang keine Beweise

Huawei betonte in einer Mitteilung, es sei kein staatliches Unternehmen, “sondern ein rein privates, das sich vollständig im Besitz seiner Mitarbeiter befindet”. Huawei befinde sich weder in Abhängigkeit von der Kommunistischen Partei Chinas noch vom chinesischen Sicherheitsapparat. Für die Behauptungen gebe es keinerlei faktische Evidenz.

Tatsächlich gibt es bislang zumindest keine (veröffentlichten) Nachweise dafür, dass die chinesische Regierung mithilfe von Konzernen versucht, eine Spionageinfrastruktur oder ähnliches aufzubauen. Bisherige Nachrichten in diese Richtung, wie die über angebliche Spionage-Chips auf Server-Platinen, wurden nie belegt – im Gegenteil: Betroffene Firmen wie Apple untersuchten den Fall und forderten schlussendlich, einen entsprechenden Bloomberg-Bericht zurück zu ziehen.

Angestoßen wurden die Bedenken gegenüber Huawei größtenteils auf Druck der US-Regierung unter Trump, die chinesische Firmen gerne aus dem US-Markt drängen würde und dies in Bezug auf 5G vor allem mit Sicherheitsbedenken begründet.

US-Präsident Donald Trump setzte Huawei beispielsweise Mitte Mai auf eine Schwarze Liste. Damit wurde der Firma der Zugang zu Technologie von US-Konzernen und dem amerikanischen Markt weitgehend versperrt. Aus Angst vor Spionage warnen die USA auch Deutschland und andere Länder davor, Telekomausrüstung von Huawei einzusetzen. Trump drohte Deutschland sogar damit, hiesige Nachrichtendienste von den eigenen Geheimdienstinformationen abzuschneiden.

Stimmen aus der Regierung

So regt sich auch in der deutschen Regierung Unbehagen – unter anderem in der CDU-Fraktion: In Bezug auf den Netzausbau mit Huaweis Hilfe schrieben vor kurzem sechs führende Unionsabgeordnete in einem Gastbeitrag für das Handelsblatt, die Politik der Bundesregierung “verkennt die strategische Reichweite des 5G-Netzausbaus: Es handelt sich um eine der wichtigsten Zukunftsentscheidungen, die in Deutschland und Europa aktuell zu treffen sind.” Weiter hieß es: “Nicht weniger als die nationale Sicherheit und die technologische Souveränität Deutschlands und Europas stehen beim 5G-Ausbau auf dem Spiel.” Eine solche Entscheidung dürfe nicht von nachrangigen Behörden getroffen werden – sondern allein vom Parlament. Das 5G-Netz werde in einigen Jahren das zentrale Nervensystem unserer Wirtschaft sein. Dies erfordere allergrößte Wachsamkeit.

Auch bei der SPD gibt es Sorgen. Der außenpolitische Sprecher der SPD-Bundestagsfraktion, Nils Schmid, sagte der Rhein-Neckar-Zeitung mit Blick auf Huawei: “Ich hielte es für einen ganz schweren Fehler, zuzulassen, dass ein Unternehmen unter staatlichem Einfluss in einem so sensiblen Bereich ohne Weiteres involviert wird.”

Auch Grünen-Chef Robert Habeck forderte kürzlich, die Chinesen beim Aufbau des 5G-Netzes in Deutschland auszuschließen. Stattdessen sollten europäische Firmen den Zuschlag erhalten. “Wir sollten da dem Beispiel der australischen Regierung folgen; sie hat Huawei nicht zugelassen. Nokia und Ericsson sollten das machen”, sagte Habeck der “Welt am Sonntag”. So könne eigenes europäisches Know-how entstehen und Europa gegenüber aufholen.

BSI bleibt neutral

Eine zentrale Rolle bei der Vergabe der Aufträge soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) spielen und 5G-Komponenten auf ihre Sicherheit testen. Im Rahmen der Debatte warnte BSI-Chef Arne Schönbohm im Sommer vor einer Vermischung von technischen und politischen Fragen. Das BSI sei dafür da, Komponenten und Produkte auf ihre Manipulationsfähigkeit und ihr Sicherheitsniveau zu überprüfen, sagte Schönbohm. Für eine Analyse der Manipulationsfähigkeit eines Bauteils sei es “vollkommen egal, ob das Bauteil aus China, aus Korea oder aus Schweden kommt”.

Wenn man allerdings aus technischen Gründen etwa bei einer Antenne zu dem Schluss komme, sie lasse sich nicht überprüfen und überwachen, “dann sollte man sie verbieten, egal woher sie kommt”. Wenn allein politisches Vertrauen die Grundlage für Entscheidungen bei Investitionen seien, könne das “die Grundlage unseres volkswirtschaftlichen Wohlstands” zerstören. (dpa / hcz)

PSD2: Wer mein Bankkonto sehen darf

2019-10-30T16:00:00+01:00

Finanz-Apps geben Überblick über die eigenen Konten, starten Überweisungen und bieten individuelle Geldtipps an. Der Preis dafür: Eine Drittfirma kennt Ihr Konsumverhalten. Welche Gefahren lauern dabei?

Ein Zahlungsauslösedienst wie beispielsweise Sofortüberweisung wird vom Kunden beauftragt, Geld zu überweisen – beispielsweise an einen Online-Shop. Der Dienstleister gibt den Auftrag weiter an die Bank und meldet dem Shop, dass das Geld unterwegs ist. Quelle: Deutsche Bundesbank

#more#

Aus den Bankkonten einer Person kann viel gelesen werden: Gehört er oder sie zu den Besserverdienenden oder reicht das Geld meist nicht bis zum Monatsende? Wofür gibt der Kunde besonders viel oder besonders wenig Geld aus? Und hat er beispielsweise Unterhaltskosten zu zahlen?

Solche Informationen bekommen sogenannte Kontoinformationsdienste – also beispielsweise Apps, die Konten mehrerer Banken zusammenführen oder auf Basis der Kontotransaktionen Werbung und Tipps zu Produkten und Dienstleistungen anbieten. Sie erhalten ebenso wie Zahlungsauslösedienste Zugriff auf Konten – nachdem der Kunde ausdrücklich eingewilligt hat.

Nur registrierte Dienstleister

Ganz neu ist das alles nicht: Schon bisher konnten Kunden Diensten erlauben, auf ihr Konto zuzugreifen. Seit dem 14. September dürfen dies aber nur noch Dienste, die von der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) in einer Liste geführt werden. Die Institute müssen dafür passende technische Schnittstellen zur Verfügung stellen. Da sich die technische Umsetzung verzögert hat, dürfen aber vorerst auch ältere Schnittstellen verwendet werden.

Die Neuerungen sind eine Folge der zweiten EU-Zahlungsdienstrichtlinie, nach ihren englischen Initialen auch als PSD2 (Payment Services Directive 2) bekannt. Sie wurde im Zahlungsdienste-Aufsichtsgesetz (ZAG) in nationales Recht umgesetzt. Damit wurden “neue einheitliche Rahmenbedingungen für Banken, Drittdienste und Kunden” geschaffen, erklärt Fabian Schuster vom Bundesverband deutscher Banken. Sie ermöglichen Kunden den technisch sicheren Zugriff auf ihre Zahlungskonten.

Zwei Konzepte sind betroffen. “Kontoinformationsdienste führen die verschiedenen Girokonten in einer App zusammen”, erklärt Yvonne Röhling von der Verbraucherzentrale Sachsen-Anhalt. Sie geben so eine Übersicht über die finanzielle Situation. Wer solche Dienste anbieten möchte, muss sich bei der Bafin registrieren – 25 Einträge waren Ende Oktober verzeichnet.

Zahlungsauslösedienste, das zweite Konzept, sollen Online-Zahlungen erleichtern. Drittanbieter wickeln diese beispielsweise für Internethändler ab. Statt sich ins Online-Banking einzuloggen, können Kunden die Überweisung direkt über den Drittdienst beauftragen. Dafür braucht der Dienst Zugang zu den Kontodaten.

Zwölf Unternehmen haben bis Ende Oktober eine Bafin-Erlaubnis erhalten. Sie müssen sich laut ZAG unter anderem für den Haftungsausfall absichern. Unternehmen können aber auch die Lizenzen von Zahlungsdiensten nutzen, selbst von Diensten aus dem Ausland.

Daten werden für Werbung genutzt

Verbraucherschützer werten positiv, dass Verbraucher dem Zugriff nun ausdrücklich zustimmen müssen. “Kontoinformationsdienste sehen alle Umsätze. Ab dem Zeitpunkt, in dem man die Erlaubnis erteilt, können sie auf das Konto zugreifen und bekommen Echtzeitdaten übermittelt”, sagt Röhling.

Nutzer sollten sich bewusst sein, welch sensiblen Daten dies betreffe, warnt die Verbraucherschützerin. “Aufgrund der Umsätze und der hinterlegten persönlichen Daten kann sich der Kontoinformationsdienst ein recht umfangreiches Bild vom Verbraucher machen und ist somit in der Lage, zielgerichtete Angebote zu unterbreiten.” Zum Beispiel für den Wechsel des Stromanbieters oder für eine vermeintlich kostengünstigere Versicherung.

App löschen heißt nicht Daten löschen

Daher lautet der Experten-Appell: “Man kann Verbrauchern immer ganz klar raten, mit ihren Daten sparsam umzugehen. Sie sollten kritisch sein, welcher App sie welche Daten anvertrauen.” Denn: “Der Dienst weiß dann tatsächlich ganz genau, wie viel der Verbraucher verdient, wie viel Weihnachtsgeld er erhält, ob er eventuell Unterhalt zahlt”, erläutert Röhling.

Verbraucher sollten außerdem Angebote genau prüfen, die auf Grundlage ihrer Daten gemacht werden. Röhling rechnet damit, dass nur Produkte bestimmter Anbieter angeboten werden, die eine Provision zahlen.

Wichtig sei auch der Blick auf die Daten, wenn man den Dienst nicht mehr nutzen möchte: “Wir haben die Sorge, dass Verbraucher nur die App löschen und denken, dass dadurch der Kontoinformationsdienst nicht mehr auf das Konto zugreift – und das ist ja vermutlich nicht der Fall”, so Röhling.

Zahlungsfähig oder nicht?

In der Branche sieht man naturgemäß die positiven Seiten der Dienstleistungen. “Dem Nutzer wird damit die Hoheit über seine Daten zurückgegeben”, sagt Stefan Krautkrämer vom Startup Fintecsystems, einem technischen Dienstleister für Kontoinformations- und Zahlungsdienstleistungen. Kunden seien nicht mehr abhängig von den limitierten Finanzprodukten ihres Instituts oder den Kreditratings von Auskunfteien ausgeliefert.

Anders als Auskunfteien nutzen die Dienste Informationen zum aktuellen Kontostand statt Wahrscheinlichkeitsberechnungen, so Krautkrämer. Nicht nur der Bankberater habe so Einblicke in die Finanzsituation, auch Dritten könne dies gewährt werden. Der Verbraucher müsse dafür anders als früher nicht mehr umständlich Dokumente zusammentragen.

Dies ermögliche etwa, unkompliziert die Zahlungsfähigkeit für teure Reisen oder die Bonität für Kredite zu analysieren: “Kreditinstitute stellen damit digital fest, ob der Kunde kreditwürdig ist und zwar mit einer sofortigen Bestätigung”, erklärt Krautkrämer. "Damit kann man dem Verbraucher auch die Möglichkeit geben, zum Beispiel im Autohaus nicht nur bei einer bestimmten Bank einen Kredit aufzunehmen.” (dpa / hcz)

Wir suchen Verstärkung!

2019-10-29T16:00:00+01:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

heute haben wir eine Mitteilung in eigener Sache.
Wir suchen zur Verstärkung unseres Teams ab sofort:

- eine(n) erfahrene(n) Web-Softwareentwickler(in)
- eine(n) Systemadministrator(in)
- eine(n) erfahrene(n) Mitarbeiter(in) für die Presse- und Öffentlichkeitsarbeit
- eine(n) Buchhalter(in) mit Schwerpunkt Kunden-Zahlungsverkehr
- eine(n) Mitarbeiter(in) für den englischsprachigen Kunden-Support
- eine(n) Mitarbeiter(in) für den Kunden-Support
- eine(n) weitere(n) Koch/Köchin für unseren vegetarischen Mittagstisch
#more#

Falls Sie sich für eine der ausgeschriebenen Stellen interessieren, freuen wir uns auf Ihre Bewerbung per E-Mail an jobs@posteo.de.
Vielleicht kennen Sie auch Menschen, für die eine der ausgeschriebenen Stellen infrage kommen könnte. In diesem Fall freuen wir uns darüber, wenn Sie unsere Anzeige weiterleiten.

Die Stellenanzeigen finden Sie unter:
https://posteo.de/site/jobs

Viele freundliche Grüße sendet
das Posteo-Team

Wie Kinder sicher Online-Videos schauen können

2019-10-24T16:00:00+02:00

Auch Kinder finden auf YouTube jede Menge Unterhaltung. Doch viele Videos sind nicht für sie geeignet oder können gar verstören. Mit diesen Tipps schützen Eltern ihren Nachwuchs.

Spezielle Kinder-Apps und Filter ersetzen beim Videoschauen nicht die elterliche Betreuung.

#more#

Die wenigsten Videos im Netz sind kindergerecht: der Lieblingscartoon als Porno oder eine gefährliche Challenge, bei der man sich selbst verletzen soll. Bei YouTube, Vimeo und anderen Streaming-Plattformen im Internet sind solche Filme keine Seltenheit. Inhalte dieser Art sind für Kinder verstörend und schlichtweg ungeeignet.

“Neben Gewalt und Sexuellem können gefährliche Geschlechter- und Weltbilder vermittelt werden. Die Welt dort ist oft geteilt in rosa und hellblau”, erklärt Iren Schulz von der Initiative “Schau hin!”. Neben möglicherweise anstößigen Videos ist die Werbung problematisch. Denn für viele Kinder ist sie nicht von Inhalten zu trennen.

Doch das große Videoangebot lockt die Kids – und ist gleichzeitig das große Manko. Denn bei den Portalen kann jeder fast alles hochladen. Besonders schlimme Inhalte werden vielleicht irgendwann durch einen Algorithmus oder nach einer Meldung von Mitarbeitern gelöscht.

Was tun?

Wenn Kinder solche Plattformen nutzen, sollten Eltern trotzdem mit ihnen gemeinsam Vorkehrungen treffen. YouTube bietet dafür den sogenannten eingeschränkten Modus an. Diesen können Eltern über das Menü auf der Startseite aktivieren (die drei Punkte rechts oben). Der Modus soll nicht jugendfreie Inhalte automatisch herausfiltern. Einen hundertprozentigen Schutz bietet die Funktion aber nicht.

Zusätzlich sollten Eltern und Kinder grundsätzlich gemeinsam die Datenschutzeinstellungen überprüfen. Kinder sollten keine privaten Daten verraten und vorsichtig beim Hochladen von Dateien sein. Deutlich mehr Optionen für die Kindersicherung bietet YouTube Kids, das im Browser sowie als App für iOS und Android zur Verfügung steht. Dort gibt es Videos speziell für Kinder. Eltern können die Nutzung gezielt auf bestimmte altersgerechte Inhalte beschränken und ein Zeitlimit festlegen. Ist die Suchfunktion deaktiviert, werden nur noch von der Plattform verifizierte Kanäle angezeigt.

Kinder nie alleine schauen lassen

Trotzdem bewegen sich Kinder bei YouTube Kids in einem kommerziellen Umfeld. Ängste oder Verstörungen sind nicht ausgeschlossen. “Man sollte Kinder auf keine Videoplattform allein loslassen. Selbst bei YouTube Kids rutscht etwas durch oder verstörende Inhalte werden in die Videos geschnitten”, meint Schulz.

Filter nur Notbehelf

Andere Anbieter setzen auf Filter: Bei Dailymotion etwa kann man unten auf der Website einen Familienfilter hinzuschalten. Aus Sicht von Experten sind Filter aber nur bedingt eine Lösung. “Die Filter sind für Kinder sehr leicht zu umgehen und bieten nur wenige Einstellungen”, kritisiert Verena Weigand von der Bayerischen Landeszentrale für neue Medien.

Zusätzlich zu den Einstellungen bei den Diensten selbst, können Konfigurationen oder Software auf dem Endgerät helfen. Sie sollen nicht kindgerechte Inhalte automatisch heraussieben – und das nicht nur bei den Videoplattformen, sondern etwa auch bei Suchmaschinen.

Das Programm JusProg prüft nach Angaben der Betreiber, ob aufgerufene Websites angemessen für das Alter des Kindes sind. Bei der Einrichtung der unter anderem für Windows-Rechner sowie iOS- und Android-Mobilgeräte verfügbaren Software können Eltern zwischen vier Altersstufen wählen. Ruft das Kind nicht altersgerechte Inhalte auf, werden diese von dem kostenlosen Programm blockiert.

Eine staatlich anerkannte Software dafür gibt es allerdings nicht mehr. Dem Programm JusProg wurde die Anerkennung jüngst entzogen – unter anderem weil das Programm nicht für alle gängigen Endgeräte verfügbar ist. Nutzen kann man die Software natürlich weiterhin.

“Für Mobilgeräte gibt es teilweise integrierte Jugendschutz- oder Zeitfilter. Die funktionieren bei Android allerdings anders als bei iOS”, sagt Birgit Kimmel, Pädagogin an der Landeszentrale für Medien und Kommunikation Rheinland Pfalz und Leiterin der EU-Initiative Klicksafe.de.

Keine Weltangst vermitteln

Die Expertinnen und Experten sind sich einig: Einen hundertprozentigen Schutz für Kinder auf Videoplattformen gibt es nicht. Wichtig ist deshalb die Rolle der Eltern. “Sie sollten die Kinder aufmerksam machen, ohne eine Weltangst zu vermitteln”, erklärt Schulz. "Gut ist, sich mit den Kindern zusammen hinzusetzen und sich die Plattformen von ihnen erklären zu lassen.”

Regeln, welche Inhalte, wann und wie lange konsumiert werden dürfen, können helfen. Darüber hinaus gibt es zahlreiche Video-Plattformen, die extra für Kinder gemacht sind. Dazu zählen die Angebote des KiKA oder der Videobereich Juki auf kindersache.de. Diese Dienste sind zwar nicht so groß und bekannt, für Kinder aber deutlich sicherer. (dpa / hcz)

Update: Angaben zum Programm JusProg wurden korrigiert.

Google-Manager warnt Gäste vor Sprachassistenten

2019-10-22T15:00:00+02:00

Google Hardware-Chef Rick Osterloh weist Besucher seines Hauses darauf hin, dass dort smarte Lautsprecher Gespräche mithören. Seiner Meinung nach sollten die Geräte auch selbst auf sich aufmerksam machen.

Googles Hardware-Chef Rick Osterloh weist Gäste auf smarte Mikrofone in seinem Haus hin. Quelle: Google

#more#

Die BBC hatte den Google Hardware-Chef in einem Interview gefragt, ob er Gäste bei sich zu Hause aufkläre, dass im Haus smarte Lautsprecher stehen.

Hintergrund ist, dass Geräte wie Google Nest und Home oder Amazon Echo eingebaute Mikrofone haben und auf bestimmte Stichworte warten, um Befehle zu empfangen und weiterzusenden. Regelmäßig starten diese aber auch ohne Absicht der anwesenden Personen die Aufnahmen – entweder, weil die festgelegten Aktivierungsworte im Gespräch auftauchen oder weil die Sprachassistenten das Gesprochene missinterpretieren.

Widersprüche im Interview

Ob sich der Google-Manager tatsächlich mit dieser Problematik beschäftigt (hat), wird aus dem Gespräch mit der BBC nicht ganz deutlich Auf die Frage reagiert er zunächst überrascht und sagt, er habe sich über das Thema auf diese Art und Weise noch keine Gedanken gemacht: “Gosh, I haven’t thought about this before in quite this way”. Anschließend behauptet er aber, seine Gäste bereits auf die mithörenden Geräte hinzuweisen: “Does the owner of a home need to disclose to a guest? I would and do when someone enters into my home”.

Im weiteren Gespräch meint Osterloh, dass die Geräte auch selbst darauf hinweisen sollten, dass sie vorhanden sind: “it’s probably something that the products themselves should try to indicate”. In welcher Art sie das tun sollten, erörtert er nicht.

Bereits jetzt signalisieren die Geräte durch leuchtende LEDs und ein Hinweisgeräusch, dass sie zuhören. Allerdings stehen die Sprachassistenten nicht immer in Sichtweite – und ihre Signale sind nicht für jeden Nutzer eindeutig zu erkennen und eher subtil. Sodass jemand, der sich mit dieser Art Technik nicht auskennt, nicht unbedingt versteht, dass das Gesagte nun aufgenommen wird. Auch können die Geräte nicht wissen, dass sich gerade Gäste in Hörweite befinden.

Als Leiter der Hardware-Sparte könnte Osterloh selbst dafür sorgen, dass die Geräte eine solche Funktion bieten. Von solchen Maßnahmen seinerseits spricht er aber nicht.

Ein weiteres Problem ergibt sich dadurch, dass auch die in Smartphones integrierten Sprachassistenten üblicherweise per Stichwort aktivierbar sind. Folgt man der Logik des Managers, müssten auch unterwegs alle Menschen in der Umgebung auf die Funktion hingewiesen werden. Allerdings wird dieser Fall im Interview nicht thematisiert.

Gäste haben Recht am gesprochenen Wort

Prinzipiell ergibt sich bei den smarten Geräten mit Mikrofon ein ähnliches Problem wie bei Videokameras: Dass aufgenommen wird, müsste für alle Beteiligten deutlich erkennbar sein. Viele Kameras haben dafür eine LED an der Front, die leuchtet, wenn die Aufnahme läuft.

Gäste auf aktive Sprachassistenten im Haus hinzuweisen, kann hierzulande auch aus rechtlichen Gründen geboten sein.
In Deutschland stehen Sprachaufnahmen, von denen der Aufgenommene nichts weiß, im Konflikt mit dem Recht am gesprochenen Wort. Denn grundsätzlich kann jede Person bestimmen, wer ihr Wort aufnehmen darf und ob die eigene auf einem Tonträger aufgenommene Stimme wieder abgespielt werden darf. Zudem verbietet Paragraf 201 des Strafgesetzbuches, das “gesprochene Wort eines anderen auf einen Tonträger” aufzunehmen, wenn die sprechende Person nicht eingewilligt hat. Dritten dürfen solche Aufnahmen auch nicht zugänglich gemacht werden – die Sprachassistenten schicken das mitgeschnittene Material aber direkt ins System der Hersteller. Hinzu kommen datenschutzrechtliche Probleme.

Menschen hörten Sprachaufnahmen ab

Sprachassistenten standen in den vergangenen Monaten regelmäßig in der Kritik. Der Grund war, dass sowohl Google als auch Amazon, Apple und Microsoft einen Teil der erfassten Sprachaufnahmen von Menschen abhören ließen, ohne die Nutzer deutlich genug darauf hinzuweisen. Ein Teil der Arbeit wurde auf externe Dienstleister ausgelagert, wo die Mitarbeiter die Aufnahmen auch außerhalb kontrollierter Geschäftsräume anhören konnten. So bestand die Gefahr, dass Dritte ebenfalls die teils vertraulichen Gespräche hören konnten.

Nachdem dies im Sommer bekannt geworden war, reagierten die Konzerne und stoppten die Praxis temporär. Apple will beispielsweise eine Opt-in-Einstellung einbauen, sodass Nutzer aktiv dem Abhören durch Menschen zustimmen müssen. Außerdem soll auf externe Mitarbeiter verzichtet werden. (hcz)

Datenschutzbeauftragter warnt vor Eingriff in Grundrechte

2019-10-14T11:30:00+02:00

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat davor gewarnt, als Reaktion auf den Anschlag von Halle den Datenschutz weiter einzuschränken. “Dass Terroristen in den vergangenen Jahren nicht aufgehalten wurden, lag sicherlich nicht an zu viel Datenschutz”, sagte er der “Welt”.

Der Bundesdatenschutzbeauftragte Ulrich Kelber. Quelle: BfDI

#more#

Ein Gesetzentwurf von Bundesinnenminister Horst Seehofer (CSU) sieht unter anderem mehr Kompetenzen für den Inlandsgeheimdienst bei der Überwachung verschlüsselter Kommunikation und bei Online- Durchsuchungen vor. Kelber kritisierte, sogenannte Hintertüren in verschlüsselten Chats “würden im Zweifel nicht nur von Sicherheitsbehörden genutzt werden, sie könnten auch ein Einfallstor für Kriminelle sein”.

Kritisch seien auch Überlegungen, “pauschal die anlasslose und automatisierte Auswertung von Kommunikation zu ermöglichen”, sagte Kelber dem Blatt. Das wäre ihm zufolge “ein tiefer Eingriff in die Grundrechte auch von Menschen, die sich überwiegend überhaupt nichts haben zuschulden kommen lassen” und “Statt weitere Eingriffsbefugnisse in die Grundrechte der Bürgerinnen und Bürger zu fordern, sollte die Politik lieber bestehende Vollzugsdefizite abbauen und bereits vorhandene Befugnisse evaluieren.”

Technikkonzerne wie Facebook betonen in der Debatte, dass die Vorteile von Verschlüsselung überwiegen: Denn sie schützt private Daten von Nutzern vor Online-Kriminellen. Den Einbau von Hintertüren lehnen sie grundsätzlich ab, da dies die Sicherheit für alle verringern würde. (dpa / sl)

Studie: 7,5 Millionen funktionsfähige Retoure-Artikel pro Jahr zerstört

2019-10-10T18:00:00+02:00

Online-Händler in Deutschland haben alleine im vergangenen Jahr 7,5 Millionen zurückgeschickte Artikel entsorgt, obwohl sie diese hätten spenden oder wiederverwerten können. SPD und Grüne wollen die Verschwendung gesetzlich stoppen. FDP und CDU bevorzugen Selbstverpflichtungen.

Greenpeace-Aktivisten auf Amazon-Verteilzentrum. Quelle: Greenpeace

#more#

Online-Händler haben in Deutschland im vergangenen Jahr Schätzungen zufolge 20 Millionen zurückgeschickte Artikel in den Müll geworfen. Davon waren laut einer Studie der Universität Bamberg 7,5 Millionen Artikel soweit intakt, dass sie eigentlich hätten weiterverwendet oder gespendet werden können – das entspricht einer Quote von 40 Prozent. Dabei handelte es sich größtenteils um Kleidung, aber auch Elektro- und Freizeitartikel, Möbel und Haushaltswaren sowie Produkte des täglichen Bedarfs.

Es sei “eine unnötige Verschwendung”, kritisierte Björn Asdecker, Leiter der Forschungsgruppe bestehend aus Wirtschaftswissenschaftlern. Diese Quote überrascht nicht, wenn man die Ergebnisse der Untersuchung betrachtet: Die Entsorgung von Produkten kostet im Schnitt nur 85 Cent. Es wäre viel teurer, die Ware zu prüfen, aufzubereiten, zu lagern und weiter zu verwerten – und noch dazu aufwendiger, vor allem für kleinere Händler. Viele wüssten laut Studie auch nicht, wer überhaupt eine Spende gebrauchen kann und welchen Wert die Ware noch hat. Die meisten Produkte, die am Ende weggeworfen werden, kosten weniger als 15 Euro.

Entsprechend gering sei meist auch die Qualität, so die Forscher. Immerhin gut die Hälfte der Produkte kann sowieso nicht mehr aufbereitet werden oder ist technisch defekt. “Eine Entsorgung ist oftmals alternativlos.” Außerdem werden rund eine Million Artikel entsorgt, weil es die Marken- oder Patentinhaber so vorschreiben. Verkaufen Händler nicht aus dem eigenen Lager, sondern nutzen beispielsweise die Dienstleistungen von Amazon, schlägt unverkaufte Ware umso mehr zu Buche. Denn Amazon verlangt bis zu 1000 Euro pro Kubikmeter Warenlagerfläche.

Problem Steuersystem

Wird die Ware zum Ladenhüter oder kann in der retournierten Form nicht mehr lohnenswert verkauft werden, wäre es naheliegend sie zu spenden. Doch dort wartet das deutsche Steuersystem mit einer Krux auf: Das TV-Magazin Frontal 21 rechnete vor, dass beispielsweise auf eine Warenspende im Wert von 100.000 Euro hierzulande eine Umsatzsteuer von 19 Prozent also 19.000 Euro anfällt. Würde die Ware hingegen entsorgt werden, fielen nur 5000 Euro Kosten für den Besitzer an. Ein Problem stellt oft auch die Wertermittlung dar.

Umweltministerium: mehr Pflichten für Händler

Die verschwenderische Entsorgungspraxis der Online-Händler ist bereits seit längerem bekannt. Den Anstoß zur öffentlichen Diskussion hatte ein Fernsehbeitrag des ZDF-Formats Frontal 21 aus dem Juni 2018 gegeben. Die Reportage prangerte vor allem die Praxis des Online-Händlers Amazon an. Ehemalige und aktuelle Angestellte des Konzerns hatten sich teils anonym an die Journalisten gewandt und von ihren Beobachtungen berichtet.

Seitdem diskutiert auch die Politik über das Problem. Bundesumweltministerin Svenja Schulze (SPD) legte Ländern und Verbänden bereits einen Entwurf vor, der das Kreislaufwirtschaftsgesetz ändern soll. Ziel ist vor allem mehr Transparenz auf Seiten der Händler. Dass Ware vernichtet wird, könne nicht gänzlich verhindert werden. Doch sollten Händler die Fälle zumindest dokumentieren und begründen müssen.

Zudem will Schulze eine Obhutspflicht der Händler einführen, um zu verhindern, dass Artikel ohne werksseitigen Defekt unbrauchbar werden. Transport und Aufbewahrung müssen die Händler dann so gestalten, dass sie lange funktionstüchtig bleiben. Schon in der Produktion soll die Obhutspflicht greifen und dafür sorgen, dass die produzierten Mengen eher der wirklichen Nachfrage entsprechen. Geprüft werde außerdem, ob retournierte Ware, die gespendet wird, von der Umsatzsteuer befreit werden kann.

“Perversion der Wegwerfgesellschaft”

Die Grünen plädieren für ein Verbot, neuwertige Ware zu vernichten. Fraktionschefin Katrin Göring-Eckardt beschrieb die Situation gegenüber der Funke-Mediengruppe: “Wir erleben eine Perversion der Wegwerfgesellschaft.” Der Staat müsse eingreifen.

Was aus Sicht der Grünen passieren müsse, hielt die Partei in einem Drei-Punkte-Plan fest: Online-Händlern soll es gesetzlich verboten werden, zurückgeschickte Ware, die noch funktionsfähig ist, zu zerstören. Ware, die nicht mehr verkauft werden kann, aber funktioniert, solle verschenkt werden. Als mögliche Empfänger nennt Göring-Eckardt Sozialkaufhäuser. Als dritte Maßnahme sollen Rohstoffe “zurück in den Werkstoffkreislauf”.

Vor allem die Umsetzung des letzteren Vorschlags macht größere wirtschaftliche und technische Anstrengungen bei der Umstellung auf eine Kreislaufwirtschaft notwendig: Viele Rohstoffe sind so verarbeitet, dass sie nur schwer wieder isolierbar sind. Einige wenige Recyclingbetriebe versuchen sich hierzulande beispielsweise daran, wertvolle Metalle aus Elektronikgeräten zu lösen. Der Aufwand ist groß und wegen der hohen Kosten ist es für die Firmen nicht einfach, wirtschaftlich zu arbeiten. Für die Rohstoffentnahme bei Kleidung gibt es bislang keine sinnvollen technischen Methoden. Stattdessen landet ein Großteil der Ware in Verbrennungsanlagen und dient der Energiegewinnung.

CDU und FDP halten nichts von Verboten

In den vorgeschlagenen Verboten der Grünen sieht die CDU nur moralische Bevormundung. CDU-Bundestagsabgeordneter Georg Nüßlein sagte dazu gegenüber der Rheinischen Post: “Verbote braucht nur der, der sich pharisäerhaft für moralisch maßgebend hält, aber lieber bei anderen anfangen möchte.” Er ärgere sich darüber, dass es Produkte gibt, die nicht hochwertig genug sind, umgepackt zu werden. Deswegen solle ein “Garantiewettbewerb” ausgerufen werden: Bringt ein Hersteller ein neues Produkt auf den Markt, soll dieser verpflichtet werden, einen Zeitrahmen zu nennen, in dem er für die Qualität garantiert. So habe habe der Kunde einen weiteren Qualitätsindikator neben dem Preis.

Details zu ihrem Vorschlag nannte die CDU noch nicht und so bleibt unklar, was mit garantierter Qualität gemeint ist – ob beispielsweise nur die Funktionsfähigkeit gewährleistet sein muss oder weitere Faktoren einfließen sollen. Bei vielen Produktkategorien müssen Verkäufer beziehungsweise Händler schon jetzt durch eine gesetzlich vorgeschriebene Gewährleistung für die Funktionstüchtigkeit bürgen.

Traditionsgemäß sieht auch die FDP wenig Sinn in der staatlichen Regulierung des Problems: Gegenüber des Handelsblatts warnte FDP-Fraktionsvize Michael Theurer davor, “die Verbotskeule zu schwingen”. Dem Umweltschutz werde damit weniger gedient; die geplanten Maßnahmen führten nur zu mehr Bürokratie. Stattdessen sollten die Händler mehr Verantwortung übernehmen etwa mit einer Selbstverpflichtung. Außerdem müssten die Kunden ihr Kaufverhalten hinterfragen.

Recht auf Reparatur und Nachhaltigkeit-Siegel

Die Umweltschutzorganisation Greenpeace sieht die meisten Vorschläge skeptisch: "Lediglich auf Selbstverpflichtungen der Unternehmen zu setzen ist realitätsfremdes Wunschdenken”, sagt Greenpeace Konsum-Expertin Viola Wohlgemuth. Die NGO fordert ein vollständiges Verbot der Vernichtung neuwertiger und voll funktionstüchtiger Konsumgüter, die steuerliche Förderung von Reparaturdienstleistungen sowie Leih- und Sharing-Systemen sowie ein Recht auf Reparatur, insbesondere bei Elektronikwaren.

Die Bamberger Forschungsgruppe sieht hingegen keine Lösung darin, die Entsorgung der Produkte pauschal zu verbieten. Eine zuverlässige Kontrolle wäre aus ihrer Sicht unmöglich umzusetzen. Zumal kaum festzustellen wäre, ob eine Ware noch funktionsfähig war oder nicht. Stattdessen schlagen die Wissenschaftler vor, Anreize zu entwickeln – zum Beispiel mit der Einführung eines Nachhaltigkeit-Siegels. Auch ein Verzeichnis mit Spendenempfängern könnte den Händler helfen, herauszufinden, welche Organisation welche Art von Gütern auch in kleinen Stückzahlen entgegennimmt.

Gleichzeitig solle die Entsorgung teurer werden, um nicht die Kosten für Spenden zu unterbieten. Als Reaktion auf die öffentliche Kritik erhöhte Amazon im September die Mindestkosten für die Entsorgung von 10 auf 25 Euro-Cent.

Großteil der Retouren verkaufbar

Trotz einer Ausschussquote von vier Prozent bei zurückgeschickten Artikeln, können immerhin 79 Prozent der Retouren als A-Ware, also ohne anzugebende Mängel, weiterverkauft werden. 13 Prozent kommen als sogenannten B-Ware zurück auf den Markt, also mit kleinen Mängeln und reduziertem Preis. Immerhin drei Prozent werden an industrielle Verwerter verkauft oder gespendet. (dpa / hcz)

7 Regeln, um im Internet sicher zu bleiben

2019-10-08T16:00:00+02:00

Ransomware, Phishing, Viren: Gefahr lauert im Internet hinter jedem Klick. Mit etwas Strategie und Verstand surft man aber stets sicher. Wir haben sieben Grundregeln zusammengetragen.

Für sichere Passwörter kann man beispielsweise die Anfangbuchstaben von Wörtern eines banalen Merksatzes nehmen. Quelle: BSI

#more#

Gefälschte Websites, dubiose E-Mails, vermeintliche Software-Schnäppchen: Die Risiken im Internet sind vielfältig. Daher ist es wichtig, vorzubeugen. Experten erklären die sieben wichtigsten Regeln für mehr private IT-Sicherheit:

1. Starke Passwörter

Sicherheit beginnt beim Passwort. Zwar haben auch andere Zugangssperren wie PIN-Code, Fingerabdruck oder Gesichtserkennung Fuß gefasst. Laut IT-Experte David Bothe vom Institut für Internet-Sicherheit in Gelsenkirchen stellt ein starkes Passwort Angreifer aber immer noch vor die größten Probleme.

Wenn mindestens acht, besser aber noch mehr Zeichen – darunter Sonderzeichen, Groß- und Kleinschreibung – verwendet werden, werde es für sie sehr schwer, erläutert Bothe. “Dann ist der Aufwand so groß, dass sie es gar nicht erst versuchen.” Wichtig ist, keine leicht zu erratenden Begriffe zu wählen und für jeden Online-Dienst ein neues, individuelles Passwort zu benutzen.

Das Passwort sollte nicht in Wörterbüchern stehen und auch keine Tastaturmuster wie jklö imitieren, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI). Bei wichtigen Konten sollten Nutzer ihr Passwort in regelmäßigen Abständen ändern. Wer bei der Vielzahl an Zugängen den Überblick zu verlieren droht, richtet sich einen Passwortmanager ein. Das empfiehlt auch das BSI auf seiner Tipps-Seite.

2. Zwei-Faktor-Authentifizierung

Ein gutes Passwort ist schwer zu knacken. Nahezu unmöglich wird der Zugang für Kriminelle, wenn das Passwort durch eine zusätzliche Abfrage bestätigt werden muss. Deshalb rät Bothe, wo immer es geht, zu einer Zwei-Faktor-Authentifizierung. Diese Absicherung bieten immer mehr Dienste an. Dann müssen Verbraucher nach dem Einloggen mit ihrem Passwort einen zusätzlichen Code eingeben, den sie zum Beispiel per SMS oder App bekommen. Das geht schnell – und ist sehr sicher.

Wer eine Zwei-Faktor-Authentifizierung für sein E-Mail-Postfach nutzt, kann bei manchen Anbietern zusätzlich den Zugriff für externe Mail-Programme sperren. Denn die Zwei-Faktor-Authentifizierung sichert nur den Webzugriff zusätzlich ab – über E-Mail-Programme könnten Angreifer sie sonst umgehen.

3. Updates sofort aufspielen

Immer wieder finden Hacker Sicherheitslücken in Betriebssystemen und die Entwickler müssen schnell nachbessern. Per Update werden diese Lücken gestopft. Daher ist es wichtig, diese so schnell wie möglich zu installieren. Windows etwa weist automatisch auf wichtige Updates hin.

“Wenn entsprechende Meldungen erscheinen, sollte nicht gezögert werden”, betont Bothe. Oft seien Sicherheitslücken schon bekannt und werden von Hackern bereits ausgenutzt. Er rät: Schnell herunterladen, installieren und den Rechner im Anschluss neu starten – erst dann werden die Updates wirksam.

4. Antivirus-Software einsetzen

Solche Programme schützen vor Spyware, Trojanern und anderem Ungemach. Es gibt viele kostenlose Anbieter, die sich laut der Fachzeitschrift “c’t" aber kaum unterscheiden und in Tests ähnlich abschneiden. Windows 10 bringt praktischerweise gleich ein eigenes mit. Im Gegensatz zu anderen kostenlosen Antiviren-Programmen nervt der Windows Defender nicht mit Werbung.

Einmal aktiviert, arbeitet er unbemerkt im Hintergrund, überprüft den Rechner auf Bedrohungen und versorgt sich eigenständig mit Updates. Auch eine Firewall ist in dem Tool integriert und lässt sich mit einem Klick aktivieren. Diese schützt den PC vor unerwünschten Zugriffen von außen.

5. Software nur von bekannten Quellen installieren

Ein an sich teures Programm gibt es an anderer Stelle im Internet gratis? Das klingt verlockend, ist aber wohl eine Falle. Hacker verteilen gerne geknackte Gratis-Software, die sie mit Schädlingen wie Ransomware versehen haben. Das Schnäppchen kann also teuer werden, wenn die Ransomware alle Dateien verschlüsselt und ein Lösegeld für die Entschlüsselung verlangt.

David Bothe empfiehlt, von dubiosen Shops und unrealistischen Angeboten die Finger zu lassen. Das gilt für Browser-Erweiterungen ebenso. Diese sollten nur aus den Shops der Betreiber, zum Beispiel von Google oder Mozilla, heruntergeladen werden.

6. Mails und Anhänge genau prüfen

Der beste Virenschutz nützt nichts, wenn man sich Schadsoftware selbst auf das Gerät spielt. Betrüger senden häufig gefälschte Mails, die angeblich von Banken oder Online-Shops stammen. Anhänge enthalten oft Viren oder Links, die auf gefälschte Websites führen, auf denen Nutzer dann persönliche Daten preisgeben sollen.

Die sogenannten “Phishing-Mails verraten sich oft selbst durch die Absender-Adresse, Panikmache und der Aufforderung zum sofortigen Handeln", so Bothe. Sie wollen, dass Betroffene ohne Nachdenken handeln. Ruhe bewahren, genau über den Inhalt sinnieren und die Plausibilität prüfen: Damit wehrt man den Großteil dieser gefälschten Mails ab. Anhänge sollten nie geöffnet werden, wenn man nicht ganz sicher weiß, dass die E-Mail vertrauenswürdig ist.

7. Backup erstellen

Manchmal hilft alle Vorsicht nichts und ein System ist nicht mehr zu retten. In solch einer Situation kann sich glücklich schätzen, wer regelmäßig Backups gemacht hat – also seine Daten gesichert hat. Windows 10 hat eine solche Funktion mit an Bord.

Ein sinnvolles Backup funktioniert laut c’t mit der 3-2-1-Regel: “Jede Datei gibt es dreimal – ein Original und zwei Kopien. Die Kopien sollten auf zwei verschiedenen Systemen liegen, etwa eine in der Cloud, eine auf externer Festplatte oder Stick”. Eine Kopie sollte sich zudem außer Haus befinden, damit bei einem Einbruch oder Brand nicht PC und Sicherung gleichzeitig verloren gehen. Mit dem Backup lässt sich ein defektes System gegebenenfalls wiederherstellen, was einem eine Menge Ärger ersparen kann. (dpa / hcz)

Ransomware: Cyber-Angriff via Aquarium

2019-10-07T16:00:00+02:00

Das Internet der Dinge (IoT) vernetzt nach und nach jedes Alltagsgerät – vom Heizungsthermostat bis zum Auto. Gleichzeitig wird dadurch auch alles einfacher angreifbar. Aktuelle Angriffe zeigen, welche Gefahren auf uns zukommen. Gegenmaßnahmen sind nicht in Sicht.

Analog, unsmart, unhackbar: ein klassisches Heizungsthermostat.

#more#

Sicherheitsforscher haben vor den Risiken gewarnt, die von schlecht gesicherten Geräten im sogenannten Internet der Dinge ausgehen können. “Wir reden nicht mehr nur von traditionellen Computern, sondern von Alltagsgegenständen wie Autos, Spielzeugen, medizinischen Geräten oder Heizungssteuerungen”, sagte der US-Experte Bruce Schneier am Rande der Fachkonferenz Cyber Security Nordic in Helsinki. “Wenn meine Tabellenkalkulation abstürzt, verliere ich vielleicht meine Daten. Aber wenn mein Herzfrequenz-Messgerät crasht oder die Bremsen meines autonom fahrenden Autos versagen, kann ich vielleicht dabei sterben.”

Beispielsweise im Kammergericht Berlin müssen die Mitarbeiter des obersten Straf- und Zivilgerichtes der Bundeshauptstadt in diesen Tagen mit Fax, Papier und Telefon kommunizieren. Das E-Mail-System des Kammergerichts wurde durch die berüchtigte Schadsoftware Emotet infiziert, einem Trojaner, vor dem das Bundesamt für Sicherheit in der Informationstechnik (BSI) deutsche Unternehmen erst kürzlich gewarnt hatte.

Emotet ist zunächst darauf ausgerichtet, die infizierten E-Mail-Systeme auszuspionieren. Das Programm kann dann weitere Schadsoftware nachladen – beispielsweise Banking-Trojaner, die versuchen, digitale Geldströme in die Taschen der Kriminellen umzuleiten. Andere Schadprogramme haben vor allem das Ziel, die Opfer zu erpressen. Bei diesen Ransomware-Angriffen sollen die Anwender mit manipulierten E-Mails ebenfalls dazu animiert werden, auf einen infizierten Dateianhang zu klicken und damit eine flächendeckende Verschlüsselung aller Daten auf den Computern im Netzwerk auszulösen. Für das Passwort, mit dem die Daten wieder entschlüsselt werden können, wird ein Lösegeld (englisch: ransom) verlangt.

Aus dem Waffenarsenal der NSA

Es vergeht kaum eine Woche, in der nicht Meldungen über betroffene Institutionen die Runde machen. Experten haben mittlerweile weit mehr als 10.000 Spielarten von Verschlüsselungstrojanern ermittelt, darunter der berüchtigte WannaCry, der auch Rechner der Deutschen Bahn und der Stadt Baltimore im US-Bundesstaat Maryland digital angegriffen und lahmgelegt hat. WannaCry nutzte eine Schwachstelle im Microsoft-Betriebssystem Windows aus, die der US-Geheimdienst NSA entdeckt und jahrelang für eigene Spionageangriffe verwendet hatte. Die Cyberwaffe der NSA mit dem Namen EternalBlue geriet 2016 in die Hände einer Hackergruppe, danach schwappten Angriffswellen mit den Trojanern WannaCry und NotPetya durchs Land.

Gegen die Computerwürmer, die sich durch die Netzwerke von Firmen und Organisationen fressen, kann man sich nur schwer schützen. Das macht ein Beispiel deutlich, von dem der renommierte US-Sicherheitsforscher Bruce Schneier auf der Fachkonferenz Cyber Security Nordic 2019 in Helsinki berichtet: “Die eigentlich gut abgesicherte Finanzabteilung eines Casinos in Las Vegas wurde dadurch gehackt, weil sich im lokalen Netzwerk des Hauses auch ein Fisch-Aquarium mit einem Internet-Anschluss befunden hat.” Das System, mit dem die Fütterung der Fische und der Zustand des Wassers über das Internet kontrolliert werden konnten, bohrte in die dicke digitale Abwehrmauer das entscheidende Loch. Über Spezial-Suchmaschinen wie shodan.io können von außen erreichbare Systeme aufgespürt werden.

Billig-Software als Einfallstor

Bei den vernetzten Geräten würden immer wieder Schwachstellen auftauchen. “Die meiste Software wurde schlecht geschrieben und nicht sicher, weil niemand für Qualitätssoftware bezahlen möchte”, konstatierte Schneier. “Es gibt nur wenige Ausnahmen wie das Space Shuttle vielleicht.” Daher müssten eigentlich ständig entdeckte Sicherheitslücken geschlossen werden. Doch dieser Prozess funktioniere selbst bei Smartphones mehr schlecht als recht. Viele Geräte im Internet der Dinge würden nie einen Patch erhalten.

Die Forscher in Helsinki machten sich deshalb für staatlich regulierte Rahmenbedingungen stark. “Wir regulieren ja heute schon Feuerschutz und elektrische Sicherheit”, sagte Mikko Hyppönen, Forschungschef des finnischen Sicherheitsunternehmens F-Secure. “Wenn ich mir heute eine Waschmaschine kaufe, kann ich ziemlich sicher sein, dass ich keinen elektrischen Schlag bekomme. Sie wird auch kein Feuer fangen. Aber sie wird Dein WLAN-Passwort im Handumdrehen verlieren.”

Vorbild könne dabei die europäische Datenschutzgrundverordnung (DSGVO) sein, die inzwischen auch außerhalb der Europäischen Union als Vorbild für Datenschutzregulierungen gilt. Für viele Unternehmen sei es einfacher, sich weltweit nach der DSGVO auszurichten, als verschiedene Versionen ihrer Produkte und Dienstleistungen anzubieten. Inhaltlich könne man sich auch an einem neuen Gesetz in Kalifornien zur Cybersicherheit orientieren. Nach der Senate Bill No. 327 ist es vom kommenden Jahr an verboten, vernetzte Geräte auszuliefern, die nur mit einem vorbelegten Simpel-Passwort wie “admin”, “password” oder “123456” geschützt sind. (dpa / hcz)

Melderecht: Justizministerin will Auskunftssperren erleichtern

2019-10-01T14:00:00+02:00

Momentan kann jeder in Deutschland Adressen und Personendaten bei den Behörden abfragen. Bundesjustizministerin Christine Lambrecht sieht darin unter anderem eine Gefahr für Politiker und gesellschaftlich Engagierte. Deswegen sollen Auskunftssperren leichter durchsetzbar werden.

Genaue Gesetzesvorschläge, um die Daten besser zu schützen, machte Christine Lambrecht noch nicht."

#more#

Bundesjustizministerin Christine Lambrecht will das Melderecht ändern, damit Auskunftssperren etwa zum Schutz bedrohter Kommunalpolitiker leichter erwirkt werden können. “Das wird ganz schnell zu ändern sein”, sagte die SPD-Politikerin am Sonntag im ARD-Bericht aus Berlin. “Es kann nicht sein, dass Privatadressen von Kommunalpolitikern, aber auch von gesellschaftlich Engagierten in Netzen kursieren und auch dann als Bedrohung empfunden werden.”

Lambrecht betonte: “Das wird sehr wohl genauso wahrgenommen: Aha, da wird meine Privatadresse rumgeschickt und ich weiß nicht, wer am nächsten Tag vor meiner Tür steht, um mich oder meine Familie zu bedrohen. Deswegen: Wir brauchen Auskunftssperren in diesem Bereich.”

Hintergrund

Hierzulande sind alle Bürger und meldepflichtigen Personen im Melderegister erfasst, unter anderem mit der Adresse ihres Wohnsitzes. Die Einsicht steht zwar jedem offen, ist aber antragspflichtig und der Antragsteller muss eine konkrete Person nennen können, zu der er die Daten verlangt.
Prinzipiell kann jeder einen solchen Antrag stellen, egal ob Privatperson, Unternehmen, Partei oder Verein. Für die Recherche fallen Gebühren an, die je nach Kommune zwischen 2,50 und 25 Euro liegen.

Beim Auskunftsantrag muss der Antragsteller den Vor- und (ehemaligen) Nachnamen des Gesuchten nennen und mindestens zwei weitere Daten wie Anschrift, Geburtstag, Geschlecht, Familienstand. Nur wenn die Daten eindeutig einer Person zuzuordnen sind, darf die Behörde die Auskunft erteilen. (dpa / hcz)

BSI veröffentlicht IT-Notfallpaket für Unternehmen

2019-09-27T17:00:00+02:00

Was tun, wenn das Firmen-System attackiert wird? Diese Frage sollen eine neue Notfallkarte und ein Maßnahmenkatalog des BSI beantworten. Die Karte kann in Büros und Werkhallen ausgehängt werden und schnelle Hilfe bei Hackerangriffen und Erpressungstrojanern bieten.

Die BSI-IT-Notfallkarte: “Bewahren Sie Ruhe”

#more#

Damit Brände in der Firma nicht zur Katastrophe werden, ist gute Vorbereitung von Nöten – es braucht Ansprechpartner, öffentlich aushängende Verhaltensregeln und einen klar festgelegten Informationsfluss. Um IT-Notfälle wie Angriffe, Hacks oder Malware in den Griff zu bekommen, gelten laut Bundesamt für Sicherheit in der Informationstechnik (BSI) sehr ähnliche Regeln. Deswegen hat das BSI nun ein Paket für den IT-Notfall veröffentlicht; es besteht aus einer Notfallkarte zum Aushängen, einem Maßnahmenkatalog für Administratoren und einer Checkliste für die Nachsorge bei Cyber-Angriffen.

Ruhig bleiben und Admin anrufen

Zielgruppe des Pakets sind kleine und mittlere Unternehmen (KMUs). Die Notfallkarte ist bewusst in einem ähnlichem Stil gehalten wie Verhaltensregeln im Brandfall oder Fluchtweghinweise, wie sie in vielen Firmengebäuden aushängen. Auf der Karte stehen unter anderem die Telefonnummer des ersten Ansprechpartners bei IT-Notfällen, eine Liste von Informationen, die dieser benötigt (Name des Meldenden, betroffene Systeme und Ort und Zeit) und Verhaltenstipps für den Meldenden.

Ergänzend hat das BSI den dreiseitigen “Maßnahmenkatalog zum Notfallmanagement” veröffentlicht. Er richtet sich an Administratoren und IT-Sicherheitsbeauftragte. Systematisch und stichpunktartig arbeitet der Katalog die Punkte Vorbereitung, Bereitschaft, Bewältigung und Nachbereitung ab mit Fragen wie “Wurden betroffene Systeme vom Netzwerk getrennt?” oder “Wurden Backups gestoppt?”. Für Firmen mit wenig Erfahrung oder Ressourcen beim Thema IT-Sicherheit bietet der Katalog eine übersichtliche Orientierung.

Vervollständigt wird das BSI-Paket durch eine Liste der “Top 12 Maßnahmen bei Cyber-Angriffen”. Sie soll bei der Bewältigung von Cyber-Angriffen helfen und listet 12 Fragen auf, die sowohl präventive Maßnahmen als auch die Nachsorge betreffen und sich an die IT-Verantwortlichen und Administratoren wenden.

Download

Alle drei Dokumente kann man bei der vom BSI ins Leben gerufenen Allianz für Cybersicherheit (ACS) kostenlos als PDF herunterladen:

Download IT-Notfallkarte

Download Maßnahmenkatalog Notfallmanagement

Download TOP 12 Maßnahmen bei Cyber-Angriffen

Präsentiert hat das BSI das neue IT-Notfallpaket auf dem 29. Cyber-Sichertheits-Tag in Berlin. Unter dem Motto “Netzwerke schützen Netzwerke” konnten sich Besucher über Themen zur IT-Sicherheit informieren und austauschen. Veranstaltungspartner waren unter anderem der Deutsche Industrie- und Handelskammertag und das Haus der Deutschen Wirtschaft. (hcz)

Rezension: Permanent Record - die Geschichte Edward Snowdens

2019-09-20T18:30:00+02:00

Wie kommt ein linientreuer Patriot zu der Entscheidung, sich gegen die Institutionen seines Landes zu wenden und den größten Geheimdienstskandal aller Zeiten an die Öffentlichkeit zu bringen? Diesen schweren Entscheidungsprozess etwas nachvollziehbarer zu machen, schien eine der Intentionen von Edward Snowden zu sein, als er seine nun erhältliche Autobiografie “Permanent Record” schrieb. Seine Partnerin Lindsay Mills steuert persönliche Tagebucheinträge bei.

Permanent Record: Edward Snowdens Autobiografie.

#more#

Bis er sich gegen das Überwachungssystem wendet, beschreibt Snowden sich selbst als patriotischen, pflichtbewussten Amerikaner: Seine Ahnengeschichte geht bis auf die ersten Siedler an Bord der Mayflower zurück. Beide Eltern waren im Staatsdienst tätig. Sein Vater arbeitete für die Küstenwache, seine Mutter unter anderem für ein Unternehmen, das NSA-Mitarbeiter versichert. Laut Snowden hätten sie ihn sicher von seinen Plänen abgebracht, wenn sie von ihnen gewusst hätten. Snowden selbst strebte zunächst eine Karriere bei den Spezialkräften der US-Militärs an. Er unterbrach sogar sein Informatikstudium, um in den zweiten Irakkrieg zu ziehen – so sehr hatte ihn der 11. September 2001 geprägt. Allerdings wurde er bereits als Rekrut ausgemustert, nachdem er sich beim Training beide Beine gebrochen hatte.

Zweifelnder Staatsdiener

Sein Wille dem Staat zu dienen, blieb aber erhalten. Und so entschied er sich, vom Schreibtisch aus als IT-Sicherheitstechniker für die Geheimdienste CIA und NSA zu arbeiten. Trotz abgebrochenen Studiums steigt er schnell auf und ist in den Jahren 2007 bis 2009 in der Schweiz und in Japan tätig. Erst seine Position ab dem Jahr 2009 auf Hawaii als Systemadministrator bei der NSA erlaubt ihm aber, Dokumente systematisch zu sammeln und das Gesamtbild der Überwachung zu erfassen. Unter dem Vorwand, ein Mitarbeiterinformationssystem aufzubauen, sammelt er automatisiert Dokumente aus den Geheimdienstnetzwerken.

Dieser Hintergrund macht die Frage umso interessanter, warum sich Snowden eigentlich von dem von ihm unterstützten System abgewendet hat – und wie diese Entwicklung abgelaufen ist. Die Beweggründe beschreibt er recht eindrücklich: Er konnte es nicht mehr ertragen, Teil eines Systems zu sein, das die Privatsphäre der Bürger aufs schärfste missachtet. Er konnte auch nicht mehr mit Kollegen zusammenarbeiten, die nur mit den Achseln zuckten, als er sie darauf hinwies, dass sie mit ihrer täglichen Arbeit gegen abgelegte Eide und die US-amerikanische Verfassung verstießen.

Snowdens selbstnacherzähltes Leben zeichnet einen klaren roten Faden bis zu den Enthüllungen, die den NSA-Skandal auslösten. Bereits als Kind habe er gehackt. Hier wurde dem Storytelling sicherlich etwas auf die Sprünge geholfen. Andererseits ergibt sich ein solches Gesamtbild des eigenen Lebens und Handelns meist erst bei der Betrachtung mit einem zeitlichen Abstand; und eventuell erscheint Snowden sein Leben tatsächlich so schicksalhaft vorprogrammiert. Dass etwas Pathetik und Selbstglorifizierung in die Schilderungen Snowdens einfließt, lässt sich verzeihen. Schließlich gab er alles auf, ohne davon persönlich profitieren zu wollen. Ohne starke Prinzipien und damit verbundene Emotionen hätte er schlussendlich nicht so gehandelt.

Das Ende der Lethargie

Ein weiterer Wendepunkt für Snowdens Gesinnung spielte sich ausgerechnet auf der heimischen Couch seiner Mutter ab: Snowden litt in der zweiten Jahreshälfte 2011 immer wieder an epileptischen Anfällen, die gelegentlich zu stundenlanger Ohnmacht führten. Er durfte unter anderem nicht Auto fahren und ließ sich für seinen Job beim Geheimdienst krankschreiben. Im abgedunkelten Zimmer versuchte er die Nebenwirkungen seiner Epilepsie-Medikamente auszusitzen: Lethargie und Depression. Im Dämmerzustand fand er gerade die Kraft, immer mal wieder auf seinem Handy durch die aktuellen Nachrichten aus Nahost zu scrollen – es war die Zeit des Arabischen Frühlings.

Snowden las über die Forderungen der Demonstranten, Unterdrückung und Zensur zu beenden. Sie wünschten sich eine gerechte Gesellschaft, in der nicht das Volk der Regierung untersteht, sondern die Regierung dem Volk. Trotz seines desolaten gesundheitlichen Zustands wuchs in Snowden der Wunsch, den Demonstrierenden zu helfen. Schließlich beschreibt er, wie er seine Untätigkeit überwindet und einen Server einrichtet, der es Iranern erlaubt, die Internetblockade des Landes zu umgehen.

Ob sich diese und andere Ereignisse schlussendlich direkt auf Snowdens Entscheidung ausgewirkt haben, die Geheimdienstdokumente zu veröffentlichen, kann nur spekuliert werden. Denn einen direkten Zusammenhang zieht der Autor selten und eher subtil. Die letzte Schlussfolgerung bleibt dem Leser überlassen. An diese Szene schließt sich im Buch direkt das dritte Kapitel an, in dem Snowden beschreibt, wie es ihm möglich war, die Daten zu kopieren und zu fliehen.

“Ich war froh als der Bastard tot war.”

Der letzte und dritte Teil des Buches ist gleichzeitig der spannendste. Hier beschreibt der Autor nochmals seine letzten Monate bei der NSA, wie er im sogenannten Tunnel sitzt – einem ehemaligen unterirdischen Flugzeugwerk, das nun der Geheimdienst als Büro nutzt. Dann kommt die Flucht, das Treffen mit Journalisten und der ungeplante lange Aufenthalt in Russland.

Dass sich Snowden trotzdem noch als US-amerikanischen Patriot sieht, wird in Passagen wie der zum Tod von Osama bin Laden deutlich: “Versteht mich nicht falsch”, spricht er den Leser direkt an, “Ich war froh, dass der Bastard tot war.” Solche Einschübe verleihen seinen Taten weitere Glaubwürdigkeit: Hier hat niemand aus Hass auf das eigene Land oder dessen Volk gehandelt. Auch war sein Ziel nie, den USA oder dessen Geheimdiensten Schaden zuzufügen. Edward Snowden deckte die Machenschaften der Geheimdienste aus gutem Willen auf und wollte für mehr Freiheit auf der Welt sorgen. Seinen inneren Druck formuliert er an verschiedensten Stellen: “Ich fand es zunehmend frustierend, dass ich Technik in Ordnung bringen konnte, das Land aber nicht. […] Das Betriebssystem meines Landes – seine Regierung – hatte entschieden, dass es am besten funktionierte, wenn es defekt war.”

Ebenfalls im dritten Teil des Buches kommt eine weiterere Protagonistin zu Wort: Snowdens Freundin Lindsay Mills. Sie schreibt ihr Leben lang Tagebuch und hat auch die Ereignisse während Snowdens Flucht dokumentiert. Als Mills im Frühjahr 2013 von einem Kurztrip nach Hause zurückkehrt, findet sie nur eine handgeschriebene Nachricht Snowdens, dass er auf einer Geschäftsreise sei. Zwei Sätze: “Muss beruflich weg. Ich liebe dich.” Unterzeichnet mit “Echo” – Snowdens Spitzname aus dem Buchstabieralphabet. Danach tagelang keine Informationen, sondern nur Spekulationen. Während Snowdens Mutter sich darüber Sorgen macht, dass Snowden wieder einen epileptischen Anfall gehabt haben könnte, fürchtet Mills, er könnte sie für eine andere Frau verlassen haben.

Die Zeit nach dem Verschwinden Snowdens ist für Mills ähnlich nervenaufreibend und kräftezehrend wie für ihren Freund. Tagelang wird sie bis in die Nacht vom FBI verhört, schwarze Vans folgen ihr auf Schritt und Tritt und in ihren Erzählungen wirkt ein Agent unsympathischer und merkwürdiger als der nächste. Da ist der Typ, der sie ständig angrinst. Der, der sie dauerhaft von oben bis unten abscannt. Und da ist Agent Chuck mit Hosenträgern und Baseballkappe, der ihr in Macho-Manier mit Hand auf der Waffe erklärt, dass er sie beschützen werde, sie aber doch bitte ihren Fahrstil ändern solle. Für die Behörden ist Mills vorerst nur eine Mitverschwörerin. Die Nachrichten zwischen ihr und Snowden halten die Agenten für verschlüsselte Absprachen. Treffend stellt Mills fest: “Die tun so, als hätten sie noch nie eine Beziehung gehabt!” Zwar bekommt Mills Sicht auf die Ereignisse nur 14 Seiten des gesamten Buches eingeräumt, doch reichen diese aus, um die Einsamkeit und Verwirrtheit aller Betroffenen darzustellen.

Fazit

Permanent Record ist keine technische Dokumentation der Ereignisse rund um Snowden. Allzu viele Details über die Arbeit der Geheimdienste erfährt man nicht. Das Buch handelt von Edward Snowden als Person. Er beschreibt seinen Werdegang, seine Gedanken und Emotionen und teilt dem Leser immer wieder seine Überlegungen zu Gesellschaft und Philosophie mit. Dabei ist das über 400 Seiten starke Buch nie langatmig, sondern unterhaltsam, emotional und spannend. Durch die Unterteilung in kurze Szenen, Gedankengänge und Anekdoten lässt es sich leicht konsumieren, ohne beim Leser ständig Paranoia und wachsende Angst vor Überwachung zu hinterlassen.

Wer auf mehr IT-Wissen hofft und sich objektive Beschreibungen der Geheimdienstprogramme wünscht, sollte lieber “Der NSA-Komplex” von Marcel Rosenbach und Holger Stark lesen. Politische Zusammenhänge erklärt “Die globale Überwachung” von Glenn Greenwald besser. (hcz)

Titel: “Permanent Record – Meine Geschichte”
Autor: Edward-Snowden
Gebundene Ausgabe: 432 Seiten
Verlag: S. Fischer; Auflage: 1. (17. September 2019)
Sprache: Deutsch
ISBN-10: 3103974825
ISBN-13: 978-3103974829
Preis: 22,00 EUR

Persönliche Daten fast aller Ecuadorianer offen im Netz

2019-09-17T17:00:00+02:00

Persönlichste Daten fast der gesamten Bevölkerung Ecuadors standen frei zugänglich im Netz. Unter den Betroffenen finden sich Kinder, der Präsident und Julian Assange. Der Fall demonstriert, welche Gefahr von zentralen Datenbanken ausgeht.

Vom Datenleck ist in Ecuador jeder betroffen.

#more#

Israelische Sicherheitsforscher haben eine riesige Datenbank mit persönlichen Daten fast aller Bewohner Ecuadors offen im Internet entdeckt. Die unsachgemäß abgesicherte Datenbank enthält 20,8 Millionen Einträge . Das berichtete am Montag das IT-Fachportal ZDNet, das mit den Experten zusammengearbeitet hatte. Ecuador selbst hat nur knapp 17 Millionen Einwohner. Die Differenz erklären die israelischen Hacker Noam Rotem und Ran Lokar mit Doppeleinträgen und Datensätzen bereits verstorbener Bürger.

Arbeitgeber, Bildungsabschluss und Julian Assange

Die Einträge in der Datenbank auf einem sogenannten Elasticsearch-Server enthalten die vollständigen Namen der Bürger, Geburtsdatum, Geburtsort, Wohnadresse, Familienstand, die nationale Ausweisnummer, Informationen zum Arbeitgeber sowie Telefonnummern und Bildungsabschlüsse. In der Datenbank sollen auch Angaben zu 6,7 Millionen Kindern stehen. Die Datensätze sollen bis in das Jahr 2002 zurückgehen.

In der Datenbank befindet sich dem Bericht zufolge auch ein Eintrag zu Julian Assange – dem Gründer der Enthüllungsplattform Wikileaks. Während seines Asyls in der ecuadorianischen Botschaft in London wurde er 2018 von Ecuador eingebürgert.

Zwei Kategorien von Daten

Die Daten ließen sich in zwei Kategorien unterteilen, da sie auch Aufschluss über ihre Herkunft beinhalten: Ein Teil scheint aus staatlichen Quellen zu stammen – hauptsächlich Standesämtern -, der andere Teil kommt von privaten Firmen. Die Sicherheitsexperten gingen erst davon aus, dass es sich um eine staatliche Datenbank handele. Dies stellte sich aber als falsch heraus, da die Namen privater Quellen beziehungsweise Unternehmen auftauchen.

Unter anderem findet eine Bank Erwähnung, die von der ecuadorianischen Sozialversicherungsbehörde gegründet wurde. Sie liefert 7 Millionen Datensätze, in denen man Kontostände, Kreditinformationen und Arbeitsverhältnisse findet. Auch Informationen zu Kraftfahrzeugen und ihren Haltern sind vorhanden inklusive Fahrzeugmodell, Kennzeichen und Eigentümer.

Durchsuchung beim Urheber

Auf der Suche nach dem Urheber der Datenbak stießen die Sicherheitsexperten auf das ecuadorianische Unternehmen Novaestrat. Die Firma erstellt Finanzanalysen. Die Experten versuchten vergeblich, die Firma zu kontaktieren: Auf der Webseite des Unternehmens waren weder Telefonnummer noch E-Mail-Adresse angegeben – und auf Anfragen über soziale Netzwerke reagierte das Unternehmen nicht. Das Support-Forum der Firmenseite produzierte Fehlermeldungen bei Anmeldeversuchen. Mittlerweile ist die Seite nicht mehr erreichbar, aber noch im Archiv einsehbar.

Die ecuadorianische Polizei hat in Folge der Berichterstattung die Geschäftsräume des gesetzlichen Vertreters von Novaestrat durchsucht und unter anderem Computer sichergestellt. Das Ministerium für Kommunikation betonte in einem Tweet, dass es sich nicht um einen Hack oder eine Attacke gehandelt habe. Die Sicherheitsmechanismen der staatlichen Institutionen seien aktuell gewesen und bereit, Angriffe abzuwehren. Novaestrat habe eventuell mit ehemaligen Angestellten des öffentlichen Dienstes zusammengearbeitet.

Die Gefahr der zentralen Datenbanken

Das Fachmagazin ZDNet weist darauf hin, dass die Datenbank in den Händen von Kriminellen “Gold wert sei” und “paradiesische Aussichten biete”. So könnten mithilfe der Finanzinformationen beispielsweise gezielt reiche Bürger ins Visier genommen werden: Von Diebstählen wertvoller Autos bis hin zu Kindesentführungen sei vieles denkbar. Familienverknüpfungen, finanzieller Status und Adressen liegen in den Datenbanken vollständig vor.

Bei dem Fall in Ecuador handelt es nicht um ein einzigartiges Ereignis: Erst Ende 2018 hatten Hacker die gesamte Kundendatenbank der Hotelkette Marriott gestohlen. Und Anfang August lagen die Daten von 80 Prozent der chilenischen Bevölkerung frei zugänglich im Netz. In Indien wurde eine staatliche Datenbank mit biometrischen Daten und Finanzinformationen der Einwohner und deren Finanzinformationen kurz nach ihrem Aufbau gehackt. Die Zeitung “The Tribune” konnte sich anschließend von Unbekannten beliebige Informationen aus der Datenbank für jeweils 500 Rupien kaufen – umgerechnet rund 6,50 Euro.

Diese Beispiele zeigen zum einen auf, dass kein System vollkommen sicher ist. Ist das Ziel attraktiv genug, verschaffen sich Dritte mit großer Wahrscheinlichkeit Zugriff. Zum anderen ist das Ziel umso attraktiver, desto mehr Daten an einem einzigen Ort gesammelt werden – im schlimmsten Falls komplett zentral. Ähnlich attraktive Ziele würden die in Deutschland geplanten Datenbanken für den Zensus oder Patientenakten darstellen. (dpa / hcz)

Asyl für Snowden: Deutschland kann sich nicht entscheiden

2019-09-16T17:00:00+02:00

Ist Edward Snowden Held, Verbrecher oder nur verantwortungsvoller Bürger? Die deutsche Politik ist sich darüber uneins, genauso wie über seinen Asylantrag. Snowden machte in Interviews erneut deutlich, dass er gerne in der EU Asyl bekommen würde – die hiesigen Reaktionen könnten kaum unterschiedlicher sein.

Edward Snowden setzt wenig Hoffnungen in die aktuelle deutsche Regierung.

#more#

2020 wird die Aufenthaltsgenehmigung für den US-amerikanischen Whistleblower Edward Snowden in Russland vorerst ablaufen. Was danach mit ihm passiert, ist ungewiss. Die USA pochen weiter auf eine Auslieferung, um ihn vor Gericht zu stellen. Die EU-Länder bleiben passiv. Im Gepräch mit der Süddeutschen Zeitung äußerte Snowden weiterhin den Wunsch, in einem europäischen Land Asyl zu finden.

Snowden hält es für wahrscheinlich, dass seine Aufenthaltsgenehmigung für Russland verlängert werde. “Letztendlich hoffe ich aber weiterhin, dass mir eine andere Regierung politisches Asyl oder einen sicheren Aufenthalt in Europa gewährt.” Deutschland lehnte bislang den Antrag Snowdens ab. Doch der Whistleblower ist der Meinung, dass sich die Situation mittlerweile geändert habe: “Ich glaube, dass jeder, der einigermaßen objektiv auf die Geschichte blickt, erkennen wird, dass, wenn Deutschland mich aufnehmen würde, es inzwischen nicht mehr als ein feindlicher Akt gegen die USA aufgefasst würde.” Vielmehr würde es bedeuten, dass Europa für die Vereinigten Staaten eintrete, wenn diese gerade nicht für sich selbst und ihre Werte einstehen könnten. Dennoch setzt er in die deutsche Regierung und ein Asyl wenig Hoffnung: “Unter Kanzlerin Angela Merkel wird dies wohl nicht mehr der Fall sein.”

CDU: Keine Zweifel an der Rechtsstaatlichkeit der USA

Aktuelle Stellungnahmen von Unionspolitikern bestätigen Snowdens Einschätzung, dass ihn Deutschland unter der jetzigen Regierung nicht aufnehmen wird. Gegenüber der Welt am Sonntag sieht der innenpolitische Sprecher der Unionsfraktion Mathias Middelberg “nach wie vor keine Gründe für eine Aufnahme von Herrn Snowden in Deutschland”. Middelberg hat “keinen Zweifel” daran, dass Snowden ein rechtsstaatliches Verfahren bekäme, sollte er in die USA zurückkehren. Der CDU-Außenpolitiker Jürgen Hardt wies darauf hin, dass der Verrat von Staatsgeheimnissen in jedem Land der Welt strafbar sei. “Selbst wenn der Verräter ehrenwerte Motive damit verbindet, gefährdet er die Sicherheit seines Landes und in unabsehbarer Weise auch das Leben von eigenen Agenten und Informanten”. Snowden sei “wahrlich kein Held”.

Das sehen die Mitglieder der weiteren Bundestagsparteien größtenteils anders: SPD-Vize Ralf Stegner sagte der Welt am Sonntag, er habe sich bereits für eine Aufenthaltsgenehmigung für Snowden in Deutschland ausgesprochen, als diese Frage zum ersten Mal angestanden habe. Grünen-Fraktionschef Anton Hofreiter bezeichnete es als “Armutszeugnis für die westlichen Demokratien”, dass sich Edward Snowden noch immer im autoritär regierten Russland verstecken müsse und von Putins Launen abhängig sei. Linkspartei-Vorsitzende Katja Kipping meinte dagegen, es sei Snowden zu verdanken, dass einer der größten Geheimdienstskandale der Welt aufgedeckt worden sei. “Wir Linken haben vorgeschlagen, ihn dafür mit dem Friedensnobelpreis auszuzeichnen, und gefordert, ihm Asyl zu gewähren.”

Snowden setzt bei seiner Suche nach Asyl nicht nur auf Deutschland. In einem Interview des französischen Senders France Inter wünschte er sich, dass Frankreichs Präsident Emmanuel Macron ihm Asyl gewährt.

Der Trick mit dem Zauberwürfel

Snowden gibt momentan diverse Interviews zur bevorstehenden Veröffentlichung seiner Autobiografie “Permanent Record: Meine Geschichte”. Dabei kommt die ein oder andere Anekdote zur Sprache: Laut Süddeutscher Zeitung hat er die beim US-Geheimdienst NSA kopierten Daten damals unter anderem mithilfe von Zauberwürfeln aus dem Gebäude geschmuggelt.

Er habe die Daten seinerzeit auf sehr kleinen Micro- und Mini-SD-Karten gespeichert. “Die passen überall hin”, meinte er. “Zunächst einmal habe ich allen Kollegen Zauberwürfel geschenkt. Die waren also überall, die Wachen waren den Anblick gewöhnt und ich war schnell als der Zauberwürfel-Typ bekannt”. Die Karten hätten unter Aufkleber von Zauberwürfeln, in eine Socke oder seine Backe gepasst.

Rückkehr in die USA “wahrscheinlich”

Er halte es für “immer wahrscheinlicher”, dass er eines Tages in die USA zurückkehren könne, sagte Snowden gegenüber dem Magazin “Der Spiegel”. Der Vorwurf von 2013, er habe die nationale Sicherheit gefährdet, sei “in sich zusammengefallen”.

Der Ex-Geheimdienstler hatte 2013 Dokumente zu den Ausspäh-Aktivitäten des US-Abhördienstes NSA und seines britischen Gegenparts GCHQ an Journalisten gegeben. Dadurch erfuhr die Öffentlichkeit von den illegalen, größtenteils unkontrollierten Abhörpraktiken der Geheimdienste. Neben Millionen von Bürgerinnen und Bürgern waren selbst Bundestagsabgeordnete und Bundeskanzlerin Angela Merkel persönlich hiervon betroffen.

Auf der Flucht über Hongkong wollte er nach Ecuador, strandete aber am Moskauer Flughafen, nachdem die US-Regierung seinen Reisepass annulliert hatte. Snowden bekam Asyl in Russland, nach einer Verlängerung aktuell bis 2020. (dpa / hcz)

Press Freedom Awards: Bedrohte Journalistinnen in Berlin ausgezeichnet

2019-09-13T15:00:00+02:00

Weltweit riskieren unabhängige Journalistinnen und Journalisten ihre Freiheit, ihre Sicherheit – und gelegentlich ihr Leben: In Berlin hat Reporter ohne Grenzen die Saudi-Arabierin Eman al-Nafjan, die Malteserin Caroline Muscat und die Vietnamesin Pham Doan Trang für ihre mutige Arbeit mit den Press Freedom Awards ausgezeichnet. Zwei der Preisträgerinnen wurden an der Teilnahme gehindert.

Die Preisträgerinnen des Press Freedom Awards 2019. Quelle: Reporter ohne Grenzen

#more#

“Diese Journalistinnen und Journalisten sollten die Ehre ihres Landes sein. Stattdessen werden sie am Reisen gehindert und ihrer Freiheiten beraubt. Doch die Botschaft, die von diesen Frauen und Männern ausgeht, ist grenzenlos.”, leitete der Generalsekretär von Reporter ohne Grenzen Christophe Deloire die Preisverleihung ein. Von drei Preisträgerinnen konnte nur eine einzige frei reisen und den Preis persönlich entgegennehmen – die maltesische Journalistin Caroline Muscat. Die beiden anderen Aktivistinnen mussten vertreten werden. In diesem Jahr gingen alle drei Preiskategorien “Courage”, “Independence” und “Impact” an Frauen.

Kategorie “Courage” / “Mut”

Eman al-Nafjan konnte den Preis in Berlin nicht persönlich entgegennehmen, da sie zwar aus der Haft in Saudi-Arabien entlassen wurde, das Land jedoch nicht verlassen darf. Die Bloggerin und Journalistin hatte sich massiv dafür eingesetzt, dass Frauen in Saudi-Arabien Auto fahren dürfen und mehr Rechte bekommen. Dafür wurde sie zusammen mit anderen Aktivistinnen verhaftet. Aktuell ist sie vorläufig auf freiem Fuß. Al-Nafjan gründete die Seite SaudiWoman.me und schreibt für Zeitungen wie den Guardian und die New York Times. Stellvertretend für sie nahm ihre ehemalige Mitstreiterin Omeima al-Najjar die Auszeichnung entgegen, die in Italien politisches Asyl erhalten hat.

Kategorie “Independence” / “Unabhängigkeit”

Nach dem Mord an ihrer Kollegin Daphne Caruana Galizia im Jahr 2017 gründete Caroline Muscat die unabhängige Investigativ-Website The Shift News, die unter anderem zu Korruption recherchiert. Trotz massivem Druck macht sie unbeirrt weiter. Ihren Preis für Unabhängigkeit widmete sie der verstorbenen Daphne Caruana Galizia und verwies darauf, dass unabhängiger Journalismus keine Frage des Mutes sein sollte: "Wir müssen keine Helden sein. Die Tatsache, dass einige von uns als solche betrachtet werden, sagt mehr über die Zustände in unserem Land als über uns selbst aus.“

Kateogorie “Impact” / “Einfluss”

Pham Doan Trang aus Vietnam setzt sich unermüdlich für die Bürgerrechte in ihrem Land ein. Die Gründerin des Magazins Luât Khoa und Redakteurin bei The Vietnameseberät ihre Mitmenschen juristisch und tritt für Minderheiten ein. Dafür wurde die Journalistin, Bloggerin und Autorin bereits mehrfach willkürlich verhaftet. Auch sie konnte nicht persönlich anreisen, bedankte sich jedoch in einer Videobotschaft: "Die Auszeichnung gilt nicht mir allein. Sie ist für alle, die nach Wahrheit suchen, für alle, die sich weltweit leidenschaftlich und mit Vehemenz für die Wahrheit einsetzen.“

Grüße von Snowden, Müller und Maas

Nach Paris, Straßburg und London wurden die Press Freedom Awards erstmals in Berlin verliehen. Anlass war das 25-jährige Bestehen der deutschen Sektion von Reporter ohne Grenzen. Der frühere Chefredakteur des britischen Guardian, Alan Rusbridger, hielt die Festrede. Er hatte sich 2013 geweigert, den Behörden Computerfestplatten mit Informationen des NSA-Whistleblowers Edward Snowden auszuhändigen. Der Regierende Bürgermeister Michael Müller begrüßte die rund 250 internationalen Gäste im Namen der Stadt Berlin. Eine weitere Grußbotschaft schickte Bundesaußenmister Heiko Maas, der bei der Verleihung in den Kammerspielen des Deutschen Theaters nicht persönlich anwesend sein konnte.

Insgesamt waren herausragende Journalistinnen und Journalisten aus zwölf Ländern in drei Kategorien nominiert. Über die Gewinnerinnen hatte eine internationale Jury entschieden. Der Preis in der Kategorie „Courage“ wurde von Posteo gefördert.

Eine Aufzeichnung der Veranstaltung findet man auf YouTube. (Reporter ohne Grenzen / hcz)

Reporter ohne Grenzen: Posteo unterstützt die Press Freedom Awards

2019-09-10T14:00:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

die Press Freedom Awards von Reporter ohne Grenzen (ROG) ehren außergewöhnlich mutige und unabhängige Journalistinnen und Journalisten, die trotz widrigster Umstände und Gefahren von Leib und Leben nicht schweigen wollen. Posteo stiftet in diesem Jahr das Preisgeld in der Kategorie „Courage“.

Die Nominierten der Press Freedom Awards in der Kategorie “Courage” Quelle: Reporter ohne Grenzen

Es freut uns, auf diese Weise mutige Medienschaffende unterstützen zu dürfen. Am 12. September werden die Press Freedom Awards erstmals in Berlin vergeben.

Die diesjährigen Nominierten in den drei Preiskategorien stammen aus 12 verschiedenen Ländern. Unter ihnen sind ein russischer Investigativjournalist, auf den bereits mehrere Anschläge verübt wurden, eine vietnamesische Journalistin, die wegen ihrer Arbeit geschlagen und inhaftiert wurde, sowie Pakistans älteste Tageszeitung, die immer wieder von Offiziellen in ihrer Tätigkeit behindert wird.

Die Nominierten aus der von Posteo geförderten Kategorie “Courage”

Igor Rudnikov Quelle: Reporter ohne Grenzen

 
Igor Rudnikov (Russland) – Auf den Gründer der unabhängigen Zeitung Novye Kolesa wurden wegen seiner Recherchen zu Korruption und dem Missbrauch öffentlicher Gelder schon mehrere Anschläge verübt. Außerdem wurde er wegen seiner Arbeit verhaftet. Im Gefängnis schrieb er weiter Artikel und ein Buch, indem das Zitat vorkommt: “Der Gedanke kann nicht in Handschellen gelegt oder ins Gefängnis geworfen werden. Er wird immer frei sein.” 

Eman al Nafjan Quelle: Reporter ohne Grenzen

 
Eman Al-Nafjan (Saudi-Arabien) – Die Bloggerin und Journalistin hatte sich in Saudi-Arabien massiv dafür eingesetzt, dass Frauen Auto fahren dürfen und mehr Rechte bekommen. Dafür wurde sie verhaftet. Aktuell ist sie vorläufig frei. Sie rief die Webseite SaudiWoman.me ins Leben und schreibt für internationale Medien wie die britische Zeitung “The Guardian” und die “New York Times”. Seit Mitte 2018 erlaubt der Staat auch Frauen, Auto zu fahren.

Paolo Borrometi Quelle: Reporter ohne Grenzen

 
Paolo Borrometi (Italien) – Wegen seiner unerschrockenen Berichterstattung über die Mafia wird er regelmäßig mit dem Tode bedroht und lebt unter ständigem Polizeischutz. Er schreibt für die Zeitung “Giornale di Sicilia” und die von ihm ins Leben gerufene Webseite “La Spia”.

Lola Aronovich Quelle: Reporter ohne Grenzen

 
Lola Aronovich (Brasilien) – Die Bloggerin ist mit ihren feministischen Texten und dem Einsatz für Frauenrechte im ganzen Land bekannt geworden. Gleichzeitig wird sie immer wieder massiv angefeindet. Online erhielt sie hunderte Todesdrohungen. Seit 2018 gilt in Brasilien ein Gesetz, dass frauenfeindliche Online-Kriminalität besser verfolgbar macht – es wird auch als “Lola-Gesetz” bezeichnet.

Premiere in Deutschland

Seit nunmehr 27 Jahren verleiht die Nichtregierungsorganisation Reporter ohne Grenzen die Press Freedom Awards. Traditionell findet die Veranstaltung in Frankreich statt – dem Gründungsland von ROG. Anlässlich ihres 25-jährigen Bestehens organisiert die deutsche Sektion in diesem Jahr die Preisverleihung.

Wer zu den Preisträgerinnen und Preisträgern gehört, wird am 12. September in den Kammerspielen des Deutschen Theaters in Berlin bekannt gegeben. Die Jury besteht aus den Präsidentinnen und Präsidenten der sieben weltweiten ROG-Sektionen. Hinzu kommt das sogenannten Emeritus Board, das sich aus Männern und Frauen zusammensetzt, die sich in den Bereichen Menschenrechte und Meinungsfreiheit verdient gemacht haben.

Unsere Unterstützung

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen. Deshalb unterstützen wir ausgewählte Organisationen aus den Bereichen des Klima- und Umweltschutzes, der Netzpolitik, Meinungsfreiheit und Menschenrechte sowie aus der Flüchtlingshilfe.

Viele Grüße
Ihr Posteo-Team

Gutachten warnt vor Kollateralschäden bei Cyber-Angriffen

2019-09-03T17:00:00+02:00

Angriffe über das digitale Netz – sogenannte Cyber-Angriffe – können ähnliche Folgen haben wie klassische Militäraktionen. Ein Bundestagsgutachten hat nun auf die Gefahren hingewiesen und von der geplanten Offensiv-Strategie der Bundesregierung abgeraten.

In Sachen IT-Sicherheit haben die deutschen Institutionen Nachholbedarf. Doch nicht alle Maßnahmen ergeben Sinn. Quelle: Bundeswehr

#more#

Der Wissenschaftliche Dienst des Deutschen Bundestages hat in einem Gutachten vor den Folgen einer offensiv ausgerichteten Cyber-Sicherheitsstrategie gewarnt. Das als “Nur für den Dienstgebrauch” eingestufte Papier wurde am Dienstag vom Portal Netzpolitik.org veröffentlicht. Der Gutachter stammt aus den Reihen der Bundeswehr und tendiert im Gegensatz zur Bundesregierung eher zu einer defensiven Cyber-Strategie.

Beim Einsatz digitaler Waffen könne das anvisierte Ziel grundsätzlich nicht so ausgeschaltet werden, dass unbeabsichtigte Schäden ausgeschlossen sind, heißt es in dem Gutachten. Systeme, die an das eigentliche Ziel angeschlossen sind, könnten bei einem Angriff entweder direkt mitbetroffen sein oder über einen Kaskadeneffekt in Mitleidenschaft gezogen werden.

Bei einem sogenannten “Hackback” geht es darum, mit groß angelegten Attacken – etwa auf Stromnetze oder andere Teile wichtiger Infrastruktur – in ausländische Server einzudringen, um diese lahmzulegen. Die schwarz-rote Koalition im Bund streitet seit Monaten darüber, ob und wie deutsche Sicherheitsbehörden bei Cyber-Angriffen aus dem Ausland zurückschlagen dürfen.

Digitaler Rüstungswettlauf

Das Bundestagsgutachten warnt eindringlich vor dem “Risiko eines Rüstungswettlaufes und einer Militarisierung des Internets – was mehr neue Probleme schaffen als bestehende lösen würde”. Als Alternative befürwortet der Gutachter – ein Oberstleutnant der Bundeswehr – eine Verstärkung der Abwehrfähigkeiten im Cyber-Raum: “Anstatt in einen […] Wettlauf einzutreten, werden stattdessen Investitionen in die Hochtechnologie empfohlen, die im Ergebnis zu resilienteren Systemen führen, deren defensive Kraft ausreicht, um vor Schäden zu schützen.”
Er empfiehlt, auf eine defensive digitale Verteidigungsstrategie zu setzen, Sicherheitslücken zu schließen und widerstandsfähige Systeme zu bauen.

Eine Abschreckung durch Aufrüstung und Machtdemonstrationen funktioniere hingegen nicht. Das US-Militär empfiehlt dennoch seit einigen Jahren auf digitaler Ebene eine ähnliche militärische Strategie wie im Kalten Krieg zu verfolgen. Kleine, gezielte Angriffe wie auf das Raketenprogramm Nordkoreas, auf Internetrouter in Syrien oder die iranischen Revolutionsgarden sollen die militärischen Möglichkeiten demonstrieren und den Gegner präventiv einschüchtern. Regelmäßige Angriffe auf US-amerikanische Systeme bleiben dennoch nicht aus. Da selbst die USA mit deutlich mehr Mitteln keinen Erfolg mit dieser offensiven Strategie haben, gelte das für Deutschland ebenfalls als “eher unwahrscheinlich”, urteilt das Gutachten.

Die geplanten Offensivmaßnahmen weisen einige Schwierigkeiten auf: Die Art der digitalen Angriffe müsse ständig – auch in Friedenszeiten – überarbeitet und angepasst werden, weil die Gegenseite beispielsweise Sicherheitslücken schließt oder Hard- oder Software tauscht. Jede Art von Angriff kann voraussichtlich nur ein einziges Mal eingesetzt werden, da der Gegner nach einem Angriff die entsprechenden Lücken im System schließen wird.

Angreifer unbekannt

Im digitalen Raum ist es meist außergewöhnlich schwierig festzustellen, wer zu welcher Seite gehört, oder überhaupt zu einer Partei. Das Gutachten fasst die Situation folgendermaßen zusammen: “Am Ende eines digitalen Wettrüstens ergäbe sich daher in globaler Hinsicht eine anarchische Situation, in der gut gerüstete Cyber-Mächte und nichtstaatliche Hacker einander auf Augenhöhe bedrohen.”

Meist weisen nur Indizien auf den Urheber eines Cyber-Angriffs hin. Selbst bei den größten globalen Angriffen konnte nicht bewiesen werden, ob eine staatliche Behörde dahinter steckte, eine staatlich beauftragte Gruppe oder staatsunabhängige Aggressoren. Deswegen empfiehlt das Gutachten stattdessen “Investitionen in die Hochtechnologie, die im Ergebnis zu resilienteren [widerstandsfähigeren] Systemen führen”. In diesem Fall wäre es dann egal, wer der Angreifer ist. “Cyber-Sicherheit ist nur global und gemeinsam erreichbar und kann auch nicht gegen andere, sondern nur mit anderen Staaten durchgesetzt werden.”

Dürfen wir das?

Ausführlich beschäftigt sich das Gutachten mit der Frage, welche Institution in Deutschland überhaupt technisch und rechtlich in der Lage sind, Hackbacks durchzuführen. Der Wissenschaftliche Dienst des Bundestags ordnet diese Fähigkeit vor allem der Bundeswehr und seinem Zentrum Cyber-Operationen (ZCO) zu. Für den Einsatz deutscher Streitkräfte bestünden allerdings hohe verfassungsrechtliche Hürden: “Der Einsatz der Bundeswehr zum Hackback müsste folglich einen Verteidigungsfall voraussetzen, also die Reaktion auf eine militärische Gewaltanwendung, die von außen kommt.” Außerdem entscheide allein der Bundestag über den Einsatz der Bundeswehr.

Für Hackbacks durch den Auslandsgeheimdienst BND, der vor allem von der Union ins Gespräch gebracht wurde, sieht der Gutachter starke Zweifel an der rechtlichen Zuständigkeit: “Abgesehen davon wird bezweifelt, dass [beim BND] überhaupt die technische Kompetenz vorliegt, um Hackbacks zu realisieren.” (dpa / hcz)

Google entdeckt großen iPhone-Angriff

2019-09-02T17:00:00+02:00

Fotos, Nachrichten, Aufenthaltsorte – das alles konnte durch den bisher größten iPhone-Hack ausspioniert werden. Auf den Urheber gibt es Hinweise.

Das iPhone wird selten zum Ziel von Großangriffen. Informationen über Einfallstore sind teuer auf dem Sicherheitsmarkt. Quelle: Apple

#more#

Es ist das schlimmste bisher bekannt gewordene Angriffsszenario gegen das iPhone von Apple. Aus dem Smartphone konnten bis Anfang Februar alle möglichen privaten Daten wie Fotos oder der Aufenthaltsort abgegriffen werden. Dazu reichte es, eine präparierte Webseite zu besuchen. Die Attacke scheint aber nur gezielt eingesetzt worden zu sein.

Die Schwachstellen, die das ermöglichten, wurden von Google-Experten entdeckt und von Apple nach einem Hinweis per Software-Update geschlossen. Google veröffentlichte nun Details zu entsprechenden Hacker-Angriffen, die mindestens zwei Jahre andauerten. Dabei wurde bisher nicht genau bekannt, wie viele Nutzer betroffen waren und wer hinter der Attacke stand.

Infektion per Webseiten-Besuch

Die von Google entdeckten Angriffe seien mindestens zwei Jahre lang auf iPhone-Nutzer in “bestimmten Communities” ausgerichtet gewesen, hieß es in dem Blogeintrag der Forscher ohne nähere Angaben dazu. Um ein iPhone mit der Schadsoftware zu infizieren, reichte es aus, den Nutzer auf eine präparierte Website zu locken. Die Experten von Googles Project Zero machten mehrere solche Webseiten aus, die “Tausende Besucher” pro Woche hatten.

Die Angriffs-Software war auch darauf ausgerichtet, Passwörter und sogenannte Authentifizierungs-Token abzugreifen, mit denen man sich ohne weitere Anmeldung Zugang zu Online-Diensten verschaffen kann. Außerdem konnten Nachrichten in Chat-Diensten wie WhatsApp, iMessage und Telegram mitgelesen werden. Denn die Übermittlung innerhalb der Dienste ist zwar verschlüsselt, aber auf den Geräten sind die Daten im Klartext vorhanden. Die Schwachstellen, die das möglich machten, steckten im Web-Browser der iPhones, aber auch tief im Betriebssystem, dem sogenannten Kernel. Sie hebelten unter anderem das sogenannte Sandboxing aus – die Grenzen zwischen einzelnen Programmen auf dem Gerät, auf die Apple als Schutzmechanismus setzt.

Was tun als iPhone-Nutzer?

Als Sofortmaßnahme sollte man das Gerät einmal neu starten, da ein kompromittiertes System anschließend nicht mehr infiziert ist. Dauerhaften Schutz bietet nur eine aktuelle iOS-Betriebssystem-Version. Betroffen waren die iOS-Versionen 10, 11 und 12. Mit iOS 12.1.4, das im Februar 2019 erschien, hat Apple die Lücke gestopft. Aktuell ist die Version 12.4.1. Installieren kann man das Update entweder, indem man auf dem iPhone die Einstellungen öffnet und unter “Allgemein” auf “Softwareupdate” tippt. Oder man verbindet das Telefon mit einem PC oder Mac und startet iTunes auf dem Rechner.

Stümperhafte Umsetzung

Die Entdeckung eines möglichen Datenabgriffs in dieser vermuteten Breite ist gravierend, da das iPhone eigentlich als schwer zu hacken gilt. Man ging bisher eher davon aus, dass einzelne besonders wichtige Zielpersonen Opfer solcher Attacken werden könnten, doch die Angriffe zu aufwendig wären, um die breite Masse der Nutzer ins Visier zu nehmen. Mit diesen Schwachstellen konnten jedoch beliebig viele Geräte allein durch einen Webseitenbesuch angegriffen werden. Von Apple gab es zunächst keinen Kommentar zu den Informationen.

Den Google-Forschern fiel auf, dass sich die Angreifer wenig Mühe machten, die Attacken zu verbergen. So übermittelte die Schadsoftware die abgegriffenen Daten unverschlüsselt in ihre Zentrale. Außerdem waren die Server der Angreifer relativ einfach zu blockieren, weil ihre festen IP-Adressen direkt in dem Schadprogramm enthalten waren. Ein Neustart löschte die Angriffs-Software vom Gerät.

Der IT-Sicherheitsexperte Jake Williams von der Firma Rendition Infosec vermutete gegenüber des US-Magazins Wired, dass hinter den Attacken relativ unerfahrene Programmierer einer Regierungsbehörde stecken könnten. Vermutlich haben sie die Informationen über Schwachstellen von einem darauf spezialisierten Anbieter bekommen. Dass die Attacken trotz der eher stümperhaften Umsetzung so lange unentdeckt blieben, könnte darauf hinweisen, dass sie sich nur innerhalb eines einzelnen Landes abspielten.

Ziel: Uiguren

Google-Forscher Beer schrieb, die Realität sei, dass Sicherheitsvorkehrungen nie das Risiko gezielter Angriffe ganz ausräumen könnten. "Es kann ausreichen, in einer bestimmten Region geboren worden zu sein oder zu einer bestimmten ethnischen Gruppe zu gehören, um zum Angriffsziel zu werden. Unter den Diensten, die die Angriffs-Software ins Visier nahm, waren in China populäre Angebote vom dortigen Tencent-Konzern – aber auch in dem Land gesperrte Dienste wie Google Gmail oder WhatsApp.

Mit dieser Beschreibung könnte es sich um eine gezielte Ausspähaktion handeln, die zum Beispiel auf Dissidenten oder einzelne Bevölkerungsgruppen zielte. Die US-Nachrichtenseite Techcrunch berichtet, dass der Ausgangspunkt der Angriffe in China liege. Demnach seien uigurische Muslime das Ziel. Sie leben als Minderheit hauptsächlich in der Provinz Xinjiang und sind dort repressiven Maßnahmen ausgesetzt. (dpa / hcz)

Apple entschuldigt sich für abgehörte Siri-Gespräche

2019-08-29T17:00:00+02:00

Apple will Nutzer von nun an fragen, ob ihre Siri-Aufnahmen von Mitarbeitern ausgewertet werden dürfen. Gleichzeitig wurden mehrere Hundert Zeitarbeiter entlassen.

Apple lässt Siri-Aufnahmen nur noch nach Einwilligung des Nutzers abhören. Quelle: Apple

#more#

“Dafür möchten wir uns entschuldigen.” – Apple hat in einer offiziellen Stellungnahme Fehler in Bezug auf die Auswertung von Siri-Aufnahmen eingeräumt. Man sei den eigenen “hohen Maßstäben” nicht vollständig gerecht geworden. Dennoch werde das Grading genannte Verfahren im Herbst wieder aufgenommen, bei dem Menschen Aufnahmen des Sprachassistenten anhören.

Anfang August wurde bekannt, dass Apple Aufnahmen, die vom Sprachassistenten Siri stammten, von Menschen abhören ließ. Problematisch wurde die Tatsache vor allem dadurch, dass auch Auftragnehmer außerhalb von Apple an der Auswertung teilnahmen – und die Mitschnitte teils außerhalb von geschützten Geschäftsräumen anhörten. Mitarbeiter berichteten von mitgeschnittenen Straftaten oder Arztberatungen. Die Nutzerinnen und Nutzer hatten darauf keinen Einfluss. Nachdem diese Praxis bekannt wurde, stellte Apple die Auswertung vorerst ein.

Der Kunde darf wieder entscheiden

Im Herbst soll die Analyse durch Menschen aber wieder starten: unter anderen Regeln zum Schutz der Privatsphäre. Auftragnehmer sollen keine Aufnahmen mehr erhalten. Stattdessen werden dies nur noch Mitarbeiterinnen und Mitarbeiter übernehmen, die bei Apple direkt angestellt sind. Zusätzlich sollen weiterhin maschinell erstellte Abschriften dabei helfen, Siri zu verbessern. Wie und ob das die menschliche Arbeit ersetzen soll, hat die Firma nicht näher erklärt. Eigentlich geht es bei der Auswertung durch Menschen gerade um Aufnahmen, die der Computer nicht versteht.

Die Transkripte werden weiterhin bis zu sechs Monate lang gespeichert und mit einer zufälligen ID verknüpft. Der Nutzer kann dies nur verhindern, indem er den Sprachassistenten und die Diktierfunktion deaktiviert. Auf dem iPhone und iPad findet man die Option in den Einstellungen unter “Siri & Suchen”. Dort deaktivieren Sie die Schalter “Für Siri Home-Taste drücken” und “Auf Hey Siri achten”. Die Option zur Sprachsteuerung finden Sie in den Einstellungen unter
“Allgemein / Bedienungshilfen / Hometaste bzw. Seitentaste”. Dort stellen Sie “Zum Sprechen gedrückt halten” auf “Aus”.

Als weitere Maßnahme möchte Apple den Nutzerinnen und Nutzern künftig die Entscheidung überlassen, ob sie an dem Programm zur Verbesserung von Siri teilnehmen und ihre Daten zur Verfügung stellen. Die Option soll mit der kommen iOS-Version im Herbst geliefert werden. Es handelt sich um ein sogenanntes Opt-in-Verfahren: Die Option ist standardmäßig deaktiviert und der Nutzer muss aktiv zustimmen, damit die Daten freigegegeben werden. Die Entscheidung kann man jederzeit revidieren.

Kündigungen als Konsequenz

Da Apple die Zusammenarbeit mit externen Dienstleistern zur Siri-Auswertung einstellt, fallen mehrere Hundert Arbeitsplätze dort weg, wie der britische Guardian berichtet. Alleine im irischen Cork seien mehr als 300 Mitarbeiter entlassen worden. Ihnen sei gesagt worden, dass aufgrund von “technischen Fehlern” für sie keine Arbeit mehr bestehe.

Einige der ehemaligen Angestellten äußerten sich anonym gegenüber der Zeitung und erklärten, sie seien “erleichtert, dass der Fall publik wurde”. Es hätten ständig Diskussionen über Ethik zwischen den Mitarbeitern stattgefunden, doch niemand habe gewusst, wie man die Probleme tatsächlich zur Sprache bringt.

Ein anderer Angestellter äußerte sich gegenüber der Zeitung folgendermaßen: “Apple stellt in Irland über Vermittlerfirmen ein, übernimmt keinerlei Verantwortung über die Einstellung von Auftragnehmern oder deren Behandlung bei der Arbeit. Sie tun, was sie wollen und wenn sie mit ihrem Projekt fertig sind oder es vermasseln – wie das gerade passiert ist – fordern sie ihre Partnerfirmen auf, die Angestellten zu entlassen. Wie konnten sie das nicht kommen sehen? Haben sie überhaupt darüber nachgedacht, ihre Mitarbeiter zu schützen? Oder nur ihren Ruf?” Die Arbeiter hätten erst eine Woche vor ihrer Entlassung von selbiger erfahren. (hcz)

Fairphone 3: Das Smartphone zum selber Reparieren

2019-08-28T17:00:00+02:00

Jedes Smartphone ist eine kleine ethische Sünde: Rohstoffe aus dubiosen Quellen, niedrige Arbeitslöhne in Fernost – und wegen schlechter Reparierbarkeit sind die meisten Geräte als Wegwerfartikel konzipiert. Fairphone will mit seinem nun präsentierten dritten Modell dagegen halten und verspricht nachhaltig geförderte Metalle, faire Arbeitslöhne und dass jeder Käufer sein Gerät selbst reparieren kann.

Sicherlich gibt es gleichwertig ausgestattete Smartphones, die preiswerter sind. Doch beim Fairphone 3 wird ein halbwegs gutes Gewissen versprochen.

#more#

Mit Sicht auf die Nachhaltigkeit ist die Handy-Industrie nicht ganz unproblematisch. Jedes Jahr kommen Hunderte neue Modelle mit winzigsten Pseudo-Innovationen auf den Markt. Woher Bauteile und die dafür nötigen Rohstoffe stammen, ist oft unklar oder der Weg führt in Richtung Krisengebiete. Zudem wird seit Jahren darüber diskutiert, wie Zulieferer und ihre Angestellten behandelt werden und ob sie angemessen bezahlt werden.

Die niederländische Firma Fairphone hat sich auf die Fahne geschrieben, diese Probleme zu lösen und will ab sofort mit dem Fairphone 3 ein Smartphone anbieten, dessen Produktion sich nicht ganz so negativ auf Umwelt, Arbeiter und schlussendlich den Kunden auswirkt. Wir haben uns das Gerät näher angeschaut.

Ein Werkzeug für alles

Es fängt damit an, dass das Fairphone 3 größtenteils anders aufgebaut ist als viele moderne Konkurrenzmodelle. Praktisch alle Baugruppen sind austauschbar – und zwar nicht nur von einer professionellen Reparaturwerkstatt, sondern auch von Laien beziehungsweise dem Besitzer. Dem Fairphone 3 liegt ein einfaches Werkzeug bei, das auf der einen Seite einen Schraubendreher hat und auf der anderen einen Spachtel. Ersterer passt auf alle entfernbaren Schrauben des Geräts. Da die Schrauben alle den gleichen Kopf haben und in ihren Maßen identisch sind, läuft man beim Öffnen des Geräts nicht Gefahr, Schrauben zu vertauschen. Der Spachtel des Werkzeugs dient dazu, das Gehäuse zu öffnen, Kabelverbindungen zu lösen und Module aus dem Gehäuse zu heben.

Ein Werkzeug reicht aus, um das Fairphone 3 komplett zu zerlegen. Es wird mitgeliefert.

Das gesamte Fairphone 3 ist modular aufgebaut. Der Touchscreen bildet beispielsweise ein Modul, die Kamera mit Fotolicht und dem Kopfhöreranschluss ein anderes. Die Module sitzen jeweils in einem eigenen Gehäuse, das nicht dazu vorgesehen ist, vom Kunden geöffnet zu werden. Um die Module auszutauschen, muss die Nutzerin oder der Nutzer das Gehäuse öffnen, Schrauben herausdrehen und eine Kabelverbindung lösen. Das ist in den meisten Fällen in weniger als zehn Minuten erledigt.

Niedrige Preise für Ersatzteile

Die Module des Fairphone 3 kann man online im Hersteller-Shop nachbestellen. Es sind deutlich mehr als noch bei den Vorgängermodellen – wobei diese weiterhin versorgt werden. So kann man unter anderem den Akku, das Display und die Hauptkamera nachbestellen, aber auch beispielsweise die Module mit USB- oder Kopfhöreranschluss – beides Teile, die gerne nach jahrelanger Benutzung zu Bruch gehen.

Die Bauteile des Fairphone 3 sind in Module gruppiert und alle einzeln nachbestellbar.

Die Preise der Ersatzteile liegen zwischen 20 und 50 Euro, das Display bildet mit 90 Euro eine Ausnahme. Auf den ersten Blick sind die Preise recht fair veranschlagt; vor allem wenn man bedenkt, dass andere Hersteller teils mehrere Hundert Euro für ähnliche Ersatzteile verlangen. Zudem spart man das Geld für den Austausch, da der Kunde fast alle Teile recht einfach selbst tauschen kann.

Mehr Schrauben, aber robuster

Wir haben selbst Hand an das Gerät gelegt und brauchten nicht einmal eine Viertelstunde, um es komplett zu zerlegen und wieder (funktionsfähig) zusammenzubauen. Zudem waren die Arbeitsschritte so einfach, dass ein Großteil der Smartphone-Nutzer ohne Probleme Teile des Smartphones tauschen kann. Technische Vorkenntnisse sind nicht nötig.

Einige Blogs kritisierten, dass das Fairphone 3 nun schwerer zu reparieren sei als der Vorgänger, weil beispielsweise Schrauben gelöst werden müssen, um das Display zu entnehmen. Beim Fairphone 2 konnte man den Bildschirm werkzeuglos aus dem Gehäuse schieben. Laut Hersteller führte das aber dazu, dass einige Nutzer dies deutlich häufiger taten, als vorgesehen. Das Bauteil nahm dadurch Schaden und entwickelte einen Wackelkontakt. Zwar braucht man beim neuen Modell ein Werkzeug, um den Bildschirm zu tauschen, dafür ist der Mechanismus aber deutlich robuster.

Auch der Akku ist einfach zu entnehmen. Das hat den Vorteil, dass beispielsweise eine Powerbank, also ein zusätzlicher externer Akku, praktisch überflüssig wird. Stattdessen kann man für 30 Euro einen zweiten – oder dritten – Akku dazubestellen. Dieser ist auch deutlich kompakter als eine ähnlich leistungsfähige Powerbank.

Demontage und Montage des Fairphone 3 im Zeitraffer

Rohstoffe und Arbeitsbedingungen

Im Smartphone stecken jede Menge Edelmetalle und sogenannte Seltene Erden. Auch Fairphone kann darauf nicht verzichten, versucht diese aber möglichst sozialverträglich zu beschaffen. Dazu müsste im Idealfall die gesamte Lieferkette überwacht werden – was sich bereits beim ersten Fairphone als eine der größten Herausforderungen herausgestellt hat.

Am weitesten ist Fairphone mit seinen Zielen wohl beim Gold. Der Großteil des Rohstoffs stammt aus Fairtrade-zertifizierten Kleinstminen. Das Zinn stammt aus kleinen, konfliktfreien Minen der Republik Kongo. Außerdem werde daran gearbeitet, recyceltes Zinn zu nutzen. Gleiches gilt für Kupfer, das besonders leicht wiederzuverwenden sei. Dazu sammelt Fairphone unter anderem ausrangierte Smartphones. Für Materialien wie Lithium (für den Akku), Cobalt und Seltene Erden suche Fairphone noch nach passenden Partnern und Versorgungsmöglichkeiten. Der für die Geräte verwendete Kunststoff stamme momentan zu 50 Prozent aus recycelten Produkten. Nähere Informationen zu Rohstoffen stellt Fairphone auf seiner Homepage bereit. Über die Umweltverträglichkeit der erwähnten Minen macht Fairphone allerdings keine Angaben. Hier stehen faire Arbeitsbedingungen im Vordergrund.

Die Endfertigung des Fairphone 3 erledigt die taiwanesische Firma Arima, die Werke in China betreibt. Laut Fairphone hätte die Firma unter anderem deswegen Interesse an einer Zusammenarbeit, um dauerhaft die Zufriedenheit der Mitarbeiter zu steigern und die Arbeitsbedingungen zu verbessern. Zusammen hätten die Unternehmen drei Jahre lang jeweils 100.000 US-Dollar in Projekte investiert, die auf dem Input der Angestellten basierten. Unter anderem ginge von jedem verkauften Fairphone 1,50 Euro als direkter Bonus an die Angestellten, um deren Lebenshaltungskosten zu decken. Das Geld werde unter allen Mitarbeitern aufgeteilt und nicht nur unter denjenigen, die am Fairphone arbeiten.

Kein Netzteil mitgeliefert

Was ungewöhnlicherweise im Lieferumfang nicht enthalten ist, sind ein Netzteil und ein USB-Kabel. Allerdings kann man diese bei der Bestellung für jeweils 20 Euro dazubestellen. Aus nachhaltiger Sicht ist dieser Schritt absolut nachvollziehbar: In den meisten Haushalten sind USB-Netzteile mittlerweile zur Genüge vorhanden. Denn jeder, der schon mal ein Smartphone oder modernes Tablet besessen hat, ist normalerweise bereits im Besitz der Auflade-Hardware.

Einen ähnlichen Schritt ging bereits Motorola vor ein paar Jahren und legte aus Umweltschutzgründen seinen Smartphones keine Kabel und Netzteile mehr bei. Allerdings wurde diese Praxis aus ungenannten Gründen wieder aufgegeben.

Knackpunkt könnte momentan noch das fürs Fairphone 3 nötige USB-C-Kabel sein. Der Hersteller hat eine moderne USB-C-Buchse zum Aufladen eingebaut. Mit Blick in die Zukunft ist das ein sinnvoller Schritt: Denn die neue Schnittstelle wird auf kurz oder lang den alten Standard Micro-USB ablösen und ist jetzt schon in einem Großteil moderner Smartphones und teurerer Notebooks zu finden. Unter anderem bieten die Stecker den Vorteil, dass es egal ist, wie rum man sie einsteckt – ähnlich wie bei Apple Lightning.

Das Problem besteht darin, dass ein entsprechendes Kabel nicht in jedem Haushalt vorhanden sein dürfte. Unter Umständen müssen also mehr Kunden ein Ladekabel zum Fairphone 3 dazukaufen, als es noch bei den Vorgängermodellen mit Micro-USB der Fall war. Wer nicht 20 Euro bei Fairphone dafür ausgeben möchte, findet bei anderen Online-Händlern halb so teure, aber weniger hochwertige Exemplare.

Ausstattung

Fairphone hat ein paar Besonderheiten in das Gerät eingebaut, die heute nicht mehr selbstverständlich sind: Da wäre beispielsweise die klassische Kopfhörerbuchse (3,5-mm-Klinke), die in immer weniger Geräten zu finden ist, weil die meisten Hersteller auf USB- oder kabellose Bluetooth-Kopfhörer setzen. Das schränkt die Auswahl an Zubehör ein. Der austauschbare Akku ist ebenso eine absolute Seltenheit (geworden).

Die restliche Ausstattung des Fairphone 3 ist die eines typischen Smartphones aus der Mittelklasse. Es ist für alle Aufgaben gerüstet – ohne Einschränkungen kann man im Netz surfen, fotografieren, Videos streamen oder gar 3D-Spiele spielen. Der Prozessor beziehungsweise das System-on-a-Chip (SoC) “Qualcomm Snapdragon 632” bietet genug Leistung mit insgesamt acht Rechenkernen und einem schnellen Grafikchip.

Während unseres Kurztests lief die Android-Bedienoberfläche völlig verzögerungsfrei und Apps starteten prompt. Unter anderem dürfte das auch an dem 4 GByte Arbeitsspeicher liegen. Zwar ist das Fairphone damit nicht übermäßig gut ausgestattet, momentan gibt es aber auch kaum einen Grund, mehr einzubauen.

Ähnliches gilt für den Flash-Speicher, also quasi die Festplatte des Smartphones, auf dem Apps, Fotos und Medien gespeichert werden. Der Hersteller hat 64 GByte eingebaut, von denen etwa 13 GByte auf unserem Testgerät vom Betriebssystem belegt waren. Für die meisten Nutzer dürfte diese Menge ausreichen. Braucht man dennoch mehr, kann man eine Speicherkarte (MicroSDXC) ins Gerät schieben. Diese sind beispielsweise mit 128 GByte für rund 20 Euro erhältlich. Außer der Speicherkarte lassen sich dank Dual-SIM-Funktion zwei SIM-Karten gleichzeitig verwenden.

Display und Gehäuse

Das Display hat eine Diagonale von 5,65 Zoll und zeigt eine erweiterte Full-HD-Auflösung im 18:9-Format (2160 × 1080 Pixel). Das reichte im Kurztest für eine absolut scharfe Darstellung. Durch das größere Display wächst das gesamte Gerät ein wenig und dürfte mit fast 16 Zentimeter Länge nicht mehr in jeder Hosentasche Platz finden. Im Kurztest fiel auf, dass das Gerät mit fast 1 Zentimeter deutlich dicker ist als andere aktuelle Smartphones. Das ist allerdings eher ein ästhetisches Problem.

Dafür ist der Akku auf 3000 mAh angewachsen. Das sollte bei durchschnittlicher Nutzung mindestens für einen ganzen Tag Betrieb ohne Nachladen reichen, bei sparsamem Gebrauch auch für eineinhalb Tage. Das Gehäuse ist nach Schutzart IP57 zertifiziert. Das bedeutet, dass das Fairphone gegen Staub geschützt ist und man es zeitweilig unter Wasser tauchen kann, ohne dass es Schaden nimmt. Das Display schützt kratzresistentes Gorilla Glas 5.

Als Betriebssystem kommt das aktuelle Android 9 zum Einsatz. Außer den obligatorischen Google-Apps, sind keine zusätzlichen Programme vom Hersteller installiert – sogenannte Bloatware. Auf unserem Testgerät war die Android-Sicherheitspatch von diesem August installiert.

Am Fairphone 2 wurde Kritik geäußert, weil es nur bis Android 7.1 aktualisiert wurde. Grund waren unter anderem fehlende Treiber der Hardware-Zulieferer. Die wichtigeren Sicherheits-Patches werden aber bis heute geliefert. Fairphone verspricht, die Software fünf Jahre lang mit Updates zu versorgen.

Preise und Erscheinungsdatum

Das Fairphone 3 kann man ab sofort für 450 Euro im Online-Shop des Herstellers und beim Mobilfunk-Provider mobilcom-debitel vorbestellen. Die ersten Geräte sollen ab dem 3. September ausgeliefert werden. Zurzeit ist das Gerät nur in Europa erhältlich.

Ein Großteil der Vorgängermodelle ging nach Deutschland. Laut CEO Eva Gouwens habe die Firma insgesamt 170.000 Fairphone 1 und 2 verkauft. In diesem Jahr plant Fairphone rund 40.000 Fairphone 3 zu verkaufen. Zum Vergleich: Apple verkauft mehr als 860.000 iPhones am Tag. (hcz)

Fehlerhafte Vorratsdatenspeicherung stürzt dänische Justiz in Krise

2019-08-23T15:00:00+02:00

Sieben Jahre lang sorgte ein IT-Fehler für die falsche Auswertung von Vorratsdaten in Dänemark – und eventuell falschen Gerichtsurteilen. Medien sprechen vom größten Skandal der dänischen Justiz.

Der dänische Justizminister Nick Hækkerup sieht das Vertrauen in das Rechtssystem gefährdet. justitsministeriet.dk

#more#

Dänemarks Generalstaatsanwalt hat angeordnet, dass zurzeit keine Daten mehr aus der anlasslosen Vorratsdatenspeicherung als Beweismittel verwendet werden dürfen. Das Justizministerium teilte mit, dass “in den in Strafsachen verwendeten Telekommunikationsdaten […] schwerwiegende Fehler festgestellt wurden”. Aufgrund dessen könnten Unschuldige verurteilt und Straftäter freigesprochen worden sein.

Wie viele Fehlurteile wirklich zustande kamen, ist noch nicht geklärt. Die dänische Tageszeitung Berlingske spricht davon, dass jeder dritte Datensatz fehlerhaft sein könnte. Vorrätig erfasste Telekommunikationsdaten kamen seit 2012 in 10.700 Prozessen zum Einsatz. Es handelt sich nur um Fälle, in denen ein Strafmaß von mehr als sechs Jahren erwartet wurde, denn das ist Voraussetzung für die Herausgabe.

falsche Konvertierung schuld

Die Daten stammen größtenteils von Telekommunikationsanbietern, die diese in Dänemark zwei Jahre lang ohne Anlass speichern müssen. Es geht beispielsweise um Verbindungs- und Positionsdaten von Handys.

Laut Polizei seien die Daten im eigenen System “falsch konvertiert” worden und Telekommunikationsanbieter hätten ungenügende Rohdaten geliefert. Was das genau heißt, ist noch nicht bekannt. Es lässt sich vermuten, dass Telefonnummern oder Einbuchungen ins Mobilfunknetz falsch zugeordnet wurden. Dadurch gäbe es falsche Rückschlüsse, wer sich wann wo aufgehalten hat oder wer mit wem kommuniziert hat – aber das sind bislang nur Spekulationen. Eventuell wurden auch IP-Adressen und die zugehörigen Zeitstempel falsch zugeordnet.

Gefahr für das Rechtssystem

Erste Fehler seien bereits im November 2018 aufgefallen. Dass es sich um ein generelles IT-Problem handelt, wurde aber erst vergangenen Februar erkannt. Laut Polizei sei der Fehler im März behoben worden.

Die Sperre der Daten als Beweismittel gilt vorerst zwei Monate lang bis zum 18. Oktober. Die Zeit wird laut Justizministerium “für die Untersuchung der Fehler und die Ermittlung der Ursachen” genutzt. Dänemarks Justizminister Nick Hækkerup hat eine unabhängige Untersuchung angekündigt und den Fall als Skandal bezeichnet. Die nun veröffentlichten Probleme untergraben laut Hækkerup “das Vertrauen in das Rechtssystem”. Juristische Verfahren müssen eventuell erneut geführt werden, wobei für viele der Fälle die Telekommunikationsdaten bereits gelöscht sein dürften und somit nicht mehr auf ihre Richtigkeit kontrolliert werden können.

Speicherung gegen EU-Recht

Trotz eines Urteils des EU-Gerichtshofes speichert Dänemark weiter Daten ohne konkrete Verdachtsmomente. Ende 2016 stellte der Europäische Gerichtshof fest, dass kein EU-Staat die Telekommunikationsanbieter verpflichten dürfe, Vorratsdaten zu speichern, da dies gegen Grundrechte verstößt. Deutschland hat die Speicherung daraufhin ausgesetzt. (hcz)

Andere Staaten größte Bedrohung für 5G-Netz

2019-08-21T10:00:00+02:00

Das neue Mobilfunknetz 5G wird in Zukunft mit Sicherheit das Ziel von Hackern. Die Bundesregierung sieht die größte Gefahr von staatlich beauftragten Angreifern ausgehen und beispielsweise nicht von kriminellen Banden.

Im Werbevideo mischt Huawei kräftig mit beim 5G-Ausbau. Doch Sicherheitsbedenken der EU könnten den Wunsch zunichtemachen.

#more#

Die Bundesregierung sieht beim Ausbau der neuen 5G-Mobilfunknetze staatliche Hackerangriffe als das größte Sicherheitsrisiko an. In einer Antwort an die EU-Kommission, die von dem Portal netzpolitik.org veröffentlicht wurde, heißt es, von Staaten gesteuerte Angreifer seien eine größere Bedrohung als organisierte Banden, einzelne Hacker oder versehentliche Systemausfälle.

Die EU-Kommission erstellt derzeit eine Risikobewertung für die Sicherheit der 5G-Netze in Europa und hat dazu die jeweiligen Einschätzungen der Mitgliedstaaten abgefragt. In der EU wird vor allem diskutiert, ob die Beteiligung des chinesischen Konzerns Huawei beim Aufbau des 5G-Netzes ein besonderes Risiko darstellt.

Einschätzung nach “Bauchgefühl”

Huawei gehört zu den führenden Anbietern der 5G-Mobilfunktechnik, die unter anderem deutlich schnellere Datenübertragungsraten bringen soll. In den USA und auch in Deutschland sind die Chinesen aber zuletzt wegen Sicherheitsbedenken rund um Datennetzwerke unter Druck geraten. Die USA werfen Huawei vor, Spionage-Hintertüren in Produkte einzubauen und eng mit dem chinesischen Staat zusammenzuarbeiten. Einen konkreten Nachweis von Sicherheitslücken ist die US-Regierung bislang aber schuldig geblieben. Die Bundesregierung gibt in ihrer Antwort zu, dass die Einschätzung “sehr grob” sei und auf Vorerfahrungen und dem “Bauchgefühl” basiere.

Das Papier der Bundesregierung – was vom BSI angefertig wurde – listet sechs wesentliche Risikoszenarien auf. Ein Szenario könnte sich auf Huawei beziehen, allerdings wird der Firmenname nicht genannt: “Datenspionage, die eingeleitet wird von Nationalstaaten oder staatlich unterstützten Akteuren und die auf rechtlichen Verpflichtungen für Hersteller oder nicht dokumentierten Funktionen beruht”. Die Passage könnte sich aber auch auf den amerikanischen Huawei-Wettbewerber Cisco beziehen. An anderer Stelle wird insbesondere vor der Abhängigkeit von einem einzelnen Hersteller gewarnt. (dpa)

Google: Hunderttausende kompromittierte Login-Daten in Gebrauch

2019-08-19T16:00:00+02:00

Hundertausende Nutzer des Browsers Google Chrome verwenden Login-Daten, die bereits kompromittiert sind und in öffentlichen Datenbanken auftauchen.

#more#

Die Warnung des Google-Plug-ins ist eindeutig, dennoch hören auf sie nur wenige Nutzer.

Viele der im Internet verwendeten Kombinationen aus Nutzernamen und Passwort sind bereits öffentlich bekannt und kompromittiert. Das stellte Google mithilfe seines Browsers Chrome fest und veröffentlichte die Ergebnisse in einer Studie. Analysiert wurden die Login-Daten von 650.000 Nutzerinnen und Nutzern. Innerhalb des ersten Monats kamen so 21 Millionen Login-Daten zusammen. Davon stufte Google rund 316.000 als unsicher ein, also rund 1,5 Prozent.

Ermittelt hat Google die Statistikdaten mithilfe des hauseigenen Chrome-Plug-ins Password Checkup. Das Tool gleicht in Echtzeit alle im Browser eingegebenen Passwörter in Kombination mit dem Nutzernamen mit einer Datenbank ab. Die Datenbank besteht aus 4 Milliarden Login-Daten, die aus Datenpannen und Hacks bekannt sind. Nutzt man ein kompromittiertes Login, gibt Password Checkup eine Warnung heraus und fordert dazu auf, das Passwort zu ändern.

Laut Google nutzen viele die gefährlichen Passwörter auch für besonders sicherheitssensitive Dienste aus den Bereichen Finanzen, Verwaltung oder E-Mail. Noch stärker verbreitet seien die kompromittierten Daten beim Login auf Shopping-, Nachrichten- und Unterhaltungs-Seiten – also beispielsweise Video-Streaming-Plattformen. Auf den Seiten sind oft auch heikle Daten wie Kreditkarten hinterlegt. Auf kleineren, unpopuläreren Seiten nutzten die Besucher 2,5-mal öfter kompromittierte Daten als bei den größeren Diensten.

Vertrauen vorausgesetzt

Passwort-Überprüfungen solcher Art sind mit Vorsicht zu genießen. Denn sie setzen voraus, dass man dem Anbieter solcher Dienste – in diesem Fall Google – absolutes Vertrauen entgegenbringt. Die Passwörter kommen in Klartext beim Anbieter an und werden meist für die statistische Auswertung in eine Datenbank übernommen. Streng gesehen sind die übertragenen Passwörter also durch die Überprüfung selbst kompromittiert.

In der neuen Version des Plug-ins gibt Google dem Nutzer zumindest die Option aus der “anonymen Berichterstellung”, also der Statistikerfassung auszusteigen. Die Option finden Sie, wenn Sie im Chrome-Browser auf das Symbol des Plug-ins klicken und dann auf “erweiterte Einstellungen”. Google hat angekündigt, die Passwort-Überprüfung auch in andere Produkte einzubauen, also beispielsweise Apps.

Warnungen bleiben ungehört

Gerade einmal 26 Prozent der Nutzerinnen und Nutzer reagierten auf die Warnung des Google-Plug-ins und änderten anschließend ihr Passwort. Der Großteil der Nutzer surfte einfach mit den kompromittierten Daten weiter. Nehmen die Nutzer und Nutzerinnen hingegen die Warnung ernst und wechseln ihr Passwort, weist das neue Passwort meist eine höhere Sicherheit auf – beispielsweise dadurch, dass keine vollständigen Worte verwendet werden oder dadurch, dass Sonderzeichen darin auftauchen.

Neu gewählte Passwörter sind meist sicherer als die zuvor verwendeten. (Quelle: Google)

Gegenmaßnahmen

Die einfachste Methode sich vor Passwortdiebstählen zu schützen, ist für jeden Dienst und jede Webseite ein unterschiedliches Passwort zu verwenden. Ist eines der Passwörter kompromittiert und taucht beispielsweise in einer Datenbank auf, sind dadurch immerhin nicht die anderen Accounts gefährdet. Um sichere Passwörter zu erstellen und zu speichern, hilft beispielsweise ein Passwort-Manager. (hcz)

Kaspersky gefährdete die Privatsphäre der Nutzer

2019-08-16T16:30:00+02:00

Wer den Kaspersky-Virenschutz installiert hat, konnte beim Surfen im Internet jahrelang identifiziert werden. Das Computermagazin c’t fand heraus, dass die Software den HTML-Code der besuchten Webseiten manipulierte.

#more#Vor Viren schützen die Kaspersky-Programme, gleichzeitig ließen sie aber Rückschlüsse auf das Surfverhalten des Nutzer zu.

In der Virenschutz-Software von Kaspersky hat nach Analysen des Computermagazins c’t über Jahre ein Datenleck geklafft, das die Privatsphäre der Nutzer gefährdete. Demnach hätten Webseitenbetreiber darüber die Nutzer beim Surfen verfolgen können, berichtet das Magazin in seiner aktuellen Ausgabe 18/19. Selbst der Inkognito-Modus eines Browsers habe daran nichts geändert, schreibt c’t-Redakteur Ronald Eikenberg. Betroffen sein sollen alle Software-Versionen für private Windows-Nutzer sowie Pakete für kleine Unternehmen.

Seit Juni bietet Kaspersky einen Patch an und veröffentlichte auch einen offiziellen Sicherheitshinweis, in dem das Problem und die Lösung beschrieben wird. Wer auf Nummer sicher gehen möchte, sollte die verantwortlichen Funktionen in den Einstellungen der Kaspersky-Software deaktivieren. Die Einstellung dazu finden Sie, indem Sie im Hauptfenster der Software unten links auf das Zahnradsymbol klicken. Dort wählen Sie “Erweitert/Netzwerk” aus und deaktivieren unter “Verarbeitung des Datenverkehrs” die Option “Skript für die Interaktion mit Webseiten in den Datenverkehr einbinden”.

Verhalten nur von Trojanern bekannt

Der Analyse zufolge fügt die Antiviren-Software beim Aufrufen einer Webseite ein Skript in den HTML-Code ein, egal welchen Browser man benutzt. Es ist dafür zuständig, grüne Schutzschilde hinter Google-Suchtreffern einzublenden, wenn ein Link nach Einschätzung von Kaspersky sauber ist. Über das JavaScript war aber auch jeder Nutzer eindeutig zu identifizieren. “Bisher kannte ich dieses Verhalten nur von Online-Banking-Trojanern”, schreibt Eikenberg.

Steuerte der Kaspersky-Nutzer eine Webseite an, ergänzte das Antiviren-Programm den HTML-Code der Seite um einige Code-Zeilen und speicherte die Daten wie üblich auf dem Rechner des Nutzers. Innerhalb der ergänzten Zeilen fand sich eine individuelle Identifikationsnummer. Das bedeutet, dass jede beliebige Website den von Kaspersky gesetzten ID-Code auslesen und selbst zum Tracken missbrauchen konnte.

Nachdem die c’t den russischen Hersteller über das Problem informierte, hat Kaspersky das Leck bestätigt. Der Hersteller geht jedoch davon aus, dass ein tatsächlicher Missbrauch unwahrscheinlich sei, weil eine mögliche Attacke darüber “zu komplex und nicht profitabel genug für Cyberkriminelle” sei. Allzu kompliziert ist das Auslesen der ID allerdings nicht: Übliche Werbetracker suchen bereits gezielt nach Anhaltspunkten zur Identifikation des Nutzers beziehungsweise des verwendeten Gerätes.

Problem nicht ganz gelöst

Und selbst mit dem aktuellen Patch schleust die Kaspersky-Software weiterhin ein Skript mit einer ID ein. Allerdings ist diese ID nun für alle Nutzer identisch – einzelne Anwender können damit nicht mehr identifiziert werden. Angreifer können jedoch immer noch herausfinden, ob ein Besucher die Kaspersky-Software auf seinem System installiert hat und wie alt diese ungefähr ist. Diese Information kann genutzt werden, um einen auf die Schutzsoftware zugeschnittenen Angriff zu starten. (dpa / hcz)

Identitätsdiebstahl mittels DSGVO-Auskunft

2019-08-15T14:00:00+02:00

Das Auskunfttsrecht der DSGVO kann dazu missbraucht werden, fremde Identitäten zu übernehmen. Ein britischer Student gelangte dadurch an zahlreiche geschützte Informationen über seine Freundin. Kontrollen der Auskunftsgeber sind zu lasch.

Eigentlich soll die Datenschutzgrundverordnung (DSGVO) den Nutzerinnen und Nutzern mehr Kontrolle über ihre Daten geben. Nun hat der Oxford-Student James Pavur aber demonstriert, dass auch genau das Gegenteil möglich ist. Er nutzte das Auskunftsrecht der DSGVO unter falschem Namen, um personenbezogene Daten bei Organisationen zu sammeln, zu denen eigentlich nur der zugehörige Nutzer Zugriff haben sollte – in diesem Fall seine Freundin.
#more#

Die Black Hat Konferenzen führen Sicherheitsexperten und Hacker zusammen und finden weltweit an verschiedenen Orten statt.

Auf der Black Hat Konferenz in Las Vegas stellte Pavur seine Studie vor, für die er 150 Organisationen unter falschem Namen anschrieb und die Herausgabe aller personenbezogenen Daten forderte. Für die Kontaktaufnahme legte er sich eine E-Mail-Adresse auf den Namen seiner Partnerin und Mitautorin Casey Knerr an. Ob Knerr die Dienste jemals genutzt hatte und dort Daten hinterlegt waren, wusste Pavur nicht. Um die Glaubwürdigkeit seiner Anfragen zu untermauern, fügte er zusätzliche Informationen zu seiner Freundin in die Ersuchen ein – es handelte sich ausschließlich um öffentlich zugängliche Daten.

kaum Sicherheitsmechanismen

72 Prozent der Organisationen reagierten auf die Anfragen. Laut der Studie ging aus zwei Drittel der Antworten hervor, ob Knerr die Dienste nutzte beziehungsweise ob Daten vorlagen. Allein diese Information ist heikel, da es sich unter anderem um Dating-Platformen handelte. 24 Prozent der Unternehmen gaben sämtliche Daten heraus, ohne die Identität des Anfragenden nochmals zu überprüfen. Darunter befanden sich Kreditkartendaten, Passwörter und die Sozialversicherungsnummer. 16 Prozent forderten nur eine schwache Identitätsüberprüfung, die Pavur mit wenig Aufwand umging. Es ging beispielsweise um Geräte-Cookies oder eine einfache schriftliche Erklärung, tatsächlich die angegebene Person zu sein. 5 Prozent der Organisationen gaben an, keine Daten über Knerr gespeichert zu haben, obwohl sie Nutzerin war. Rund 3 Prozent verstanden die Anfrage falsch und löschten den Account, statt die Daten herauszugeben.

Der Fehler liegt allerdings nicht bei der DSGVO selbst als vielmehr bei den Firmen und Organisationen, die ihr gegenüber verpflichtet sind. Sie dürften eigentlich erst die gespeicherten Daten herausgeben, wenn die Identität des Anfragenden zweifelsohne geklärt ist. Zugleich müssen die Firmen aber innerhalb eines Monats auf die Anfrage reagieren, da sonst Geldbußen drohen. Für einige ist dies offensichtlich zu wenig Zeit oder schlichtweg ein Ressourcenproblem. Pavur plädiert dazu, den Unternehmen die Angst zu nehmen, Geldbußen zu kassieren, weil sie verdächtige Anfragen ablehnen. (hcz)

Verfassungsbeschwerde gegen Zensus-Test

2019-08-13T17:30:00+02:00

Für die Volkszählung 2021 werden nicht anonymisierte Daten von 82 Millionen Bürgern an zentraler Stelle gesammelt. Dagegen klagt ein Verein nun vor dem Bundesverfassungsgericht.

Karlsruhe – Die Gesellschaft für Freiheitsrechte (GFF) hat Verfassungsbeschwerde gegen die Übermittlung von Meldedaten zur Vorbereitung der Volkszählung 2021 eingereicht. Für den Test der Volkszählung werden nicht anonymisierte Daten aller gemeldeten Bürgerinnen und Bürger an das Statistische Bundesamt übermittelt: so etwa Name, Geschlecht, Familienstand und Religionsgemeinschaft. Dort werden sie bis zu zwei Jahre zentral gespeichert, dürfen aber nicht für andere Zwecke verwendet werden. Die GFF hält das für unverhältnismäßig – ein Test mit fiktiven Daten oder eine Stichprobe seien ausreichend.

Ein Sprecher des Bundesverfassungsgerichts bestätigte am Montag den Eingang einer entsprechenden Beschwerde. Mit einem Eilantrag gegen den Mitte Januar gestarteten Testlauf war der Verein gescheitert. Die Richter entschieden damals, dass die Nachteile des Tests nicht deutlich genug das Interesse des Gesetzgebers an einer guten Vorbereitung des Zensus überwiegten. Die Daten werden momentan bereits innerhalb des Testlaufs verarbeitet. Daher liege das Ziel der GFF nun darin, “das Risiko [zu] reduzieren, dass sich Dritte die echten Daten von über 82 Millionen Menschen beschaffen.” Außerdem wolle man zukünftige Testläufe verhindern. Die GFF hofft, dass das Zusammenführen aller Meldedaten zu bloßen Testzwecken nun im Hauptsacheverfahren für verfassungswidrig erklärt wird.

Hintergrund

Zehn Jahre nach der letzten Volkszählung steht 2021 wieder ein Zensus an. 2018 hat der Bundestag das “Zensusvorbereitungsgesetz 2021” um einen Testlauf erweitert. Die GFF kritisiert in diesem Zusammenhang, dass der Paragraf zum Testlauf sehr kurzfristig beschlossen wurde und der Gesetzgeber “der Zivilgesellschaft so kaum Zeit zur Reaktion gelassen” hat. Laut des Zusatzparagraphen mussten die Meldeämter dem Statistischen Bundesamt im Januar Datensätze zu allen in Deutschland gemeldeten Personen zukommen lassen. Zu jeder Person werden 46 persönliche Angaben weitergegeben.

Es wäre das erste Mal, dass solch detaillierte Datensätze über alle Bürgerinnen und Bürger an zentraler Stelle zusammengeführt werden. Die GFF sieht diese Datensammlung als attraktives Ziel für Hacker und in der Ansammlung einen “Verstoß gegen datenschutzrechtliche Grundsätze”. Ein weiterer Kritikpunkt ist, dass überhaupt Daten wie die Religionszugehörigkeit, Migrationshintergrund und Geschlechtsidentität abgefragt werden. (dpa / hcz)

Microsoft-Mitabeiter lauschen Skype-Gesprächen

2019-08-08T16:40:00+02:00

Auch Microsoft-Mitarbeiter hören Sprachaufnahmen von Nutzern ab. Dabei belauschen sie nachträglich Skype-Telefongespräche, bei denen die Übersetzungsfunktion Translator genutzt wurde.

Auch Skypes Übersetzungs-KI funktioniert nicht ohne menschliche Hilfe.Microsoft

#more#

Microsoft ordnet sich in eine Reihe mit Apple, Amazon und Google: Denn der Konzern scheint ebenfalls Aufnahmen seiner Nutzer mithilfe von Mitarbeitern und Dienstleistern abzuhören. Es geht um Gespräche, die über die Videochat-Plattform Skype geführt wurden. Seit 2015 ist die automatische Übersetzungsfunktion Translator integriert, die das Gesprochene automatisch transkribieren und übersetzen kann. Um die Funktion weiter anzulernen und Korrekturen durchzuführen, hören Microsoft-Mitarbeiter und Vertragspartner einige der Aufnahmen an.

Ans Licht kamen die Informationen zu Skype über das US-Online-Magazin Motherboard. Die Redaktion sei von einem Informanten kontaktiert worden, der interne Dokumente, Screenshots und Audioaufnahmen lieferte. Letztere hätten eine Länge von 5 bis 10 Sekunden. Unter den Aufnahmen befinden sich auch intime Gespräche über Beziehungsprobleme, Gewichtsverlust und Telefonsex.

Microsoft bezieht Stellung

Gegenüber Motherboard äußerte sich Microsoft bereits, zeigte aber wenig Einsicht: Die Datenanalyse diene der Verbesserung der Services. Die Firma strenge sich an, transparent damit umzugehen, wie die Sprachdaten gesammelt und genutzt würden. Es gäbe einige Prozeduren, die dazu dienten, den Datenschutz der Nutzer zu priorisieren, bevor die Daten weitergegeben würden. Die Daten würden möglichst anonymisiert und es werden Verschwiegenheitserklärungen mit Geschäftspartnern vereinbart. Microsoft verweist darauf, dass bereits in der FAQ des Translators stehe, dass Audioaufnahmen dazu genutzt werden, die Produkte zu verbessern.

Dennoch bestehen zwei Probleme: Weder in der englischsprachigen noch in der deutschen Fassung der FAQ ist explizit die Rede davon, dass sich Menschen die Aufnahmen anhören. In der englischen Version heißt es: “[dass] Sätze und automatische Abschriften analysiert werden.” Die deutsche Fassung hat hingegen ein massives Übersetzungsproblem an der ausschlaggebenden Stelle: "Mit denen die Übersetzung und Speech Recognition Technologie Hier erfahren Sie, und wachsen, Sätze und automatische Protokolle analysiert und alle Korrekturen in unserem System, um weitere leistungsfähige Dienste erstellen eingegeben werden.“

Zudem zeigt gerade der Fall des Whistleblowers, dass die Daten in Microsofts System nicht sicher sind. Gegenüber Motherboard behauptet der Konzern das Gegenteil: “Audiodaten sind für Vertragspartner nur über ein sicheres Online Portal verfügbar.” Motherboard hat außerdem einschlägige Jobanzeigen von Microsofts Vertragspartnern gefunden, die von Heimarbeit sprechen. Somit besteht die Gefahr, dass Aufnahmen außerhalb der kontrollierten Geschäftsräume abgespielt werden und Ncht-Angestellte sie hören.

Die Nutzer würden es nicht mögen

Der Informant kommentiert den Fall gegenüber Motherboard mit Bedenken: “Ich habe generell das Gefühl, […] dass wenn Microsoft-Nutzer wüssten, dass wahllose Leute zu Hause in ihren Schlafanzügen sitzen und eventuell über das Gesagte Scherze mit ihren Freunden machen, sie das nicht mögen würden.”

Erst in den letzten Wochen kam heraus kam heraus, dass sowohl Amazon, Google als auch Apple die Audioaufnahmen ihrer Nutzer von Menschen abhören lassen. Die Konzerne reagierten größtenteils damit, die Prozedur zumindest temporär einzustellen. (hcz)

Twitter gibt versehentlich Nutzerdaten weiter

2019-08-07T16:00:00+02:00

Werbekunden von Twitter konnten auf Nutzerdaten zugreifen, zu denen sie eigentlich keinen Zugang haben sollten. Wer betroffen ist, ist unklar. Twitter entschuldigt sich.

Einige Daten von Twitter-Nutzern könnten ohne deren Wissen mehr als ein Jahr lang mit Werbekunden des Dienstes geteilt worden sein. Zu den Informationen gehöre etwa der Länder-Code des Nutzers sowie ob und gegebenenfalls wann die Anzeige angesehen wurde, erklärte Twitter in der Nacht zum Mittwoch. Durch den Fehler seien Nutzern möglicherweise seit Mai 2018 auch auf Basis unzulässig gesammelter Daten personalisierte Werbeanzeigen angezeigt worden. Informationen zu Passwörtern oder E-Mail-Konten seien nicht betroffen. Die Probleme seien am 5. August behoben worden.

“Es tut uns leid”

Wie viele Nutzer davon betroffen sind, werde noch untersucht. Das in San Francisco ansässige Unternehmen entschuldigte sich: “Sie vertrauen darauf, dass wir Ihre Auswahl einhalten, wir haben dabei versagt”, schrieb Twitter mit Blick auf die persönlichen Einstellungen. “Es tut uns leid, dass das passiert ist.” Das Unternehmen treffe Vorkehrungen, damit sich ein solcher Fehler nicht wiederhole.
#more#

Ein paar Datenschutz-Optionen gibt Twitter dem Nutzer an die Hand. Doch sind Erklärtexte unklar und ganz Abschalten kann man die Datenerfassung nicht.

In den Einstellungen des Twitter-Accounts kann der Nutzer festlegen, wie einige seiner Daten genutzt werden dürfen. So kann man beispielsweise entscheiden, ob Werbeanzeigen “noch stärker” durch das Erfassen weiterer Online-Aktivitäten personalisiert werden sollen. Formulierungen zur Standorterfassung sind nicht ganz klar gefasst, so heißt es in den Einstellungen: “Twitter nutzt immer einige Informationen, etwa deinen Standort zum Zeitpunkt der Registrierung und deinen aktuellen Standort, um dir relevantere Inhalte zu zeigen. Wenn diese Einstellung aktiviert ist, kann Twitter auch mithilfe anderer Orte, an denen du gewesen bist, deine Erfahrung personalisieren.” Welche anderen Orte damit gemeint sind, ist nicht ganz klar. Denn der aktuelle Standort wird scheinbar sowieso immer von Twitter erfasst. Auch die Quelle, wo sich Twitter dieser Daten bedient, bleibt ungenannt. Die Datenschutzeinstellungen finden Sie auf der Twitter-Webseite im Seitenmenü unter “mehr → Einstellungen und Datenschutz → Datenschutz und Sicherheit → Individualisierung und Daten”. Deaktiviert man diese Optionen, verhilft das zwar bei weitem noch nicht zu einem kompletten Schutz der persönlichen Daten, aber man kann das Sammeln zumindest ein klein wenig einschränken.

Werbung als Geschäftsmodell

Der Verkauf von Werbeplätzen und das damit verbundene Sammeln und Teilen von Nutzerdaten ist Twitters Kerngeschäft: Der Umsatz stieg im letzten Jahresvergleich um 18 Prozent auf 841 Millionen US-Dollar (rund 750 Mio Euro). Die Zahl täglich aktiver Nutzer, denen Twitter Werbung zeigen kann, steigerte sich binnen drei Monaten von 134 auf 139 Millionen. Die Anzeigen gibt es auf der Website von Twitter sowie in hauseigenen Apps des Dienstes auf Mobilgeräten zu sehen.

Zugleich gibt es einige spezialisierte Programme zur Twitter-Nutzung ohne Werbung. Doch auch hier muss man aufmerksam sein, wenn man dadurch die Infrastruktur von Twitter umgehen möchte: TweetDeck – einer der populärsten Programme dieser Art – wurde beispielsweise 2011 von Twitter selbst gekauft. Unter anderem deswegen sollte man nicht davon ausgehen, dass man mithilfe der Programme von Drittanbietern zwangsweise Twitters Datenerfassung und Werbenetzwerk entgeht. (dpa / hcz)

Alexa, Siri und Assistant - der Mitarbeiter hört mit

2019-08-06T17:00:00+02:00

Trotz Algorithmen, Automatisierung und KI – Sprachassistenten wie Apple Siri, Amazon Alexa und Google Assistant brauchen Menschen, die ihnen beim Lernen helfen – und Sprachaufnahmen abhören. Dass dabei der Datenschutz teils massiv verletzt wird, ist nun bekannt geworden.

Die Zeitarbeitsfirma Randstad in Polen suchte per Anzeige Mitarbeiter für die Auswertung von Alexa-Sprachaufnahmen – soweit, so normal. Dabei bewarb sie die Jobs allerdings mit “Telearbeit im ganzen Land”. Der Auftraggeber war Amazon. Wie die Welt am Sonntag berichtete, hörten die Mitarbeiter die Aufnahmen außerhalb der kontrollierten Geschäftsräume des Unternehmens ab. Konkret spricht die Welt von den privaten Wohnungen. Das ist deswegen problematisch, weil die Aufnahmen teils höchst persönliche oder gar intime Informationen enthalten. Gelegentlich sei eine eindeutige Identifikation der Personen möglich, durch genannte Namen oder Orte. Aus Sicht des Datenschutzes müsste eigentlich unbedingt verhindert werden, dass nicht angestellte Personen die Aufnahmen hören könnten.
#more#

Schwer zu finden und verklausuliert: Die Einstellung, um seine Alexa-Befehle nicht abhören zu lassen.

Gegenüber der Welt am Sonntag bezeichnete einer der polnischen Mitarbeiter die Arbeit als “ideale Hausfrauentätigkeit”. Viele Kollegen kombinierten den Job mit der Kinderbetreuung zu Hause. Die entsprechenden Job-Anzeigen sind mittlerweile verschwunden. Gesucht wurden polnische Mitarbeiterinnen und Mitarbeiter mit Deutschkenntnissen auf Muttersprachniveau.

Dass Menschen die Aufnahmen von Alexa anhören, war bereits bekannt: Zwar erkennen die Algorithmen der Sprachassistenten einen Großteil der gesprochenen Sprache; um das System aber weiter anzulernen, müssen einige Aufnahmen von Menschen transkribiert werden. Bislang hatte Amazon beteuert, dass dies nur in geschützten Büros mit Zutrittsbeschränkungen passiere. Die Recherche der Welt hat diese Behauptung widerlegt.

Abhören abschalten

Amazon reagierte bereits auf die Kritik: Ein Sprecher sagte, dass es einigen Mitarbeitern gestattet sei, von anderen Orten aus zu arbeiten. “Dabei gelten strenge Sicherheitsmaßnahmen und Richtlinien, an die sich jeder Mitarbeiter halten muss.” Die Arbeit an öffentlichen Orten sei nicht erlaubt.

Zudem hat Amazon in die Alexa-App einen Schalter eingebaut, der verhindert, dass Mitarbeiter die Aufnahmen anhören. Den Schalter finden Sie in der Alexa-App unter “Einstellungen→Alexa Datenschutz→Legen Sie fest, wie Ihre Daten Alexa verbessern sollen”. Sowohl die Bezeichnung des Menüpunktes als auch die Erklärungen rund um den Schalter sind recht verklausuliert. Dort heißt es unkonkret, dass die Sprachaufnahmen möglicherweise “manuell überprüft” werden. “Hierbei wird nur ein sehr kleiner Anteil der Sprachaufnahmen manuell überprüft.” Des Weiteren wird bei Ändern der Einstellung davor gewarnt, dass Spracherkennung und neue Funktionen möglicherweise nicht ordnungsgemäß arbeiten. Wieso dies der Fall sein sollte, ist unklar. Schließlich dürfte die Überprüfung der Sprachaufnahmen keinen direkten Einfluss auf die aktuelle Funktionsfähigkeit von Alexa haben. Stattdessen dient die Datenanalyse nur dazu, neue Funktionen zu entwickeln oder Alexas Reaktionsqualität in Zukunft zu verbessern.

Google und Apple kaum besser

Anfang August wurde der Sprachassistent Google Assistant aus ähnlichen Gründen kritisiert wie nun Amazon: Hamburgs Datenschutzbeauftragter Johannes Caspar hat ein Verwaltungsverfahren gegen den Konzern eingeleitet wegen möglicher systematischer Verletzung der Privatsphäre und Verletzung der Datenschutzgrundverordnung (DSGVO). Grund für Caspars Reaktion waren durch niederländische Whistleblower veröffentlichte Aufnahmen, die teils sensible personenbezogene Informationen enthielten. Außerdem entstanden viele Aufnahmen wegen fehlerhafter Erkennung des Aktivierungsbegriffs.

Google hat daraufhin das Abhören der Aufnahmen bis Ende Oktober EU-weit ausgesetzt. Wie es danach weitergeht, ist unklar. Für mehr als drei Monate kann Caspar die Praxis sowieso nicht unterbinden, denn anschließend ist die irische Datenschutzbehörde für Google zuständig. Als weitere Reaktion veröffentlichte Google einen (englischsprachigen) Blog-Eintrag, in dem die Firma ihr Handeln erklärt. Sie verspricht den Nutzern besser zu erklären, wofür die Aufnahmen verwendet werden und zukünftige Leaks dieser Art zu verhindern.

Wie die britische Zeitung The Guardian Ende Juli aufdeckte, gibt auch Apple die von Siri aufgezeichneten Audiodaten an Drittfirmen weiter. Die Argumentation des Konzerns ist die gleiche wie bei den Konkurrenten: Die Auswertung soll dem Sprachassistenten helfen, den Nutzer besser zu verstehen und Fehlerkennungen zu minimieren.
Gegenüber des Technik-Blogs Techcrunch kündigte Apple an, das Überprüfungsverfahren vorerst weltweit einzustellen und den Nutzern zukünftig die Wahl zu lassen, ob ihre Aufnahmen verwendet werden dürfen.

In Apples Fall besteht das Problem weniger darin, dass Menschen die Aufnahmen anhören. Das Problem liegt vielmehr darin, dass der Konzern seine Partnerfirmen nicht nennt und es für den Konsumenten somit schwer nachzuvollziehen ist, wo seine Daten letztendlich landen. Apple versichert gegenüber dem Guardian: “Siri Reaktionen werden in sicheren Einrichtungen analysiert und alle Gutachter sind in der Verpflichtung Apples strenge Vertraulichkeitsanforderungen einzuhalten.” Auf diese Weise würden 1 Prozent der Aufnahmen analysiert.

Ein anonymer Whistleblower, der für Apple oder seine Partnerfirmen arbeitet, sagte dem Guardian, dass er mit einer Vielzahl versehentlicher Aufnahmen zu tun habe. Er oder sie hätte zahllose (“countless”) private Konversationen mitbekommen: Ärzte, die mit ihren Patienten Diagnosen besprechen, Geschäftsgespräche, kriminelle Geschäftsgespräche und sexuelle Begegnungen. Die Apple Watch und der smarte Lautsprecher HomePod seien die häufigsten Quellen für versehentlich ausgelöste Aufnahmen. Laut der Quelle würden zu den Aufnahmen Nutzerdaten wie Standorte, Kontaktdaten und App-Daten geliefert werden. Obwohl Apple in seinen Dokumenten davon spricht, dass die Siri-Daten nicht mit den Informationen der anderen hauseigenen Dienste verknüpft würden.

Aufnahmen löschen

Wer nicht auf die Sprachassistenten verzichten und dennoch ein klein wenig mehr Kontrolle über seine Daten möchte, kann die gespeicherten Sprachdaten bei Google und Amazon löschen. Bei Ersterem kann man die Aufnahmen hier entweder manuell entfernen oder eine Automatik einstellen. Amazon erlaubt hier unter “Alexa-Datenschutz” nur die manuelle Löschung, so dass man regelmäßig aktiv werden muss. Apple bietet bislang keine vergeichbare Möglichkeit, kündigte aber an, eine solche Funktion per Update nachzuliefern. (hcz)

Mailvelope 4.0: Browser-Add-on mit erhöhter Sicherheit und neuer Bedienoberfläche

2019-08-02T16:01:00+02:00

Das Browser-Add-on Mailveleope ist in der Version 4.0 erschienen. Das Update lohnt sich, denn dank eines BSI-Audits wurden sicherheitsrelevante Bugs entfernt. Zudem haben die Entwickler die Bedienoberfläche modernisiert.

Berlin (Posteo) – Um Mails per OpenPGP zu verschlüsseln, muss man in den meisten Fällen ein separates Mail-Programm wie Thunderbird installieren. Das kostenlose Browser-Add-on Mailvelope erlaubt eine echte Ende-zu-Ende-Verschlüsselung auch im Browser: direkt im Webmailer des jeweiligen Anbieters. Nun ist das Programm in Version 4.0 erschienen und bietet einige Anreize zum Update.

Einfach und übersichtlich: Auch nach dem Update bleibt Mailvelope intuitiv zu bedienen.

Auffälligste Änderung ist die neue Bedienoberfläche. Sie wirkt deutlich moderner und lebendiger als in Vorgängerversionen. Geblieben ist sind die Übersichtlichkeit und die selbsterklärende Bedienung. Nach der Installation nicht wundern: Das Logo des Add-ons hat sich ebenfalls geändert. Wer noch keinen eigenen PGP-Schlüssel besitzt, kann diesen bei der Einrichtung von Mailvelope erstellen lassen.

Zudem haben die Entwickler zahlreiche Bugs entfernt, die im Rahmen eines Sicherheits-Audits des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gefunden wurden. Um welche Fehler es sich gehandelt hat, werden die Entwickler in einem Audit-Bericht dokumentieren. Er soll in Kürze veröffentlicht werden.

Update installieren

Mailvelope ist kostenlos für die Browser Firefox und Chrome erhältlich und steht unter Open-Source-Lizenz. Es funktioniert mit vielen großen Mail-Providern und kann auch mit dem Posteo-Postfach kombiniert werden. Der Download ist etwa 3 Megabyte groß. Wer bereits eine frühere Version installiert hat, kann die Aktualisierung über die Add-on-Verwaltung des Browsers anstoßen; je nach Update-Einstellungen geschieht dies auch automatisch.

Wie Sie Mailvelope für ihren Posteo-Account einrichten und nutzen, lesen Sie in unserer Hilfe.

EuGH: Auch Websites beim "Like"-Button mit in der Verantwortung

2019-07-29T13:30:00+02:00

Viele Websites binden Facebooks “Like”-Button ein, der Daten wie die IP-Adresse von Nutzern überträgt. Die Website-Betreiber können laut einem Urteil die Verantwortung dafür nicht allein Facebook überlassen, sondern müssen bei Nutzern eine Einwilligung einholen.

Luxemburg (dpa/Posteo) – Der Europäische Gerichtshof (EuGH) entschied am Montag, dass die Seiten-Betreiber für das Erheben und Übermitteln von Daten über den Facebook-“Like”-Button mit verantwortlich sind. Für die anschließende Informations-Verarbeitung ist allerdings Facebook allein zuständig. Von der Entscheidung dürften auch ähnlich funktionierende Plug-ins betroffen sein. Die Einwilligungspflicht dürfte zum Beispiel auch für Facebooks “Teilen”-Button gelten. Der “Like”-Button überträgt beim Laden einer Website mit Facebook-Einbindung die IP-Adresse, die Webbrowser-Kennung sowie Datum und Zeit des Aufrufs. Auch dann, wenn der betreffende Website-Besucher den “Like”-Button nicht angeklickt hat – oder überhaupt keinen Facebook-Account besitzt.
#more#
Für uns selbstverständlich: Keine Social-Media-Plugins bei Posteo

Aus diesem Grund binden wir bei Posteo übrigens grundsätzlich keine Social-Media-Plugins, Werbung oder Captchas von Drittanbietern ein: unserer Überzeugung nach sollte dieser konsequente Verzicht für datenschutzfreundliche Internetangebote selbstverständlich sein.

Die Richter in Luxemburg befassten sich mit dem “Like”-Button wegen eines Streits zwischen der Verbraucherzentrale Nordrhein-Westfalen und dem Mode-Online-Händer Fashion ID der Peek & Cloppenburg KG aus dem Jahr 2015. Die Verbraucherzentrale hatte argumentiert, die Verwendung des “Gefällt mir”-Buttons verstoße gegen Datenschutzrecht – und reichte eine Unterlassungsklage gegen Fashion ID ein. Das Oberlandesgericht Düsseldorf bat den EuGH dann 2017 um die Auslegung mehrerer Datenschutz-Bestimmungen.

Außerdem bestätigte der EuGH das Klagerecht deutscher Verbraucherverbände in Datenschutz-Fragen auf europäischer Ebene auch nach der damals geltenden alten europäischen Richtlinie. Die seit Mai 2018 greifende Datenschutzgrundverordnung (DSGVO) sieht das Klagerecht für Verbände bereits ausdrücklich vor.

Die Verbraucherzentrale feierte den Ausgang des Verfahrens. “Durch das heutige EuGH-Urteil hat die Verbraucherzentrale NRW mit ihrer Klage gegen das Unternehmen Fashion ID eine Stärkung der Verbraucher-Datenschutzrechte beim Facebook-Like-Button mit Signalwirkung erreicht”, erklärte Vorstand Wolfgang Schuldzinski. “Der Praxis von Facebook, mittels des Like-Buttons Daten ohne Wissen der Nutzer abzugreifen, um sie für weitere Zwecke – etwa für passgenaue Werbung – zu verwenden, wird nun ein Riegel vorgeschoben.”

Beliebte Foto-App: Bundesdatenschutzbeauftragter warnt vor "FaceApp"

2019-07-18T15:00:00+02:00

Die Foto-App “FaceApp” ist derzeit sehr beliebt: Sie lässt Menschen auf Fotos altern und sorgt für viel Spaß im Netz. Doch nun warnt der Bundesdatenschutzbeauftragte Ulrich Kelber vor der Nutzung. Und ein US-Demokrat schaltet das FBI ein.

Baden-Baden (dpa/Posteo) – Es gebe die Besorgnis, “dass wichtige persönliche Daten in die falschen Hände geraten könnten”, sagte Kelber am Donnerstag in der Radiosendung “SWR Aktuell”. Der Datenschützer monierte unter anderem “schwammige Nutzungsbedingungen”. Besorgniserregend sei auch, dass nur wenig darüber bekannt sei, wer hinter FaceApp stecke.
#more#
Es sei nicht bekannt, welche weiteren Daten bei der Nutzung erhoben werden, sagte Kelber. Außerdem könne es sein, dass persönliche Daten an Dritte weitergegeben würden. “Hier übergeben Sie also ein Foto von sich oder anderen, das biometrisch auswertbar ist, Ihnen also zugeordnet werden kann, an eine dritte, nicht bekannte Person.” Von den Anbietern fordert Kelber, sich an die grundlegendsten Dinge zu halten, etwa einen klaren Ansprechpartner zu benennen.

Die App der in Sankt Petersburg ansässigen Wireless Lab gibt es bereits seit 2017 für Android und Apples iOS. Mit ihr lässt sich auch die Hautfarbe oder das Geschlecht eines Gesichts verändern. Mit dem neuen Alters-Filter entwickelt sie sich allerdings wieder zum Hit in den App Stores. Auf Twitter und Facebook befeuern spezielle “Herausforderungen” (#FaceAppChallenge) den Hype. Auch viele Prominente hatten in den vergangenen Tagen gealterte Fotos von sich geteilt.

Uneingeschränkter Zugriff auf persönliche Daten

Doch Bedenken, was mit den hochgeladenen Daten geschieht, mehren sich. So forderte der Fraktionschef der Demokraten im US-Senat, Chuck Schumer, sogar die Bundespolizei FBI zu einer Untersuchung der populären App auf. Die von Russland aus betriebene App könne wegen ihres Umgangs mit persönlichen Daten ein nationales Sicherheitsrisiko sowie eine Gefahr für Millionen US-Bürger darstellen, schrieb er in einem am Mittwoch (Ortszeit) auf Twitter veröffentlichten Brief.

Für die Bearbeitung würden die Bilddateien auf Server hochgeladen und dort berechnet. Die Nutzer müssten dem russischen Unternehmen uneingeschränkten Zugriff auf ihre persönlichen Fotos und Daten gewähren, stellt Schumer in seinem Schreiben heraus. Dies könne dazu führen, dass die Bilder künftig öffentlich und privat ohne die Zustimmung der Nutzer benutzt würden.

“Es wäre zutiefst beunruhigend, wenn die sensiblen persönlichen Informationen von US-Bürgern einer feindlichen ausländischen Macht zur Verfügung gestellt würden, die aktiv an Cyber-Angriffen gegen die Vereinigten Staaten beteiligt ist”, schrieb Schumer weiter. Das FBI müsse deshalb untersuchen, ob Daten von US-Bürgern in die Hände der russischen Regierung oder ihr nahe stehenden Stellen gelangten.

Der russische App-Anbieter betont dagegen, dass jeweils nur die von Nutzern ausgewählten Fotos hochgeladen würden. Das Magazin “Forbes” berichtet, die Fotos würden auch nicht auf Servern in Russland, sondern auf Servern von Amazon und Google in den USA gespeichert. Dass die Daten dennoch in Russland ausgewertet werden könnten, sei damit jedoch nicht ausgeschlossen.

Auch sei es unklar, wie viel Zugriff FaceApp-Mitarbeiter auf die hochgeladenen Bilder hätten, schreibt “Forbes”. FaceApp-Gründer Jaroslaw Gontscharow betonte dem Magazin gegenüber, dass die meisten Bilder innerhalb von 48 Stunden nach dem Upload von den Servern wieder gelöscht würden. Nutzer könnten das automatische Löschen auch in den Einstellungen wählen. Gontscharow betonte zudem, dass sein Unternehmen Nutzerdaten weder verkaufe noch an Dritte weitergebe.

Zum Amazon-Prime-Day: Greenpeace fordert Verbot von Neuwaren-Vernichtung

2019-07-15T14:30:00+02:00

Greenpeace fordert anlässlich des heutigen Amazon-Prime-Day das Ende der massenhaften Neuwaren-Vernichtung bei Online-Händlern: Seit Sonntag-Abend harren die Umweltschützer auf dem Dach eines Hamburger Amazon-Gebäudes aus. Dort haben sie aus Versandkartons den Schriftzug “Für die Tonne” errichtet. Von der Bundesregierung fordern sie ein Ressourcenschutzgesetz.

Berlin (Posteo/GP-PE) – Rund ein Drittel der Online-Retouren gehen in Deutschland nicht zurück in den direkten Verkauf – und werden zum Teil vernichtet. Recherchen von “ZDF Frontal 21” und dem Magazin “Wirtschaftswoche” im Jahr 2018 hatten ergeben, dass an deutschen Amazon-Standorten täglich massenhaft neuwertige, retournierte Waren geschreddert werden.
#more#
Laut Greenpeace weigert sich Amazon bislang, konkrete Zahlen zur Vernichtung von Rücksendungen und vernichteter Ware offen zu legen. “Jeden Tag werden bei Amazon tausende neuwertiger Waren zerstört. Das ist ein Skandal”, sagt Viola Wohlgemuth, Expertin für Konsum bei Greenpeace. Sie kritisiert die Wegwerfmentalität der Versandhändler: “In jedem einzelnen sinnlos zerstörten Produkt stecken wertvolle Ressourcen”. Die Kunden hätten ein Anrecht darauf zu erfahren, wie viele der zurückgesendeten Produkte voll funktionstüchtig zerstört werden. Von der Bundesregierung fordert Greenpeace, die klimaschädliche Verschwendung von Ressourcen schnellstmöglich gesetzlich zu stoppen.

Prime Day: Ein schwarzer Tag für die Umwelt

Seit Mitternacht läuft der zweitägige “Amazon Prime Day”, an dem der weltgrößte Onlinehändler seinen “Prime”-Kunden besonders günstige Angebote macht. Im letzten Jahr wurden während des Events rund 100 Millionen Produkte verkauft. Mit den Bestellungen steigen auch die Retouren. Zum Premiumdienst “Prime” gehören neben einem Streaming-Dienst auch Versandvorteile. Er hat alleine in Deutschland rund 17,3 Millionen Abonnenten und erreicht damit knapp die Hälfte aller deutschen Haushalte.

Greenpeace fordert von der Bundesregierung bereits seit längerem ein Ressourcenschutzgesetz: Im Januar hatte die Umweltschutzorganisation dem Bundesumweltministerium eine Petition mit 145.000 Unterschriften überreicht. Die Unterzeichnenden forderten ein Zerstörungsverbot neuwertiger Waren nach dem Vorbild Frankreichs. Supermärkten ist dort bereits seit drei Jahren das Vernichten von Lebensmitteln verboten, nun will Frankreich auch das Vernichten unverkäuflicher Textilien und anderer Konsumgüter per Gesetz verbieten.

In Deutschland berät die Bundesregierung aktuell über eine Novellierung des Kreislaufwirtschaftsgesetzes. Aus Sicht von Greenpeace ist das nicht ausreichend: “Lediglich auf Selbstverpflichtungen der Unternehmen zu setzen ist realitätsfremdes Wunschdenken”, sagt Greenpeace Konsum-Expertin Viola Wohlgemuth. Die NGO fordert ein vollständiges Verbot der Vernichtung neuwertiger und/oder voll funktionstüchtiger Konsumgüter, die steuerliche Förderung von Reparaturdienstleistungen sowie Leih- und Sharingsystemen sowie ein Recht auf Reparatur, insbesondere bei Elektronik-Waren.

Experten fordern mehr Vorsicht bei Kinderbildern im Internet

2019-07-09T12:30:00+02:00

Wo hört berechtigter Elternstolz auf, wo fängt die Verletzung der kindlichen Privatsphäre an? Kinderbilder im Internet sind ein kontrovers diskutiertes Thema.

Berlin (dpa/Posteo) – Das erste Lachen – klick! Die ersten Schritte – klick! Das erste große Geschäft auf dem Töpfchen – klick! Die ersten Jahre vieler Kinder sind heute nahezu lückenlos dokumentiert. Stolze Eltern halten so viele Momente wie möglich fest – und teilen sie auf Whatsapp mit der Familie oder auf Instagram gleich mit der ganzen Welt.
#more#
Wie die Kinder das irgendwann mal finden, diese Frage stellen sich aus Sicht von Experten viel zu wenige Eltern.

“Das Thema gibt es nun schon seit Jahren, und ganz ehrlich hat sich fast nichts geändert”, sagt der renommierte Cyberkriminologe Thomas-Gabriel Rüdiger vom Institut für Polizeiwissenschaft der Hochschule der Polizei des Landes Brandenburg.

Mehr als 90 Prozent aller Zweijährigen seien laut einer US-Studie heute schon im Netz präsent. Wer auf Instagram nach dem Hashtag #Instakids sucht, kommt auf fast 20 Millionen Treffer. Darunter sind nicht nur erschreckend freizügige Bilder von Kindern, sondern auch solche, die dem Nachwuchs, würde man ihn fragen, womöglich peinlich wären.

Die Pädagogik-Professorin Nadia Kutscher von der Universität zu Köln, die gemeinsam mit dem Deutschen Kinderhilfswerk eine Studie zur Mediennutzung in Familien erstellt hat, fand heraus, dass die Persönlichkeitsrechte von Kindern oft verletzt werden – von ihren eigenen Eltern. “Kinder selbst haben oftmals genaue Vorstellungen davon, wer welche Bilder von ihnen sehen darf. Sie möchten auch an den Entscheidungen beteiligt werden. Aber die Eltern fragen sie in der Regel gar nicht.”

Cyberkriminologe rät vom Posten von Kinderbildern ab

Dabei könnten viele Eltern gar nicht überblicken, was die Präsenz ihrer Kinder im Netz bedeutet, sagt der Cyberkriminologe Rüdiger. “Wir wissen ja noch nicht, welche biometrischen Daten später mal aus Fotos herausgelesen werden können.” Die größte Gefahr sei aber weiterhin, dass Kriminelle wie Sexualtäter oder auch Stalker die geteilten Informationen über die Kinder nutzen. Es gebe beispielsweise Seiten, die vollautomatisch Bilder von Instagram-Accounts kopieren und im Netz anbieten, sagt Rüdiger. “Und dazu kommt noch, dass Kindern durch die Eltern eine Art feste digitale Identität gegeben wird, bevor diese selbst die Möglichkeit haben sich auch im Netz zu definieren.”

Auch Fotos als Whatsapp-Status oder Profilbild einzustellen, hält der Kriminologe für unklug. “Sie laufen ja auch nicht durch die Stadt und drücken Menschen, die Sie nur flüchtig kennen, Polaroid-Bilder von ihrem Kind in die Hand.” Normalerweise sei es Aufgabe der Eltern, die Risiken für ihre Kinder zu minimieren. “Im Netz erhöhen Eltern die Risiken sogar noch, vor allem durch Kinderbilder.”

Rüdiger hält es darum für wichtig, Netzwerke wie Instagram und Facebook in die Pflicht zu nehmen. “Auf der einen Seite ist es möglich, mit Filter-Einstellungen nackte Brüste zu finden und zu löschen. Gleichzeitig gibt es aber Tausende auch von problematischen Bildern von Kindern und Kommentaren sexueller Natur zu diesen Bildern.” Solange das Netz kein kindersicherer Ort sei, hätten “unvorbereitete Kinder dort nichts verloren”.

Auch die Bloggerin Toyah Diebel ist davon überzeugt, dass Kinderfotos nichts im Netz zu suchen haben. Sie setzt sich mit dem Foto-Projekt #DeinKindAuchNicht gegen das Posten solcher Bilder ein. Für ihre Kampagne liess sie sich selbst und den Schauspieler Wilson Gonzalez Ochsenknecht in drastischen Posen fotografieren: Der Mund mit Brei verschmiert, mit wütendem Gesicht auf dem Töpfchen sitzend – Szenen, die von manchen Eltern ins Netz gestellt werden. Diebel warnt auf der Kampagnen-Website:

“Auch für das spätere Leben des Kindes können veröffentlichte Fotos im Netz negative Konsequenzen haben. Möchte man, dass Mitschüler, Arbeitskollegen oder auch einfach nur irgendjemand später uneingeschränkten Zugriff auf diese Fotos hat?”

Kinderhilfswerk: Kinder sollten im Netz sichtbar sein

“Kinder sind Teil unserer Gesellschaft” und sollten darum auch im Netz sichtbar sein, sagt hingegen Sophie Pohle von der Koordinierungsstelle Kinderrechte des Deutschen Kinderhilfswerkes. Die wichtigste Frage drehe sich nicht darum, ob Kinderfotos im Netz überhaupt gepostet werden dürfen oder nicht, “sondern in welcher Art und Weise das geschieht.”

Im Rahmen der Initiative Erstdenkendannposten gibt das Hilfswerk Tipps und empfiehlt beispielsweise: "Posten Sie niemals den vollständigen Namen des Kindes im Zusammenhang mit einem Foto. Das verringert die Möglichkeit der Auffindbarkeit des Fotos über Suchmaschinen. Vermeiden Sie möglichst auch Fotos, die Rückschlüsse auf Orte erlauben, wie z.B. den Kindergarten, die Schule oder sogar das Wohnhaus. Dementsprechend sparsam sollte mit solchen sensiblen Daten und Informationen bei der Kommentierung oder Verlinkung von Fotos umgegangen werden. "

Kinder in Urlaubsposts nur undeutlich zeigen

Die Initiative “Schau hin! Was Dein Kind mit Medien macht.” empfiehlt denjenigen Eltern, die nicht auf das Posten von Familienfotos verzichten möchten, den Nachwuchs nur undeutlich zu zeigen oder den Zugang zu beschränken. Damit die Kinder nicht direkt erkennbar sind, sollten sie beispielsweise nur im Anschnitt oder mit Sonnenbrille zu sehen sein. Die vom Bundesfamilienministerium, ARD und ZDF sowie der Zeitschrift TV-Spielfilm ins Leben gerufene Initiative bietet online einen Fotoguide mit dem Titel „Posten oder nicht“ an, der Eltern bei der Entscheidung für oder gegen das Posten eines Fotos unterstützt.

Kinder haben ein Recht am eigenen Bild

Das Recht am eigenen Bild gehört zum Persönlichkeitsrecht und steht jedem Menschen zu: unabhängig von seinem Alter. Fotos von Kindern dürfen beispielsweise niemals ohne Einwillung eines Erziehungsberechtigten veröffentlicht oder verbreitet werden.

Zur Frage, wann Kinder und wann Erziehungsberechtigte entscheiden, stellt die “Internet-Beschwerdestelle” klar:
“In bestimmten Fällen können Erziehungsberechtigte die Zustimmung zur Veröffentlichung von Fotos ihrer Kinder geben. Dies hängt vom Alter und der Einsichtsfähigkeit des Minderjährigen ab. Laut Bürgerlichem Gesetzbuch entscheiden die Erziehungsberechtigten bis zu einem Alter des Kindes von 7 Jahren alleine. Zwischen 7 und 17 Jahren entscheiden Erziehungsberechtigte und Kind generell gemeinsam – außer das Kind besitzt bereits die notwendige Einsichtsfähigkeit, wovon in der Regel ab dem 14. Lebensjahr ausgegangen werden kann.”

Die Internet-Beschwerdestelle ist ein gemeinsames Projekt des eco – Verbandes der Internetwirtschaft e. V. und der Freiwilligen Selbstkontrolle Multimedia-Diensteanbieter e.V. (FSM).
Beide Partner betreiben seit mehr als 15 Jahren Hotlines, bei denen Beschwerden über illegale und schädigende Internetinhalte entgegengenommen werden.

Rechner und Co verkaufen: Daten löschen nicht vergessen

2019-07-08T18:00:00+02:00

Ein geheimes Raketenwerfer-Handbuch auf dem gebraucht gekauften Laptop? Offenbar kein Scherz. Die Verwertungsgesellschaft des Bundes (Vebeg) soll nach einem Bericht der “Süddeutschen Zeitung” einen gebrauchten Bundeswehr-Laptop über Ebay verkauft haben, auf dem sich noch vertrauliche, als Verschlusssache klassifizierte Informationen befanden. Ist es so schwierig, Daten vollständig von Speichern zu tilgen?
#more#
Berlin (dpa/tmn/Posteo) – Wer sein altes Notebook verkauft oder verschenkt, sollte sichergehen, dass der neue Besitzer keine Daten mehr darauf findet. Um das zu gewährleisten, reicht ein einfaches Löschen der Daten innerhalb des Betriebssystems über den Papierkorb oder ein Formatieren des Speichers nicht aus.

Klassische Festplatten (HDD) mit rotierenden Speicherscheiben lassen sich mit Hilfe spezieller Programme wie etwa DBAN hinreichend sicher löschen, wenn man die HDD von der Software sieben Mal überschreiben lässt, erklärt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Anders geht man bei modernen Festplatten mit Speicherchips (SSD) und bei Festplatten vor, die beide Technologien kombinieren (SSHD). Hier sollte der sogenannte Secure-Erase-Befehl ausgeführt werden, der eine auf der Festplatte hinterlegte Löschroutine anstößt, die auch defekte Speicherbereiche einschließt. Funktioniert das Anwenden von Secure Erase mit dem Verwaltungsprogramm des Festplattenherstellers nicht, empfiehlt das BSI als Alternative etwa das Programm Parted Magic.

Raketenwerfer-Bedienungsanleitung auf ersteigertem Laptop

Die Verwertungsgesellschaft des Bundes (Vebeg) soll nach einem Bericht der «Süddeutschen Zeitung» über Ebay einen gebrauchten Bundeswehr-Laptop verkauft haben, auf dem sich noch vertrauliche, als Verschlusssache klassifizierte Informationen befanden. Der Käufer, ein oberbayerischer Förster, habe auf dem Gerät etwa die Bedienungsanleitung für den Raketenwerfer “Mars” entdeckt und den Fund dem Verteidigungsministerium gemeldet. Anscheinend sei die Festplatte vor dem Verkauf nicht gelöscht worden.

Daten von Smartphones und Tablets entfernen

Und wie verfährt man mit Smartphones oder Tablets, die man abgeben möchte? Die Geräte auf die Werkseinstellungen zurücksetzen genügt jedenfalls nicht, um den Speicher sicher zu löschen, warnt das BSI. Damit keine Daten wiederhergestellt werden können, sollte in den Einstellungen des Mobilgerätes – falls noch nicht geschehen – die Datenverschlüsselung aktiviert werden. Danach führt ein Zurücksetzen des Smartphones oder Tablets dazu, dass keine Daten mehr ausgelesen werden können.

Unterstützt das Mobilgerät keine Verschlüsselung, sollten die Daten erst einmal gelöscht werden. Danach gilt es, den Speicher randvoll zu schreiben – etwa durch das Filmen einer weißen Wand, rät das BSI. Private Gespräche sollte man dabei allerdings nicht führen, weil mit dem Video ja auch Ton aufgezeichnet wird. Danach löscht man den Speicher erneut und setzt das Smartphone auf die Werkseinstellungen zurück.

Internet-Quellen

British Airways soll Millionenstrafe wegen gestohlener Daten zahlen

2019-07-08T15:00:00+02:00

Wilmslow (dpa) – Die britische Fluggesellschaft British Airways (BA) soll wegen gestohlener Kundendaten 183,39 Millionen Britische Pfund (knapp 205 Millionen Euro) Strafe zahlen. Das teilte die britische Datenschutzbehörde ICO (Information Commissioner’s Office) am Montag mit. Gegen die Entscheidung kann noch Widerspruch eingelegt werden.
#more#
Von dem Datenklau im Sommer 2018 waren nach ICO-Angaben rund 500 000 BA-Kunden betroffen. Sie wurden teilweise bei der Online-Flugbuchung von der Website der Fluggesellschaft auf eine Betrugswebsite umgeleitet, wo ihre Login-, Kreditkarten-, Reise- und Adressdaten abgegriffen wurden.

Schuld an dem Vorfall seien “schwache Sicherheitsvorkehrungen” bei der Airline gewesen, so die Behörde. “Die persönlichen Daten von Menschen sind genau das: persönlich. Wenn eine Organisation sie nicht vor Verlust, Beschädigung oder Diebstahl schützt, ist das mehr als eine Unannehmlichkeit”, sagte die britische Datenschutzbeauftragte Elizabeth Denham der ICO-Mitteilung zufolge.

Der Chef des BA-Mutterkonzerns IAG (International Airlines Group), Willie Walsh, kündigte Widerspruch gegen die Entscheidung an.

Posteo beim Auftakt zur IT-Sicherheits-Dialogreihe im Bundesjustizministerium

2019-02-07T16:00:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir waren gestern auf Einladung der Staatssekretäre Gerd Billen und Klaus Vitt im Bundesjustizministerium (BMJV) zu Gast: Dort fand die Auftaktveranstaltung der neuen Dialogreihe „IT-Sicherheit für Verbraucherinnen und Verbraucher“ statt.
Wir möchten ein wenig von unseren Eindrücken berichten.

Eingeladen waren neben ausgewählten Providern auch große Internet-Unternehmen wie Facebook und Google sowie Vertreter der Zivilgesellschaft (wie z.B. die Verbraucherschutzzentralen). Außerdem waren Vertreter des Kanzleramtes, verschiedener Ministerien, des Bundesamtes für Sicherheit in der Informationstechnik(BSI) und des Bundesdatenschutzbeauftragten anwesend. Wir waren gespannt auf die Themen und die Ausrichtung der Veranstaltung: Denn offenbar ist die Dialogreihe auch eine Reaktion auf den jüngsten Datendiebstahl bei Politikern und Prominenten.

#more#
Und tatsächlich wurde zunächst diskutiert, wie die Sicherheit von Online-Konten für die Verbraucherinnen und Verbraucher erhöht werden kann. Wir wurden kurz zu unseren Erfahrungen aus der Praxis befragt. Schwerpunkte der Diskussion waren die Passwort-Sicherheit sowie die Zwei-Faktor-Authentifizierung. Offenbar wird in der Bundesregierung evaluiert, ob man in diesem Bereich gesetzgeberisch tätig werden will, Konkretes liegt aber nicht vor.

Auch weitere Sicherheits-Aspekte wurden diskutiert: Mit dem BSI standen wir in den vergangenen Monaten zum Beispiel zum Thema Webkey-Directory in einem regen Austausch. Das Verfahren erleichert das Finden und Verwalten von öffentlichen Schlüsseln für die Ende-zu-Ende-Verschlüsselung. BSI-Präsident Arne Schönbohm berichtete von der guten Zusammenarbeit mit Posteo beim Thema der Ende-zu-Ende-Verschlüsselung und wünschte sich, dass andere Provider hier nun mitmachten.

Auch Bildung und Wissensvermittlung waren ein Thema: So berichteten unter anderem die Verbraucherschutzzentralen über ihre Arbeit bei der Förderung der Medien- und Online-Kompetenz.

Posteo: BSI soll unabhängig werden

Im Weiteren wurde darüber gesprochen, die Informationsangebote des BSI, aber auch seinen Stellenwert und die Akzeptanz der Behörde bei den Verbraucherinnen und Verbrauchern weiter auszubauen. Hierzu erklärten wir, dass der aus unserer Sicht wichtigste Schritt sei, das BSI unabhängig zu machen. Derzeit ist die Behörde noch dem Bundesinnenministerium unterstellt und hier kann es in Sicherheitsfragen zu Interessenskonflikten kommen.
Unabhängigkeit ist aus unserer Sicht unabdingbar für Behörden, die sich mit Handlungsempfehlungen an die Verbraucherinnen und Verbraucher wenden. Sie benötigen ein besonders hohes Maß an Glaubwürdigkeit. Ein Beispiel für eine unabhängige Bundesbehörde ist der Bundesbeauftragte für den Datenschutz.

Diese Unabhängigkeits-Problematik wurde auch beim nächsten Programmpunkt noch einmal deutlich.
Das die meiste Veranstaltungs-Zeit einnehmende Thema waren die Pläne für das “IT-Sicherheitskennzeichen” des Bundesinnenministeriums: Es soll Verbrauchern künftig offenbar aufzeigen, ob Hardwareprodukte wie Router oder Mobiltelefone Mindeststandards an die IT-Sicherheit einhalten. Ob auch Internetdienste das Sicherheits-Kennzeichen erhalten sollen, wurde in der Runde nicht ausgeführt.
Über den Sinn und Nutzen eines solchen Siegels für die Verbraucherinnen und Verbraucher kann man sich streiten. Aus unserer Sicht sollte ein solches IT-Sicherheitskennzeichen aber von einem unabhängigen BSI initiiert und verantwortet werden.

Wir freuen uns auf weitere Termine der Dialogreihe.

Viele Grüße
das Posteo-Team

Erster Kommentar zur Entscheidung des Bundesverfassungsgerichts

2019-01-29T15:00:00+01:00

Liebe Posteo-Nutzerinnen und Posteo-Nutzer,

heute wird in der Presse über eine Entscheidung des Bundesverfassungsgerichtes zu E-Mail-Anbietern berichtet.

Es handelt sich um unsere Verfassungsbeschwerde.
Wir prüfen derzeit noch die Entscheidung, die uns seit wenigen Stunden vorliegt und werden mit unseren Anwälten beraten, welche rechtlichen Optionen wir noch haben.

Grundsätzlich möchten wir sagen:
Wir sind sehr überrascht von der Entscheidung des Bundesverfassungsgerichts. Sie stellt die bisherige rechtliche Auskunftssystematik auf den Kopf: Bisher war unbestritten, dass sich die Auskunftspflicht nur auf Daten bezieht, die bei TK-Anbietern nach § 96 TKG tatsächlich auch vorliegen. Nun sollen Daten auch alleinig zu Ermittlungszwecken erhoben werden: Daten, die beim TK-Anbieter im Geschäftsbetrieb nachweislich gar nicht anfallen – und die er im Geschäftsbetrieb auch nicht benötigt. (Von der Vorratsdatenspeicherung sind E-Mail-Dienste wie Posteo explizit ausgenommen.)
Wir bewerten die Entscheidung als recht einseitig. Eine Stellungnahme der Bundesdatenschutzbeauftragten hatte unsere Positionen in vielen Punkten gestärkt, wurde in der Entscheidung aber kaum gewürdigt.
#more#
Die Bundesbeauftragte für den Datenschutz (BfDI) hatte vor der Entscheidung im Verfahren wie folgt Stellung bezogen und gewarnt:

“Aus datenschutzrechtlicher Sicht ist das vorliegende Verfahren vielmehr gerade deshalb bedeutend, weil es einen Präzedenzfall für die zukünftige Systematik der sicherheitsbehördlichen Auskunftsverfahren im TK-Bereich darstellen kann. Bislang gilt der Grundsatz: Bei Vorliegen einer entsprechenden Rechtsgrundlage müssen TK-Anbieter die bei ihnen vorliegenden Verkehrsdaten anfragenden Sicherheitsbehörden zur Verfügung stellen. (…) Sollte nunmehr im Rahmen der zur Entscheidung vorliegenden Rechtsfrage festgestellt werden, dass ein TK-Anbieter in Abkehr von der bisherigen Regelungssystematlk verpflichtet ist, seine Datenverarbeitungsprozesse aufgrund sicherheitsbehördlicher Auskunftsersuchen über die nach dem TKG eigentlich erforderlichen Maße hinaus umzugestalten, besteht die Gefahr, dass hierdurch das aktuell geltende Ursache-Folge-Verhältnis in diesem Bereich ins Gegenteil verkehrt wird.”

Und weiter:
“Mit der Verpflichtung, nach den aktuellen Vorschriften des TKG eigentlich nicht erforderliche Daten überhaupt erst zu erheben, um ein Auskunftsersuchen erfüllen zu können, würde das eigentliche Entstehen von Telekommunikationsdaten zu einem Mittel, das nicht der Telekommunikation selbst, sondem ausschließlich der Unterstützung und gegebenenfalls sogar Ermöglichung sicherheitsbehördlicher Maßnahmen dient. Letztere werden damit zur eigentlichen Ursache für die Datenverarbeitung.”

Zur vollständigen Stellungnahme der Bundesbeauftragten für den Datenschutz

Warum wir keine Verkehrsdaten zu den Postfächern erheben
Nutzer-Verkehrsdaten dürfen wir nach § 96 TKG nur dann erheben, wenn wir sie für betriebliche Zwecke benötigen.
Wir benötigen solche Daten aber nicht – deshalb dürfen wir sie aus unserer Sicht auch nicht erheben. Unsere Systemarchitektur ist u.a. aus Sicherheitserwägungen so aufgebaut, dass sich IP-Adressen auch überhaupt nicht postfachbezogen erheben lassen.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) konstatierte in einem technischen Gutachten im Verfahren:
“Ohne Änderungen an den eingesetzten Systemen kann Posteo den Zugriff auf ein Postfach nicht einer IP-Adresse des Kunden zuordnen.”

Wie es jetzt weitergeht
Sollte es rechtlich keine weiteren Optionen mehr geben, werden wir unsere System-Architektur anpassen müssen, dabei jedoch eine Lösung wählen, die die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt.
Und, um es ganz klar zu sagen: Wir werden nicht damit beginnen, die IP-Adressen unserer unbescholtenen Kundinnen und Kunden zu loggen. Ein konservativer System-Umbau ist für uns keine Option.
Es geht darum, bei richterlich angeordneten Telekommunikations-Überwachungen eine IP-Adresse zu einem betroffenen Postfach erheben zu können.
Jegliche Änderungen werden wir transparent und nachprüfbar kommunizieren und dokumentieren. In den letzten zwei Jahren haben wir bereits viel Zeit investiert, uns auch auf diesen Fall vorzubereiten.

Wir haben die Erfahrung gemacht, dass hochkomplexe, sichere Systemarchitekturen und ihr Nutzen staatlichen Stellen noch kaum verständlich zu machen sind.

Es geht nicht nur um Datenschutz, sondern auch um die IT-Sicherheit: Was ist mit dem berechtigten Anspruch aller Nutzer, gegen Cyber-Attacken aus dem Internet bestmöglich geschützt zu sein?
Wir haben unsere internen Systeme aus gutem Grund bestmöglich gegen das öffentliche Internet und gegen Angriffe aus ihm abgeschirmt. Es macht aus unserer Sicht überhaupt keinen Sinn, ein System so umzubauen, dass es zusätzliche Daten von Aussen ins System lässt, die für den technischen Betrieb überhaupt nicht benötigt werden. Das ist genau das rückständige Denken, das häufig in die Katastrophe führt – wie die massenhaften Datendiebstähle in den letzten Wochen gezeigt haben.

Viele Grüße
das Posteo-Team

Neues Sicherheitszertifikat

2019-01-15T14:30:00+01:00

Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,

wir werden in den nächsten Tagen unser Haupt-Sicherheitszertifikat aktualisieren. Sicherheitszertifikate haben eine zeitlich begrenzte Gültigkeit und müssen hin und wieder erneuert werden. Deshalb werden wir es bis zum 21.01.2019 austauschen.

In den meisten Fällen werden Sie davon nichts mitbekommen.
Alle Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.
#more#
Wenn Sie das Vertrauen des Zertifikats durch einen manuellen Abgleich regeln, finden Sie unten den Fingerprint des neuen Haupt-Zertifikats, welches wir in Kürze verwenden. Die vollständigen Fingerprints aller Zertifikate finden Sie auch in unserem Impressum.

Neue Fingerprints des TLS-Sicherheitszertifikats für posteo.de:

Geotrust:
SHA256: 4D:BE:FA:8D:28:6A:D3:73:85:A1:B9:3F:77:D0:5F:E9:70:DD:BF:91:B6:0B:66:3A:1E:4B:C0:3D:4F:71:90:D0
SHA1: 73:4A:26:46:D0:A3:95:1D:52:88:83:F4:12:E9:CA:35:67:8A:6A:07
MD5: BD:6F:47:5C:8E:A9:82:87:E1:DC:A1:7C:07:85:95:A7

Viele Grüße
Ihr Posteo-Team

Kartographie für Hilfsorganisationen: Missing Maps zu Gast im Posteo Lab

2018-08-20T11:43:00+02:00

Von Kreuzberg aus Nigeria erschließen: Das war am 14. August in unserem Berliner Posteo Lab möglich. Dort veranstaltete eine neue Missing Maps-Gruppe ihren ersten deutschen Mapathon. Bei Mapathons verbessern Freiwillige unter Anleitung Online-Karten, indem sie beispielsweise Dörfer und Straßen auf Satellitenaufnahmen eintragen. Bei den Veranstaltungen von Missing Maps werden OpenStreetMap-Karten von Krisenregionen verbessert. So können beispielsweise Hilfsorganisationen ihre Einsätze effektiver planen. #more#

Missing Maps ist ein humanitäres Projekt, das im November 2014 vom amerikanischen und britischen “Roten Kreuz”, dem “Humanitarian OpenStreetMap Team”und “Ärzte ohne Grenzen” ins Leben gerufen wurde. Seitdem organisiert Missing Maps in verschiedenen europäischen Ländern regelmäßig Mapathons. Bei der ersten deutschen Veranstaltung im Posteo Lab nahmen etwa 17 Interessierte teil.
#more#
Im Fokus der Veranstaltung in Berlin standen Satellitenaufnahmen des Bundestaats Niger, im Westen Nigerias. Dort sind aktuell Teams einer medizinischen Hilforganisation aktiv, die genauere Karten der Region für ihre Arbeit benötigen.

Zu Beginn des Mapathons gab es eine ausführliche Einführung. Marcel Werdier von der Organisation Missing Maps erklärte anhand einer Präsentation anschaulich, wie Mapping funktioniert, zeigte die hierfür benötigten Programme und erläuterte den Freiwilligen die wichtigsten Regeln beim Mappen.

Nach dem Vortrag konnten die Teilnehmerinnen und Teilnehmer ihr Erlerntes sofort anwenden und an ihren mitgebrachten Laptops mit dem Mapping beginnen. Sie sichteten Satellitenaufnahmen und zeichneten mit wenigen Klicks Straßen und Dörfer ein. Das Team von Missing Maps half den Teilnehmerinnen und Teilnehmern und beantwortete aufkommende Fragen.

Im Anschluss gab es eine Abschlusspräsentation, bei der die Freiwilligen die gemeinsam erarbeiteten Karten-Fortschritte ansehen konnten. Mit den erworbenen Kenntnissen können sie auch privat weiter mappen.

Das Team von Missing Maps zeigte sich zufrieden mit der Deutschlandpremiere seiner Mapathons. Es gibt Pläne, weitere solcher Abende in Berlin zu organisieren.

Hintergrund:
Wir wollen gesellschaftliches Engagement stärken: Deshalb stellen wir das Posteo Lab regelmäßig gemeinnützigen Vereinen und Organisationen unentgeltlich zur Verfügung. Uns ist wichtig, dass die Veranstaltungen zu Posteo und unseren Themen Nachhaltigkeit, Technologie, Demokratie, Open Source, Netzpolitik, IT-Sicherheit und Datenschutz passen. Bei Interesse können Sie uns gerne eine Anfrage an veranstaltungen@posteo.de schicken.

Posteo wird zu 100 Prozent aus den Beiträgen seiner Nutzerinnen und Nutzer finanziert. Sie ermöglichen auch unser gesellschaftliches Engagment: Dafür möchten wir uns an dieser Stelle bei ihnen bedanken.

Transparenzhinweis: Unsere Spenden 2017

2018-07-12T14:45:00+02:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

wir haben einen Transparenzhinweis für Sie: Wir haben unsere Spenden-Seite aktualisiert. Dort legen wir offen, welche Organisationen wir im vergangenen Jahr (2017) finanziell unterstützt haben.

Im vergangenen Jahr haben wir insgesamt 34.600,00 EUR gespendet. Davon waren 33.022,05 EUR freiwillige Spenden durch das Unternehmen Posteo. Aus gespendeten Restguthaben gekündigter Postfächer stammten die übrigen 1.577,95 EUR.
Im Vergleich zum Vorjahr konnten wir unsere Spenden im Jahr 2017 um 5.000 EUR erhöhen.

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen.
Deshalb spenden wir an ausgewählte Organisationen aus den Bereichen Umwelt- und Klimaschutz, Netzpolitik & Meinungsfreiheit sowie aus der Flüchtlingshilfe. #more#

Im Jahr 2017 wurden unterstützt:

BUND:
Der Bund für Umwelt und Naturschutz Deutschland (BUND) ist einer der größten deutschen Umweltverbände. Deutschlandweit gibt es über 2.000 ehrenamtliche BUND-Gruppen, die sich u.a. zu Umweltthemen in ihrer Region engagieren. Der BUND setzt sich außerdem für den Klimaschutz, für eine ökologische Landwirtschaft sowie für den Schutz bedrohter Arten, der Wälder und des Wassers ein. Der BUND ist das deutsche Mitglied des internationalen Umweltschutznetzwerkes “Friends of the Earth”.

Das Deutsche Rote Kreuz:
Das Deutsche Rote Kreuz (DRK) ist eine der größten deutschen Hilfsorganisationen. Das DRK ist weltweit aktiv und kann im Verbund mit ihren Partner-Organisationen an allen Orten der Erde präsent sein. Angesichts der Bedrohungen des Klimawandels hat das DRK gemeinsam mit dem Auswärtigen Amt mehrere Projekte realisiert, die Menschen international bei der Bewältigung der Folgen des Klimawandels unterstützen. Unsere Spenden gehen an ein Projekt im peruanischen Amazonasgebiet. Dort sind 1,3 Millionen Menschen durch die klimawandelbedingte Zunahme von Extremwetter-Ereignissen akut bedroht. Mit den Spenden werden Häuser in sicherer Bauweise auf erhöhten Plattformen errichtet. Außerdem werden Decken und Hygienekits verteilt sowie ein Gesundheitsdienst eingesetzt.

ECCHR:
Das Europäisches Zentrum für Verfassungs- und Menschenrechte (ECCHR) setzt sich mit juristischen Mitteln für die Menschenrechte ein. Ziel der Anwälte des ECCHR ist es, staatliche und nichtstaatliche Akteure für schwerwiegende Menschenrechtsverletzungen gerichtlich zur Verantwortung zu ziehen. Gegründet wurde das ECCHR im Jahr 2007 unter anderem von dem Menschenrechtsanwalt Wolfgang Kaleck, der in Deutschland den Whistleblower Edward Snowden vertritt.

Netzpolitik.org:
netzpolitik.org ist eine journalistische Plattform für digitale Freiheitsrechte und bildet die wichtigen politischen Debatten und Entwicklungen rund um das Internet ab. Auf der Plattform wird dokumentiert, wie die Politik das Internet und die Gesellschaft durch Regulierung und den kontinuierlichen Ausbau von Überwachungsgesetzen verändert. Netzpolitik.org will mit seiner Arbeit Menschen zum Engagement für ihre digitalen Freiheitsrechte und für eine offene Gesellschaft anregen.

Reporter ohne Grenzen:
Reporter ohne Grenzen setzt sich weltweit für die Presse- und Informationsfreiheit ein. Die Organisation dokumentiert Verstöße gegen die Pressefreiheit und unterstützt Journalisten, die in Gefahr sind. Reporter ohne Grenzen kämpft gegen Zensur und restriktive Mediengesetze.

Die UNO-Flüchtlingshilfe:
Die UNO-Flüchtlingshilfe ist der deutsche Ableger des Flüchtlingshilfswerks der Vereinten Nationen (UNHCR). Sie sichert das Überleben geflüchteter Menschen in akuten Krisensituationen mit lebensrettenden Nothilfemaßnahmen. So sorgt die UNO-Flüchtlingshilfe beispielsweise für eine ausreichende Versorgung mit Wasser, Lebensmitteln und Medikamenten in Flüchtlingscamps oder in schwer zugänglichen Regionen.

Zudem war Posteo im Jahr 2017 Sponsor der taz.panterstiftung.

Posteo wirtschaftet nachhaltig und ist unabhängig: Unser Dienst wird ausschliesslich über die Postfachgebühren unserer Kundinnen und Kunden finanziert. Investoren oder Werbepartner gibt es bei Posteo nicht.
Deshalb sind Sie es, die unser Engagement ermöglichen – und einen Unterschied machen. Hierfür bedanken wir uns bei Ihnen.

Viele Grüße
Ihr Posteo-Team

Update: Informationen zu "Efail"-Meldungen

2018-05-14T18:40:00+02:00

Update am 15. Mai 15:30:

Wir haben ein Update für alle Mailvelope-Nutzerinnen und -Nutzer:
Das Open Source-Verschlüsselungs-Plugin Mailvelope ist von den kritischen Efail-Schwachstellen nicht betroffen und kann weiter verwendet werden. Das hat Mailvelope heute Nachmittag mitgeteilt. Mit Mailvelope kann PGP im Posteo-Webmailer genutzt werden. Wir stehen mit dem Mailvelope-Entwickler, Thomas Oberndörfer, in Kontakt.
Er kündigte dennoch an, den Umgang des Plugins mit HTML-Mails im Bezug auf den Datenschutz zu verbessern und z.B. das Nachladen externer Inhalte wie Bilder optional zu machen.
Nutzern rät er, auf die heute erschienene Version 2.2.2 upzudaten, die kleinere Probleme behebt.

14. Mai 18:40:

Liebe Posteo-Nutzerinnen und Posteo-Nutzer,

heute wird in den Medien über Sicherheitslücken bei den Ende-zu-Ende-Verschlüsselungsstandards PGP und S/MIME berichtet.

Die Untersuchung wurde uns erst heute bekannt. Deshalb können wir zu der Veröffentlichung noch keine endgültige Einschätzung abgeben. Wir prüfen das Dokument aktuell für Sie, holen Einschätzungen von Sicherheitsexperten ein und haben Kontakt zu Entwicklern gängiger Verschlüsselungs-Softwares hergestellt.

Wir wollen kurz auf Fragen eingehen, die uns erreicht haben – und erste Tipps für PGP und S/MIME-Nutzer geben. Bei Neuigkeiten werden wir diesen Blog-Beitrag updaten.

Kurz-Info:
1.) Wenn Sie keine Ende-zu-Ende Verschlüsselung mit PGP oder S/MIME nutzen, betrifft Sie dieses Thema nicht.
2.) Verwenden Sie PGP oder S/MIME, blockieren Sie das Ausführen von HTML-Code und das Nachladen externer Inhalte. (Anleitungen dazu finden Sie am Ende dieses Blog-Beitrags)
3.) Alle Beteiligten einer verschlüsselten Kommunikation müssen die unter 2.) beschriebenen Maßnahmen umsetzen. #more#

Ist “die E-Mail-Verschlüsselung” jetzt unsicher?

Nein, das ist pauschal so nicht richtig. Denn: “Die Eine” E-Mail-Verschlüsselung gibt es nicht. E-Mails werden heute in der Regel mit verschiedenen Sicherheits- und Verschlüsselungstechnologien gleichzeitig abgesichert. Eine Ende-zu-Ende-Verschlüsselung schützt beispielsweise nicht die gesamte E-Mail-Kommunikation, auch wenn das viele glauben: Sie schützt nur die Inhaltsdaten.
Die E-Mail-Metadaten und der Betreff werden über die Transportwegverschlüsselung der Provider geschützt.

Die Sicherheit einer E-Mail-Kommunikation hängt real also von der Kombination verschiedener Technologien ab. Wird eine Verschlüsselungstechnologie isoliert betrachtet, sagt dies wenig über die tatsächliche Sicherheit einer bestimmten E-Mail-Kommunikation in der Praxis aus.

Angriff nur unter engen Voraussetzungen möglich

Die Macher der Untersuchung setzen in ihrem Szenario voraus, dass ein Angreifer bereits Zugriff auf die verschlüsselte Kommunikation hat. E-Mail-Provider setzen heute aber Sicherheitstechnologien ein, die Man-in-the-Middle-Attacken und nicht authentifizierte Zugriffe auf verschlüsselte Kommunikation wirksam verhindern können.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) schreibt zu den Voraussetzungen für den Angriff:
“Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben.”

Fakt ist: Provider sichern Transportwege, Mailserver und Postfächer heute immer besser ab – bei uns erfolgt dies nach dem Stand der Technik. Nutzer sollten Ihre Endgeräte ebenfalls gut absichern.
Ein Beispiel zu den Transportwegen: 2014 haben wir als erster Provider die innovative Technologie DANE eingeführt, die gängige Schwachstellen in der Transportwegverschlüsselung TLS beseitigt. Eine Kombination aus einer Ende-zu-Ende-Verschlüsselung und einer DANE-basierten Transportwegverschlüsselung ergibt ein sehr hohes Schutzniveau.
Tipp: Im Posteo-Webmailer wird Ihnen vor dem Versenden einer E-Mail angezeigt, ob ihre verschlüsselte E-Mail durch DANE geschützt ist.

Die E-Mailserver schützen wir mit zahlreichen Technologien und einer Infrastruktur, die unser internes Netz und die Kundenpostfächer besonders konsequent vor Zugriffen von außen schützt. Ihr Postfach können Sie mit einem starken Passwort schützen – und wir verschlüsseln jeden Zugriff auf Ihr Postfach mit den neuesten Technologien. Ein noch höheres Schutzniveau erreichen Sie, wenn Sie die Zwei-Faktor-Authentifizierung mit dem zusätzlichen Postfachschutz aktivieren. Mit der TLS-Versand-Garantie verhindern sie, dass Ihre E-Mails ohne Transportwegverschlüsselung an andere E-Mail-Server übertragen werden.

Das BSI beschreibt noch eine zusätzliche Voraussetzung für den Angriff:
“Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte.”

Nutzer von Ende-zu-Ende-Verschlüsselungen sollten deshalb umgehend Ihre Einstellungen zum Ausführen von HTML-Code und dem Nachladen externer Inhalte entsprechend überprüfen und ggf. anpassen. Dann sollte die akute Gefährdung abgewendet sein.

Anleitungen: So blockieren Sie das Nachladen externer Inhalte/das Ausführen von HTML-Code

Thunderbird
HTML-Anzeige deaktivieren:
1. Klicken Sie oben rechts in Thunderbird auf den Sandwich-Button.
2. Klicken Sie auf “Ansicht”.
3. Unter “Nachrichteninhalt” wählen Sie den Menüpunkt “Reiner Text” aus.
Externe Inhalte deaktivieren:
1. Klicken Sie oben rechts in Thunderbird auf den Sandwich-Button und öffnen Sie die “Einstellungen”.
2. Öffnen Sie den Menüpunkt “Datenschutz”.
3. Entfernen Sie im Abschnitt “E-Mail-Inhalte” das Häkchen bei “Externe Inhalte in Nachrichten erlauben”.

Apple Mail
1. Klicken Sie in der Menüleiste auf “Mail” und öffnen Sie dort die “Einstellungen”.
2. Öffnen Sie den Menüpunkt “Darstellung”.
3. Entfernen Sie das Häkchen bei “Entfernte Inhalte in Nachrichten laden”.

iOS
1. Öffnen Sie die “Einstellungen”-App.
2. Tippen Sie auf “Mail”.
3. Deaktivieren Sie im Abschnitt “Nachrichten” den Schalter neben “Bilder von Webservern laden”.

Outlook
1. Klicken Sie auf “Datei” und dort im Seitenmenü auf “Optionen”.
2. Öffnen Sie den Menüpunkt “Trust Center” und klicken Sie dort auf “Einstellungen für das Trust Center”.
3. Klicken Sie auf “E-Mail-Sicherheit”.
4. Setzen Sie im Abschnitt “Als Nur-Text lesen” ein Häkchen bei “Standardnachrichten im Nur-Text-Format lesen” und bei “Digital signierte Nachrichten im Nur-Text-Format lesen”.
5. Bestätigen Sie die Änderung mit einem Klick auf “Ok”.

Viele freundliche Grüße
das Posteo Team

BNetzA-Entscheidung zu Posteo: Kryptographisch bearbeitete Daten nicht auskunftspflichtig

2018-03-13T08:30:00+01:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

wir legen heute das Ergebnis einer rechtlichen Klärung zwischen Posteo und der Bundesnetzagentur (BNetzA) offen: Wir müssen kryptographisch bearbeitete Mobilfunknummern bei Anfragen von Behörden nicht herausgegeben. Die bei Posteo gespeicherten Hashwerte von Kunden-Rufnummern sind keine Bestandsdaten – und somit auch nicht auskunftspflichtig. Hierzu veröffentlichen wir auch ein Rechtsgutachten der Kanzlei KLEINER Rechtsanwälte, das wir beauftragt hatten. Die Veröffentlichung erfolgt aus Transparenzgründen: Für Sie als Posteo-Kunden hat die Klärung mit der Behörde keine Auswirkungen, es ändert sich nichts. #more#

Sind kryptographisch entstandene Zeichenfolgen auskunftspflichtig?

Bei Posteo erheben und speichern wir aus Sicherheitsgründen grundsätzlich keine personenbezogenen Daten zu den E-Mail-Postfächern. Das hatte zuletzt auch die Bundesdatenschutzbeauftragte Andrea Voßhoff noch einmal in Ihrem Prüfbericht zu Posteo bestätigt.

Stattdessen schützen wir sensible Daten durch kryptographische Verfahren:
Für die „Passwort-Vergessen-Funktion“ können Sie beispielsweise Ihre Mobilfunknummer verwenden. Sie wird aber bereits lokal auf Ihrem Gerät (in Ihrem Browser) in eine beliebige Zeichenfolge umgewandelt. Hierfür werden mathematische bzw. kryptographische Verfahren eingesetzt. An Posteo wird nur diese Zeichenfolge übermittelt – und für den Fall eines Passwortverlustes vorgehalten. Nicht Ihre Mobilfunknummer.

In der Fachsprache nennt man dieses Umrechnen von sensiblen Daten „Hashen", bei uns auch mit „Salt“.
Hierbei werden Ihrer Mobilfunknummer zunächst zusätzliche Zeichen hinzugefügt, damit sie länger wird (Salt). Für das Umrechnen werden dann so genannte „mathematische Einwegfunktionen“ eingesetzt, die nicht umkehrbar sind.
Der Salt war zu keinem Zeitpunkt ein personenbezogenes Datum und ist nicht auskunftspflichtig.
Für Behörden wären die entstandenen Zeichenfolgen wegen des fehlendenden Salt-Wertes nutzlos: Das Zurückrechnen der Hashwerte in die ursprüngliche Mobilfunknummer ist rein mathematisch nicht möglich. Auch ein Erraten des Ergebnisses durch das Ausprobieren aller möglichen Kombinationen (durch eine so genannte Brute-Force-Attacke) ist technisch unmöglich.

Dennoch liess uns das für uns zuständige Referat in der Bundesnetzagentur(BNetzA) im November 2015 wissen, dass in der Rechtsabteilung der Behörde darüber entschieden werde, ob die Hash-Zeichenfolgen bei Posteo rechtlich als personenbeziehbare Daten einzustufen sind. Dann hätten wir sie nach § 113 TKG bei Anfragen den Behörden übergeben müssen. Präzedenzfälle und Rechtsliteratur fehlten.
Wir warteten die Entscheidung unserer Aufsichtsbehörde nicht ab – sondern beauftragten die auf Telekommunikationsrecht spezialisierte Kanzlei „KLEINER Rechtsanwälte“ mit einem umfangreichen Rechtsgutachten. Dieses legten wir der Bundesnetzagentur vor.

Kryptografisch bearbeitete Daten mitunter nicht auskunftspflichtig

Der rechtliche Status von auf diese Weise kryptographisch bearbeitete Daten ist gerade vor dem Hintergrund der Debatten um die neue staatliche Entschlüsselungsbehörde ZITIS interessant. ZITIS soll u.a. beim Entschlüsseln von Daten helfen, die staatliche Stellen z.B. von Telekommunikationsunternehmen erhalten haben. Doch ob und auf welcher Rechtsgrundlage die Unternehmen zur Herausgabe beliebiger Zeichenfolgen (Hash-Zeichenfolgen oder verschlüsselte Daten) überhaupt verpflichtet sind, ist bisher nicht in jedem Fall abschließend geklärt.

Das eindeutige Ergebnis des 19-seitigen Rechtsgutachtens: Die durch mathematische und kryptographische Verfahren errechneten Prüfwerte für Mobilfunknummern sowie auch die Salt-Werte sind keine Bestandsdaten – und nicht auskunftspflichtig.

Die Autorin des Gutachtens, Dr. Grace Nacimiento von der Kanzlei KLEINER erklärt:

„Der Einsatz von Salt-Wert und kryptographischer Hashfunktion durch Posteo sorgt dafür, dass eine vom Kunden eingegebene Mobilfunknummer anonymisiert wird, bevor eine Übermittlung an Posteo erfolgt. Für die bei Posteo allein gespeicherten Hashwerte fehlt es daher an einem Personenbezug, d.h., die gespeicherten Hashwerte erlauben keinen Rückschluss auf die Person des Kunden oder dessen Mobilfunknummer. Die gespeicherten Hashwerte sind daher kein Bestandsdatum im Sinne des § 95 TKG und unterliegen damit auch nicht der Auskunftspflicht nach § 113 TKG. Das gilt auch für die Salt-Werte. Sie haben keine Bedeutung für das Vertragsverhältnis mit dem Kunden und lassen keinen Rückschluss auf die Person des Kunden zu. Die Salt-Werte werden von Posteo schließlich auch nicht im Sinne des Gesetzes erhoben, sondern für interne technische Zwecke frei generiert.“

Das Gutachten legten wir auch der Bundesdatenschutzbeauftragten Andrea Voßhof vor. Sie bezog wie folgt Stellung:

„Auch aus meiner Sicht ist der gespeicherte gesaltete Hashwert kein personenbeziehbares Datum. (…) Zusammenfassend stelle ich fest, dass Posteo im Sinne des § 95 TKG keine Bestandsdaten erhebt“.

Im Oktober 2016 teilte uns schliesslich auch die Bundesnetzagentur erstmals mit:

„Mit Blick auf die Frage, ob es sich bei dem persistent gespeicherten gesalteten Hashwert um ein Bestandsdatum handelt, teilt die Bundesnetzagentur im Ergebnis die Auffassung des Rechtsgutachtens (…)“

In der Folge dieser Entscheidung verpflichtete uns die BNetzA dazu, unser Vorgehen bei der Passwort-Vergessen-Funktion in unserem bei der Behörde hinterlegten Sicherheitskonzept eingehender zu beschreiben. Wir erhielten im Dezember 2017 noch einmal die Bestätigung, dass es sich bei den Hashwerten nicht um ein Bestandsdatum handelt.

Der Vorgang ist aus unserer Sicht nun abgeschlossen. Die lokal im Browser des Nutzer erzeugten Hash-Zeichenfolgen sind keine Bestandsdaten, sie müssen bei Anfragen nicht an Behörden herausgegeben werden. Wir veröffentlichen nun das Rechtsgutachten, weil wir aufzeigen wollen, dass der rechtliche Status verschlüsselter Daten nicht immer geklärt ist. Und weil das Rechtsgutachten der Kanzlei KLEINER auch über Posteo hinaus einen Beitrag zur rechtlichen Debatte leisten kann.

Offenlegung: Andere Streitthemen mit BNetzA noch ungeklärt

Wir stehen aktuell zu weiteren Themen in einem angestrengten rechtlichen Austausch mit einem anderen Referat unserer Aufsichtsbehörde.
Zum einen, weil unser konsequent datensparsames Konzept sehr besonders und sicher ist: So fallen in unserem System völlig rechtskonform keine personenbeziehbaren IP-Adressen an. Sie können deshalb auch nicht erhoben oder gespeichert werden.
(Beleg: Prüfbericht der Bundesdatenschutzbeauftragten)

Zum anderen sind wir gemeinsam mit unseren Anwälten der Ansicht, dass die Behörde mit ihren Forderungen weit über das gesetzlich Zulässige und sicherheitstechnisch Vertretbare hinausgeht. So werden richterlich angeordnete Telekommunikationsüberwachungsmaßnahmen (TKÜ) bei uns beispielsweise weiterhin ohne SINA-Lösung durchgeführt. Über eine aus unserer Sicht rechtskonforme Umsetzung streiten wir seit mehreren Jahren mit dem zuständigen Referat der BNetzA. Unser Rechtsanwalt Prof. Dr. Stefan König vertritt uns in dieser Sache ebenso wie unsere Rechtsanwältin Dr. Grace Nacimiento.

Sobald sich hierzu neue Entwicklungen ergeben, werden wir über diese im Posteo-Blog und als Beitrag unter unseren Transparenzberichten informieren. Eine Kurzzusammenfassung des Rechtsgutachtens finden Sie direkt unter diesem Beitrag.

- Das vollständige Gutachten können Sie im PDF-Format hier aufrufen: Gutachten
- Wie viele TKÜ im letzten Jahr bei Posteo durchgeführt wurden, ist im Transparenzbericht auf unserer Webseite nachzulesen.

Als Provider tragen wir Verantwortung; und wir können einen Beitrag zur demokratischen Kontrolle leisten. Deshalb werden wir unser rechtliches Engagement auch in Zukunft fortsetzen – und wo es notwendig wird, weiter verstärken.

Viele Grüße
Ihr Posteo-Team

Kurz-Zusammenfassung der Ergebnisse des Gutachtens

1. Posteo ist als internetbasierter E-Mail-Dienst als Telekommunikationsdienst i.S.d. § 95, § 3 Nr. 24 TKG zu qualifizieren. Nach der aktuellen Rechtsprechung des Verwaltungsgerichts Köln, determiniert auch bei einer Signalübertragung über das Internet der Diensteanbieter den Übertragungsvorgang, so dass das Tatbestandsmerkmal der Signalübertragung über Telekommunikationsnetze erfüllt ist

2. Bei den bei Posteo vorhandenen, auf Basis von Mobilfunknummern „gehashten und gesalteten“ Daten handelt es sich nicht um Bestandsdaten von Teilnehmern i.S.d. § 95 i.V.m. § 3 Nr. 3 TKG. Es lässt sich bereits nicht feststellen, ob es sich bei der dem Hashwert zugrunde liegenden Mobilfunknummer um ein Teilnehmerdatum i.S.d. § 95 TKG handelt oder um ein Nutzerdatum handelt, das vom Anwendungsbereich des § 95 TKG schon nicht erfasst ist. Selbst wenn man aber die vom Kunden eingegebene Mobilfunknummer als relevantes Bestandsdatum qualifizieren würde, wird durch den Einsatz von Salt-Wert und kryptographischer Hashfunktion noch in der lokalen Umgebung des Nutzers eine Anonymisierung dieses Datums bewirkt, bevor Posteo dieses übermittelt bekommt. Diese hat zur Folge, dass es sich jedenfalls mangels herstellbaren Personenbezugs bei den allein gespeicherten Hashwerten nicht mehr um Teilnehmerdaten i.S.d. § 95 TKG handelt. Ein Rückschluss auf den Klartext oder die Person des Kunden ist auf Basis der zu Posteo übermittelten Daten technisch nicht möglich.

3. Darüber hinaus handelt es sich bei diesen anonymisierten Daten, die nicht gezielt zur Erbringung des Dienstes abgefragt, sondern rein optional und auf Initiative des Kunden übermittelt werden, auch nicht um vom Anbieter des Dienstes i.S.d. § 95 TKG „erhobene“ Daten.

4. Auch der von Posteo verwendete, für jeden Kunden individuell eingesetzte „Salt-Wert“ stellt kein Bestandsdatum i.S.d. § 95 TKG dar. Dieser Wert weist weder einen Bezug zum Vertragsverhältnis auf, noch weist er den erforderlichen Personenbezug auf, ist demnach auch kein Teilnehmerdatum im Sinne des Gesetzes.

5. Als Anbieter eines öffentlich zugänglichen Dienstes der elektronischen Post ist Posteo schließlich auch nicht zur Erhebung und Speicherung von Bestandsdaten verpflichtet. Die in § 111 Abs. 1 Satz 3 TKG enthaltene Speicherpflicht bezieht sich lediglich auf Daten, die der Anbieter ohnehin erhebt.

Transparenzbericht 2017: Posteo fordert Verpflichtung für TK-Anbieter

2018-01-17T14:15:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir möchten, dass Sie wissen, wie häufig Behörden bei uns um Kundendaten ersuchen. Deshalb veröffentlichen wir heute unseren Transparenzbericht für das Jahr 2017. In ihm legen wir offen, wie oft Strafverfolgungbehörden und Nachrichtendienste sich im Jahr 2017 an uns gewandt haben – und wie oft wir tatsächlich Daten herausgeben mussten. Der Bericht enthält alle Behördenanfragen, die wir erhalten haben.

Die Zahlen im Überblick

Im Jahr 2017 haben wir insgesamt 48 Anfragen erhalten. Nach einem Rückgang der Anfragen im Jahr 2016 erreichte die Zahl somit wieder das Niveau von 2015. Die Anzahl der Postfächer hat sich bei Posteo seit 2015 allerdings verdoppelt, sodass die Anfragequote pro Postfach stark rückläufig ist.

15 Prozent aller Ersuchen im Jahr 2017 standen im Zusammenhang mit einem Fall.
#more#

Die Zahl der Ersuchen nach Bestandsdaten stieg von 28 im Jahr 2016 auf 41 im Jahr 2017.
Die Verkehrsdatenersuchen gingen hingegen das zweite Jahr in Folge zurück: Nach 6 Ersuchen im Jahr 2015 und 2 Ersuchen im Jahr 2016 erreichte uns im Jahr 2017 nur noch 1 Verkehrsdatenersuchen.
Aus Gründen des Datenschutzes und der Sicherheit erheben wir grundsätzlich weder Bestands- noch Verkehrsdaten zu den E-Mail-Postfächern. Diese Daten liegen bei uns nicht vor und darüber informieren wir die anfragenden Stellen stets zeitnah. Die Anzahl der Herausgaben von Bestands- und Verkehrsdaten lag deshalb bei 0 – wie bereits in den Vorjahren.

Bei den Inhaltsdaten waren 2017 erneut 3 Postfächer von Beschlagnahmungen oder Telekommunikationsüberwachungen (TKÜ) betroffen. Insgesamt hatten uns zu diesen 3 Postfächern 5 richterliche Beschlüsse erreicht. Davon waren 3 Beschlagnahmen gespeicherter Inhaltsdaten. Ein Postfach war zusätzlich zur Beschlagnahme von einer Telekommunikationsüberwachung (TKÜ) betroffen. Die richterliche TKÜ-Anordnung war jedoch nicht rechtskonform, weshalb unsere Anwälte eine Datenherausgabe ablehnten. Das Gericht besserte daraufhin nach und legte einen zweiten, korrekten Beschluss vor.

Zu den anfragenden Stellen:
Im vergangenen Jahr haben uns 43 Ersuchen von deutschen Behörden und 5 Ersuchen aus dem Ausland erreicht. 44 Ersuchen kamen von Ermittlungsbehörden, 4 Anfragen stammten von (inländischen) Nachrichtendiensten. An Nachrichtendienste wurden jedoch in keinem Fall Daten übermittelt.

Anteil rechtswidriger Ersuchen lag bei 42 Prozent

Der Anteil der rechtswidrigen Ersuchen lag im Jahr 2017 bei rund 42 Prozent.
Neben der mangelhaften TKÜ erhielten wir auch 18 Bestandsdatenersuchen, die nicht in Ordnung waren. Zum Beispiel, weil Verstöße gegen das Datenschutzgesetz vorlagen, Rechtsgrundlagen nicht genannt wurden oder rechtswidrig nach IP-Adressen oder dem letzten Login gefragt wurde. Wir haben uns in allen Fällen bei den jeweils zuständigen Datenschutzbeauftragten beschwert. 4 Ersuchen aus dem Ausland wurden nicht über den Rechtshilfeweg an uns gerichtet. Auskünfte an ausländische Behörden oder ausländische Nachrichtendienste erteilen wir grundsätzlich nicht.
Aktuelle Beispiele rechtswidriger Behördenersuchen legen wir auch in diesem Jahr wieder geschwärzt in einer Fotogalerie auf der Seite unseres Transparenzberichtes offen. Dort gehen wir auch auf Anfragen aus einzelnen Bundesländern ein – im Jahr 2017 hatten die unsicheren Anfragen beispielsweise den Landtag und das Innenministerium in Rheinland-Pfalz beschäftigt.

Transparenzberichte sollten für Telekommunikations-Anbieter verpflichtend werden

Posteo war 2014 der erste deutsche Telekommunikations-Anbieter, der einen Transparenzbericht über Ersuchen von Strafverfolgungsbehörden veröffentlicht hat. Damals hatten wir vorab ein Rechtsgutachten eingeholt, um die rechtliche Möglichkeit solcher Berichte in Deutschland zu klären. Das Ziel: Transparenzberichte in Deutschland zu etablieren.

Fast vier Jahre später ziehen wir Bilanz: Einige Anbieter geben inzwischen eigene Berichte heraus. Viele deutsche Unternehmen veröffentlichen jedoch weiterhin keine Zahlen über Behördenersuchen. Mehrere TK-Dienste haben nach dem Jahr 2015 keine Zahlen mehr offengelegt. Auch stellen die Angaben in den vorhandenen Berichten oft keine Transparenz her: Transparenz entsteht, wenn Anbieter angeben, wie viele Ersuchen sie zu verschiedenen Daten erhalten haben. Und: wie oft Daten im Anschluss an Behörden übermittelt wurden. Leider wird in der Regel nur eine Zahl genannt: Entweder die Ersuchen – oder die Herausgaben. Das ist nicht transparent. Kunden erfahren so nicht, wie ein Unternehmen mit Ersuchen umgeht. Oder, wie viele Anfragen rechtswidrig waren. Fehlen die Herausgabe-Zahlen, ist für die Kunden nicht erkennbar, welche Daten beim Anbieter tatsächlich über sie vorliegen.

Wir denken deshalb, dass Transparenz eine verbindliche Vereinbarung braucht: Wir wünschen uns, dass Transparenzberichte und ihre konkrete Form für deutsche Telekommunikations-Anbieter gesetzlich verpflichtend werden. Transparenz wird nur dann erzielt, wenn die Angaben in den Berichten aussagekräftig sind.

Unterstützung von Ex-Verbraucherschutzministerin Renate Künast

Auch Renate Künast (MdB), ehemalige Verbraucherschutzministerin und bisherige Vorsitzende des Bundestags-Ausschusses für Recht und Verbraucherschutz, sieht aussagekräftige Transparenzberichte als gutes Recht der Verbraucher an:

“Transparenzberichte sind Ausdruck der Informationellen Selbstbestimmung der Verbraucherinnen und Verbraucher. Transparenzberichte mit Aussagekraft sind unser gutes Recht!”

Unsere Forderungen aus der Praxis für eine solche Regelung:

Für jede Datenart (also z.B. für Verkehrsdaten, Bestandsdaten, Inhaltsdaten) sollten mindestens zwei Werte angegeben werden müssen:
- Wie oft Behörden im Rahmen welches Ersuchens (also z.B. Verkehrsdatenersuchen, manuelle und automatisierte Bestandsdatenersuchen, Beschlagnahmen oder TKÜ) Daten angefragt haben.
- Wie oft die einzelnen Datenarten im Anschluss tatsächlich herausgegeben wurden. (z.B. Verkehrsdaten, Bestandsdaten, Inhaltsdaten bei Beschlagnahmen oder TKÜ)

Weitere Posteo-Vorschläge für eine verbindliche Transparenzregelung:

- Telekommunikations-Anbieter sollten auch alle Ersuchen von Nachrichtendiensten transparent in ihren Berichten aufführen müssen.
- Erfasst werden sollte auch die Quote der Ersuchen, die formal nicht in Ordnung waren. Diese statistische Rückmeldung wäre für den Gesetzgeber, die Datenschutzbeauftragten und andere gesellschaftliche Akteure wertvoll. Bei uns liegt die Quote der rechtswidrigen Ersuchen bei rund 42 Prozent, sodass wir hier akuten Handlungsbedarf sehen.
- Die Veröffentlichungen der Unternehmen sollten für eine optimale Vergleichbarkeit auch in einem Open-Data-Format erfolgen, damit sie statistisch aufbereitet werden können.

In den letzten Jahren sind Überwachungsgesetze in Deutschland immer weiter ausgebaut worden. Aus unserer Sicht fehlen Instrumente, um ihre demokratische Kontrolle im Ausgleich zu stärken. Verpflichtende Transparenzberichte können hierzu beitragen. Nachdem wir die Entwicklung vier Jahre lang beobachtet haben, regen wir das nun an.

Viele Grüße
Ihr Posteo-Team

Neue Sicherheitszertifikate

2018-01-09T13:00:00+01:00

Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,

wir werden in den nächsten Tagen unsere Sicherheitszertifikate aktualisieren. Sicherheitszertifikate haben eine zeitlich begrenzte Gültigkeit und müssen hin und wieder erneuert werden. Deshalb werden wir sie bis zum 22.01.2018 austauschen. Wir verwenden weiterhin Zertifikate von Geotrust(Digicert) und der Bundesdruckerei (D-Trust).

In den meisten Fällen werden Sie vom Austausch der Zertifikate nichts mitbekommen.
Alle Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.

Wenn Sie das Vertrauen der Zertifikate durch einen manuellen Abgleich regeln, finden Sie unten die Fingerprints der neuen Zertifikate, die wir in Kürze verwenden. Die Fingerprints finden Sie auch in unserem Impressum.

Neue Fingerprints der TLS-Sicherheitszertifikate

Geotrust:
SHA256: FB:28:42:1E:23:AD:8A:23:8B:AB:C1:ED:FD:86:FD:F5:30:C6:D9:35:E0:E6:D8:91:CD:F3:77:66:05:C5:75:33
SHA1: AC:9D:4C:F6:36:78:FE:D6:EB:5C:CE:F9:DA:CB:69:CE:0A:93:F4:58
MD5: E9:B3:0A:C5:76:86:0C:FC:15:3D:43:D9:6E:CD:FC:CE

D-Trust:
SHA256: 09:63:1B:8C:35:CD:67:0E:AB:60:B3:63:1E:F3:42:DB:9F:43:5E:09:AD:09:A5:90:49:33:26:F2:FD:B4:D7:AA
SHA1: B6:B8:3C:59:23:22:33:07:88:9E:DD:B9:8D:2D:ED:6C:FA:32:E9:04
MD5: 5D:3F:4C:A3:72:7F:8B:3A:54:92:B4:C8:BC:D5:D9:B7

Viele Grüße
Ihr Posteo-Team

Sicherheitslücken: Was alle Thunderbird-Nutzer jetzt tun sollten

2017-12-21T12:25:00+01:00

In einem von Posteo und dem Mozilla SOS Fund beauftragten Sicherheits-Audit von Thunderbird und Enigmail wurden schwerwiegende Sicherheitsprobleme bei Thunderbird festgestellt. Diese gefährden die Vertraulichkeit Ihrer E-Mail-Kommunikation und ggf. auch die Sicherheit sensibler Daten auf Ihren Geräten.

Betroffen sind Thunderbird-Nutzer bei allen Anbietern, wie z.B. auch bei Gmail, GMX oder web.de.

Einige der Probleme konnten bereits behoben werden – allerdings werden die meisten Verbesserungen erst in kommenden Versionen zur Verfügung stehen.
Darüber hinaus gibt es Probleme mit der Architektur des Thunderbird-Add-on-Systems. Die notwendigen Umbauten an der Thunderbird-Architekur werden längere Zeit in Anspruch nehmen.

Wir bitten alle Thunderbird-Nutzer deshalb, die folgenden Sicherheits-Empfehlungen zu beachten:

Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur Verfügung stehen. Die neuen Versionen werden verschiedene Schwachstellen beheben.
Nutzen Sie Thunderbird möglichst ohne oder nur mit aktuell geprüften Add-ons/Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde. Aktuell kann das Verwenden kompromittierbarer Add-ons/Plugins die Vertraulichkeit Ihrer Kommunikation und anderer sensibler Daten auf Ihren Geräten gefährden.
Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer (Ende-zu-Ende-verschlüsselten) Kommunikation gefährden.
Achten Sie darauf, nicht versehentlich Add-ons durch Phishing zu installieren, über die Sie angegriffen werden könnten.

Beachten Sie diese einfachen Sicherheitshinweise, kommunizieren sie bereits deutlich sicherer.

Wenn Sie das Thunderbird Add-on Enigmail nutzen: Updaten Sie Enigmail umgehend auf die neue Version 1.9.9. Diese Version behebt alle im Audit gefundenen Schwachstellen in Enigmail.

Viele Grüße
Ihr Posteo-Team

Sicherheits-Warnung für Thunderbird- und Enigmail-Nutzer: Schwachstellen gefährden Vertraulichkeit der Kommunikation

2017-12-20T15:30:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,
Liebe Thunderbird-Nutzer und Interessierte,

wir wenden uns mit Sicherheitshinweisen an alle Nutzer von Thunderbird und dem Verschlüsselungs-Add-on Enigmail.

Wir wollen, dass weit verbreitete Open Source-Lösungen sicherer werden.
Im Herbst haben wir deshalb mit dem Mozilla SOS Fund kooperiert und gemeinsam ein umfangreiches Sicherheits-Audit von Thunderbird mit Enigmail beauftragt. Für Enigmail war es das erste Sicherheits-Audit überhaupt.

Ziel dieser Sicherheits-Untersuchung war es, Schwachstellen zu identifizieren und die geprüfte Software nachhaltig sicherer zu machen. Im aktuellen Audit wurden zahlreiche Schwachstellen nachgewiesen. Die Enigmail-Entwickler haben alle gefundenen Probleme bereits behoben. Auch in Thunderbird konnten einige Fehler bereits behoben werden – allerdings werden die meisten Verbesserungen erst in kommenden Versionen zur Verfügung stehen. Darüber hinaus gibt es Probleme mit der Architektur des Thunderbird-Add-on-Systems. Deshalb wenden wir uns heute an Sie.

Betroffen sind Thunderbird-Nutzer bei allen Anbietern, wie z.B. auch bei Gmail, GMX oder web.de.

Wir bitten alle Thunderbird- und Enigmail-Nutzer, unsere Sicherheits-Empfehlungen weiter unten in diesem Beitrag aufmerksam zu lesen. Beachten Sie die einfachen Sicherheitshinweise, kommunizieren Sie bereits deutlich sicherer.
#more#

24 Tage, 8 Tester, 22 Schwachstellen

Die umfangreiche Untersuchung von Thunderbird mit Enigmail wurde im Herbst 2017 von unabhängigen Sicherheitsingenieuren (Cure53) durchgeführt. Finanziert wurde das Audit zu gleichen Teilen von Posteo und dem Mozilla SOS Fund. Das Projekt umfasste 24 Tage und ein Team von 8 Testern.
Geprüft wurden die Bereiche “Eingehende PGP E-Mails”, “Eingehende HTML-E-Mails”, “Erstellen der PGP-Schlüsselpaare/Verschlüsselung generell”, “Kalender, RSS und andere Funktionen mit Rich-Text” sowie die “Standardeinstellungen”.

Insgesamt wurden 22 sicherheitsrelevante Schwachstellen gefunden, davon wurden 3 als “kritisch” und 5 als “hoch” eingestuft. Die Entwickler von Thunderbird und Enigmail waren in das Audit einbezogen und wurden nach dem Sicherheits-Audit umgehend informiert.

Die Tester selbst fassen die Ergebnisse in ihrem Bericht wie folgt zusammen:

“Ein genauer Blick auf die Implementierungen von Thunderbird und Enigmail offenbarte eine weite Verbreitung von Design-Mängeln, Sicherheitsproblemen und Fehlern. (…) Kurz gefasst, darf eine Kommunikation unter dem gegenwärtigen Design und in dieser Zusammensetzung derzeit nicht als sicher angesehen werden.”(Übs.)

“A detailed look at the implementations of both Thunderbird and Enigmail revealed a high prevalence of design flaws, security issues and bugs. (…) In short, secure communications may not be considered possible under the current design and setup of this compound.”(Original)

Als kritisch wurde bei Enigmail u.a. eingestuft, dass dort sowohl Signaturen als auch Identitäten vorgetäuscht werden konnten. Auch konnte die verschlüsselte Kommunikation eines Nutzers von Dritten abgefangen und unter bestimmten Bedingungen im Weiteren kompromittiert werden.
Die Enigmail-Entwickler haben alle gefundenen Schwachstellen inzwischen geschlossen und eine neue Enigmail-Version (1.9.9) zur Verfügung gestellt. Hierfür möchten wir uns bei Enigmail bedanken.
Allerdings ist Enigmail auf Thunderbird angewiesen. Und dort stehen viele der Verbesserungen erst in kommenden Versionen zur Verfügung.

Thunderbird-Add-on-Architektur gefährdet die Sicherheit Ihrer Daten

Im Frühjahr hatten sich im Rahmen eines Posteo-Audits bereits Architekturschwächen bei Firefox bestätigt, die wir daraufhin auch in Thunderbird vermuteten. Das aktuelle Audit hat dies bestätigt:

Die Add-on-Architektur von Thunderbird lässt es zu, dass Angreifer über kompromittierbare Plugins/Add-ons an Ihre E-Mail-Kommunikation gelangen. Die Plugins/Add-ons werden nicht stark genug voneinander abgegrenzt und haben u.a. Zugriff auf die Inhalte in Thunderbird. Das betrifft auch Ende-zu-Ende-verschlüsselte Kommunikation: Der private PGP-Schlüssel des Nutzers kann so in die Hände eines Angreifers gelangen. Enigmail selbst kann hier nicht nachbessern. Es ist sogar möglich, dass ein Angreifer über kompromittierte Add-ons in Thunderbird Zugriff auf Teile Ihres Gerätes und auf ihre sensiblen Daten erhält.

Im Prüfbericht wird zu Vorsicht geraten:

“Angenommen, ein kompromittierbares Add-on ist installiert, dann eröffnen sich einem Angreifer zahlreiche Wege, an den privaten Schlüssel und andere sensible Daten zu gelangen. (…) Fortan sollten sich alle Nutzer bewusst sein, dass Thunderbird-Extensions so mächtig sind wie ausführbare Dateien, was bedeutet, dass sie mit angemessener Vorsicht und Sorgsamkeit zu behandeln sind.”(Übs.)

“Assuming that a vulnerable or rogue extension is installed, an attacker acquires multiple ways of getting access to private key material and other sensitive data. (…) Henceforth, users are asked to be aware that extensions in Thunderbird are as powerful as executables, which means that they should be treated with adequate caution and care.”(Original)

In Firefox wurde die Architektur in der aktuellen Version 57 grundlegend umgebaut.
Bei Thunderbird ist derzeit nicht absehbar, ob die Add-on-Architektur zeitnah geändert wird.

RSS-Feeds als Spione

Im Audit wurden auch schwerwiegende Sicherheitsprobleme in Verbindung mit RSS-Feeds nachgewiesen, die voraussichtlich erst in Thunderbird Version 59 vollständig behoben sein werden. Die Angriffswege werden in diesem Beitrag aus Sicherheitsgründen nicht weiter beschrieben. Das Verwenden von RSS-Feeds in Thunderbird kann Ihre vertrauliche Kommunikation in Thunderbird sowie andere sensible Daten offenlegen und gefährden.

Bitte beachten Sie folgende Sicherheits-Empfehlungen:

Für alle Thunderbird-Nutzer:

Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur Verfügung stehen. Die neuen Versionen werden verschiedene Schwachstellen beheben, die in dem Audit festgestellt wurden.
Nutzen Sie Thunderbird möglichst ohne oder nur mit aktuell geprüften Add-ons/Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde. Aktuell kann das Verwenden kompromittierbarer Add-ons/Plugins die Vertraulichkeit Ihrer Kommunikation und anderer sensibler Daten auf Ihren Geräten gefährden.
Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer (Ende-zu-Ende-verschlüsselten) Kommunikation gefährden.
Achten Sie darauf, nicht versehentlich Add-ons durch Phishing zu installieren, über die Sie angegriffen werden könnten.

Beachten Sie diese einfachen Sicherheitshinweise, kommunizieren sie bereits deutlich sicherer.

Für Enigmail-Nutzer:

Updaten Sie Enigmail umgehend auf die neue Version 1.9.9. Diese Version behebt alle im Audit gefundenen Schwachstellen.
Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur Verfügung stehen. Die neuen Versionen werdenverschiedene Schwachstellen beheben, die in dem Audit festgestellt wurden.
Installieren Sie zusätzlich zu Enigmail keine weiteren Add-ons oder Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde.
Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer Ende-zu-Ende-verschlüsselten Kommunikation gefährden.
Achten Sie darauf, nicht versehentlich weitere Add-ons durch Phishing zu installieren, über die Sie angegriffen werden könnten.

Beachten Sie diese einfachen Sicherheitshinweise, kommunizieren sie bereits deutlich sicherer.

Prüfbericht wird nach Schließen der Schwachstellen veröffentlicht
Aus Sicherheitserwägungen werden wir den Prüfbericht erst veröffentlichen, wenn alle gefundenen Schwachstellen geschlossen sind. In ihm werden die erfolgreichen Angriffe der Tester detailliert beschrieben. Den beteiligten Entwicklern, Posteo und Mozilla liegt der Bericht vor.

Posteo und Open Source
Posteo unterstützt aus Sicherheitsgründen ausschliesslich Open Source-Komponenten mit transparentem Code. Wir sind überzeugt davon, dass transparenter Code essentiell für die Sicherheit und die demokratische Kontrolle im Internet ist: Unabhängige Experten können jederzeit Schwachstellen oder Backdoors identifizieren und so die jeweilige Software Schritt für Schritt sicherer machen. Bei nicht transparentem Code muss hingegen auf die Sicherheits-Aussagen eines einzelnen Providers oder Entwicklers vertraut werden. Und diese sind für die Öffentlichkeit nicht nachprüfbar. Das ist aus unserer Sicht keine Option.

Open Source-Projekte brauchen Ihre Unterstützung:

- Spenden Sie an das Thunderbird-Projekt, um die Weiterentwicklung von Thunderbird zu fördern: https://donate.mozilla.org/de/thunderbird/
- Spenden Sie an die Enigmail-Entwickler, um die Weiterentwicklung von Enigmail zu fördern: https://www.enigmail.net/index.php/en/home/donations

Nach dem Audit: Was die Beteiligten sagen

Der Enigmail-Entwickler Patrick Brunschwig bedankt sich:

“Enigmail ist eines der meistgenutzten Tools für die Verschlüsselung mit OpenPGP. Es brauchte 16 Jahre Entwicklungszeit, bis das erste Sicherheits-Audit durchgeführt wurde. Es war überfällig, und ich möchte Posteo dafür danken, dass es die Initiative ergriffen hat und das Audit gemeinsam mit der Mozilla Foundation co-finanziert hat. Nicht besonders überraschend für so ein altes Projekt, hat das Audit eine Anzahl wichtiger Probleme offenbart, die jetzt angegangen wurden.”(Übs.)

“Enigmail is one of the most widely used tool for OpenPGP email encryption. Yet it took 16(!) years of development until the first security audit was performed. It was more than overdue, and I would like to thank Posteo (www.posteo.de) for taking the initiative and co-financing an audit report together with the Mozilla Foundation. Not very surprising for such an old project, the audit report revealed a number of important issues that were addressed now.”(Original)

Mozilla wertet die Untersuchung als Erfolg:

"Mozilla’s Secure Open Source Fund, ein Projekt von MOSS, stellt Sicherheits-Audits für relevante Open Source Software zur Verfügung. Wir freuen uns sehr, dass wir mit Posteo zusammenarbeiten konnten, um eine der wichtigsten Software-Kombinationen für sichere E-Mail zu untersuchen, und wir sind glücklich, dass die Daten der Nutzer als Ergebnis sicherer geworden sind."(Übs.)

“Mozilla’s Secure Open Source Fund, a MOSS program, provides code-read security audits for key pieces of open source software. We are very pleased to have been able to collaborate with Posteo to audit one of the main software combinations used for secure email, and are glad that users’ data is safer and more secure as a result.”(Original)

Dr. Mario Heiderich von Cure53 wünscht sich nach den Ergebnissen der Untersuchung die Neuauflage eines Bug Bounty Programms für Thunderbird:

“Wenn alle durch Cure53 gefundenen Probleme beseitigt sind, sollte abschliessend stark in Erwägung gezogen werden, wieder ein Bug-Bounty Programm für Thunderbird einzuführen. Dieser Ansatz würde würde dabei helfen, die Sicherheit auf einem akzeptablen Level zu halten, statt sie sich zu einem veralteten Stand verschlechtern zu lassen .”(Übs.)

“In closing, once all relevant issues reported here by Cure53 have been fixed, it should be strongly considered to re-establish a bug bounty program for Thunderbird. This approach would help keeping the security level at an acceptable level instead of allowing it to deteriorate and move towards a stale state of datedness.”(Original)

Patrik Löhr von Posteo möchte Veränderungen in der Add-on-Architektur von Thunderbird:

“Wir wollen verbreitete Open Source-Komponenten und echte Ende-zu-Ende-Verschlüsselung sicherer machen: Und am besten lässt sich dies über Sicherheits-Audits erreichen.
Dass alle in Enigmail gefundenen Schwachstellen bereits geschlossen werden konnten, ist ein Erfolg.
Bei der Add-on-Architektur von Thunderbird muss allerdings nachgebessert werden, um ein zeitgemäßes, sicheres Setup zu erreichen. Thunderbird ist ein essentiell wichtiges Werkzeug für sehr viele Menschen, die mit E-Mail arbeiten und eine echte Ende-zu-Ende-Verschlüsselung nutzen. Deshalb: Der Aufwand lohnt sich.”

Viele Grüße
Ihr Posteo-Team

Neu: Vereinfachte E-Mail-Verschlüsselung mit Autocrypt- und OpenPGP-Header

2017-12-18T17:50:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir unterstützen seit heute das neue Verschlüsselungs-Verfahren Autocrypt, das echte Ende-zu-Ende-Verschlüsselung mit E-Mailprogrammen bald erheblich vereinfachen wird. Sobald Autocrypt-fähige Programme verfügbar sind, können Posteo-Kunden die Technologie nutzen.

Das zukunftsweisende Verfahren wird derzeit in verbreitete E-Mail-Programme wie Thunderbird mit Enigmail und K-9 Mail für Android integriert. Neue Versionen dieser Programme (Enigmail 2.0 und K-9 Mail 5.3) werden Autocrypt unterstützen.

Verwenden Absender und Empfänger Autocrypt-fähige E-Mail-Programme, müssen sie für eine Ende-zu-Ende-verschlüsselte Kommunikation nichts mehr tun: Die E-Mail-Programme verschlüsseln E-Mails vor dem Versand automatisch mit PGP und tauschen öffentliche Schlüssel automatisch im Hintergrund aus. Das oft als kompliziert empfundene manuelle Austauschen und Verwalten von Ende-zu-Ende-Schlüsseln entfällt.
Vor der ersten verschlüsselten Kommunikation wird stattdessen einmalig eine reguläre E-Mail (ohne Inhalt) zugesendet. Bei diesem Versand wird erstmals der Schlüssel im Hintergrund übertragen. Ab diesem Zeitpunkt können alle Nachrichten automatisch verschlüsselt werden.

Autocrypt ist Open Source, funktioniert anbieterübergreifend und setzt auf echte Ende-zu-Ende-Verschlüsselung, bei der ein privater Schlüssel stets beim jeweiligen Nutzer verbleibt. Auch deshalb begrüßen wir das Verfahren.
#more#

Warum wir Autocrypt schon jetzt unterstützen und Schlüssel zusätzlich absichern

Autocrypt wird derzeit in einer ersten Version in gängige E-Mail-Programme integriert. Dass E-Mail-Anbieter sich an der Schlüsselverteilung mit Autocrypt beteiligen, ist bisher nicht vorgesehen. Doch für Endnutzer bringt die providerseitige Unterstützung Vorteile, die wir mit unserer frühen Implementierung aufzeigen möchten.

Es ist uns sehr wichtig, dass Posteo-Kundinnen und -Kunden von Anfang an die Möglichkeit haben, Autocrypt zu nutzen. Und zwar so komfortabel und sicher wie möglich.

Unser Beitrag zum Komfort:
Mit Autocrypt können E-Mail-Programme öffentliche Schlüssel bald automatisiert über die E-Mail-Header austauschen.
Unsere providerseitige Unterstützung sorgt dafür, dass ein Autocrypt-fähiges Programm den Schlüssel auch dann erhält, wenn der Posteo-Absender ein Programm ohne Autocrypt verwendet. Liegt uns der öffentliche Schlüssel des Absenders vor, übernehmen wir diese Aufgabe: Posteo fügt vor jedem E-Mail-Versand den für die Verschlüsselung benötigten Autocrypt-Header selbst hinzu. Ihr Kommunikationspartner kann Ihnen verschlüsselt antworten – ohne manuellen Schlüsselaustausch.

Bei jedem Versand wird Ihr aktueller Schlüssel im Autocrypt-Header übermittelt. In den Programmen Ihrer Kommunikationspartner sind so stets die aktuellen Schlüssel hinterlegt – ohne manuelle Schlüsselpflege.

Unser Beitrag zur Sicherheit:
Wir sichern den Schlüsselaustausch mit Autocrypt zusätzlich mit digitalen Signaturen ab (DKIM). Dies ist bei Autocrypt bisher nicht standardmäßig vorgesehen. Unsere providerseitige DKIM-Signierung sorgt dafür, dass öffentliche Schlüssel auf dem Transport nicht unbemerkt manipuliert werden können. Auch Autocrypt-Header, die Ihr lokales E-Mailprogramm ggf. hinzufügt, werden von uns mit DKIM signiert. Die Signatur wird vorgenommen, wenn der Absender zum Postfach passt.

So ist Autocrypt in Posteo integriert

Viele Posteo-Kunden haben ihren öffentlichen PGP-Schlüssel im Posteo-Schlüsselverzeichnis veröffentlicht. Versenden diese Kunden eine E-Mail, ergänzen wir ab heute bei jedem Versand automatisch einen Autocrypt-Header im E-Mail-Header. Dieser enthält ihren öffentlichen Schlüssel. Senden Sie selbst bereits einen Autocrypt-Header in Ihren E-Mails mit, verändern wir ihn nicht und fügen keinen weiteren hinzu.

- Posteo-Kunden, die zusätzlich unsere Eingangsverschlüsselung mit einem PGP-Schlüssel aktiviert haben, wollen immer verschlüsselte Nachrichten erhalten. Diese Information schreiben wir in den Autocrypt-Header hinein. Autocrypt-fähige E-Mail-Programme erkennen so künftig, dass diese Posteo-Kunden immer verschlüsselte Antworten erhalten wollen.

- Neben Autocrypt-Headern ergänzen wir seit heute auch den so genannten OpenPGP-Header, der einem empfangenden E-Mail-Programm anzeigt, wo es einen öffentlichen Schlüssel finden kann. Hier werden die URLs für den Download aus dem Posteo-Schlüsselverzeichnis übermittelt. Auch den Open-PGP-Header signieren wir mit DKIM.

Was können Sie tun?

Das verschlüsselte Kommunizieren mit Autocrypt wird im Alltag in der Regel ohne Ihr Zutun funktionieren. Und auch das manuelle Austauschen und Verwalten von Ende-zu-Ende-Schlüsseln entfällt. Sie benötigen lediglich ein PGP-Schlüsselpaar.

- Installieren Sie ggf. die kommenden neuen Versionen von Enigmail oder K-9 Mail, sobald sie verfügbar sind.

- Haben Sie bereits ein PGP-Schlüsselpaar für Ihre Posteo-Adresse, empfehlen wir, den Schlüssel im Posteo-Schlüsselverzeichnis zu veröffentlichen. Ihr öffentlicher Schlüssel wird dann bei jedem Versand an ein Autocrypt-fähiges Programm in den Header der E-Mail eingefügt. Wie Sie Ihren öffentlichen PGP-Schlüssel bei Posteo veröffentlichen, erklären wir Ihnen in diesem Hilfeartikel.

Sicherheits-Empfehlungen für das Implementieren von Autocrypt:
Das automatisierte Austauschen von öffentlichen Schlüsseln im Hintergrund sollte aus Sicht von Posteo stets durch verschiedene Sicherheitsmaßnahmen begleitet werden. Wir empfehlen Providern, Autocrypt-Header mit DKIM zu signieren. Programm-Entwickler sollten weitere Möglichkeiten der Schlüssel-Absicherung berücksichtigen und vorhandene DKIM-Signaturen prüfen. Anwendern sollte in den Programmen außerdem signalisiert werden, wenn ein öffentlicher Schlüssel oder die Anweisung, ob die E-Mail-Kommunikation zu verschlüsseln ist, geändert wird. So können mögliche Manipulationen durch Dritte unmittelbar erkannt werden.

Viele Grüße
Ihr Posteo-Team

Transparenzhinweis: Unsere Spenden 2016

2017-09-13T16:10:00+02:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

wir haben einen Transparenzhinweis für Sie: Wir haben unsere Spenden-Seite aktualisiert. Dort legen wir offen, welche Organisationen wir im vergangenen Jahr (2016) finanziell unterstützt haben.

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen.
Deshalb unterstützen wir ausgewählte Organisationen aus den Bereichen Umwelt- und Klimaschutz, Netzpolitik & Meinungsfreiheit sowie aus der Flüchtlingshilfe.

Im vergangenen Jahr haben wir insgesamt 29.600,00 EUR gespendet. Davon waren 28.002,00 EUR freiwillige Spenden durch das Unternehmen Posteo. Aus gespendeten Restguthaben stammten die übrigen 1.598,00 EUR. #more#

Im Vergleich zum Vorjahr konnten wir unsere Spenden im Jahr 2016 um 5.250,00 EUR erhöhen.

Empfänger der Posteo-Spenden waren, wie bereits im Vorjahr, u.a. Reporter ohne Grenzen, die UNO-Flüchtlingshilfe, der Bund für Umwelt und Naturschutz Deutschland sowie Netzpolitik.org.

Neu hinzugekommen ist ein Klimaschutzprojekt des Deutschen Roten Kreuzes im Amazonasgebiet: Dort sind 1,3 Millionen Menschen durch die klimawandelbedingte Zunahme von Extremwetter-Ereignissen akut bedroht. Im Rahmen des Projektes werden Häuser in sicherer Bauweise auf erhöhten Plattformen errichtet. Außerdem werden Decken und Hygienekits verteilt sowie ein Gesundheitsdienst eingesetzt. Das Projekt trägt nachhaltig zur Existenzsicherung der vom Klimawandel betroffenen Menschen bei.

Außerdem unterstützen wir seit dem Jahr 2016 das Europäische Zentrum für Verfassungs- und Menschenrechte (ECCHR). Ziel der Anwälte des ECCHR ist es, staatliche und nichtstaatliche Akteure für schwerwiegende Menschenrechtsverletzungen gerichtlich zur Verantwortung zu ziehen. Gegründet wurde das ECCHR im Jahr 2007 unter anderem von dem Menschenrechtsanwalt Wolfgang Kaleck, der in Deutschland den Whistleblower Edward Snowden vertritt.

Posteo wirtschaftet nachhaltig und ist unabhängig: Unser Dienst wird ausschliesslich über die Postfachgebühren unserer Kunden finanziert. Investoren oder Werbepartner gibt es bei Posteo nicht.
Deshalb sind Sie es, die unser Engagement ermöglichen – und einen Unterschied machen. Hierfür bedanken wir uns bei Ihnen.

Alle Empfänger von Posteo-Spenden finden Sie auf unserer Seite Wen wir unterstützen.

Viele Grüße
Ihr Posteo-Team

Hilfe-Video: So sichern Sie Ihr Postfach zusätzlich mit der Zwei-Faktor-Authentifizierung ab

2017-08-23T14:30:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir werden häufig gefragt, ob der Zugriff auf Posteo-Postfächer zusätzlich abgesichert werden kann – ohne besondere Computerkenntnisse. Eine Möglichkeit hierzu ist die Zwei-Faktor-Authentifizierung, die wir bereits seit einiger Zeit anbieten.

Sie ist ein einfacher, aber effektiver Zusatzschutz vor fremden Zugriffen: Beim Einloggen im Webmailer wird neben dem persönlichen Passwort auch ein Einmal-Code abgefragt. Die Zwei-Faktor-Authentifizierung verhindert Account-Diebstahl: Sollten Kriminelle oder Geheimdienste einmal Ihre Zugangsdaten (Benutzername und Passwort) erbeuten, haben sie keine Möglichkeit, auf Ihre Kontoeinstellungen zuzugreifen, Ihr Passwort zu ändern und Sie aus Ihrem Postfach auszusperren. Der Zugriff von Dritten auf Ihre Konten- und Sicherheitseinstellungen wird wirksam verhindert.

Wir haben die Erfahrung gemacht, dass Menschen ohne besondere IT-Kenntnisse sich oft nicht zutrauen, die Zwei-Faktor-Authentifizierung zu aktivieren. Eine optimale Online-Sicherheit ist aber für alle wichtig: Deshalb haben wir heute ein Video veröffentlicht, in dem unser Hilfe-Redakteur Tim Vüllers Ihnen Schritt für Schritt zeigt, wie Sie die zusätzliche Absicherung einrichten. Er erklärt auch, wie das Verfahren grundlegend funktioniert und zeigt, wie er persönlich es im Alltag nutzt. Außerdem verrät er im Video einen zusätzlichen Sicherheits-Trick: Wenn Sie Posteo nicht mit externen Mailprogrammen (wie Outlook oder Thunderbird) verwenden, können Sie den Zugriff für solche Programme sperren. Dann schützt die Zwei-Faktor-Authentifizierung auch Ihre E-Mails zusätzlich vor unbefugten Zugriffen. #more#

Wir werden in Zukunft weitere Hilfe-Videos veröffentlichen. Unsere Videos können mit Untertiteln barrierefrei angesehen werden. Zusätzlich sind Video-Versionen auf Englisch und Französisch verfügbar.

Weitere Kosten entstehen Ihnen mit der Zwei-Faktor-Authentifizierung nicht. Sie können das Verfahren auf vielen verschiedenen Geräten benutzen (Computer, Smartphone, Tablet, Yubikey).
Übrigens: Unser Kunden-Support hilft Ihnen auch gerne persönlich weiter, wenn Sie einmal Fragen oder Probleme mit der Zwei-Faktor-Authentifizierung haben sollten. Eine detaillierte Schritt-für-Schritt-Anleitung für das Einrichten finden Sie alternativ auch in der Posteo-Hilfe.

Viele Grüße
das Posteo-Team

Neu: Posteo-Umzugsservice jetzt auch für Kalender

2017-06-12T17:40:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir haben unseren Posteo-Umzugsservice erweitert: Ab sofort können Sie nicht nur Ihre E-Mail-Postfächer und Adressbücher, sondern auch Ihre Kalender bequem zu Posteo übertragen.

Der Umzugsservice ermöglicht Ihnen den Kalendertransfer von Anbietern wie gmx, web.de, Gmail, Aol oder iCloud.

So funktioniert es: Sie finden den Umzugsservice in den Einstellungen Ihres Posteo-Postfachs, unter “Mein Konto”. Legen Sie dort einen neuen Umzug an, werden Ihnen ab sofort nicht nur die E-Mail-Ordner und das Adressbuch, sondern auch die Kalender Ihres bisherigen Postfachs angezeigt. Per Mausklick wählen Sie komfortabel aus, welche Daten Sie zu Posteo übertragen möchten. Ob Sie die Daten bei Ihrem bisherigen Anbieter nach dem Umzug löschen, entscheiden Sie selbst.

Das Besondere am Posteo-Umzugsservice:
Er kostet keinen Aufpreis, Sie benötigen keine besonderen Technikkenntnisse – und Sie behalten die Kontrolle über Ihre Daten. Ihre sensiblen E-Mails, Adressbuch- oder Kalenderdaten werden zu keinem Zeitpunkt über Drittdienstleister geleitet. Wir haben unseren Umzugsservice selbst entwickelt, damit er unseren hohen Ansprüchen an Sicherheit und Datensparsamkeit entspricht: Ihre Daten werden durch uns direkt bei Ihrem bisherigen Anbieter abgerufen – und über verschlüsselte Verbindungen in Ihr Posteo-Postfach übertragen.

Auch speichern wir aus Datensparsamkeitsgründen z.B. nicht, von welcher E-Mail-Adresse Sie Daten in Ihr Posteo-Postfach übertragen haben.

Sollten Sie Fragen zum Umzug Ihrer Kalenderdaten oder zum Posteo-Umzugsservice insgesamt haben, wenden Sie sich gerne an unseren Kunden-Support.

Viele Grüße sendet
Ihr Posteo-Team

"Datenschutz wirklich beeindruckend umgesetzt": Bundesdatenschutzbeauftragte über Posteo

2017-05-30T19:00:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

die Bundesdatenschutzbeauftragte, Andrea Voßhoff, hat heute ihren aktuellen Tätigkeitsbericht für die Jahre 2015 und 2016 vorgelegt.

In dem Bericht wird aufgeführt, welchen Unternehmen in den vergangenen zwei Jahren ein Kontrollbesuch abgestattet wurde.
Hier werden auch wir erwähnt: Denn Posteo wurde im November 2016 routinemäßig und anlasslos geprüft.

Die Bundesdatenschutzbeauftragte schreibt über Posteo (anonymisiert) in ihrem Bericht:
“Ein E-Mail-Diensteanbieter hat den Datenschutz hingegen wirklich beeindruckend umgesetzt. Obwohl es sich um einen gebührenpflichtigen Dienst handelt, hat das Unternehmen einen Weg gefunden, weder Bestandsdaten im Sinne des § 95 TKG noch Verkehrsdaten nach § 97 TKG für den Betrieb zu benötigen und diese folglich auch nicht zu erheben oder dauerhaft zu speichern. Wie mir berichtet wurde, zweifeln viele Sicherheitsbehörden, die Auskunft nach § 113 TKG verlangen, diese Praxis an und versuchen, teilweise gerichtlich nicht vorhandene Daten einzuklagen.”

Quelle: 26. Tätigkeitsbericht zum Datenschutz für die Jahre 2015 und 2016, Seite 177

Das Betreiben eines konsequent datenschutzfreundlichen Angebotes ist in Deutschland tatsächlich mitunter schwierig. Es ist mit einem enormen bürokratischen Aufwand und mit hohen Anwaltskosten verbunden.
Wir freuen uns deshalb sehr über die wohlwollende Erwähnung im Tätigkeitsbericht. #more#

Da der Tätigkeitsbericht nun vorliegt, veröffentlichen wir aus Transparenzgründen heute auch den Prüfbericht der Bundesdatenschutzbeauftragten zu Posteo. Der Kontrollbesuch fand am 24. November 2016 statt. Aus Sicherheitsgründen haben wir wenige technische Details, die u.a. dem Schutz vor Mißbrauch dienen, geschwärzt. Das gilt auch für zwei Passagen zu einem laufenden juristischen Verfahren.

Hier der Bericht der BfDI zu Posteo im Pdf-Format.

Eine Auswahl von Zitaten aus dem Prüfbericht:

zu Bestandsdaten:
“Zusammenfassend stelle ich fest, dass Posteo im Sinne des § 95 TKG keine Bestandsdaten erhebt.” (Seite 4)
“Posteo berücksichtigt den Grundsatz der Datensparsamkeit sehr umfassend. Obwohl die Konten gebührenpflichtig sind, hat Posteo einen Weg gefunden, keine Bestandsdaten erheben zu müssen.” (Seite 8)

zu Bezahldaten:
“Die Bezahldaten werden nicht mit den E-Mail-Postfächern verknüpft, sondern getrennt gespeichert. Hierfür hat Posteo bereits 2009 ein eigenes System zur Anonymisierung der Zahlungsvorgänge entwickelt, das in 2015 den neuen gesetzlichen Vorgaben zur länderspezifischen Mehrwertsteuer angepasst wurde.” (Seite 2)

zu IP-Adressen, Logdaten und Verkehrsdaten:
“IP-Adressen von Kunden sind in den internen Systemen von Posteo nicht verfügbar und können daher auch nicht gespeichert werden.” (Seite 5)
“Zusammenfassend stelle ich fest, dass Posteo keine auf Kunden beziehbaren IP-Adressen und damit keine Verkehrsdaten nach § 96 TKG zur Diensterbringung benötigt und speichert.” (Seite 6)
“Die Gewährleistung der Sicherheit der Systeme nach § 109 TKG ist ohne Erhebung von personenbeziehbaren Verkehrsdaten sichergestellt.” (Seite 8)

zur Verschlüsselung:
“Gegen physischen Diebstahl sind alle Festplatten verschlüsselt, wobei Posteo im Besitz dieses Schlüssels ist. Zusätzlich kann der Nutzer den Posteo-Krypto-E-Mail-Speicher nutzen, um seine E-Mail mit einem eigenen Schlüssel zu verschlüsseln. Posteo unterstützt zusätzlich die Ende-zu-Ende-Verschlüsselung basierend auf PGP und S/MIME. Eine E-Mail kann also dreimal unabhängig voneinander verschlüsselt sein.” (Seite 7)
“Jeder Nutzer kann eine TLS-Versand-Garantie einschalten. Diese stellt sicher, dass die E-Mail über eine sichere, verschlüsselte Verbindung gesendet wird. (…) Ist ein sicherer Versand nicht möglich, wird die E-Mail nicht versendet und Posteo benachrichtigt den Absender per E-Mail.” (Seite 7)

Viele Grüße
Ihr Posteo-Team

Bedenkliche Entwicklung: Wie Providern "Vorratsdatenspeicherung as a Service" angeboten wird

2017-05-11T14:30:00+02:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

wir haben gestern einen Werbebrief der Firma Uniscon (universal identity control GmbH ) erhalten.
Wir veröffentlichen ihn, um transparent zu machen, wie einige Akteure die neue Vorratsdatenspeicherung derzeit aktiv ausgestalten. Und wie sie versuchen, Unternehmen “Vorratsdatenspeicherung as a Service” zu verkaufen.

Bei Uniscon weiss man offenbar nicht, dass E-Mail-Anbieter wie Posteo (Dienste der elektronischen Post) von der Pflicht zur Vorratsdatenspeicherung explizit ausgenommen sind. Im Schreiben an uns wird behauptet, alle Telekommunikationsunternehmen seien ab dem 1.07.2017 verpflichtet, “eine sichere Lösung zur Speicherung von Verkehrsdaten (VDS) einzusetzen”.

Trotz dieses grundlegenden Irrtums bietet man uns in dem Schreiben einen “Gesamtservice für die Vorratsdatenspeicherung” an, der auch Rechtliches umfasst: die Firma könne das automatische Erteilen “von Auskünften an auskunftssuchende Behörden” sowie das “gesetzliche Berichtswesen” für uns übernehmen. Man verspricht sogar “Entlastung bei der Kommunikation mit der Bundesnetzagentur”.
Auch das Speichern der Verbindungsdaten könne übernommen werden. Derzeit, so schreibt das Unternehmen, “bedienen wir 60 Kunden mit der Lösung, welche im Rechenzentrum des TÜV-Süd betrieben wird.”

Im Brief wird betont, die Lösung sei “in sehr enger Zusammenarbeit mit dem Bundeswirtschaftsministerium entstanden”.
Man habe “im Dialog mit der Bundesnetzagentur wesentliche Punkte des Anforderungskataloges (Anm. d. Red.: für die VDS) mitgestaltet”. Ihre Lösung nennen sie “Vorratsdatenspeicherung as a Service (VDSaaS)” und schreiben: “Wir nehmen Ihnen diese Aufwände ab, damit Sie sich auf Ihr Geschäft fokussieren können!”

Wir halten eine an Dienstleister ausgelagerte Vorratsdatenspeicherung und Datenausleitung, wie sie sich in diesem Schreiben andeutet, für sehr bedenklich. #more#

Provider sollten Verantwortung für ihre Kunden tragen: das rechtliche Prüfen und Abwickeln eingehender Behördenersuchen und richterlicher Anordnungen sollte nicht an Dienstleister ausgelagert werden. Aus der eigenen Praxis wissen wir, dass Behördenersuchen oft nicht rechtmäßig sind. Für die Betroffenen geht es u.a. um Beschränkungen ihrer Grundrechte (siehe Grundgesetz Art 10). Wir halten es aus Gründen der demokratischen Kontrolle deshalb für nicht wünschenswert, dass wenige Dienstleister diese gesellschaftlich wichtige Aufgabe für eine Vielzahl von Telekommunikationsunternehmen übernehmen. Aus denselben Gründen sollte auch das technische Speichern und Ausleiten von Verbindungsdaten der Bürgerinnen und Bürger nicht in die Hand von Dienstleistern gelegt werden. Sicherheitstechnisch ist das Speichern von Verkehrsdaten zahlreicher Anbieter an nur einem oder wenigen Standorten ohnehin nicht zu empfehlen.

Posteo ist von der Vorratsdatenspeicherung nicht betroffen. E-Mail-Anbieter wie Posteo (Dienste der elektronischen Post) sind von der Pflicht zur Vorratsdatenspeicherung explizit ausgenommen. Wir unterhalten keinerlei Geschäftsbeziehungen zu der Firma Uniscon. Den Werbebrief haben wir unaufgefordert erhalten. Wir lehnen die verdachtsunabhängige Vorratsdatenspeicherung grundsätzlich ab.

Viele Grüße
Ihr Posteo-Team

Sicherheitswarnung für Nutzer von Mailvelope mit Firefox

2017-05-04T09:30:00+02:00

Liebe Mailvelope-Nutzerinnen und -Nutzer,

wir wenden uns mit einem Sicherheitshinweis an alle, die das Verschlüsselungs-Add-on Mailvelope unter Firefox nutzen.

Wir haben ein aktuelles Sicherheits-Audit von Mailvelope durchführen lassen. Hierbei wurde eine kritische Schwachstelle im Zusammenspiel zwischen dem Browser Firefox und Mailvelope gefunden. Die Sicherheits-Architektur von Firefox lässt es unter bestimmten Umständen zu, dass Angreifer mit Hilfe kompromittierter Add-ons an den privaten Schlüssel des Nutzers gelangen können. Wir bitten alle Mailvelope-Nutzer mit Firefox deshalb, unsere Sicherheits-Empfehlungen weiter unten in diesem Beitrag aufmerksam zu lesen. #more#

Betroffen sind auch Mailvelope-Nutzer bei allen anderen Anbietern wie z.B. Gmail, GMX, web.de sowie De-Mail.

Die Firefox-Architektur schottet Add-ons nicht genügend gegeneinander ab. Dies ist bereits seit Jahren bekannt. Dass sogar private Schlüssel eines Mailvelope-Nutzers bei gezielten Angriffen in Firefox kompromittiert werden können, war bisher aber nicht belegt. Die von uns beauftragten Sicherheits-Ingenieure von Cure53 konnten dies nun nachweisen. Cure53 hatte Mailvelope in der Vergangenheit bereits unter Chrome auditiert: In unserem Auftrag haben die Ingenieure das Plugin nun erstmals auch im Zusammenspiel mit Firefox untersucht. Im Untersuchungsbericht kommen sie zu dem Schluss, dass Firefox derzeit keine geeignete Umgebung für Mailvelope darstellt. Sie schreiben:

“Letztendlich kann das Cure53-Team das Verwenden von Mailvelope unter Firefox nicht guten Gewissens empfehlen.”

Schwachstelle bis voraussichtlich November 2017

Wir haben den Entwickler von Mailvelope, Thomas Oberndörfer, nach dem Sicherheits-Audit informiert. Die Schwachstelle kann er jedoch nicht schliessen, da sie durch die Architektur von Firefox bedingt ist. Bei Firefox wird bereits seit einiger Zeit eine neue Architektur entwickelt. Mozilla plant, die Arbeiten bis November 2017 mit der Freigabe von Firefox 57 abzuschliessen. Auch Thomas Oberndörfer arbeitet schon an einer Mailvelope-Version für die neue, verbesserte Firefox-Architektur. Für seine Entwicklung danken wir Ihm.

Bis Mozilla die Architektur angepasst hat, gelten folgende Sicherheits-Empfehlungen:

Option 1: Weichen Sie übergangsweise auf eine andere Software-Lösung aus: Nutzen Sie Mailvelope entweder in einem anderen Browser oder verwenden Sie PGP mit einem lokalen E-Mail-Programm. In der Posteo-Hilfe finden Sie hierzu verschiedene Anleitungen.

Option 2: Alternativ minimiert übergangsweise ein eigenes Firefox-Profil für Mailvelope das Risiko. Wir haben in der Posteo-Hilfe Schritt-für Schritt-Anleitungen für das Anlegen von Firefox-Profilen veröffentlicht: Anleitung für Mac Anleitung für Windows. Mailvelope-Nutzer anderer E-Mail-Provider können ebenfalls nach diesen Anleitungen vorgehen. Beachten Sie bitte unbedingt folgende Sicherheits-Empfehlungen, um das Risiko eines erfolgreichen Angriffs tatsächlich zu minimieren:

Installieren Sie auf dem neu angelegten Browser-Profil keine weiteren Add-ons.
Nutzen Sie das Firefox-Profil ausschliesslich für Ihre verschlüsselte Mailvelope-Kommunikation: Rufen Sie lediglich den Webmailer Ihres E-Mail-Anbieters auf und besuchen mit diesem Profil niemals andere Websites.
Wählen Sie außerdem ein möglichst sicheres Passwort für Ihren PGP-Schlüssel.
Achten Sie darauf, nicht versehentlich durch Phishing weitere Add-ons zu installieren, über die Sie angegriffen werden könnten.

Aufgrund der Probleme in der Firefox-Architektur raten wir außerdem:

Beschränken Sie das Verwenden von Add-ons in Ihrem Firefox-Browser auf ein Minimum, bis Mozilla die Architektur angepasst hat.
Wer für seine Ende-zu-Ende-verschlüsselte Kommunikation einen getrennten, zusätzlichen Benutzer auf seinem Betriebssystem einrichtet, schirmt sich noch weiter vor potentiellen Angreifern ab.

Hier aus Transparenzgründen noch einmal die (übersetzten) Empfehlungen aus dem Cure53-Prüfbericht:

“Nutzern, die auf Mailvelope zum Ver- und Entschlüsseln hochsensibler Daten vertrauen, können zwei Wege empfohlen werden. Erstens können sie Mailvelope in einem Browser-Profil nutzen, in dem ausschliesslich und exklusiv Mailvelope ohne andere Erweiterungen installiert ist. Zweitens müssten sie auf eine andere Software-Lösung vertrauen, zum Beispiel auf Thunderbird mit Enigmail.”

“Aktuell wird jedem Nutzer von Mailvelope unter Firefox empfohlen, seine Mailvelope-Einstellungen zu exportieren, Mailvelope aus Firefox zu löschen und die Mailvelope-Einstellungen in eine Mailvelope-Installation unter Google Chrome umzuziehen. Alternativ kann Mailvelope in einem separaten Browserprofil benutzt werden, um das Risiko des Diebstahls von Schlüsselmaterial zu miniminieren – allerdings darf dann kein anderes Add-on in diesem Profil installiert sein.”

Von Posteo beauftragte Sicherheits-Ingenieure fanden Schwachstelle

Unsere Kunden verwenden im Alltag verschiedene Geräte, Browser und Add-ons in ihren lokalen Umgebungen. Die Kommunikations-Sicherheit unserer Kunden ist uns sehr wichtig: Deshalb lassen wir auch externe Standard-Komponenten kontinuierlich auf Schwachstellen überprüfen. Hierfür arbeiten wir u.a. mit den unabhängigen IT-Sicherheitsexperten von Cure53 zusammen. Bei Mailvelope unter Firefox sind sie nun fündig geworden.

Dr. Mario Heiderich (Cure53) erklärt hierzu:

“Das Problem liegt aktuell in der Architektur. Daher gibt es keinen einfachen Fix. Mozilla weiß das, muss aber auch den schweren Spagat zwischen radikalen Änderungen sowie besonnenen und daher oft träge wirkenden Entscheidungen halten. Aber es geht in die richtige Richtung, das ist bei komplexer Software schon mal etwas durchaus Positives.”

Thomas Oberndörfer (Mailvelope) sagt:

“Mailvelope ist natürlich von der Sicherheit der zugrundeliegenden Browser Plattform abhängig. Schwächen im Add-on System von Firefox sind schon länger bekannt, umso mehr ist es zu begrüßen, dass Mozilla hier jetzt nachbessert. Security Audits wie das von Posteo durchgeführte sind für uns ein wichtiger Indikator, um zu sehen, wie wir Mailvelope weiter verbessern können.”

Prüfbericht wird nach Schließen der Schwachstelle veröffentlicht

Die oben geschilderte Schwachstelle wird durch Mozilla voraussichtlich erst im November 2017 geschlossen. Aus Sicherheitserwägungen werden wir den Prüfbericht deshalb erst zu einem späteren Zeitpunkt veröffentlichen. In ihm wird der Angriff, der zum Erfolg führen kann, detailliert beschrieben. Mailvelope sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegt der Bericht bereits vor.

Das Sicherheits-Audit hat auch positive Ergebnisse zu Mailvelope erbracht, die wir an dieser Stelle erwähnen möchten: Es wurde geprüft, ob E-Mail-Provider, für die Mailvelope genutzt wird, auf den im Browser gespeicherten privaten Schlüssel der Mailvelope-Nutzer zugreifen können: Dies war nicht möglich. Alle anderen Versuche der Sicherheits-Ingenieure, als Betreiber von Dritt-Webseiten oder Man-in-the-Middle-Angreifer auf die in Mailvelope gespeicherten privaten Schlüssel zuzugreifen, waren ebenfalls nicht erfolgreich.

Schwachstelle zeigt: Opensource erhöht die Sicherheit

Wir unterstützen aus Sicherheitsgründen ausschliesslich OpenSource-Komponenten mit transparentem Code – wie das Verschlüsselungs-Plugin Mailvelope. Unserer Ansicht nach ist transparenter Code essentiell für die Sicherheit und die demokratische Kontrolle im Internet: Unabhängige Experten können durch eine Code-Analyse jederzeit Schwachstellen oder Backdoors identifizieren. Wie im aktuellen Fall. Es muss nicht auf die Sicherheits-Aussagen eines Providers oder Entwicklers vertraut werden. Mit den von uns beauftragten Sicherheits-Audits wollen wir dazu beitragen, die Sicherheit gängiger OpenSource-Komponenten und echter Ende-zu-Ende-Verschlüsselung weiter zu erhöhen.

Viele Grüße
Ihr Posteo-Team

Zweites Greenpeace "Repair Cafe" bei Posteo am 22.04.

2017-04-18T15:00:00+02:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

am 22. April wird Greenpeace zum zweiten Mal mit einem “Repair Café” bei uns zu Gast sein.

Zwischen 11 und 17 Uhr helfen Greenpeace-Ehrenamtliche im Posteo Lab bei der Reparatur defekter Smartphones. Interessierte können sich vor Ort außerdem über die schmutzige Produktion und Entsorgung in der Elektronik-Branche informieren. Um 14:30 Uhr wird es einen Vortrag zum Thema “Geplante Obsoleszenz” geben.

Wenn Sie vor Ort ein Smartphone reparieren möchten, melden Sie sich bitte unbedingt an: die Reparaturplätze sind begrenzt. Anmelden können Sie sich per E-Mail bei Greenpeace Berlin, unter: Repaircafe@greenpeace-berlin.de. Bitte geben Sie in der E-Mail Ihr Modell und den Defekt an.

Wer lediglich herausfinden möchte, was genau am eigenen Gerät defekt ist, kann auch ohne Anmeldung vorbeikommen.
Greenpeace bittet alle Reparaturwilligen, die Ersatzteile für ihre Geräte selbst mitzubringen. Die erforderlichen Werkzeuge stellt Greenpeace.

Die Teilnahme an der Veranstaltung ist kostenlos. Für Kinder gibt es ein Bastelprogramm.

Wenn Sie ein altes Smartphone besitzen, das Sie selbst nicht mehr benötigen, können Sie es während des Repair Cafés im Posteo Lab abgeben. Greenpeace spendet funktionstüchtige und reparierbare Geräte an die Flüchtlingshilfe. Alle übrigen werden fachgerecht recycelt.

Die Eckdaten

Repair Café für Smartphones von Greenpeace Berlin
Samstag, 22.04.2017
Posteo Lab
Methfesselstraße 36
10965 Berlin

Programm:
durchgehend von 11-17 Uhr: angeleitete Smartphone-Reparatur, Abgabe alter Geräte für die Flüchtlingshilfe
parallel: Herstellung von Kuscheltieren aus Upcycling-Materialien (Kinderprogramm)
gegen 14:30 Uhr: Vortrag “Geplante Obsoleszenz”

Viele Grüße
Ihr Posteo-Team

Unsere aktuellen Stellenangebote

2017-04-12T12:30:00+02:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

wir suchen zur Verstärkung unseres Teams ab sofort:

- eine(n) vegetarische(n) Koch/Köchin für unseren bio-vegetarischen Mittagstisch
- eine(n) Teamassistent(in)
- eine(n) Systemadministrator(in)
- eine(n) erfahrene(n) PHP- und Javascript-Softwareentwickler(in)

#more#

Posteo beschäftigt alle Mitarbeiterinnen und Mitarbeiter in unbefristeter Festanstellung.

Mehr Informationen zu unseren aktuellen Stellenangeboten finden Sie auf unserer Job-Seite:
https://posteo.de/site/jobs
Sie haben Interesse an einer der ausgeschriebenen Stellen? Dann freuen wir uns auf Ihre Bewerbungsunterlagen an: jobs@posteo.de.

Viele Grüße
das Posteo-Team

Neue Sicherheitszertifikate

2017-01-14T11:00:00+01:00

Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,

wir werden in den nächsten Tagen unsere Sicherheitszertifikate aktualisieren. Sicherheitszertifikate haben eine zeitlich begrenzte Gültigkeit und müssen hin und wieder erneuert werden. Deshalb werden wir sie bis zum 22.01.2017 austauschen. Wir verwenden weiterhin Zertifikate von Geotrust und der Bundesdruckerei (D-Trust).

Neue Fingerprints der TLS-Sicherheitszertifikate

Geotrust:
SHA256: 30:2A:06:B8:CF:A8:5B:93:66:5A:44:66:E2:BB:84:05:FE:80:95:3F:5A:FE:D1:08:DB:3B:B0:0D:7C:42:B4:39
SHA1: BD:16:71:84:B0:B1:40:D9:0A:65:99:8C:E6:7B:01:D6:AA:5B:8B:67
MD5: 55:F5:81:51:91:CD:88:64:14:D5:AA:E2:D5:2E:2C:AB

D-Trust:
SHA256: 06:48:D6:E4:D3:79:42:79:81:77:0F:49:88:43:D7:65:EE:A8:6F:1F:12:6F:72:11:8F:A9:4C:A9:66:34:FE:B5
SHA1: 79:DB:A0:A9:57:D9:30:FA:EF:5F:72:69:FB:1B:EA:06:90:27:9F:4D
MD5: DA:59:74:62:7C:D1:12:4E:15:41:25:37:9B:56:D0:58

Viele Grüße
Ihr Posteo-Team

Transparenzbericht: Behördenanfragen bei Posteo deutlich gesunken

2017-01-09T17:20:00+01:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir möchten, dass Sie wissen, wie häufig Behörden bei uns um Kundendaten ersuchen. Deshalb haben wir heute unseren Transparenzbericht für das Jahr 2016 veröffentlicht. In dem Bericht legen wir offen, wie oft Ermittlungsbehörden sich im Jahr 2016 an uns gewandt haben – und wie oft wir tatsächlich Daten herausgeben mussten. Er enthält alle Behördenanfragen, die wir im Jahr 2016 erhalten haben. Wir führen außerdem die Anzahl der rechtswidrigen Ersuchen in der Statistik auf, da in der Praxis Missstände existieren, die wir seit einiger Zeit auch auf unserer Website mit geschwärzten Beispielen dokumentieren. #more#

Anzahl der Behördenanfragen bei Posteo deutlich zurückgegangen

Die Anzahl der bei Posteo geführten E-Mail-Postfächer ist im Jahr 2016 um rund 40 Prozent gestiegen, während die Anzahl der Behördenersuchen deutlich zurückgegangen ist. Insgesamt haben wir im Jahr 2016 nur noch 35 Ersuchen von Behörden erhalten, im Jahr 2015 waren es noch 48.

Bei den Inhaltsdaten war die Anzahl der Ersuchen um 50 Prozent rückläufig: Im Jahr 2015 hatten Behörden noch in 8 Fällen bei uns um Inhaltsdaten ersucht, im Jahr 2016 erreichten uns noch 4 Ersuchen. Die Zahl der von Herausgaben betroffenen Postfächer verringerte sich ebenfalls; von 5 auf 3.

Bei den Verkehrsdaten gingen die Anfragen noch stärker zurück: Von 6 Ersuchen im Jahr 2015 auf 2 Ersuchen im Jahr 2016.

Einzig die Anfragen nach Bestandsdaten stiegen leicht an, von 27 im Jahr 2015 auf 28 im Jahr 2016. Da wir aus Gründen der Datensparsamkeit grundsätzlich keine Bestands- oder Verkehrsdaten zu den E-Mail-Postfächern erheben, sind diese Daten bei uns nicht vorhanden – und können daher auch nicht herausgegeben werden. Darüber informieren wir die anfragenden Stellen stets zeitnah. Alle Ersuchen haben uns von deutschen Behörden erreicht. Darunter war, wie bereits im vergangenen Jahr, eine Anfrage eines Nachrichtendienstes.

Anteil rechtswidriger Ersuchen unverändert

Leider erreichen uns weiterhin zahlreiche Ersuchen, die formal nicht korrekt gestellt werden. 2016 betraf dies die Hälfte der Bestandsdatenanfragen. Der Anteil der rechtswidrigen Bestandsdatenanfragen ist damit im Vergleich zum vergangenen Jahr praktisch konstant geblieben. Wir haben uns in allen Fällen bei den jeweils zuständigen Datenschutzbeauftragten beschwert.

Unsere Transparenz erhält im Jahr 2017 eine neue Form

Bisher haben wir unsere Transparenzberichte jeweils im Sommer veröffentlicht. Der Grund für den später im Jahr gelegenen Veröffentlichungstermin war, dass wir den Berichten inhaltliche Schwerpunkte beigefügt hatten, die oft mit aufwändiger Recherche verbunden waren. Viele von Ihnen hatten sich eine Veröffentlichung der Zahlen zum Jahresanfang gewünscht. Deshalb erhält unsere Transparenz 2017 eine neue Form. Wir wollen die Zahlen zu den Behördenersuchen nun stets Anfang Januar veröffentlichen.

Die zweite Änderung: Wir werden künftig über das Jahr verteilt auf unserer Transparenzberichts-Seite sowie hier im Blog thematische Schwerpunkte veröffentlichen. Das können z.B. Rechtsgutachten sein, die wir beauftragt haben, Missstände, die uns in der Praxis auffallen – oder Erfolge, von denen wir berichten möchten.

Wir haben uns für diese neue, flexiblere Form der Transparenz entschieden, weil sie besser zu unserer praktischen Arbeit passt. Außerdem machen wir immer häufiger die Erfahrung, dass die besonders datenschutzorientierte Ausgestaltung unseres Dienstes für manche Behörden neu ist und zu inhaltlichen Diskussionen oder Präzedenzfall-Entscheidungen führt. Darüber möchten wir Sie auch ausserhalb von festen Terminen informieren.

Transparenzberichte sollen vergleichbarer werden

Posteo war 2014 der erste deutsche Telekommunikations-Anbieter, der einen Transparenzbericht veröffentlicht hat. Inzwischen veröffentlichen auch zahlreiche andere Anbieter ähnliche Berichte.

Wir glauben, dass Transparenzberichte die Informationelle Selbstbestimmung der Verbraucherinnen und Verbraucher stärken. Deshalb freut uns diese Entwicklung. Was wir anmerken möchten: Für die Verbraucher haben diese Berichte nur dann einen echten Mehrwert, wenn sie eine möglichst vergleichbare Form besitzen – und wenn die angegebenen Zahlen vollständig sind.

Deshalb fordern wir, dass in den Berichten zu allen von Behörden angefragten Daten-Typen jeweils zwei Informationen angegeben werden:
Erstens, wie viele Anfragen es zu bestimmten Daten gab, also z.B. zu Bestandsdaten oder zu Verkehrsdaten. Und zweitens, wie oft diese Daten im Anschluss an das Ersuchen auch herausgegeben wurden. Unserer Ansicht nach wird Transparenz nur durch die Angabe beider Informationen erreicht.

Unseren Transparenzbericht finden Sie hier.

Viele Grüße,
Ihr Posteo-Team

Posteo erhält als erster Anbieter Zertifikat über sicheren E-Mail-Versand

2016-12-07T13:07:00+01:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

uns ist besonders wichtig, dass Sie Ihre E-Mails sicher versenden und empfangen können. Dazu haben wir eine Neuigkeit für Sie: Wir haben heute als erster Anbieter ein Zertifikat nach der neuen Richtlinie “Sicherer E-Mail-Transport” des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erhalten.

Das Zertifikat wurde uns von der Zertifizierungsstelle datenschutz cert übergeben. Auch Vertreter des BSI waren anwesend. Sie können ab sofort an dem Zertifikat auf unserer Webseite erkennen, dass unsere Sicherheitsmaßnahmen unabhängig geprüft wurden und nachweislich den Anforderungen des BSI entsprechen.

Übergabe des Zertifikats bei Posteo: Thomas Gast (BSI), Thomas Gilles (BSI), Ralf von Rahden (datenschutz cert), Patrik Löhr (Posteo), Florian Bierhoff (BSI)

Die neue Richtlinie beschreibt Maßnahmen, die ein E-Mail-Dienst ergreifen sollte, um E-Mails beim Transport wirksam vor unbefugten Mitlesern zu schützen. So müssen E-Mail-Dienste die Technologie DANE einsetzen, wenn sie eine Zertifizierung erhalten möchten. DANE beseitigt verschiedene Schwachstellen der gängigen Transportwegverschlüsselung TLS und verhindert so genannte Man-in-the-Middle-Angriffe, bei denen sich Angreifer in einen Kommunikationsvorgang einklinken und die Verschlüsselung aushebeln. Posteo war 2014 der erste Anbieter, der DANE eingesetzt hat. Seither engagieren wir uns für die Verbreitung dieser noch recht neuen, aber für die Vertraulichkeit von digitaler Kommunikation wegweisenden Technologie. Damit unsere Kunden nicht nur untereinander sicher kommunizieren – sondern auch mit den Nutzern anderer E-Mail-Dienste. Deshalb freut uns besonders, dass der freie Standard DANE für eine Zertifizierung verpflichtend ist. #more#

Wir haben uns seit 2014 in einer Arbeitsgruppe gemeinsam mit anderen E-Mail-Anbietern an einem offenen Dialog mit dem BSI beteiligt und an der Entstehung der Richtlinie mitgewirkt. Dabei haben wir uns für hohe Sicherheitsanforderungen und eine einfache Umsetzbarkeit eingesetzt.

Wir kritisieren Behörden häufig, wenn Dinge in der Praxis nicht funktionieren – zum Beispiel in unseren Transparenzberichten. Die neue Richtlinie „Sicherer E-Mail-Transport“ des BSI begrüßen wir hingegen. Das BSI hatte ein großes Interesse daran, die Richtlinie in Zusammenarbeit mit den Anbietern praxisnah zu konzipieren. Die Richtlinie entspricht höchsten Sicherheitsanforderungen und eine Zertifizierung ist auch für kleinere Anbieter wie Posteo vom Zeit- und Kostenaufwand her umsetzbar.

Neues Zertifikat kennzeichnet sichere E-Mail-Dienste

Auch für die Verbraucherinnen und Verbraucher ist es aus unserer Sicht ein großer Fortschritt, dass Angaben von E-Mail-Diensten über ihre Sicherheitsvorkehrungen nun von unabhängigen Stellen überprüft werden können. Ob ein Dienst die Kriterien der Richtlinie nachweislich erfüllt, können sie künftig an den Zertifikaten auf der Website eines Anbieters erkennen. Das Logo verweist mit der Aufschrift “BSI TR-03108 zertifiziert” auf die entsprechende Richtlinie.

Die Richtlinie des BSI stellt keine rechtliche Verpflichtung, sondern eine Empfehlung über Sicherheitsvorkehrungen dar. Anbieter, die ein entsprechendes Zertifikat erhalten möchten, müssen allerdings nachweisen, dass sie alle Anforderungen der Richtlinie erfüllen.

Die Zertifizierung übernimmt eine unabhängige Stelle. Posteo wurde von datenschutz cert zertifiziert. Andere E-Mail-Anbieter und E-Mail-Dienste wie beispielsweise von Firmen oder Universitäten können sich ab sofort für eine Überprüfung anmelden. Wir hoffen, dass die Richtlinie die Verbreitung der empfohlenen Sicherheitstechnologien weiter stärkt. Hohe gemeinsame Standards verbessern das Sicherheitsniveau auch für E-Mails, die Sie an Kontakte bei anderen E-Mail-Anbietern verschicken. So wird E-Mail-Kommunikation insgesamt sicherer.

Viele Grüße,
Ihr Posteo-Team

Zusatzinformationen für Technikinteressierte

– Die Technische Richtlinie finden Sie auf der Website des BSI,
- Posteo verwendet DANE seit Mai 2014. Mehr zu DANE können Sie hier nachlesen.
- Ende-zu-Ende-Verschlüsselung macht Transportwegverschlüsselung übrigens nicht überflüssig: Ende-zu-Ende-Verschlüsselung schützt in der Regel lediglich die Inhalte Ihrer Kommunikation, nicht aber Metadaten – wie die Betreffzeile und die Informationen, wer mit wem kommuniziert. Eine Transportwegverschlüsselung mit TLS schützt sowohl die Inhalte als auch die Metadaten von E-Mails auf dem Weg durch das Internet. DANE sichert diese Verschlüsselung zusätzlich ab. Eine Ende-zu-Ende-Verschlüsselung liegt immer in der Hand der Nutzerinnen und Nutzer selbst, da niemand außer ihnen Zugang zu den privaten Schlüsseln haben darf. Wir raten, Ende-zu-Ende-Verschlüsselung mit einer starken providerseitigen Transportwegverschlüsselung zu kombinieren.

Material für Presseberichterstattung

Posteo-Pressemittelung 07.12.2016, Foto 1, Foto 2, Foto 3, Foto 4, Foto 5, Foto 6

Gegen Elektroschrott: Greenpeace veranstaltet "Repair Café" im Posteo Lab

2016-11-28T15:30:00+01:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

wir möchten Sie auf eine Veranstaltung in unserem Posteo Lab aufmerksam machen. Am 3. Dezember ist Greenpeace Berlin mit einem “Repair Café” bei uns zu Gast. Dabei sollen alte Handys wieder funktionstüchtig gemacht werden, damit sie länger genutzt werden können und weniger Geräte auf dem Müll landen. Ab 11 Uhr hilft Greenpeace Interessierten bei der Reparatur ihres defekten Smartphones. Außerdem wird es eine Sammelaktion für alte Mobiltelefone geben.

Wenn Sie ein Gerät vor Ort reparieren möchten, melden Sie sich bitte unbedingt an, denn die Plätze für eine Reparatur sind begrenzt. Anmelden können Sie sich bei Greenpeace Berlin. Bitte nennen Sie in der Mail Ihr Handymodell und den Defekt. Wer lediglich herausfinden möchte, was genau am eigenen Gerät defekt ist, kann auch ohne Anmeldung vorbeikommen.

Greenpeace bittet alle Reparaturwilligen, die Ersatzteile für ihre Geräte selbst mitzubringen. Informationen und Tipps dazu finden Sie hier. Bei Fragen wenden Sie sich bitte direkt an Greenpeace.

Die Veranstaltung ist kostenlos, für Kinder gibt es ein Bastelprogramm.

#more#
Vortrag und Handysammelaktion

Nach Auffassung von Greenpeace sind viele Geräte gewollt so konstruiert, dass sie nach einer bestimmten Zeit kaputtgehen oder aufgrund fehlender Sicherheitsupdates nicht weiter verwendet werden können. Diese „geplante Obsoleszenz“ wird um 14 Uhr in einem Vortrag thematisiert.

Falls Sie noch ein altes Gerät haben, das Sie selbst nicht mehr benötigen, können Sie es während des Repair Cafés im Posteo Lab abgeben. Greenpeace spendet funktionstüchtige und reparierbare Geräte an die Flüchtlingshilfe, alle übrigen werden fachgerecht recycelt.

Greenpeace weist bereits seit einigen Jahren im Rahmen seiner Elektroschrott-Kampagne auf die enorme Ressourcenverschwendung und den Gifteinsatz in der Elektronik-Branche hin. Beim Gifteinsatz wurde schon einiges erreicht: So haben viele Hersteller Risiko-Chemikalien wie PVC und bromierte Flammschutzmittel inzwischen aus ihren Produkten verbannt. Die Ressourcenverschwendung und die kurze Lebensdauer von Smartphones sind jedoch weiterhin ein großes Problem.

Greenpeace will mit seinen Repair Cafés deshalb auf die kurze Lebensdauer von Handys und Smartphones hinweisen, Hilfestellung für die Reparatur defekter Geräte geben und so Elektroschrott reduzieren. Auch uns bei Posteo ist Nachhaltigkeit ein wichtiges Anliegen. Daher freuen wir uns, dass wir dem Repair Café unsere Räume im Posteo Lab zur Verfügung stellen können.

Die Eckdaten

Repair Café für Smartphones von Greenpeace Berlin
Samstag, 3.12.2016
Methfesselstraße 36
10965 Berlin

11-16 Uhr: Smartphone Repair Workshops, Bastelworkshop für Kinder, Sammelaktion von alten Handys und Smartphones
14 Uhr: Vortrag über beabsichtigte Kurzlebigkeit von Produkten („geplante Obsoleszenz“)

Wir suchen Verstärkung!

2016-10-28T18:30:00+02:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

heute haben wir eine Mitteilung in eigener Sache.
Wir suchen zur Verstärkung unseres Teams ab sofort:

- eine(n) Mitarbeiter(in) für den Kunden-Support

#more#

Falls Sie sich für die ausgeschriebene Stelle interessieren, freuen wir uns auf Ihre Bewerbung per E-Mail an jobs@posteo.de.
Vielleicht kennen Sie auch Menschen, für die die ausgeschriebene Stelle infrage kommen könnte. In diesem Fall freuen wir uns darüber, wenn Sie unsere Anzeige weiterleiten.

Die Stellenanzeige finden Sie unter:
https://posteo.de/site/jobs

Viele freundliche Grüße sendet
das Posteo-Team

[Update] Unsere Vorabinformation zum neuen Test der Stiftung Warentest

2016-09-26T17:30:00+02:00

Update: Inzwischen wissen wir, dass wir als einer von zwei Testsiegern aus dem Test der Stiftung Warentest hervorgegangen sind. Und das, obwohl einige unserer Verschlüsselungsfunktionen und Sicherheitstechnologien, die wir unterstützen, nicht getestet wurden. Immerhin wurde unser Krypto-Mailspeicher offenbar nachträglich berücksichtigt und im Artikel erwähnt. Der Testsieg freut uns trotzdem.
Unabhängig von unserem Angebot sind wir sehr erleichtert darüber, dass die Stiftung Warentest sich doch noch dazu entschlossen hat, kompromittierbare PGP-Lösungen nicht explizit zu bevorzugen. Dies hatte sich während der Testphase, die wir kritisch begleitet haben, abgezeichnet und war so auch in den Unterlagen dokumentiert.

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir wollen Sie heute rein vorsorglich vorab über einen neuen Test der Stiftung Warentest informieren, der am 28.09. erscheinen wird.

Evtl. ist Ihnen die Vorgeschichte bekannt: Beim letzten Test im Januar 2015 wurde Posteo einer von zwei Testsiegern. Der Test enthielt jedoch zahlreiche Fehler und Falschdarstellungen – auch zu Posteo, sodass die Stiftung Warentest den Vertrieb ihres Heftes damals stoppte und im folgenden Heft fast eine komplette Seite Richtigstellungen veröffentlichte.

Nach den Problemen mit dem letzten Test haben wir die Testphase diesmal kritisch begleitet. Der Testleiter ist derselbe.
Wir wissen als getesteter Anbieter selbst noch nicht, wie der Vergleichs-Test im Einzelnen diesmal ausgeht.

Was wir aber bereits wissen:
Zahlreiche Verschlüsselungsoptionen und Sicherheitstechnologien, von denen Sie bei Posteo profitieren, sind offenbar nicht Bestandteil des E-Mail-Anbieter-Tests. Darauf machen wir vorsorglich vorab aufmerksam. Denn Verbraucher gehen in aller Regel davon aus, dass bei einem unabhängigen Vergleich die wichtigsten Merkmale der jeweiligen Produkte in eine Benotung mit eingehen.

Folgende Funktionen wurden bei der Benotung offenbar nicht berücksichtigt:

- die TLS-Versand-Garantie
- der Posteo-Krypto-Mailspeicher
- das Posteo-Schlüsselverzeichnis
- die weltweite automatische Schlüsselsuche
- die Eingangsverschlüsselung mit S/MIME
- alle sonstigen Angebote rund um S/MIME

Dies geht aus dem endgültigen Untersuchungsprogramm und den Anbieter-Vorab-Informationen vom 30.08.2016 sowie aus den nachgereichten Test-Ergänzungen der Stiftung Warentest vom 16.09.2016 hervor. #more#

Auch ist keine Bewertung wichtiger Qualitätsmerkmale von HTTPS-Verschlüsselung zwischen Browser und Anbieter vorgenommen worden. Funktionen wie zum Beispiel HSTS, OCSP, Certificate Transparency oder HPKP, die wir unterstützen, sind wichtige Schutzmaßnahmen zur Stärkung der Browser-Zugriffs-Sicherheit.

Wir haben das großflächige Vernachlässigen dieser Funktionen und Technologien bemängelt – sie wurden jedoch nicht nachträglich in das Untersuchungsprogramm aufgenommen.

Verschlüsselte Transportwege erst nachträglich in Test aufgenommen

Fast wäre sogar eine der wichtigsten Technologien im Test nicht berücksichtigt worden: die TLS-Verschlüsselung der E-Mail-Transportwege zwischen den Anbietern.
Wir hatten kritisiert, dass sogar diese wichtigste Alltags-Verschlüsselung nicht geprüft werden sollte. Eine qualitativ hochwertige Transportwegverschlüsselung zwischen den Anbietern ist für den Verbraucher in der Alltagskommunikation maßgeblich wichtig.
Die Stiftung Warentest hatte lediglich getestet, wie die Anbieter zum Anwender hin mit TLS verschlüsseln. Wir haben die Tester hier auf eine neue technische Richtlinie des BSI (Bundesamt für Sicherheit in der Informationstechnik) zum sicheren E-Mail-Transport verwiesen. Am 12.09.2016 wurde das Untersuchungsprogramm nachträglich entsprechend erweitert: Nun ist auch STARTTLS zwischen den Anbietern sowie die Unterstützung der Sicherheitstechnologie DANE Bestandteil des Tests.

Ohne dies bewerten zu wollen, möchten wir außerdem vorab darauf hinweisen, dass Nachhaltigkeitskonzepte, soziales Wirtschaften/Engagement (Corporate Social/Environmental Responsibility) ebenfalls nicht untersucht wurden.

Fehler in der Anbieter-Vorab-Information

Zu einem groben Mess- oder Berichtsfehler der Stiftung Warentest haben wir keine inhaltliche Rückmeldung erhalten und wissen deshalb nicht, ob dieser vor der Veröffentlichung beseitigt wurde. In der Anbieter-Vorab-Information ist fälschlicherweise als Testergebnis vermerkt, Posteo würde kein PGP im Webmailer anbieten.

Deshalb stellen wir hierzu vorsorglich fest: Das ist falsch.
Richtig ist: Posteo bietet seit zwei Jahren PGP im Webmailer an. Inzwischen sogar mit einem eigenen Schlüsselverzeichnis mit weltweiter, automatischer Schlüsselsuche, die ebenfalls in den Testunterlagen nicht auftaucht.

Des Weiteren ist in der Anbieter-Vorab-Information erstaunlicherweise vermerkt, unser Datenschutzbeauftragter sei auf der Website nicht auffindbar. Hierzu stellen wir fest: Auch dies ist falsch.
Richtig ist: In unserer Datenschutzerklärung sowie im Impressum geben wir gut auffindbar die Kontakt-Informationen unseres Datenschutzbeauftragten an.

Wir bitten um Verständnis, dass wir auf diese Fehler aufgrund der fehlenden konkreten Rückmeldung der Tester bereits vor der Veröffentlichung hinweisen. Wir möchten hier in jedem Falle einer möglichen Verbreitung falscher Tatsachen vorbeugen. Alleine die Testzeitschrift der Stiftung Warentest hat eine Auflage von mehr als 400 000 Exemplaren – und über die Nachrichtenagenturen werden Testinhalte am Veröffentlichungstag weiter verbreitet.

Wird die Stiftung Warentest kompromittierbare, proprietäre Verschlüsselungslösungen empfehlen?

Die Stiftung Warentest wird Angebote der Anbieter rund um die Ende-zu-Ende-Verschlüsselung PGP bewerten.
In diesem Bereich müssen wir, unter anderem aufgrund der uns zugesandten Anbieter-Vorab-Informationen, damit rechnen, dass die Stiftung Warentest hier eine Position vertreten wird, die fachlich hoch umstritten ist.

Es deutet sich an, dass gerade die Lösungen die beste Bewertung erhalten werden, von denen alle führenden Sicherheitsexperten abraten: Nämlich PGP-Lösungen, bei denen der private Schlüssel des Anwenders (der die Inhalte entschlüsselt) dem möglichen Zugriff des Anbieters ausgesetzt ist. Vor solchen Lösungen wird von vielen Seiten gewarnt – und auch wir lehnen sie strikt ab.

So wird in einer neuen Studie des BSI (Bundesamt für Sicherheit in der Informationstechnik), die erst im August hierzu veröffentlicht wurde, gewarnt:
“Bei der Ende-zu-Ende-Verschlüsselung kommt es darauf an, dass die Verschlüsselungssoftware unter der Kontrolle des Anwenders ist und damit lokal vom Anwender installiert wurde. Dies bedeutet, dass die Verschlüsselungssoftware nicht durch die Webanwendung ausgeliefert werden darf.” (Seite 9) Und an anderer Stelle heisst es: “Eine Browser-Erweiterung muss sicherstellen, dass die Webanwendung nicht in der Lage ist, an den Klartext der zu verschlüsselnden Daten zu gelangen. Dies ist nur dann gegeben, wenn alle kritischen Schritte durch die Erweiterung und nicht durch die Webanwendung vorgenommen werden. Dies beinhaltet in erster Linie die kryptografischen Funktionen.” (Seite 9)

Lösungen mit Schlüsseln im Einflussbereich des Anbieters kompromittieren Ende-zu-Ende-Verschlüsselung – und machen sie so schon per se wertlos. Der Anwender hat keine Kontrolle über sie. Stattdessen muss er der Implementierung seines Anbieters vertrauen. Das BSI betont in seiner Studie, dass es “bei der Ende-zu-Ende-Verschlüsselung jedoch darauf ankommt, dass auch dem Provider nicht vertraut werden muss.” (Seite 11)
Und auch die Fachzeitschrift c’t urteilt zu solchen Verfahren eindeutig: “Der alternative Mail-Service […] bricht mit dem Ende-zu-Ende-Prinzip, indem er die privaten Schlüssel seiner Nutzer serverseitig verwaltet. Integrität der Kommunikation kann so nicht gewährleistet sein, da opfert der Anbieter eindeutig zu viel Sicherheit für etwas mehr Komfort.” (Quelle: c’t 2015, Heft 13, Seite 139)

Wir teilen die fachliche Einschätzung des BSI sowie der führenden Sicherheitsexperten – und haben PGP im Webmailer bei uns auch dementsprechend umgesetzt. Die neue Studie des BSI haben wir der Stiftung Warentest bereits im August zugesandt. An ihr hat auch der Entwickler von GnuPG, Werner Koch, mitgearbeitet.
In der Anbieter-Vorab-Information vom 30.08.2016 wird die von den Experten empfohlene Lösung offenbar als Lösung “nur mit Plugin” bezeichnet. Sie wird dort mit 0,5 Punkten ausgezeichnet. PGP-Lösungen, die beim Anbieter direkt im Webinterface integriert sind, werden hingegen mit 1 Punkt versehen. Das Fehlen von PGP im Webinterface wird mit 0 ausgezeichnet.

Regierungen wollen Nachrichten entschlüsseln können

Endgültig werden wir erst am Mittwoch erfahren, ob die Stiftung Warentest diese Einschätzung hierzu tatsächlich in ihrer Veröffentlichung aufrecht erhält. Sollte dem so sein, halten wir dies für gefährlich: Befindet sich der Schlüssel im Einflussbereich des Anbieters (privater Key auf Anbieter-Servern/ in Smartphone- oder Web-Apps), kann der private Schlüssel kompromittiert werden. Hier gibt es auch eine politische Ebene: Derzeit stellt Ende-zu-Ende-Verschlüsselung noch eine valide Möglichkeit dar, sich gegen unbefugte Mitleser zu schützen. Aktuelle Pläne europäischer Regierungen zeigen jedoch, dass Anbieter womöglich schon bald gesetzlich dazu verpflichtet werden könnten, vorgehaltene Schlüssel herauszugeben, Nachrichten zu entschlüsseln oder sogar eine Hintertür für den Staat einzubauen. Diese kann dann auch von Unbefugten, wie Kriminellen und Geheimdiensten, missbraucht werden.
Spricht sich die Stiftung Warentest zum aktuellen Zeitpunkt, aus evtl. von ihr empfundenen “Komfort”-Gründen, für die Praxis privater Schlüssel auf den Anbieterservern aus, leistet sie genau dieser politischen Entwicklung Vorschub. Werden Anbieter von der Stiftung Warentest wegen echter Ende-zu-Ende-Verschlüsselung abgewertet, werden einige sich bis zum nächsten Test ggf. dafür entscheiden, kompromittierbare Lösungen anzubieten, um nicht schlechter bewertet zu werden. Bei Posteo werden wir dies nicht tun.

Wir haben auch zu einigen anderen Punkten der Anbieter-Vorab-Information Kritik. Hier müssen wir jedoch die Veröffentlichung abwarten.
Sollten Sie Fragen haben, können Sie sich jederzeit per E-Mail an uns wenden.

Viele Grüße
Ihr Posteo-Team

Neu: Webmailer zeigt Server mit höchster Versandsicherheit an

2016-08-18T14:30:00+02:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,

wir haben eine neue Funktion für Sie freigeschaltet: Unser Webmailer zeigt nun an, an welche Kontakte Sie E-Mails bestmöglich abgesichert mit DANE versenden. Sie erkennen dies an einem kleinen, grünen DANE-Symbol über einer E-Mail-Adresse.

Für uns ist die neue DANE-Anzeige etwas ganz Besonderes. Denn als wir im Mai 2014 die neue Sicherheitstechnologie eingeführt hatten, war Posteo laut heise.de offenbar noch der einzige Anbieter weltweit, der DANE unterstützt. Und viele IT-Experten waren damals skeptisch, ob sich die neue Technologie durchsetzen kann. Inzwischen hat sich das geändert und es lohnt sich bereits anzuzeigen, ob andere Server DANE unterstützen: Wir übermitteln E-Mails an viele E-Mail-Server weltweit standardmäßig mit DANE, unter anderem auch an große deutsche Anbieter wie 1&1 (u.a. GMX und web.de). #more#

Die Technologie setzt sich aus gutem Grund durch: DANE eliminiert verschiedene Schwachstellen der zwischen E-Mailservern weit verbreiteten Transportwegverschlüsselung STARTTLS – und erhöht die Sicherheit beim verschlüsselten E-Mail-Transport. Ohne DANE wird eine Verschlüsselung zum Beispiel nicht “erzwungen”, sondern bei jeder einzelnen Verbindung zwischen den beteiligten E-Mailservern neu ausgehandelt. Mit DANE müssen die miteinander kommunizierenden E-Mailserver jede Verbindung zwingend verschlüsseln. Kommt es zu Störungen bei der Verschlüsselung oder ist die Kommunikation einem Angriff ausgesetzt, wird die E-Mail nicht versendet. DANE-fähige Server führen vor dem Übermitteln von E-Mails außerdem eine Überprüfung ihrer Sicherheitszertifikate durch – ähnlich einer Ausweiskontrolle. So stellen sie sicher, dass der andere Server auch tatsächlich “das echte Ziel” der Kommunikation ist und kein so genannter “Man in the Middle”, der sich dazwischen geschaltet hat. Mit DANE kann ein verschlüsselter Versand vorab sicher zugesagt werden. Und deswegen bieten wir eine DANE-Anzeige in unserem Webmailer an. Zusammengefasst bedeutet die neue Anzeige für Sie: Sehen Sie dieses Symbol, wird Ihre E-Mail an diesen Empfänger garantiert mit DANE übertragen. Sie wird erstens über einen verschlüsselten Transportweg und zweitens an den tatsächlichen Empfänger-Server gesendet.

Tipp: TLS-Versand-Garantie schützt Sie auch bei Servern ohne DANE

Wird Ihnen das DANE-Symbol bei einer Adresse nicht angezeigt, unterstützt der Empfänger-Server DANE bisher nicht.
Beispiele für große Anbieter, die DANE bisher nicht unterstützen, sind z.B. Gmail oder Yahoo.
Diese unterstützen zwar verschlüsselte Verbindungen zwischen E-Mailservern. Aber: Ohne DANE kann es bei Störungen oder Angriffen, wie oben beschrieben, dennoch zu unverschlüsselten Verbindungen kommen. Und zwar bei jeder einzelnen E-Mail neu. Deshalb kann ohne DANE keine seriöse Aussage über die Sicherheit einer Verbindung zwischen zwei Mailservern gemacht werden.

Hierzu haben wir einen wichtigen Tipp: Bei Posteo können Sie einen Versand ohne TLS grundsätzlich ausschließen.

Aktivieren Sie Ihre persönliche TLS-Versand-Garantie in den Postfach-Einstellungen.

Sie stellt sicher, dass die Transportwege Ihrer E-Mails auch an E-Mailserver ohne DANE garantiert mit TLS verschlüsselt werden. Aktivieren Sie Ihre TLS-Versand-Garantie, versenden wir Ihre E-Mails nur dann, wenn eine Nachricht verschlüsselt ausgeliefert werden kann. Ist ein sicherer Versand über eine verschlüsselte Verbindung nicht möglich, wird die Übertragung der E-Mail gestoppt- und Sie erhalten eine Benachrichtigung von uns. Sollten unbefugte Dritte also eine sichere Verbindung angreifen und den Rückfall auf eine unverschlüsselte Verbindung erzwingen möchten, wird der Versand abgebrochen.

Viele Grüße
Ihr Posteo-Team

Lesetipp: Warum gibt es bei Posteo eine DANE-Anzeige – und keine TLS-Anzeige?

Wir suchen Verstärkung!

2016-07-26T15:00:00+02:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

heute haben wir eine Mitteilung in eigener Sache.
Wir suchen zur Verstärkung unseres Teams ab sofort:

- eine(n) Senior Systemadministrator(in)/DevOps

#more#

Die Stellenanzeige finden Sie unter:
https://posteo.de/site/jobs

Viele freundliche Grüße sendet
das Posteo-Team

Nach Posteo-Warnung: SPD sichert ihre Server ab

2016-07-25T12:30:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

In der vergangenen Woche hatten wir Sie u.a. davor gewarnt, Nachrichten an die E-Mailserver der SPD zu senden.
Denn die Server der Hauptdomain @spd.de waren auch drei Jahre nach dem NSA-Skandal nicht abgesichert: Sie konnten E-Mails nicht über einen sicheren, verschlüsselten Übertragungweg empfangen.
Auch andere größere Server wie z.B. die von Amazon Marketplace, Congstar oder der GEWOBAG waren betroffen. Die unsicheren Server hatten wir von Kunden gemeldet bekommen, die unsere neue TLS-Versand-Garantie nutzen.
#more#

Am Freitag hatten auch einige Medien wie Golem und das t3n-Magazin über die fehlende Verschlüsselung der SPD-Server berichtet.

Die SPD hat nun reagiert: Unsere Tests am heutigen Montag haben ergeben, dass offenbar nachgebessert wurde. Die Transportwegverschlüsselung (TLS) wurde aktiviert – und Sie können nun sicherer mit @spd.de-Adressen kommunizieren. Auch wenn Man-in-the-Middle-Attacken weiterhin möglich bleiben, da die SPD die Technologie DANE weiterhin nicht nutzt.

Am vergangenen Donnerstag waren die SPD-Server noch nicht TLS-fähig:

Der Test am heutigen Montag zeigt: Die SPD hat nachgebessert

Auch die Stadt Halle @halle.de und die Gewobag @gewobag haben nach unserem Bericht die TLS-Verschlüsselung aktiviert. Wir bedanken uns bei den Betreibern der jeweiligen E-Mailserver für die Reaktion – und bei allen Posteo-Kunden, die uns die unsicheren Server gemeldet hatten. Andere Betreiber unsicherer Server, wie z.B. Congstar oder Amazon Marketplace, haben noch nicht nachgebessert.

Viele Grüße
Ihr Posteo-Team

SPD, Congstar & Co: Was tun bei unsicheren Servern?

2016-07-21T19:00:00+02:00

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir haben in den vergangenen Tagen viel positives Feedback zu unserer neuen TLS-Versand-Garantie erhalten: Hierfür möchten wir uns herzlich bedanken. Es freut uns, wie gut Sie die neue Sicherheits-Funktion annehmen. Innerhalb weniger Tage haben rund 20 Prozent unserer Kunden die neue Funktion aktiviert. Bei aktivierter TLS-Garantie werden Ihre E-Mails nur dann versendet, wenn sie über einen verschlüsselten Transportweg an den Empfänger übertragen werden können.
Da wir aktuell zahlreiche Nachfragen erhalten, gehen wir hier auf einige unsichere E-Mailserver ein und zeigen auf, welche Optionen Sie nach einem Versandstopp haben.

Zunächst ein Beispiel, zu dem wir zahlreiche Nachfragen erhalten: Die SPD.

Die E-Mail-Server der offenbar weit verbreiteten Domain “@spd.de” sind tatsächlich nicht abgesichert. Sie unterstützen auch drei Jahre nach dem NSA-Skandal noch keine TLS-Verschlüsselung beim Empfang von E-Mails. Das können wir bestätigen. Wir hatten von zahlreichen Kunden mit aktivierter TLS-Versand-Garantie Nachfragen zur Sicherheit von “@spd.de” erhalten.

Einige andere SPD-Domains, zum Beispiel von Landesverbänden, scheinen hingegen nicht betroffen zu sein.

#more#

Die derzeitige Konfiguration ist unsicher und stellt ein Sicherheitsrisiko dar. Ob Sie sensible Inhalte dennoch weiterhin mit “@spd.de”-Adressen austauschen möchten, ist Ihre persönliche Entscheidung. Sie können Ihre TLS-Versand-Garantie für das Versenden ggf. kurzzeitig deaktivieren. Bitte beachten Sie jedoch: Aufgrund der fehlenden Absicherung von “@spd.de” kann diese Kommunikation von unbefugten Dritten, wie Kriminellen und Geheimdiensten, mitgelesen werden. Daten Dritter sollten Sie an spd.de-Adressen aus Gründen des Datenschutzes nicht versenden: Darüber sollten diese Personen selbst entscheiden können.

Wir haben auf die IT der SPD keinen Einfluss. Sie können sich aber an den Parteivorstand wenden, dem diese Domain laut DENIC gehört – und der für sie verantwortlich ist.
Es ist für Administratoren von E-Mailservern in der Regel kein größerer Aufwand, die TLS-Verschlüsselung an ihren Servern zu aktivieren.
Wir gehen davon aus, dass die Domain zeitnah abgesichert wird, wenn Beschwerden eingehen. Denn die fehlende Absicherung stellt ein gravierendes Sicherheitsrisiko dar. Dann können Sie auch bei aktivierter TLS-Versand-Garantie wieder E-Mails an spd.de-Adressen versenden.

Keine Verschlüsselung auch bei Amazon Marketplace und Congstar

Wir bitten auch alle Kunden, die sich wegen der nicht TLS-fähigen E-Mail-Server von @marketplace.amazon.de, @kabelbw.de, @congstar.de, @gewobag.de und anderen (weiter unten aufgeführten) Domains an uns gewendet hatten: Wägen Sie im Einzelfall ab, ob Sie eine E-Mail an das unsichere E-Mailsystem versenden möchten. Für alle nicht TLS-fähigen Server gilt: Die Kommunikation mit solchen veralteten E-Mail-Systemen ist unsicher.

Nach einem Versandstopp haben Sie grundsätzlich folgende Möglichkeiten:
- Sie informieren den Empfänger (ggf. auf einem anderen Weg) darüber, dass ein sicherer E-Mail-Versand an seine Adresse nicht möglich ist und bitten ihn um das Mitteilen einer anderen E-Mail-Adresse.
- Sie deaktivieren die Posteo-TLS-Versand-Garantie kurzzeitig und versenden die E-Mail sicher, indem Sie die Nachricht mit einer Ende-zu-Ende-Verschlüsselung versehen.
- Sie deaktivieren die Posteo-TLS-Versand-Garantie kurzfristig und versenden die E-Mail ausnahmsweise unverschlüsselt bzw. unsicher.

Den Domaininhaber um eine bessere Absicherung bitten

Wenn Sie möchten, können Sie den Inhaber einer Domain auch bitten, die TLS-Verschlüsselung auf seinen Servern zu aktivieren. So tragen Sie dazu bei, eine bessere Absicherung des E-Mailverkehrs insgesamt zu erreichen.

So finden Sie mit wenigen Klicks die Inhaber von .de-Domains:
Rufen Sie die Internetseite www.denic.de auf. Klicken Sie oben rechts auf “Domainabfrage”.
Geben Sie den Domainnamen ein, er steht hinter dem @. Bei einer @spd.de-Adresse geben Sie also z.B. nur spd.de ein. Dann klicken Sie auf Abfrage starten.
Unten erscheint eine Sicherheitsfrage. Geben Sie die angezeigten Buchstaben ein und klicken auf Absenden.
Ihnen werden nun der Domaininhaber und die dazugehörigen Kontaktdaten angezeigt.

Insgesamt lässt sich sagen, dass heutzutage meist nur noch veraltete und schlecht gewartete E-Mailserver kein TLS unterstützen. Aktivieren Sie die TLS-Versand-Garantie, wird es deshalb im Alltag in der Regel nur selten vorkommen, dass eine Ihrer E-Mails aus Sicherheitsgründen nicht versandt wird.

Zum Schluss haben wir für Sie beispielhaft einige E-Mail-Domains mit größerer Reichweite zusammengestellt, die erstaunlicherweise noch kein TLS unterstützen – und zu denen wir in den vergangenen Tagen Rückfragen erhalten haben:

- United Nations Office at Geneva: @unog.ch
- SPD: @spd.de
- Kabel Baden-Württemberg: @kabelbw.de
- Congstar: @congstar.de
- Amazon Marketplace: @marketplace.amazon.de
- Karl-Franzens-Universität Graz: @uni-graz.at
- Deutsche Internetapotheke: @deutscheinternetapotheke.de
- Stadt Halle an der Saale: @halle.de
- Stadt Saarbrücken: @saarbruecken.de
- SWB-Gruppe, Bremen: @swb-gruppe.de
- Deutsche Oper Berlin: @deutscheoperberlin.de
- Gewobag: @gewobag.de
- QVC: Teleshopping @qvc.de

Viele Grüße
Ihr Posteo-Team

Neu: TLS-Versand-Garantie für mehr Sicherheit

2016-07-13T15:20:00+02:00

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,

wir haben heute eine wichtige neue Funktion für Sie freigegeben: Unsere TLS-Versand-Garantie. Die neue Sicherheitsfunktion schützt Sie davor, E-Mails an unsichere Systeme zu versenden. Sie können die Funktion ab sofort in Ihren Einstellungen aktivieren.

E-Mails müssen sicher über verschlüsselte Verbindungen übertragen werden, damit Kriminelle und Geheimdienste nicht unbefugt mitlesen können. Drei Jahre nach dem NSA-Skandal ist die Verschlüsselung von Transportwegen (TLS) deshalb alltäglich geworden: Alle großen E-Maildienste haben sie inzwischen auf ihren Systemen aktiviert. Doch wie sieht es bei E-Mailsystemen aus, an die Sie im Alltag oder im Berufsleben häufig Nachrichten verschicken? Für Anwender ist vor dem Absenden einer E-Mail nicht ersichtlich, ob die E-Mailsysteme ihrer Geschäftspartner, Ärzte, Vereine oder Schulen sichere Verbindungen unterstützen.
Unsere Systeme hingegen erkennen dies. Denn Posteo versucht vor jedem einzelnen E-Mailversand, mit dem anderen E-Mailserver eine verschlüsselte Verbindung aufzubauen – und so einen sicheren Versand zu erreichen.

Ist kein sicherer Versand möglich, wird die Übertragung gestoppt
Genau hier setzt unsere neue TLS-Versand-Garantie an: Aktivieren Sie die Sicherheitsfunktion, versenden wir Ihre E-Mails nur dann, wenn eine Nachricht sicher an den Empfänger ausgeliefert werden kann. Ist ein sicherer Versand über eine verschlüsselte Verbindung nicht möglich, wird die Übertragung der E-Mail gestoppt- und Sie erhalten eine Benachrichtigung von uns. Der Versand wird auch gestoppt, wenn unbefugte Dritte eine sichere Verbindung angreifen und den Rückfall auf eine unverschlüsselte Verbindung erzwingen möchten.

Benachrichtigen wir Sie über einen gestoppten Versand, können Sie übrigens selbst entscheiden, ob Sie Ihre Nachricht trotzdem an das unsichere E-Mailsystem senden möchten. In diesem Fall können Sie die TLS-Versand-Garantie kurzzeitig deaktivieren und Ihre Nachricht ausnahmsweise ohne TLS versenden.
Wir haben die neue Funktion so praxisnah wie möglich konzipiert: Ob Sie Ihre E-Mails mit Ihrem Smartphone, im Webmailer oder in lokalen Programmen wie Outlook oder Thunderbird verwalten, spielt keine Rolle. Jeder E-Mailversand durchläuft die TLS-Sicherheits-Prüfung. Sollten Sie einmal eine E-Mail an mehrere Empfänger versenden, wird der Versand nur an diejenigen Empfänger gestoppt, denen die E-Mail nicht sicher übermittelt werden kann. Sie werden im Anschluss von uns per E-Mail informiert, welche Empfänger vom Versandstopp betroffen waren.

#more#
Erneute Sicherheitsprüfung vor jedem E-Mail-Versand
Die neue Funktion verschafft Ihnen mehr Klarheit: Sie erfahren stets, wie es aktuell um die Kommunikations-Sicherheit ihrer Kontakte bestellt ist. Aus Sicherheitsgründen wird nämlich auch bei bereits bekannten Empfängern vor jedem Versand eine erneute TLS-Überprüfung durchgeführt. So stellen wir sicher, dass Ihre E-Mails auch dann nicht unsicher versendet werden, wenn ein Server einmal kurzzeitig nicht TLS-fähig sein sollte – zum Beispiel aufgrund technischer Probleme oder eines Angriffs .

Sie können Ihre TLS-Versand-Garantie ab sofort in den Einstellungen Ihres Posteo-Postfachs unter “Einstellungen → Mein Konto → Transportwegverschlüsselung” aktivieren.
In unserer Hilfe haben wir für Sie einen Artikel zur neuen TLS-Versand-Garantie bereitgestellt. Dort erfahren Sie, wie Sie die Funktion aktivieren und deaktivieren – und wie Sie vorgehen können, wenn der Versand einer E-Mail an einen unsicheren E-Mailserver gestoppt wurde.

Zusatz-Infos für IT-Profis:
- Die TLS-Versand-Garantie verhindert Downgrade-Attacken, die einen Rückfall auf unverschlüsselte Verbindungen zum Ziel haben.
- Veraltete und unsichere Verschlüsselungsprotokolle wie SSLv3 oder RC4 werden nicht toleriert: Sie bewirken ebenfalls einen Versandstopp.
- Man-in the-Middle-Attacken werden erschwert und immer dann verhindert, wenn der Empfänger-Server wie Posteo ebenfalls DANE verwendet.

Mehr über die Verschlüsselung bei Posteo
Die Transportwegverschlüsselung ist ein Baustein unseres innovativen Verschlüsselungskonzeptes. Lernen Sie auf unserer Infoseite-Verschlüsselung auch unsere anderen Funktionen kennen: Dort erfahren Sie zum Beispiel, wie Sie alle gespeicherten Daten komfortabel auf Knopfdruck verschlüsseln können (Krypto-Mailspeicher, Adressbuch- und Kalenderverschlüsselung). Außerdem informieren wir darüber, wie wir alle Zugriffe und sensiblen Daten verschlüsseln – und stellen unsere Funktionen aus dem Bereich der Ende-zu-Ende-Verschlüsselung (Schlüsselverzeichnis, PGP im Webmailer etc.) vor.

Viele Grüße
Ihr Posteo-Team

Neue Sicherheitstechnologien und weiteres Zertifikat

2016-04-01T17:00:00+02:00

Liebe Kundinnen und Kunden,
liebe Interessierte

wir möchten Sie über einige neue Sicherheitstechnologien bei Posteo informieren. Wir haben damit begonnen, die Technologie “Certificate Transparency” zu unterstützen. Außerdem setzen wir seit einigen Wochen die sehr neuen Technologien “Certification Authority Authorization (CAA)” und “HTTP Public Key Pinning (HPKP)” ein. Mit diesen Technologien erhöhen wir die Sicherheit bei Posteo noch einmal für Sie.

Für Sie ändert sich im Alltag nichts – und Sie müssen nichts tun. Wir möchten Ihnen in diesem Beitrag nur einen Einblick verschaffen, wie wir Ihre Daten bei Posteo mit diesen neuen Technologien schützen.

Certificate Transparency: Keine Chance für Fälscher von Sicherheitszertifikaten

Mit Certificate Transparency überwachen wir automatisiert weltweit, ob ein unbefugter Dritter (Kriminelle oder Geheimdienste) versucht, sich als Posteo auszugeben – und Zertifikate unserer Posteo-Domains zu fälschen. Es war auch bisher schon sehr unwahrscheinlich, dass eine Zertifizierungsstelle Unbefugten tatsächlich fälschlicherweise bescheinigt, Posteo zu sein. Denn wir nutzen bereits seit vielen Jahren ein so genanntes erweitertes Sicherheitszertifikat (EV-Zertifikat). Und solche Zertifikate werden nur nach Vorlage diverser Unterlagen ausgestellt. Kriminelle und Geheimdienste versuchen aber durchaus, über gefälschte Zertifikate eine andere Identität vorzugeben. Zum Beispiel, um Kunden von Internetdiensten auf gefälschte Phishing-Seiten zu locken und dort ihre Login-Daten abzugreifen. Oder, um sich als “Man-in-the-Middle” in einen Kommunikationsvorgang einzuschalten.

Mit der neuen Technologie werten wir 24 Stunden am Tag nahezu in Echtzeit aus, ob jemand versucht, unsere Zertifikate zu manipulieren und können deshalb sofort reagieren – idealerweise noch bevor ein Angreifer einen Betrugsversuch ausführen kann. Man muss nicht mehr auf die Sorgfalt der Zertifizierungsstellen (CA) beim Ausstellen von Zertifikaten vertrauen: Denn mit der neuen Technologie können Internetdienste wie Posteo nun selbst überprüfen, ob eine Zertifizierungsstelle einem Unbefugten fälschlicherweise ein Zertifikat ausgestellt hat.

Neues Zertifikat im Zuge der Umstellungen

Um die neuen Sicherheitstechnologien unterstützen zu können, werden wir im April damit beginnen, ein weiteres Zertifikat von Geotrust einzusetzen. Diese Zertifizierungsstelle unterstützt bereits die neuen Technologien. Interessierte finden die Fingerprints aller Zertifikate (eine Zeichenfolge, mit der ein Zertifikat als “echt” identifiziert werden kann) ab sofort in unserem Impressum. Alle Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.
#more#
Neue Sicherheitstechnologie Certification Authority Authorization (CAA) bereits seit einigen Wochen im Einsatz

Eine weitere neue Sicherheitstechnologie im Zusammenhang mit Zertifikaten setzen wir bereits seit einigen Wochen ein:
Certification Authority Authorization (CAA). CAA ist eine sehr neue, bisher noch nicht verbreitete Technik. Mit der neuen Technologie haben wir im DNS, dem zentralen Abfrage-Register im Internet, die Information hinterlegt, welche Zertifizierungsstellen berechtigt sind, für unsere Domains Zertifikate auszustellen. Diese Technik ist noch sehr neu, deshalb gibt es für die Zertifizierungsstellen noch keine Verpflichtung, sich daran zu halten. Wir sind aber der Auffassung, dass diese Einträge dennoch schon jetzt sinnvoll sind: Wir wollen zeigen, was heute technisch möglich ist und hoffen, dass schon bald viele Telekommunikationsanbieter und Zertifizierungsstellen CAA nutzen. Die Technologie kann die Internetnutzung insgesamt sicherer machen – und das Risiko gefälschter Zertifikate weiter minimieren.

Deutsche Zertifizierer mit Certificate Transparency noch nicht praxistauglich

Derzeit ist es für E-Maildienste wie Posteo noch unmöglich, Zertifikate deutscher Zertifizierungsstellen als Haupt-Zertifikat in der Praxis einzusetzen.
So kennen einige weit verbreitete Geräte und Programme deutsche Anbieter wie D-Trust bzw. die Bundesdruckerei (noch) nicht. Setzt ein E-Maildienst dennoch ein Zertifikat einer solchen “unbekannten” Zertifizierungsstelle ein, kommt es deshalb bei einer großen Kundenanzahl zu ständig wiederkehrenden Fehlermeldungen. Die Programme melden, dass den eingesetzten Zertifikaten nicht vertraut wird. Auch bei der Unterstützung neuer Sicherheitstechnologien sieht es nicht gut aus: Das Telekom Trust Center (TeleSec), die Zertifizierungsstelle der Deutschen Telekom AG, hat z.B.- laut Angaben uns gegenüber- keine Pläne, Certificate Transparency zu unterstützen. Diese bestehenden Probleme mit deutschen Zertifizierern werden sich – wenn überhaupt – erst im Laufe der kommenden Jahre bessern. Voraussetzung hierfür ist zum Beispiel, dass die deutschen Zertifizierer dafür sorgen, dass ihre so genannten Root-Zertifikate in allen Geräten und Programmen der neueren Generationen als vertrauenswürdig erkannt werden.

Zusatz-Information für Profis: Weitere Zertifikat-Sicherheitstechnologien bei Posteo

- Wir nutzen pro abgesicherter Domain immer mindestens zwei Extended-Validation-Zertifikate gleichberechtigt. Falls es einmal Probleme mit einer Zertifizierungsstelle geben sollte, können wir umgehend auf das andere Zertifikat wechseln, ohne dass es zu Beeinträchtigungen für unsere Kundinnen und Kunden kommt.
- Wir nutzen HPKP (HTTP Public Key Pinning), um Browser zu zwingen, nur unsere Zertifikate zu akzeptieren.
- Wir nutzen DANE, damit andere E-Mailserver, Browser und Programme unsere Zertifikate über eine fälschungssichere DNS-Abfrage überprüfen können.

Viele Grüße
Ihr Posteo-Team

Datenschutzbeauftragte lobt Posteo in Jahresbericht

2016-03-30T12:00:00+02:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

Die neue Berliner Datenschutzbeauftragte, Maja Smoltczyk, hat Posteo in Ihrem Jahresbericht 2015 vorgestellt und als Positiv-Beispiel für innovative Datenschutz-Konzepte angeführt.
Die lobende Erwähnung der Datenschutzbeauftragten freut uns. Deshalb gibt es sie hier noch einmal für Sie zum Nachlesen:

“Posteo (posteo.de) ist ein Web-E-Mail-Dienst mit den üblichen Funktionen. Im Unterschied zu anderen Webmailern ist die Nutzung kostenpflichtig, dafür wird auf jegliche Identifizierungsdaten und auf die Analyse des Nutzungsverhaltens oder gar der Inhalte der Nachrichten verzichtet. Dies beginnt damit, dass die Nutzenden ihre Postfächer unter Pseudonym anlegen: Es werden abgesehen von der gewünschten E-Mail-Adresse und einem Passwort keinerlei Daten verpflichtend erhoben. Auch die Prepaid-Bezahlung kann per Bareinzahlung vollständig anonym erfolgen. Wählt man personenbezogene Zahlverfahren, wird zumindest die über einen Code hergestellte Verknüpfung zum E-Mail-Postfach unmittelbar nach Zahlungseingang gelöscht. Neben der konsequenten Umsetzung aller Möglichkeiten der Transportverschlüsselung beimVersenden und Empfangen der E-Mails sowie beim Zugriff auf die Weboberfläche wird auch eine optionale Ende-zu-Ende-Verschlüsse- lung mit PGP und S/MIME unterstützt. Eine Besonderheit ist die Funktion zum Grund-Verschlüsseln von Postfachinhalt und Adressbuch: Auf einfache Weise lässt sich dafür sorgen, dass selbst unverschlüsselt empfangene E-Mails verschlüsselt gespeichert werden. Im Gegensatz zu der Verschlüsselung bei PGP und S/MIME werden auch die Verkehrsdaten im E-Mail-Kopf verschlüsselt. Die Entschlüsselung erfolgt – transparent im Hintergrund – nur in dem Augenblick, in dem die jeweilige E-Mail abgerufen wird. Bei Nutzung dieser Funktion ist die Wahl eines sicheren und längeren Passwortes besonders wichtig. " (S.51)

“Datenschutz ist durchaus ein erfolgreiches Verkaufsargument, wie das Beispiel Posteo zeigt.” (S.53)

Den vollständigen Bericht der Berliner Datenschutzbeauftragten finden Sie auf der Website datenschutz-berlin.de.

Viele Grüße
Ihr Posteo-Team

Neu: Wen wir mit Spenden unterstützen

2016-03-16T13:30:00+01:00

Liebe Kundinnen und Kunden,
liebe Interessierte,

wir haben einen Transparenzhinweis für Sie: Ab sofort legen wir auf einer eigenen Seite offen, welche Organisationen wir im jeweils vergangenen Jahr (2015) mit Spenden unterstützt haben.
Wir sind um eine solche Seite gebeten worden, da Restguthaben bei Posteo auf Wunsch gespendet werden kann. Die neue Seite “Wen wir unterstützen” finden Sie auf unserer Website im Bereich “Über uns”.

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen.
Deshalb unterstützen wir auch darüber hinaus ausgewählte Organisationen aus den Bereichen Umwelt, Netzpolitik & Meinungsfreiheit sowie aus der Flüchtlingshilfe. #more#

Im vergangenen Jahr hat Posteo insgesamt 24.350,00 EUR gespendet. Davon waren 22.957,30 EUR freiwillige Spenden durch das Unternehmen Posteo.
Aus Restguthaben stammten die übrigen 1.392,70 EUR.

Empfänger der Posteo-Spenden waren im Jahr 2015 u.a. der Bund für Umwelt und Naturschutz Deutschland, Reporter ohne Grenzen, die UNO-Flüchtlingshilfe sowie Netzpolitik.org.

Viele Grüße
Ihr Posteo-Team

Cryptoparty für Frauen im Posteo Lab am 24.02.

2016-02-08T16:45:00+01:00

Liebe Interessierte,

wir haben einen Veranstaltungshinweis für Sie:

Am Mittwoch, den 24.02., findet im Posteo Lab auf dem Berliner Kreuzberg eine Cryptoparty für Frauen statt. Gastgeberinnen sind die Hackerinnen von Heart of Code.

Die Hackerinnen sind ab 19 Uhr bei uns zu Gast. Die Veranstaltung startet mit zwei kurzen Vorträgen zum Thema Verschlüsselung. Im Anschluss wird den Teilnehmerinnen des Workshops gezeigt, wie sie sicher im Internet kommunizieren, und wie sie sich vor Ausspähung durch Geheimdienste und Werbetreibende schützen können.

Zum Hintergrund:
Die Hackerinnen von “Heart of Code” möchten Frauen den Zugang zu Informationstechnologien, Tools und Inhalten erleichtern – und damit die Hacking-Community und die Tech-Landschaft langfristig diverser gestalten. Wir unterstützen dieses Anliegen, da Frauen in der IT-Branche bisher deutlich unterrepräsentiert sind. Deshalb stellen wir den Hackerinnen das Posteo Lab gerne für die Veranstaltung zur Verfügung.

Viele Grüße
Ihr Posteo-Team

Zweites erweitertes Sicherheitszertifikat

2015-12-22T18:00:00+01:00

Liebe Kundinnen und Kunden,

wir setzen ab jetzt auch unser zweites, erweitertes Sicherheitszertifikat ein.

Solche beglaubigten, “grünen Sicherheitszertifikate” werden vor allem von Unternehmen eingesetzt, die mit sensiblen Daten umgehen, z.B. von Banken. Sie können es links von unserer Webadresse https://posteo.de in Ihrem Browser einsehen (meist ein grün hinterlegtes Schlüsselsymbol). So können Sie stets auf einen Blick erkennen, dass Sie tatsächlich auf der Website von Posteo sind – und nicht etwa auf einer Phishing-Site. Wenn Sie ein lokales E-Mailprogramm verwenden, überprüft dieses außerdem vor einem verschlüsselten Verbindungsaufbau zu Posteo das Sicherheitszertifikat – und somit die Echtheit des Verschlüsselungspartners. Hierfür nutzen E-Mailprovider Zertifizierungsstellen: Sie bestätigen die Echtheit eines Sicherheitszertifikats, bevor eine verschlüsselte Verbindung aufgebaut wird. OCSP ist eine zusätzliche Sicherheitsmaßnahme: Ein OCSP-Server bestätigt, dass ein Zertifikat nicht widerrufen wurde.

Darum verwenden wir ein zweites Zertifikat
Und hier liegt auch der Grund für den zusätzlichen Einsatz des zweiten Zertifikates: Die OSCP-Server der Zertifizierungsstelle StartCom waren in den vergangenen Tagen nicht zuverlässig erreichbar. Dies führte in Einzelfällen zu Beeinträchtigungen mit Programmen, die OCSP zusätzlich prüfen – wie z.B. Thunderbird und Firefox. Wir wissen, dass einige unserer Kunden beim Aufruf unserer Website oder bei der Arbeit mit lokalen E-Mailprogrammen deshalb einen Fehler gemeldet bekamen. Bei Posteo selbst lag zu keinem Zeitpunkt eine Störung vor und die Sicherheit Ihrer Verbindungen waren zu keinem Zeitpunkt beeinträchtigt. Da es für uns jedoch völlig inakzeptabel ist, dass eine Störung bei einer einzelnen Zertifizierungsstelle wiederholt einige unserer Kunden beeinträchtigt, verwenden wir ab sofort auch ein von der Bundesdruckerei beglaubigtes Zertifikat, das wir bereits vor einiger Zeit als Zweit-Zertifikat erstellt hatten. #more#

Was eine Zertifizierungsstelle tut
E-Mailprovider nutzen Zertifizierungsstellen, um die Echtheit ihres Sicherheitszertifikats zu bestätigen, bevor eine verschlüsselte Verbindung aufgebaut wird. Ein Zertifizierer beglaubigt außerdem den öffentlichen Schlüssel des SSL-Zertifikats eines Providers. Ähnlich wie ein Notar: Nach der Prüfung zahlreicher Unterlagen (u.a. Handelsregisterauszug, Personalausweise, Anrufe bei uns und unseren Anwälten etc.) bestätigt die Zertifizierungsstelle, dass der öffentliche Schlüssel wirklich zum Provider, in unserem Fall also zu Posteo e.K., gehört. Die Zertifizierungsstelle erstellt unser Zertifikat bzw. unser Schlüsselpaar jedoch nicht – das tun wir selbst. Deshalb kann sie die Schlüssel auch nicht manipulieren oder austauschen.

Unser neues, von der Bundesdruckerei beglaubigtes Zertifikat entspricht den aktuellen Sicherheits-Standards und wurde mit dem SHA-256-Algorithmus signiert.

Falls Ihr Browser, Ihr Mailprogramm, Smartphone oder Tablet nach der Umstellung eine Fehlermeldung wegen eines ungültigen Zertifikates produzieren sollte, liegt dies nicht an einem Angriff oder einem Fehler. Ihr Programm hat dann lediglich noch das alte Zertifikat zwischengespeichert. Abhilfe sollte in den meisten Fällen ein Neustart des Programms oder Gerätes bringen.

Die “elektronischen Fingerabdrücke” unseres neuen Sicherheitszertifikates lauten:
SHA256: 6A:B1:9D:FB:FB:10:2E:D8:89:01:76:8C:B1:6B:61:13:A1:E3:B6:A5:47:D6:85:A3:FD:08:7F:11:DA:35:77:E7
SHA1: 8D:D7:97:B4:45:79:4D:EC:64:AE:D1:90:88:AC:B4:F4:5A:21:EA:6A
MD5: DA:CC:03:04:8C:E8:03:54:4F:6B:B2:2E:C2:ED:94:D8

Sie finden die Fingerabdrücke beider Zertifikate auch in unserem Impressum. Diese Information ist nur für Nutzer relevant, die unsere Zertifikate manuell abgleichen.

Sollte ein von Ihnen verwendetes Programm oder System das Root-Zertifikat der Bundesdruckerei nicht vorinstalliert haben und der Verbindung zu Posteo deshalb nicht trauen, können Sie es nachinstallieren. Sie finden es zum Download auf der Webseite der Bundesdruckerei. Dort finden Sie auf der Downloadseite auch den Fingerprint des Root-Zertifikats “D-TRUST Root Class 3 CA 2 EV 2009”, den wir zum Vergleich auch hier veröffentlichen:
SHA-256 EE:C5:49:6B:98:8C:E9:86:25:B9:34:09:2E:EC:29:08:BE:D0:B0:F3:16:C2:D4:73:0C:84:EA:F1:F3:D3:48:81
SHA-1 96:C9:1B:0B:95:B4:10:98:42:FA:D0:D8:22:79:FE:60:FA:B9:16:83

Die Posteo-Domains, die wir mit dem SSL-Zertifikat verwenden, sind in unserem Besitz. Die Einträge unseres Nameservers im DNS sind auch zusätzlich mit DNSSEC abgesichert, um Manipulationen auszuschliessen. Und durch DANE können die Fingerprints unseres Schlüssels zweifelsfrei von jedem überprüft werden.

Auch, wenn wir keinen Einfluss auf die Beeinträchtigungen durch die Störung bei der Zertifizierungsstelle hatten, möchten wir Sie um Entschuldigung bitten, falls Sie von diesem ärgerlichen Fehler betroffen waren.

Viele Grüße
Ihr Posteo-Team

Neu: Posteo-Webmailer findet Schlüssel automatisch

2015-12-22T13:30:00+01:00

Liebe Kundinnen und Kunden,
Liebe Interessierte,

wir haben die Ende-zu-Ende-Verschlüsselung im Posteo-Webmailer noch einfacher gemacht.
So lassen sich nun auch Anhänge komfortabel im Webmailer (mit PGP/MIME) verschlüsseln.

Zeitgleich haben wir heute die erste Anwendung für unser neues Posteo-Schlüsselverzeichnis freigeschaltet:

Wenn Sie bei uns die Ende-zu-Ende-Verschlüsselung im Browser nutzen, findet Posteo die öffentlichen Schlüssel Ihrer Kontakte jetzt in vielen Fällen automatisch. Möglich machen dies das Posteo-Schlüsselverzeichnis und die Posteo-Schlüsselsuche: Unsere Schlüsselsuche sucht weltweit automatisiert nach passenden öffentlichen Schlüsseln Ihrer Kontakte – und zeigt sie Ihnen an, bevor Sie eine E-Mail versenden.

In vielen Fällen müssen Sie einen Kontakt also nicht mehr um seinen öffentlichen Schlüssel bitten, bevor Sie ihm eine verschlüsselte E-Mail schicken können.
#more#
Das passiert im Hintergrund:
Sobald Sie den Empfänger Ihrer E-Mail eintippen, durchsucht unsere innovative Schlüsselsuche nicht nur die weltweiten PGP-Keyserver im Hintergrund nach passenden Schlüsseln zu dieser E-Mail-Adresse, sondern auch das DNS, das so genannte “Telefonbuch des Internets” sowie weitere Quellen des Posteo-Schlüsselverzeichnisses. Findet die Schlüsselsuche einen passenden Schlüssel zur E-Mail-Adresse Ihres Kontaktes, wird Ihnen dieser angezeigt. So wird Ende-zu-Ende-Verschlüsselung komfortabel und modern. Und zwar ohne Sicherheitseinbußen: Die Verschlüsselung im Webmailer erfolgt mit dem Opensource-Plugin Mailvelope, das Sie lokal bei sich installieren. So ist eine echte Ende-zu-Ende-Verschlüsselung sichergestellt, bei der Ihr privater Schlüssel stets lokal auf Ihren Geräten verbleibt. Er wird zu keinem Zeitpunkt auf unseren Servern gespeichert. Dies würde das Prinzip einer Ende-zu-Ende-Verschlüsselung (zwischen dem Absender und dem Empfänger einer E-Mail) ad absurdum führen. Auch funktioniert die Verschlüsselung und Schlüsselsuche mit allen anderen E-Mail-Anbietern, die sich an die im E-Mail-Bereich international vereinbarten Standards halten. Sie ist keine “Insellösung”, bei der beide Kommunikationspartner bei demselben Anbieter sein müssen, um verschlüsselt miteinander kommunizieren zu können.

Unsere Philosophie ist es, aus Sicherheitsgründen ausschliesslich auf echte Ende-zu-Ende-Lösungen, Opensource-Technologien und freie Standards zu setzen. Unserer Ansicht nach lässt sich nur so ein Höchstmaß an Sicherheit, Transparenz, Komfort und Kompatibilität erreichen. Das Plugin Mailvelope ist z.B. quelloffen (Open Source) und wurde einem Sicherheitsaudit (von Cure53) unterzogen.

Anleitungen:
Schritt-für-Schritt-Anleitungen für das Einrichten und Verwenden der Ende-zu-Ende-Verschlüsselung im Posteo-Webmailer finden Sie in der Posteo-Hilfe.

Kunden, die bereits die Ende-zu-Ende-Verschlüsselung im Posteo-Webmailer verwenden, erfahren in der Posteo-Hilfe außerdem, wie Sie die neue Posteo-Schlüsselsuche und das Verschlüsseln von Anhängen in wenigen Schritten aktivieren können.

Für Entwickler:
Für unsere weltweite Schlüsselsuche haben wir ein Opensource-Plugin für den Webmailer Roundcube entwickelt, welches unter AGPL-Lizenz freigegeben und auf Github zu finden ist.

Viele Grüße und schöne Feiertage
Ihr Posteo-Team

Bundespräsident hat VDS-Gesetz unterzeichnet

2015-12-17T14:00:00+01:00

Wie wir soeben schriftlich aus dem Bundespräsidialamt erfahren haben, hat Bundespräsident Joachim Gauck das Gesetz zur Wiedereinführung der Vorratsdatenspeicherung (“Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten”) bereits am 10. Dezember 2015 unterzeichnet.

Da dies der Öffentlichkeit offenbar bisher nicht bekannt ist, möchten wir hiermit darüber informieren.

Wir hatten den Bundespräsidenten vor einigen Wochen angeschrieben, mit der Bitte, das Gesetz nicht zu unterzeichnen. Auch, wenn E-Maildienste wie Posteo von der Vorratsdatenspeicherung ausgenommen sind.

Denn in der Praxis der Auskunftsverfahren und der Überwachungsvorgänge existieren zahlreiche Missstände, die wir in unserem diesjährigen Transparenzbericht kritisiert hatten. Auf diese hatten wir den Bundespräsidenten in unserem Brief hingewiesen.

Den Schriftwechsel zwischen uns und dem Bundespräsidialamt finden Sie untenstehend.

#more#

Folgende Antwort aus dem Bundespräsidialamt vom 15.12. erreichte uns heute:

“Sehr geehrter Herr Löhr,

Bundespräsident Joachim Gauck hat mich gebeten, für Ihren Brief vielmals zu danken und Ihnen zu antworten.
Im Rahmen der Ausfertigung von Gesetzen hat der Bundespräsident allein deren Verfassungsmäßigkeit, nicht aber die Zweckmäßigkeit einzelner gesetzlicher Regelungen zu überprüfen. Das hat er auch bei dem von Ihnen beanstandeten Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten unter Berücksichtigung der Rechtsprechung des Bundesverfassungsgerichts getan. Nach eingehender Prüfung ist er dabei zu dem Ergebnis gekommen, dass ein Verfassungsverstoß, der allein ihn hätte berechtigen können, die Ausfertigung zu verweigern, nicht vorliegt. Der Herr Bundespräsident hat daher – der Verfassung verpflichtet – das Gesetz am 10. Dezember 2015 unterschrieben und den Auftrag zur Verkündung im Bundesgesetzblatt gegeben.

Mit freundlichen Grüßen
Im Auftrag”

Die Antwort des Bundespräsidialamtes im PDF-Format

Wir schrieben am 11.11.2015:

“Sehr geehrter Herr Bundespräsident,

ich wende mich als Geschäftsführer des deutschen Telekommunikationsanbieters Posteo.de an Sie. Wir erbringen E-Mail-Dienstleistungen und bei uns werden mehr als 120.000 bezahlte E-Mail-Postfächer geführt. Ich schreibe Sie an, da Sie über die Einführung des “Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten” (“Vorratsdatenspeicherung”) entscheiden.

In diesem Zusammenhang möchte ich Sie über Missstände in der Praxis der Auskunftsverfahren und der Überwachungsvorgänge informieren, deren Nutzung mit der Einführung des oben genannten Gesetzes zunehmen wird.

Die Vorratsdatenspeicherung soll in ihrer Anwendung durch den Richtervorbehalt kontrolliert werden.
Jedoch weisen alle öffentlich verfügbaren Zahlen, wie wir in unserem Transparenzbericht aufzeigen, darauf hin, dass in der Praxis offenbar alle Anträge auf Überwachung bewilligt werden. Das Instrument des Richtervorbehaltes wird seiner ihm zugedachten Kontrollaufgabe in der Praxis offenbar nicht gerecht. Der Rechtsschutz der betroffenen Bürgerinnen und Bürger ist deshalb unserer Ansicht nach nicht ausreichend gewährleistet. Öffentliche Statistiken existieren für das Land Berlin: Dort ist nach 2007 kein einziger Antrag auf eine Überwachungsmaßnahme mehr abgelehnt worden. Bewilligt wurden zwischen 2008 und 2014 insgesamt 14.621 Überwachungen. Diese Zahlen bestätigen auch zwei Studien (des Max-Planck-Institutes für ausländisches und internationales Strafrecht und der Universität Bielefeld, siehe Transparenzbericht): Aus ihnen geht ebenfalls hervor, dass nur in absoluten Ausnahmefällen einer beantragten Überwachungsmaßnahme nicht stattgegeben (0,4% Ablehnungsquote) wird. Angesichts der Zahlen aus Berlin sehen wir dringenden Klärungsbedarf. Wird in einem Staat allen Anträgen auf Überwachung stattgegeben, ist dies ein starker Hinweis darauf, dass sich der Rechtsstaat auf dem Weg in einen Überwachungsstaat befindet.
Alleine schon vor diesem Hintergrund darf ein “Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten” (“Vorratsdatenspeicherung”) nicht eingeführt werden, da der Richtervorbehalt seiner ihm zugedachten Kontrollaufgabe in der Praxis offenbar nicht gerecht wird.

Wir haben den Bundesjustizminister auf diesen Umstand aufmerksam gemacht. Leider ist das Bundesministerium der Justiz in seiner schriftlichen Antwort an uns mit keinem einzigen Wort auf die offenbar seit Jahren bestehenden Zustände beim Richtervorbehalt eingegangen.

Wir kritisieren in unserem Transparenzbericht auch den Missstand, dass der Gesetzgeber die Wirksamkeit des Richtervorbehaltes bisher nicht ausreichend evaluiert. Die Information, wie oft ein Richter eine beantragte Überwachungsmaßnahme ablehnt, ist ein wichtiger Indikator dafür, wie wirksam das Kontrollinstrument des Richtervorbehaltes tatsächlich ist. Der Gesetzgeber hat dafür Sorge zu tragen, dass hierzu aussagekräftige Zahlen aus allen Bundesländern vorliegen. Wir sehen daher eine entsprechende Anpassung der Berichtspflichten nach § 100b Abs. 5, Abs. 6 StPo als erforderlich an.

Ich möchte Sie ausserdem davon in Kenntnis setzen, dass große Probleme in der Praxis der Auskunftsersuchen bestehen. Solche Ersuchen werden im Rahmen der Vorratsdatenspeicherung aller Voraussicht nach stark zunehmen. Fast alle Auskunftsersuchen von Ermittlungsbehörden des Bundes und der Länder, die unser Unternehmen erreichen, sind rechtswidrig. Durch Beschwerden bei den jeweils zuständigen Datenschutzbeauftragten haben wir in Erfahrung gebracht, dass dies nicht nur uns betrifft. Wir sind besorgt und sehen die Sicherheit der Verfahren in der Praxis nicht gewährleistet. So werden uns beispielweise fast alle Ersuchen durch Ermittlungsbehörden unsicher übermittelt, es handelt sich hierbei u.a. um Verstöße gegen das BDSG § 9, Anlage, Satz 4 und 8. Dieses Vorgehen verletzt die Rechte der Betroffenen und kann Ermittlungen gefährden. In einem Schreiben an den Fraktionsvorsitzenden der SPD im Bundestag, Thomas Oppermann, hat Bundesinnenminister Thomas de Maiziere hier Rechtsverstöße einräumen müssen (siehe die beigefügte Heise-Meldung vom 19.10.2015). Des Weiteren ersuchen Ermittlungsbehörden regelmäßig bei Bestandsdatenersuchen nach § 113 TKG auch um Verkehrsdaten wie dynamische IP-Adressen oder um andere Daten, die im Rahmen des Verfahrens nicht herausgegeben werden dürfen. Diese Missstände haben wir in unserem Transparenzbericht 2014 vom 20. August 2015 thematisiert, den Sie diesem Schreiben beiliegend erhalten. Der Bericht enthält verschiedene Beispiele solcher rechtswidriger Ersuchen sowie Antworten verschiedener Datenschutzbeauftragter.

Wir möchten Sie auch darauf hinweisen, dass es sich offenbar um ein weitreichendes Problem handelt: Der Branchenverband BITKOM hatte bereits im Oktober 2012 vor dem Rechtsausschuss des Deutschen Bundestages auf “zahllose” solcher rechtswidriger Ersuchen hingewiesen, und die Bundesregierung wurde hierzu inzwischen zweimal befragt (siehe Transparenzbericht). Die Pressestelle der Deutschen Telekom erklärte zu unserem Vorstoß am 26.08.2015 auf Twitter: “Ja, wir beanstanden die Rechtsverstöße und wie auch schon gesagt, wir begrüßen ihren Appell.”

Wir kritisieren außerdem, dass die manuelle Bestandsdatenauskunft nach §113 TKG eine Grauzone darstellt: Es existieren keine öffentlichen Statistiken, so dass für die Öffentlichkeit nicht nachvollziehbar ist, wie oft das Auskunftsverfahren durch Behörden in Anspruch genommen wird. Unserer Auffassung nach sollten deshalb für Abfragen nach § 113 TKG umgehend Berichtspflichten eingeführt werden. Die Zahlen sollten jährlich veröffentlicht werden, wie es auch bei anderen Arten von Auskunftsersuchen wie z.B. bei Abfragen nach § 112 TKG (Veröffentlichung im Jahresbericht der Bundesnetzagentur) und bei Abfragen nach § 100a StPO (Veröffentlichung auf der Internetseite des Bundesamtes für Justiz) üblich ist.

Wenn Überwachungsmöglichkeiten in Deutschland immer weiter ausgebaut werden, während die in unserem Transparenzbericht aufgezeigten Mängel fortbestehen und alle verfügbaren Zahlen darauf hindeuten, dass offenbar jeder Antrag auf Überwachung bewilligt wird, ist dies eine Entwicklung, die der Demokratie nicht zuträglich sein kann. Wir befürchten außerdem, dass es nach der Einführung des “Gesetzes zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten” (“Vorratsdatenspeicherung”) zu einem weiteren Anstieg der rechtswidrigen Abfragen nach § 113 TKG kommt. Die statistischen Belege dafür, dass der Richtervorbehalt als Kontrollinstrument nicht ausreicht, um den Rechtsschutz der Bürgerinnen und Bürger bei solchen Maßnahmen ausreichend zu gewährleisten, halten wir für stichhaltig. Ferner sind wir der Überzeugung, dass die unzureichenden Statistik- und Berichtspflichten zu einer weiteren Schieflage beim System der Checks & Balances beitragen (siehe hierzu auch den aktuellen Tätigkeitsbericht der BfDI). Aufgrund dieser Rechtswirklichkeiten in der Praxis der Auskunftsverfahren darf die Vorratsdatenspeicherung unserer Auffassung nach nicht wieder eingeführt werden.

Wenden Sie sich bei Fragen oder Anmerkungen gerne jederzeit an mich, bis dahin verbleibe ich

mit freundlichen Grüßen
Patrik Löhr"

Unser Schreiben im PDF-Format

Neu: Posteo-Schlüsselverzeichnis

2015-12-04T12:30:00+01:00

Liebe Posteo-Kunden, liebe Interessierte,

Unser Anliegen ist es, den Schlüsselaustausch bei der Ende-zu-Ende-Verschlüsselung einfacher und sicherer zu machen. Hierzu haben wir heute einen ersten Schritt unternommen: Sie können ab sofort Ihren öffentlichen PGP oder S/MIME-Key in unserem neuen Posteo-Schlüsselverzeichnis veröffentlichen und so sicher im DNS, dem so genannten “Telefonbuch des Internets”, hinterlegen. In den kommenden Wochen werden wir in mehreren Schritten weitere Optionen rund um die neue Posteo-Schlüsselverwaltung freigeben.

Zum Hintergrund:
Seit einiger Zeit wird von verschiedenen Akteuren im Internet-Securitybereich daran gearbeitet, den Schlüsselaustausch bei der Ende-zu-Ende-Verschlüsselung einfacher und sicherer zu machen.
Öffentliche Schlüssel sollen sicher im DNS hinterlegt und verfügbar gemacht werden. Hierzu werden bald neue, freie Standards verabschiedet werden. Seit längerem bereiten wir im Hintergrund eine Vereinfachung des Schlüsselaustauschs in mehreren Schritten vor, die entsprechend der neuen Standards erfolgen wird. Die Standards befinden sich bisher zwar noch in einem Entwurfsstatus, wir halten sie aber inzwischen für so ausgereift, dass wir nun damit beginnen, sie anzuwenden.
#more#
Die technische Bezeichnung zum Hochladen von PGP-Keys wurde bereits vor Monaten festgelegt. Wir haben uns in den vergangenen Monaten in der zuständigen Arbeitsgruppe dafür eingesetzt, dass bei der IANA, die im Internet für die Verwaltung des DNS zuständig ist, auch der DNS-Parameter für S/MIME-Schlüssel festgelegt wird. Denn S/MIME ist für uns ein gleichwertiger und ebenfalls wichtiger Verschlüsselungsstandard.
Am Dienstag hat die Organisation nun auch die technische Bezeichnung für das Hinterlegen von S/MIME-Schlüsseln im DNS festgelegt.

Ihr öffentlicher S/MIME oder PGP-Schlüssel zum Verschlüsseln von E-Mails kann deshalb ab sofort durch uns abgesichert im DNS hinterlegt werden.
Dort können andere Ihren Schlüssel finden und E-Mails an Sie mit diesem Schlüssel verschlüsseln. Ihr Schlüssel wird im Schlüsselverzeichnis mit den bald kommenden Standards OPENPGPKEY und SMIMEA fälschungssicher hinterlegt. Diese Verfahren entsprechen in etwa der Technologie DANE: Während DANE die TLS-Server-Zertifikate im DNS absichert, sichern OPENPGPKEY und SMIMEA öffentliche Schlüssel für die E-Mailkommunikation im DNS fälschungssicher ab. Die im DNS veröffentlichten Schlüssel zur Ende-zu-Ende-Verschlüsselung werden ebenfalls, wie bei DANE, mit DNSSEC abgesichert.

Durch die Verwendung von Sicherheitstechnologien, wie zum Beispiel NSEC3, verhindern wir ausserdem ein massenhaftes Auslesen von E-Mailadressen und Schlüsseln im DNS: So kann nur für eine konkrete E-Mailadresse, die dem Suchenden bekannt ist, ein Schlüssel im DNS abgefragt werden. Dies verhindert wirksam den Missbrauch des DNS als E-Mail-Adressen-Quelle für Spammer.

OPENPGPKEY und SMIMEA können in Zukunft eine Alternative zu den bisher verbreiteten Keyservern darstellen, die zahlreiche Probleme aufweisen:
Auf den weltweiten Keyservern kann bisher jeder Ihren öffentlichen Schlüssel hochladen, auch wenn Sie persönlich dies gar nicht möchten. Auch kann jeder einen gefälschten Schlüssel für Sie hochladen. Ein hochgeladener Schlüssel kann dort auch nicht mehr gelöscht werden. Dies führt dazu, dass bei Schlüsselsuchen auf den weltweiten Key-Servern ggf. mehrere, auch veraltete oder falsche Schlüssel zu einer E-Mailadresse gefunden werden. Auf den Keyservern sind zahlreiche, gültige E-Mailadressen gespeichert: Das interessiert auch Spammer, die massenhaft E-Mailadressen aus den Keyservern abfragen, um Spam an diese Adressen zu versenden. Auch die Anonymität wird durch die Keyserver beeinträchtigt:
Bei OpenPGP kann jeder, ähnlich wie bei einer offenen Freundesliste in einem sozialen Netzwerk, einsehen, wer wem das “Vertrauen” ausgesprochen hat. So können soziale Netzwerke für jeden offen eingesehen werden. Die Umsetzung der neuen Verfahren bei Posteo weisen die genannten Schwachstellen der Keyserver nicht auf.

Das Posteo-Schlüsselverzeichnis finden Sie in den Einstellungen Ihres Posteo-Postfachs, unter “PGP- und S/MIME-Verschlüsselung”.

Bitte prüfen Sie vor dem Hochladen Ihres Schlüssels in das Posteo-Schlüsselverzeichnis, dass Ihr Schlüssel den Posteo-Richtlinien entspricht. Zum Schutz Ihrer Privatspäre können Sie u.a. nur Schlüssel hochladen, die lediglich Ihre Posteo-E-Mail-Adresse enthalten oder einen Ihrer Aliase.

In der Standard-Software GnuPG ist die neue Technologie OPENPGPKEY bereits implementiert, und Verisign arbeit an einem SMIMEA-Plugin für Thunderbird. Wir hoffen, dass die Verbreitung von OPENPGPKEY und SMIMEA zügig voranschreiten wird, damit der Austausch öffentlicher Schlüssel einfacher und sicherer wird.

Viele Grüße
Ihr Posteo-Team

Le service de migration comprend maintenant la migration du carnet d'adresses

2015-11-16T19:20:00+01:00

Chers clients Posteo, chers visiteurs,

la migration vers Posteo devient encore plus facile : vous pouvez dorénavant déménager plus que votre ancienne boîte de réception (arborescence de dossiers incluse) en un clic vers votre boîte mail Posteo.
Dès maintenant, le service de migration transfère également votre carnet d’adresses en un clic, ceci depuis la plupart des gros fournisseurs de messagerie. Ainsi, vous pouvez également transférer vos contacts aisément, sans nécessité de connaissances techniques, vers Posteo.
#more#
Comme nous ne faisons intervenir aucun fournisseur tiers lors du transfert de vos données sensibles (ceci pour protéger vos données), nous avons développé une solution propre pour la transfert de vos données, et ceci pour chaque fournisseur figurant dans la liste ci-dessous. Notre spécificité : les données sensibles de vos contacts (comme leur nom, adresse, numéro de téléphone) ne transitent à aucun moment par un fournisseur tiers.
Ces données sont récupérées par Posteo chez votre ancien fournisseur directement et transférées de façon chiffrée vers votre carnet d’adresses Posteo.

Le service de migration Posteo pour votre carnet d’adresses est disponible pour les fournisseurs suivants :

AOL
Gmail
GMX
iCloud
Services Microsoft comme Outlook.com/Hotmail/Office 365
Yahoo!
WEB.DE

Vous trouverez le service de migration dans les paramètres de votre boîte mail Posteo, dans « Mon compte ».
Vous décidez vous-mêmes si vous souhaitez effacer définitivement les données de vos e-mails et de vos contacts chez votre ancien fournisseur.
Le service de migration Posteo est gratuit pour vous. Nous l’avons conçu en suivant notre principe de minimisation maximale des données. Par exemple, nous n’enregistrons pas depuis quelle adresse e-mail vous avez transféré des données vers votre boîte mail Posteo.

Astuce : après le déménagement, vous pouvez chiffrer toutes les données enregistrées chez Posteo, individuellement. Pour cela, vous avez à votre disposition notre chiffrement du carnet d’adresses et du calendrier ainsi que notre Stockage mail crypté Posteo (pour vos données d’e-mail). Vous n’avez besoin d’aucunes notions techniques pour ces deux fonctions : le chiffrement se déroule en un clic. Vous retrouverez toutes les fonctions de chiffrement dans les paramètres de votre boîte mail, dans « Chiffrement ».

Bien cordialement
L’équipe Posteo

Umzugsservice jetzt auch mit Adressbuch-Umzug

2015-11-16T17:27:00+01:00

Liebe Posteo-Kunden, liebe Interessierte,

der Umzug zu Posteo wird noch einfacher: Sie können mit dem Posteo-Umzugsservice nicht mehr nur Ihre bisherigen E-Mail-Postfächer (inkl. der Ordnerstrukturen) per Knopfdruck in Ihr Posteo-Postfach umziehen.
Ab sofort überträgt der Umzugsservice auch Ihr bisheriges Adressbuch auf Knopfdruck von den meisten großen Anbietern zu Posteo. So können Sie auch Ihre Kontakte ohne Technikkenntnisse komfortabel zu Posteo umziehen.
#more#
Da wir bei Posteo für den Transfer Ihrer sensiblen Daten aus Datenschutzgründen keine Lösungen von Drittanbietern einsetzen, haben wir für jeden aufgelisteten Anbieter eine eigene Lösung für die sichere Übertragung Ihrer Daten entwickelt. Das Besondere: Die sensiblen Daten Ihrer Kontakte (wie z.B. Namen, Adressen und Telefonnummern) werden zu keinem Zeitpunkt über Drittdienstleister geleitet.
Die Daten werden durch Posteo direkt bei Ihrem bisherigen Anbieter abgerufen und über verschlüsselte Verbindungen in Ihr Posteo-Adressbuch übertragen.

Der Posteo-Adressbuchumzug ist für folgende Anbieter verfügbar:

AOL
Gmail
GMX
iCloud
Microsoft-Dienste wie Outlook.com/Hotmail/Office 365
Yahoo!
WEB.DE

Den Umzugsservice finden Sie in den Einstellungen Ihres Posteo-Postfachs, unter “Mein Konto”.
Ob Sie Ihre E-Mail- und Kontaktdaten bei Ihrem bisherigen Anbieter nach dem Umzug endgültig löschen möchten, können Sie selbst entscheiden.
Der Posteo-Umzugsservice ist für Sie kostenfrei. Wir haben ihn nach unserem Grundsatz der maximalen Datensparsamkeit konzipiert. So speichern wir z.B. nicht, von welcher E-Mail-Adresse Sie Daten in Ihr Posteo-Postfach übertragen haben.

Tipp: Nach dem Umzug können Sie alle bei Posteo gespeicherten Daten individuell verschlüsseln. Hierfür stehen Ihnen unsere Adressbuch- und Kalenderverschlüsselung sowie der Posteo-Krypto-Mailspeicher (für Ihre E-Mail-Daten) zur Verfügung. Für beide Funktionen benötigen Sie keine Technikkenntnisse: Die Verschlüsselung erfolgt auf Knopfdruck. Die Verschlüsselungsfunktionen finden Sie in den Einstellungen Ihres Postfachs unter “Verschlüsselung”.

Viele Grüße sendet
Ihr Posteo-Team

Kommentar und Glosse zur Vorratsdatenspeicherung

2015-10-16T11:30:00+02:00

Liebe Kundinnen und Kunden, liebe Interessierte,

Heute ist kein guter Tag für unsere Demokratie: Denn der Bundestag hat die Wiedereinführung der Vorratsdatenspeicherung (VDS) beschlossen. Uns bleibt hierzu nicht mehr viel zu sagen.

Wir hatten bereits im Sommer, in unserem Transparenzbericht 2014, einen mit großer Sorgfalt recherchierten Schwerpunkt zum Thema veröffentlicht. In diesem hatten wir dargelegt, warum die Vorratsdatenspeicherung schon alleine aufgrund der chaotischen Zustände in der Praxis auf keinen Fall wieder eingeführt werden darf.

Mit großen Anstrengungen haben wir in den vergangenen Monaten versucht, darauf aufmerksam zu machen, dass in der Praxis der Auskunftsverfahren massive Sicherheitsprobleme und Kontrolldefizite bestehen. Und wir haben darauf hingewiesen, dass Richter in der Praxis offenbar allen Anträgen auf Überwachung zustimmen. Wir haben die Datenschutzbeauftragten und das BSI informiert. Wir haben den Rechtsausschuss des Bundestages und die zuständigen Minister angeschrieben. Und wir haben persönliche Gespräche mit Politikern geführt. Doch unser Eindruck war: Sachargumente zählen nicht mehr, wenn etwas politisch gewollt ist.

Deshalb haben wir uns dazu entschlossen, heute auch einmal ausnahmsweise die „Sachebene“ zu verlassen – und unseren Koch Achim an dieser Stelle zu Wort kommen zu lassen. Achim hat eine Vorliebe für Satire und hat gestern eine Glosse zum Thema für uns verfasst, um uns vorab schon ein wenig aufzuheitern. Deshalb hier nun für alle, die heute auch etwas zum Schmunzeln brauchen: Achims satirische Menükarte zur Vorratsdatenspeicherung. #more#

Viele Grüße
Ihr Posteo-Team

PS: Für alle, die sich Sorgen um die Privatsphäre Ihrer Posteo-E-Mails machen: Das Gesetz nimmt E-Mailanbieter (wie Posteo) von der Regelung aus. Bei Posteo werden deshalb auch weiterhin keine Daten auf Vorrat gespeichert. Wir sehen uns dennoch als Betroffene der Gesetzeseinführung an, da wir von einem weiteren Anstieg rechtswidriger Ersuchen an uns ausgehen.

Achims satirische Menükarte:

Bundesgasthof

“zum Gläsernen Bürger”

Durch unsere akribische und völlig übertriebene Vorratszutatenspeicherung gehört
“solange der Vorrat reicht” endlich der Vergangenheit an.
Unser Lokal empfängt Sie in demokratiefeindlichem Ambiente bei schummrigem Zwielicht.
Die Gasträume sind in einem angenehm kalten Grau gehalten, mit gelegentlichen Brauntönen.

Unser Tagesverfassungs-Gericht

Da haben wir den

Bundes-Datensalat aus unserem Geheimarchiv,
mit reingelegten Wanzen,
mariniert mit digital naiven Olivenöl

Zwischengang

Schaumgeschlagenes, selbst eingebrocktes Süppchen aus
einer Essenz von Inkompetenz und altbewährter Ignoranz

Hauptgerichte

Hausüberwachter Burger, flankiert von humorlosen Bundeskartoffeln
mit einer penetranten Behördensenfsauce
Dazu servieren wir hartgesottenen Spitzelkohl umhüllt mit einem Mantel aus Schweigen

Alternativ ein

Wendehalsfilet “a la Heiko” aus dem eigenen Sud, nichtssagend abgeschmeckt
mit langsam gemahlenen Pfeffer aus der Justizmühle
Dazu reichen wir Überwachungsbandnudeln

Dessert

Halbeingefrorenes Bankkonto an Zermürbeteiggebäck und Verfassungsbruchstückchen von dunkelster Schokoladensorte

Substanzloser roter Wackelpudding garniert mit einer heiklen Auswahl
an persönlichen Daten

Unsägliches Ende

Argumentativer Käse vom Brett vorm Kopf
Geräucherte Salami vom trojanischen Pferd

Getränkeempfehlung

Wählen Sie aus unserer reichhaltigen Auswahl an kaltgestellten verdächtigen Getränken

Wein

1954er Chatêau Migraîne de Maizière
Weingut Maaßen
Ein Spitzelwein!
Jedoch bitter im Abgang, verströmt zudem ein Bukett von Landesverrat

Für eventuelle Druckfehler gilt der Richtervorbehalt!

Transparenzbericht: Unsere Briefe an die Minister

2015-08-28T12:00:00+02:00

Liebe Posteo-Kunden, liebe Interessierte,

in unserem Transparenzbericht für das Jahr 2014 weisen wir auf gravierende Missstände bei Behördenersuchen hin.
Fast alle Ersuchen, die Ermittlungsbehörden uns übermitteln, sind rechtswidrig. Sie werden meist unsicher übermittelt, häufig wird auch nach Daten gefragt, die Behörden auf Grundlage ihrer Anfrage nicht erhalten dürfen. Und der Richtervorbehalt kommt unserer Ansicht nach seiner ihm zugedachten Kontrollfunktion in der Praxis nicht ausreichend nach: So wurde in Berlin nach dem Jahr 2007 kein einziger Antrag auf Überwachung mehr durch einen Richter abgelehnt. Bei vielen Auskunftsverfahren bestehen keine Statistikpflichten, und unserer Ansicht nach sind auch die Kontrollen der Verfahren mangelhaft.
Hintergrundinformationen und Belege für unsere Kritik finden Sie im Schwerpunkt unseres diesjährigen Transparenzberichtes. #more#

Auf einige der von uns angesprochenen Probleme ist die Bundesregierung in den vergangenen Jahren bereits hingewiesen worden: So hatte der Branchenverband BITKOM bereits im Oktober 2012 gewarnt, dass bei der Bestandsdatenauskunft in “zahllosen” Fällen nach Daten gefragt wird, die bei diesem Verfahren gar nicht herausgegeben werden dürfen.

Die Bundesregierung ist zu diesem Thema inzwischen mehrmals offiziell in parlamentarischen Anfragen befragt worden: Im Januar 2013 durch den SPD-Abgeordneten Burkhard Lischka – und ganz aktuell durch den Grünen-Abgeordneten Dieter Janecek. Das Bundesinnenministerium gab stets die Antwort, dass ihm “keine Anhaltspunkte” für rechtswidrige Ersuchen vorlägen.
Dies erklärte auch die Pressestelle des BMJV nach der Veröffentlichung unseres Transparenzberichtes auf Nachfrage von Journalisten.

Für uns ist diese Haltung aufgrund der bestehenden, gravierenden Mängel und Sicherheitsprobleme unverständlich: Wir möchten, dass sich mit den bestehenden Missständen endlich auseinandergesetzt wird.
Deshalb haben wir die zuständigen Minister nun auch offiziell (schriftlich, per Einschreiben) von den Missständen bei den Auskunftsverfahren in Kenntnis gesetzt – und ihnen unseren Transparenzbericht zugesandt. Um die Schreiben zu lesen, klicken Sie bitte auf das Bild:

Wir werden Sie darüber informieren, wenn Antworten aus den Ministerien eingegangen sind. Wir hoffen, dass wir diesmal mehr als nur einen Einzeiler erhalten: Wir wollen, dass sich etwas ändert.

Viele Grüße
Ihr Posteo-Team

Transparenzbericht: Posteo fordert Stopp der VDS

2015-08-20T14:00:00+02:00

Liebe Posteo-Kunden,

wir möchten, dass Sie wissen, wie häufig Behörden bei Posteo um Kundendaten ersuchen. Deshalb haben wir heute unseren Transparenzbericht für das Jahr 2014 veröffentlicht. In dem Bericht legen wir offen, wie oft Ermittlungsbehörden sich im Jahr 2014 an uns gewandt haben – und wie oft Posteo tatsächlich Daten herausgeben musste. Der Bericht umfasst alle Behördenanfragen, die Posteo im Jahr 2014 erhalten hat. Sie erfahren außerdem, wie häufig diese Ersuchen formal korrekt waren und wie viele der Anfragen rechtswidrig waren. #more#

Da fast alle Behördenersuchen, die Posteo bisher erreicht haben, rechtswidrig waren, widmen wir den Auskunftsverfahren einen Schwerpunkt in unserem diesjährigen Bericht. In diesem üben wir Kritik an den chaotischen Zuständen, die insbesondere bei der Bestandsdatenauskunft nach §113 TKG herrschen. Wir zeigen auf, dass in der Auskunftspraxis gravierende Sicherheitsprobleme bestehen, es regelmäßig zu Rechtsbrüchen kommt und Kontrolldefizite die Situation weiter verschlimmern.

Um unsere Kritik an den Auskunfts- und Überwachungsverfahren zu belegen, haben wir heute zahlreiche Beispiele rechtswidriger Behördenersuchen auf unseren Internetseiten veröffentlicht. Außerdem legen wir unseren Schriftwechsel mit der Bundesdatenschutzbeauftragten, den Landesdatenschutzbeauftragten sowie den Justizministerien der Länder offen.

Sie erhalten so einen Einblick in unsere datenschutzorientierte Arbeit, die bei Posteo ganzjährig stattfindet. Außerdem beschäftigen wir uns in unserem Schwerpunkt mit dem Kontrollinstrument des Richtervorbehaltes, der unserer Auffassung nach seiner zugedachten Aufgabe nicht mehr gerecht wird: In der Praxis werden offenbar alle Anträge auf Überwachungsmaßnahmen bewilligt. Obwohl zur Wirksamkeit des Richtervorbehaltes in der Fläche keine Statistiken geführt werden, haben wir Zahlen gefunden, die dies belegen.

Die Bundesregierung bleibt indes untätig, obwohl sie über einige der Missstände seit Jahren informiert ist und wiederholt dazu befragt wurde, wie wir im ersten Teil unseres Schwerpunktes aufzeigen. Dies belegen wir u.a. mit einer Antwort aus dem Bundesinnenministerium, die am Mittwoch (19.08.) veröffentlicht wurde.

Den vollständigen Transparenzbericht finden Sie ab sofort auf der Posteo-Webseite

Wir fordern Bundesjustizminister Heiko Maas hiermit dazu auf, den Gesetzentwurf zur Wiedereinführung der Vorratsdatenspeicherung zu stoppen. Wenn Überwachungsmöglichkeiten in Deutschland immer weiter ausgebaut werden, während die in unserem Transparenzbericht aufgezeigten Mängel fortbestehen und offenbar jeder Antrag auf Überwachung bewilligt wird, ist dies eine Entwicklung, die der Demokratie nicht zuträglich sein kann.

Hinweis: Der Gesetzentwurf der Bundesregierung zur geplanten Wiedereinführung der Vorratsdatenspeicherung ("Gesetz zur Einführung einer Speicherpflicht und einer Höchstspeicherfrist für Verkehrsdaten ") sieht aktuell vor, dass der gesamte E-Mail-Bereich von der Speicherung ausgenommen werden soll. Das bedeutet: Posteo gehört nicht zum Kreis der Verpflichteten. Wir gehen aber davon aus, dass die Einführung des Gesetzes die Anzahl rechtswidriger Bestandsdatenersuchen an uns noch einmal erhöhen würde.

Wenn Sie unsere Arbeit unterstützen möchten, freuen wir uns darüber, wenn Sie unseren Transparenzbericht und die darin enthaltenen Infromationen weiter verbreiten und bei den verantwortlichen Stellen nachfragen. Im vergangenen Mai hat Posteo als erster deutscher Telekommunikationsanbieter einen Transparenzbericht veröffentlicht. Mit unserem Vorstoß haben wir erreicht, dass inzwischen auch andere deutsche Anbieter Transparenzberichte veröffentlichen – unter ihnen auch die Deutsche Telekom. Mit unserem diesjährigen Transparenzbericht möchten wir dazu beitragen, dass bestehende Missstände und Rechtswirklichkeiten bekannter werden und über sie debattiert werden kann. Wir wollen, dass sich etwas ändert: Die Missstände müssen beseitigt und die demokratische Kontrolle staatlicher Auskunftsverfahren in Deutschland muss gestärkt werden.

Viele Grüße
Ihr Posteo-Team

Posteo Lab: Fairphone 2-Vorstellung in Deutschland

2015-07-09T12:30:00+02:00

Liebe Posteo-Kunden,

wir möchten alle Fairphone-Besitzer und Interessierte unter Ihnen auf eine besondere Veranstaltung aufmerksam machen:

Am 17.07. wird im Berliner Posteo Lab zum ersten Mal das neue Fairphone 2 in Deutschland präsentiert.

Miquel Ballester, Mitgründer von Fairphone, wird exklusive Einblicke in die Entwicklung des neuen Fairphone 2 geben. Er verantwortet das Produktmanagement bei Fairphone und möchte die Gelegenheit nutzen, mit der Berliner Fairphone Community die nächsten Schritte zu einem noch faireren Smartphone zu gehen. Miquel Ballaster wird dazu einen Protoypen des Fairphone 2 mit all seinen Einzelteilen “Hands-On” vorstellen und zeigen, wie einfach es reparierbar sein wird. Besucher haben die Möglichkeit, in Kontakt zu treten, Fragen zu stellen und das Fairphone 2 zu erleben. #more#

Ort:
Posteo Lab
Methfesselstrasse 36
10965 Berlin-Kreuzberg

Datum:
17. Juli 2015

Agenda:

17:00 – 17:15 Uhr
Treffen im Posteo Lab

17:15 Uhr
Vorstellung des Fairphone 2 durch Miquel Ballester, Co-Founder und verantwortlich für das Produktmanagement bei Fairphone.

18:15 – 19:00 Uhr
Get-together mit Bio-Drinks und Snacks

(Die Veranstaltung findet in englischer Sprache statt.)

Über Fairphone – und warum uns das Konzept von Fairphone gefällt:

Das Unternehmen Fairphone ist aus einer NGO-Kampagne hervorgegangen, die sich seit 2010 kritisch mit den Herstellungsbedingungen von Mobiltelefonen auseinandersetzt. Neben den Arbeitsbedingungen in den Fertigungsbetrieben sowie Umweltaspekten wurde auch betrachtet, woher die Rohstoffe für die Mobiltelefone stammen. Durch die Herstellung eines faireren Smartphones möchte das Unternehmen Impulse für ein besseres Wirtschaften in der Branche geben, Missstände aufdecken und Lösungswege aufzeigen. Das Fairphone soll möglichst sozial- und umweltverträglich produziert werden – auch wenn viele der benötigten Materialien derzeit noch nicht aus konfliktfreien Quellen bezogen werden können. Posteo wurde aus einer ähnlichen Motivation gegründet: Als wir 2009 vergeblich nach einem E-Mailanbieter suchten, der verantwortungsbewusst mit unseren Daten umgeht und Wert auf Nachhaltigkeit legt, haben wir uns gegen den Verzicht entschieden. Stattdessen haben wir einen eigenen E-Mailanbieter gegründet, der unseren hohen Ansprüchen im Bezug auf Sicherheit, Datenschutz und Nachhaltigkeit gerecht werden sollte: Posteo. Wie Fairphone wird auch Posteo über die Beiträge der Kunden finanziert, um unabhängig arbeiten zu können. Und auch wir wissen um die Probleme, wenn es um Green IT und möglichst nachhaltiges Wirtschaften im IT-Bereich geht. Fortschritte können nur durch beständiges Engagement erreicht werden.

Wir schätzen das Engagement von Fairphone und freuen uns auf das Fairphone 2, das in diesem Jahr auf den Markt kommen wird.

Viele Grüße
Ihr Posteo-Team

Transparenzhinweis: Wir stellen Fairphone das Posteo Lab kostenfrei zur Verfügung. Posteo erhält auch sonst keine finanziellen Mittel von Fairphone.

Krypto-Mailspeicher für alle Kunden verfügbar

2015-05-29T14:00:00+02:00

Liebe Posteo-Kunden,

die Einführung des neuen Krypto-Mailspeichers ist abgeschlossen: Alle Posteo-Kunden können ihre bei uns gespeicherten E-Mail-Daten nun auf Knopfdruck individuell verschlüsseln. Wir stellen Ihnen die neue Verschlüsselungsfunktion ohne Aufpreis zur Verfügung.

Spezielle Technikkenntnisse benötigen Sie nicht: Die Verschlüsselung lässt sich auf Knopfdruck aktivieren und erfolgt ohne Ihr Zutun im Hintergrund.
Sie finden die neue Verschlüsselungsoption in den Einstellungen Ihres Postfachs unter “Verschlüsselung” > “Posteo-Krypto-Mailspeicher”.
Schritt-für-Schritt-Anleitungen finden Sie in der Posteo-Hilfe. Wenn Sie weitere Fragen haben, steht Ihnen unser Support-Team kostenfrei per E-Mail zur Verfügung. #more#

Aktivieren Sie den Krypto-Mailspeicher, werden sämtliche bei Posteo gespeicherten E-Mail-Daten auf Knopfdruck individuell verschlüsselt – mit Hilfe Ihres Passwortes.
Die Verschlüsselung umfasst sowohl die Inhalte und Anhänge aller bei Posteo gespeicherten E-Mails als auch die dazugehörigen Metadaten (wie z.B. die Betreffzeile oder der E-Mail-Header).
Neben Ihrem bisherigen E-Mailarchiv werden auch alle neu hinzukommenden E-Mails verschlüsselt.
Die verschlüsselten Daten in Ihrem Krypto-Mailspeicher sind auch für uns nicht mehr lesbar. Posteo kann die Verschlüsselung auch nicht deaktivieren; dies können nur Sie selbst tun.
Wie die Daten konkret verschlüsselt werden und wo die technischen Daten der Verschlüsselung einsehbar sind, erfahren Interessierte auf unserer Infoseite Verschlüsselung.

Passwort muss sehr gut aufbewahrt werden

Wenn Sie Ihren Krypto-Mailspeicher aktivieren, müssen Sie Ihr Passwort sehr gut aufbewahren. Das Passwort ist der Schlüssel zu Ihren Daten. Vergessen Sie bei aktiviertem Krypto-Mailspeicher Ihr Passwort, haben Sie keinen Zugriff mehr auf Ihr Postfach. Und auch die Passwort-Reset-Funktion steht Ihnen nicht mehr zur Verfügung, da Ihre Daten mit Hilfe des vergessenen Passwortes verschlüsselt wurden. Bitte wägen Sie deshalb vor der Aktivierung ab, ob Sie die passwortbasierte Verschlüsselungsfunktion nutzen möchten.

Kombinierbar mit allen weiteren Verschlüsselungsoptionen

Der Posteo-Krypto-Mailspeicher ist eine zusätzliche Verschlüsselungsschicht in unserem Sicherheitskonzept, mit der Sie Ihre bei uns gespeicherten Daten schützen können. Er lässt sich mit allen weiteren Posteo-Verschlüsselungsfunktionen, z.B. mit der Eingangs-Verschlüsselung, problemlos kombinieren.
Bitte beachten Sie, dass jede Verschlüsselungsschicht unterschiedliche Schutzzwecke erfüllt: Der Krypto-Mailspeicher schützt Ihre gespeicherten E-Mail-Daten und die dazugehörigen Metadaten. Kombinieren Sie ihn mit Ende-zu-Ende-Verschlüsselungsverfahren, die Ihre E-Mails auch während eines Kommunikationsvorgangs schützen (beim Senden und Empfangen von E-Mails durch das Internet), erhöhen Sie das Schutzniveau Ihrer Kommunikation noch einmal.

Ihre häufigsten Fragen zum Krypto-Mailspeicher

Nach unserem ersten Blogbeitrag zum Krypto-Mailspeicher haben uns zahlreiche Fragen von Ihnen erreicht. Auf die häufigsten möchten wir an dieser Stelle noch einmal eingehen.

- Ihr Postfach lässt sich im Webmailer wie gewohnt weiter bedienen, lediglich die Suche kann etwas länger dauern.
- Sie können Ihre E-Mails weiterhin wie gewohnt über IMAP und POP3 abrufen.
- Sie können Ihre E-Mails auch weiterhin in lokalen Programmen verwalten.
- Sie können Ihre E-Mails wie gewohnt mit Ihrem Smartphone, Ihrem Tablet oder auf anderen Geräten abrufen.
- Der Posteo-Krypto-Mailspeicher verschlüsselt alle auf unseren Servern gespeicherten E-Mail-Daten. Werden durch Ihr Programm lokale, ungesicherte Kopien Ihrer E-Mail-Daten erstellt, empfehlen
wir Ihnen, auch alle hierfür verwendeten Geräte abzusichern oder das Erstellen lokaler Kopien zu deaktivieren.
- Rechtliches: Wir haben durch unsere Anwälte vorab die rechtliche Lage prüfen lassen. In Deutschland können E-Mailanbieter nicht dazu gezwungen werden, Verschlüsselung zu “brechen”. Unseren Krypto-Mailspeicher haben wir technisch so realisiert, dass die durch unsere Kunden veranlasste Verschlüsselung aller gespeicherten E-Mail-Daten durch Posteo nicht wieder entfernt werden kann.
- Da eingehende E-Mails erst verschlüsselt werden, wenn sie unsere Server erreichen, schützt der Krypto-Mailspeicher nicht vor einer richterlich angeordneten Überwachung (TKÜ) eines Postfachs.
– Wir haben unser Verschlüsselungs-Plugin einem externen, mehrstufigen Sicherheits-Audit (durch Cure53) unterziehen lassen. Aus Transparenzgründen ist der Code der Verschlüsselung außerdem öffentlich einsehbar. Dies entspricht unserer Open-Source-Strategie und ist in der Post-Snowden-Zeit als vertrauensbildende Maßnahme unerlässlich.
- Wir empfehlen Ihnen, Ihr Postfach zusätzlich mit der Zwei-Faktor-Authentifizierung weiter abzusichern, um Ihr Schutzniveau weiter zu erhöhen.

Viele Grüße sendet
Ihr Posteo-Team

Posteo-Kunden sicher vor "Logjam"-Angriff

2015-05-22T15:15:00+02:00

Liebe Posteo-Kunden,

seit zwei Tagen wird in den Medien über die so genannte “Logjam”-Sicherheitslücke berichtet. Sie wurde von US-Wissenschaftlern entdeckt und kann Angreifern Zugang zu einzelnen verschlüsselten Verbindungen verschaffen, die zum Beispiel für den sicheren Zugriff auf Webseiten, für den E-Mail-Verkehr oder beim Online-Banking genutzt werden.

Wir möchten Sie hiermit darüber informieren, dass Sie beim Zugriff auf Posteo von “Logjam” nicht betroffen sind. Unser Team beobachtet Entwicklungen im Kryptographie- und Sicherheitsbereich sehr genau und wir setzen stets die neuesten Verschlüsselungstechnologien ein. Das bedeutet: Wenn Sie mit Ihrem Browser oder Ihrem lokalen Programm auf Posteo zugreifen, sind Sie durch “Logjam” nicht gefährdet, weil wir diese Angriffsfläche nicht bieten. #more#

Bitte beachten Sie bei Ihrer E-Mail-Kommunikation zu anderen Anbietern, dass derzeit noch nicht alle ihre Systeme gegen “Logjam” abgesichert haben.

Unabhängige Server-Testseiten haben ihre Tests inzwischen um den “Logjam”-Angriff erweitert. Dass Posteo von “Logjam” nicht betroffen ist, können Sie also auch auf unabhängigen Seiten nachprüfen: Auf der Testseite von Qualys erreichen wir z.B. für den Webzugriff weiterhin die Bestnote A +. Eine Angreifbarkeit führt zur Abwertung.

Unabhängig von Posteo können Ihr Browser sowie Ihre lokalen Programme beim Aufruf anderer Dienste und Webseiten jedoch angreifbar sein.
Beobachten Sie in den kommenden Tagen deshalb bitte aufmerksam, ob für Ihre verwendeten Browser (z.B. für Firefox, Safari oder Chrome) oder für Ihre Programme Updates angeboten werden. Installieren Sie diese wichtigen Updates, um die Sicherheit Ihrer Online-Aktivitäten diesbezüglich zu erhöhen. Für die Sicherheit beim Zugriff auf Posteo sind keine Updates auf Ihrer Seite notwendig.

Viele Grüße
Ihr Posteo-Team

Neuer Posteo-Umzugsservice

2015-05-20T17:15:00+02:00

Liebe Posteo-Kunden, liebe Interessierte,

der Umzug Ihrer bisherigen E-Mail-Postfächer zu Posteo wird einfacher: Seit heute steht Ihnen der neue Posteo-Umzugsservice zur Verfügung, mit dem Sie bisherige Postfächer (inkl. der Ordnerstrukturen) in Ihr Posteo-Postfach übertragen können.

Viele von Ihnen hatten sich gewünscht, E-Mail-Ordner-Strukturen auch ohne besondere Technikkenntnisse zu Posteo umziehen zu können.
Da wir bei Posteo für den Transfer Ihrer sensiblen E-Mail-Daten aus Datenschutzgründen aber keine Lösungen von Drittanbietern einsetzen oder empfehlen wollen, haben wir für Sie eine eigene Lösung für den sicheren und komfortablen Umzug zu Posteo entwickelt. #more#

Den neuen Umzugsservice finden Sie ab sofort in den Einstellungen Ihres Posteo-Postfachs, unter “Mein Konto”.

Sie können nun bis zu drei externe E-Mailpostfächer vollständig zu Posteo kopieren.
Spezielle Technikkenntnisse benötigen Sie nicht: Wenn Sie in den Einstellungen Ihres Posteo-Postfachs einen neuen Umzugsservice anlegen, zeigt er Ihnen alle Ordner Ihres bisherigen Postfachs an. Sie entscheiden komfortabel per Mausklick, welche Ordner Sie zu Posteo kopieren möchten. Unser Umzugsservice überträgt daraufhin alle ausgewählten Ordner in Ihr Posteo-Postfach.

Ob Sie die E-Mails bei Ihrem bisherigen Anbieter nach dem Umzug endgültig löschen möchten, können Sie selbst entscheiden. Der Posteo-Umzugsservice ist für Sie kostenfrei – und Sie behalten die Kontrolle über Ihre Daten:
Ihre E-Mails werden zu keinem Zeitpunkt über Drittdienstleister geleitet.
Die ausgewählten Ordner werden durch Posteo bei Ihrem bisherigen Anbieter abgerufen und über verschlüsselte Verbindungen direkt in Ihr Posteo-Postfach übertragen.

Den Posteo-Umzugsservice haben wir nach unserem Grundsatz der maximalen Datensparsamkeit konzipiert. So speichern wir z.B. nicht, von welcher E-Mail-Adresse Daten in Ihr Posteo-Postfach übertragen wurden.

Viele Grüße sendet
Ihr Posteo-Team

Neu: Posteo führt Krypto-Mailspeicher ein

2015-04-09T12:30:00+02:00

Liebe Posteo-Kunden,

es gibt Neuigkeiten. Wir führen seit heute eine neue Verschlüsselungsoption für Sie ein: Den Posteo-Krypto-Mailspeicher. Einigen Kunden steht die neue Funktion bereits seit dem Morgen zur Verfügung. In den kommenden Wochen werden wir den Krypto-Mailspeicher schrittweise für alle Postfächer freischalten. Die neue, passwortbasierte Verschlüsselung erhöht die Sicherheit der bei Posteo gespeicherten E-Mail-Daten noch einmal deutlich: Mit dem Krypto-Mailspeicher können Sie sämtliche E-Mail-Daten auf Knopfdruck individuell verschlüsseln. Die Verschlüsselung ist vollumfänglich. Sie umfasst sowohl die Inhalte und Anhänge aller bei Posteo gespeicherten E-Mails als auch die dazugehörigen Metadaten (wie z.B. die Betreffzeile oder der E-Mail-Header). Neben Ihrem bisherigen E-Mailarchiv werden auch alle neu hinzukommenden E-Mails verschlüsselt.

Wir stellen Ihnen die neue Verschlüsselungsfunktion ohne Aufpreis zur Verfügung. Es ist uns wichtig, dass alle Posteo-Kunden ein Höchstmaß an Sicherheit erhalten. Spezielle Technikkenntnisse benötigen Sie ebenfalls nicht: Sie können die Verschlüsselung auf Knopfdruck aktivieren. Sie erfolgt ohne Ihr Zutun im Hintergrund. #more#

Die Daten in Ihrem Krypto-Mailspeicher sind auch für uns nicht mehr lesbar. Wir können die Verschlüsselung nicht deaktivieren; dies können nur Sie selbst tun. Ob die neue Verschlüsselungsoption für Ihr Postfach bereits freigeschaltet wurde, sehen Sie in den Einstellungen unter “Verschlüsselung” > “Posteo-Krypto-Mailspeicher”. Sollte dies noch nicht der Fall sein, bitten wir Sie um Geduld: Der Krypto-Mailspeicher wird allen Kunden im Laufe der nächsten Wochen zur Verfügung gestellt.

Verschlüsselung mit Hilfe Ihres Passwortes:
Sobald Sie Ihren Krypto-Mailspeicher in den Einstellungen aktivieren, erzeugt Posteo ein individuelles Schlüsselpaar für Sie. Mit diesem verschlüsseln wir alle E-Mail-Daten (Inhalte, Anhänge und Metadaten), die sich in Ihrem Postfach befinden. Dies geschieht mit dem Teil des Schlüsselpaares, der für das “Verschlüsseln” zuständig ist. Jede E-Mail wird einzeln verschlüsselt. Der Schlüssel, der eine E-Mail wieder “lesbar” machen kann, liegt durch Ihr persönliches Passwort geschützt in der Posteo-Datenbank. Somit können nur Sie auf Ihren verschlüsselten E-Mailspeicher zugreifen. An den Arbeitsabläufen im Postfach ändert sich nichts: Klicken Sie bei aktiviertem Krypto-Mailspeicher auf eine E-Mail, wird diese im Hintergrund für Sie lesbar gemacht – und zwar nur für den Moment des Zugriffs. Sie verwalten Ihre E-Mails so komfortabel und einfach wie bisher.

Passwort muss sehr gut aufbewahrt werden
Wenn Sie Ihren Krypto-Mailspeicher aktivieren, müssen Sie Ihr Passwort sehr gut aufbewahren. Das Passwort ist der Schlüssel zu Ihren Daten.Vergessen Sie bei aktiviertem Krypto-Mailspeicher Ihr Passwort, haben Sie keinen Zugriff mehr auf Ihren verschlüsselten E-Mailspeicher.
Die Passwort-Reset-Funktion steht Ihnen nicht mehr zur Verfügung, da Ihre Daten mit Hilfe des vergessenen Passwortes verschlüsselt wurden. Und auch der Posteo-Support kann Ihr Passwort nicht mehr zurücksetzen oder die Verschlüsselung deaktivieren.

Der Krypto-Mailspeicher ist ein durch uns entwickeltes Plugin für den Open-Source-Mailserver Dovecot. Die asymmetrische Verschlüsselung erfolgt mit Hilfe von RSA, die symmetrische Verschlüsselung sowie die Authentifizierung wurden mit AES und HMAC realisiert. Das Hashen erfolgt mit Bcrypt.
Mehr Informationen zu der neuen Funktion finden Sie auf unserer Infoseite Verschlüsselung.

Umfassende Tests und externes Sicherheits-Audit
Ihre persönlichen E-Mail-Daten sind ein sensibles, schützenswertes Gut. Deshalb sind dem Freischalten des Krypto-Mailspeichers umfangreiche Tests vorausgegangen. Wir haben unser Verschlüsselungs-Plugin aber nicht nur intern umfassend getestet: Die Funktion wurde auch einem externen, mehrstufigen Sicherheits-Audit (durch Cure53) unterzogen.

Transparenter Code und rechtliche Prüfung
Außerdem haben wir vorab die rechtliche Lage klären lassen. Das Ergebnis: In Deutschland können E-Mailanbieter nicht dazu gezwungen werden, Verschlüsselung zu “brechen”. Unseren Krypto-Mailspeicher haben wir technisch so realisiert, dass die durch unsere Kunden veranlasste Verschlüsselung aller E-Mail-Daten durch Posteo nicht wieder entfernt werden kann. Aus Transparenzgründen ist der Code der Verschlüsselung außerdem öffentlich einsehbar. Dies entspricht unserer Open-Source-Strategie und ist in der Post-Snowden-Zeit als vertrauensbildende Maßnahme unerlässlich.

Kombinierbar mit allen weiteren Verschlüsselungsoptionen
Der Posteo-Krypto-Mailspeicher lässt sich mit allen Posteo-Verschlüsselungsfunktionen problemlos kombinieren.
So können Sie auch alle Adressbuch- und Kalenderdaten auf Knopfdruck verschlüsseln. Und auch die Posteo-Eingangsverschlüsselung, die alle neu eingehenden E-Mails mit OpenPGP oder S/MIME verschlüsselt, kann problemlos mit dem Krypto-Mailspeicher kombiniert werden.

Wenn Sie die Eingangsverschlüsselung bereits nutzen, empfehlen wir Ihnen, zusätzlich auch den Krypto-Mailspeicher zu aktivieren: Denn der Krypto-Mailspeicher verschlüsselt nicht nur neu hinzukommende E-Mails, sondern sämtliche E-Mails in allen Postfach-Ordnern sowie auch die dazugehörigen Metadaten.

Auch wenn Sie bereits Ende-zu-Ende-Verschlüsselungsverfahren nutzen, profitieren Sie vom Krypto-Mailspeicher: Denn bei Ende-zu-Ende-Verfahren wie OpenPGP werden in der Regel nur die Inhalte einzelner E-Mails verschlüsselt, nicht aber alle gespeicherten E-Mails oder die dazugehörigen Metadaten. Unser passwortbasierter Krypto-Mailspeicher ist eine vollumfängliche Verschlüsselung, die das Sicherheitsniveau bei Posteo noch einmal deutlich erhöht.

Für ein Höchstmaß an Sicherheit empfehlen wir, den Zugriff auf Ihren Krypto-Mailspeicher zusätzlich mit der Posteo-Zwei-Faktor-Authentifizierung abzusichern. Dann wird für das Login nicht mehr nur Ihr reguläres Passwort, sondern auch ein aktuelles Einmal-Passwort benötigt. So lässt sich das Sicherheitsniveau noch einmal erhöhen. Wenn Sie Posteo nicht nur im Webmailer, sondern auch mit anderen Geräten und Programmen verwenden, ändert sich mit dem Aktivieren des Krypto-Mailspeichers nichts: Sie verwalten Ihre E-Mails so komfortabel und einfach wie bisher. Erstellen Sie lokale, ungesicherte Kopien Ihrer E-Mail-Daten, empfehlen wir Ihnen aber, auch alle hierfür verwendeten Geräte abzusichern.
Wir stellen auf unseren Internetseiten zahlreiche Informationen und Hilfeanleitungen zum Posteo-Krypto-Mailspeicher und zu den weiteren Verschlüsselungsoptionen für Sie bereit.

Viele Grüße
Ihr Posteo-Team

Neues Webmail-Design "Gentle Grey" verfügbar

2015-04-07T14:30:00+02:00

Liebe Posteo-Nutzer,

es gibt Neuigkeiten: Seit heute ist das neue “Gentle Grey”-Design unseres Webmailers verfügbar.
Das Design ist eine farbreduzierte Variante unseres neuen Standard-Designs. Für alle, die bei der Arbeit im Webmailer eine dezentere Farbgebung bevorzugen.

Sie haben ab sofort die Möglichkeit, das neue “Gentle Grey”-Design in den Einstellungen Ihres Postfachs unter “Einstellungen” → “Benutzeroberfläche” → “Oberflächendesign” zu aktivieren. Wenn Sie das Design nutzen möchten, wählen Sie dort bitte “Gentle Grey” aus und bestätigen die Design-Umstellung mit “Speichern”.

Wir werden bald weitere Varianten des Webmailer-Designs zur Verfügung stellen.

Viele Grüße
Ihr Posteo-Team

Posteo Lab: Erstes deutsches Fairphone-Meetup

2015-03-13T13:00:00+01:00

Liebe Posteo-Kunden,

wir möchten alle Fairphone-Besitzer unter Ihnen auf eine Veranstaltung aufmerksam machen:
Am 18.03. ist Fairphone ab 16 Uhr im Posteo Lab zu Gast – mit einem ganz besonderen Vorhaben. Das Fairphone-Team lädt seine Unterstützer zum ersten deutschen “Fairphone-Meetup” ein und wird einen Kampagnen-Film in unseren Räumen drehen. Im Film sollen Menschen zu Wort kommen, die mit ihrer Unterstützung die Produktion des ersten fairer hergestellten Smartphones ermöglicht haben.

Das Fairphone-Team wird um 16 Uhr mit dem Filmen beginnen. Fairphone-Unterstützer können ab 16 Uhr jederzeit vorbeischauen. Gefilmt wird individuell – und die Aufnahmen dauern pro Person nicht mehr als 10-20 Minuten. Nach dem Filmdreh ist ab 18 Uhr ein “Community-Meetup” geplant: Wer nicht vor die Kamera möchte, ist deshalb herzlich dazu eingeladen, im Laufe des Abends auf ein paar Drinks vorbeizuschauen und Menschen aus dem Fairphone-Team sowie andere Community-Mitglieder kennenzulernen und sich auszutauschen. #more#

Über Fairphone – und warum uns das Konzept von Fairphone gefällt:

Das Unternehmen Fairphone ist aus einer NGO-Kampagne hervorgegangen, die sich seit 2010 kritisch mit den Herstellungsbedingungen von Mobiltelefonen auseinandersetzt. Neben den Arbeitsbedingungen in den Fertigungsbetrieben sowie Umweltaspekten wurde auch betrachtet, woher die Rohstoffe für die Mobiltelefone stammen: Denn häufig werden zur Herstellung benötigte Metalle (wie Coltan oder Zinn) in Minen abgebaut, die von Warlords kontrolliert werden – und der Erlös aus den Metallen wird zur Finanzierung von Bürgerkriegen eingesetzt. Anfang 2013 ist aus dieser Kampagne das Unternehmen Fairphone hervorgegangen. Die erste Version des Fairphones wurde inzwischen mehr als 60.000 Mal verkauft. Durch die Herstellung eines faireren Smartphones möchte das Unternehmen Impulse für ein besseres Wirtschaften in der Branche geben, Missstände aufdecken und Lösungswege aufzeigen. Das Fairphone soll möglichst sozial- und umweltverträglich produziert werden – auch wenn viele der benötigten Materialien derzeit noch nicht aus konfliktfreien Quellen bezogen werden können. Posteo wurde aus einer ähnlichen Motivation gegründet: Als wir 2009 vergeblich nach einem E-Mailanbieter suchten, der verantwortungsbewusst mit unseren Daten umgeht und Wert auf Nachhaltigkeit legt, haben wir uns gegen den Verzicht entschieden. Stattdessen haben wir einen eigenen E-Mailanbieter gegründet, der unseren hohen Ansprüchen im Bezug auf Sicherheit, Datenschutz und Nachhaltigkeit gerecht werden sollte: Posteo. Wie Fairphone wird auch Posteo über die Beiträge der Kunden finanziert, um unabhängig arbeiten zu können. Und auch wir wissen um die Probleme, wenn es um Green IT und möglichst nachhaltiges Wirtschaften im IT-Bereich geht: Es ist nach wie vor schwierig. Fortschritte können nur durch beständiges Engagement erreicht werden.

Wir schätzen das Engagement von Fairphone und freuen uns auf den Erfolg mit dem Nachfolgemodell, das in diesem Jahr auf den Markt kommen wird. In unserem Berliner “Posteo Lab” stellen wir das inzwischen ausverkaufte erste Modell des Fairphones weiterhin aus. Alle, die mit dem Gedanken spielen, ein Fairphone der neuen Generation vorzubestellen, können sich so ein erstes Bild vom “Fairphone” machen und es bei uns vor Ort ausprobieren.

Viele Grüße
Ihr Posteo-Team

Transparenzhinweis: Wir stellen Fairphone das Posteo Lab kostenfrei zur Verfügung. Posteo erhält auch sonst keine finanziellen Mittel von Fairphone.

Auf bundestag.de: Posteo zu Datenschutzthemen

2015-03-11T16:30:00+01:00

Liebe Posteo-Kunden,

seit heute können Sie eine Stellungnahme von Posteo zum Thema “Datenschutz in der digitalen Welt” auf bundestag.de einsehen:
Der Leiter unserer Öffentlichkeitsarbeit, Dean Ceulic, war in der vergangenen Woche als Sachverständiger im Ausschuss Digitale Agenda des deutschen Bundestages zu Gast. Das Thema des Fachgespräches war: „Startups, Mittelstand und der Datenschutz in der digitalen Welt“. Wir wurden außerdem gebeten, einen Fragenkatalog schriftlich zu beantworten, auf den sich die Fraktionen im Vorfeld der Anhörung verständigt hatten. Seit heute ist unsere Stellungnahme auf der Internetseite des Bundestages abrufbar.

Weitere Dokumente:
Das Fachgespräch selbst steht auch als Video auf bundestag.de zur Verfügung.
Auf netzpolitik.org ist ein Artikel zum Thema verfügbar. #more#

Unsere wichtigsten Punkte im Überblick:

Zu den deutschen und europäischen Datenschutzstandards:

Wir haben betont, dass die hohen deutschen und europäischen Datenschutzregelungen der Wirtschaft nicht im Wege stehen. Im Gegenteil: Europäische Unternehmen haben die Chance, die strengeren Regelungen zum Datenschutz für sich zu nutzen und sich mit anspruchsvollen Datenschutzkonzepten von Mitbewerbern, zum Beispiel aus dem US-amerikanischen Raum, abzusetzen. Hohe Datenschutzstandards sind kein Innovationshemmnis und stellen sogar einen Wettbewerbsvorteil für europäische Unternehmen dar. Diese Ansicht vertrat die überwiegende Mehrheit der zum Fachgespräch geladenen Sachverständigen.

Die Pläne der Bundesregierung, das hohe deutsche und europäische Datenschutzniveau nun dennoch aufzuweichen, kritisierten wir:

“Die hohen deutschen Datenschutzstandards sind zu einem relevanten Standortfaktor geworden, der nicht leichtfertig aufgegeben werden darf. Gerade Datensparsamkeit und die Zweckbindung beim Verwenden von Daten stärken das Vertrauen der Verbraucherinnen und Verbraucher in deutsche Unternehmen und helfen, das Grundrecht auf informationelle Selbstbestimmung der Bürgerinnen und Bürger zu stärken.”

Zudem haben wir gefordert, gesetzlich zu regeln, dass personenbezogene Daten nur dann verarbeitet werden dürfen, wenn ein Gesetz es erlaubt und wenn der Betroffene eingewilligt hat.

Zur Vorratsdatenspeicherung haben wir erklärt:

“Gerade die sensiblen Verkehrsdaten wie z.B. IP-Adressen,(..), stehen in Deutschland unter einem besonderen Schutz. Verbindungs- und Verkehrsdaten (wie IP-Adressen) müssen auch auf europäischer Ebene unter einem besonderen Schutz stehen, da ihre Auswertung das Erstellen weitgehender Persönlichkeitsprofile erlaubt. Insbesondere das Speichern von Verkehrsdaten auf Vorrat ist abzulehnen, da dies nach Auffassung mehrerer höchster Gerichte die Grundrechte der Bürgerinnen und Bürger unverhältnismäßig hoch beeinträchigt.”

Zu Datensparsamkeit und Zweckbindung:

Die Bundesregierung erwägt, vom Grundsatz der Datensparsamkeit und der Zweckbindung beim Verwenden von Daten künftig abzusehen.
Wir haben uns für das Beibehalten dieser beiden grundlegenden Datenschutzprinzipien eingesetzt und erklärt:
“Datensparsamkeit und die Zweckbindung beim Verwenden von Daten sichern nicht nur das Grundrecht der Bürgerinnen und Bürger auf informationelle Selbstbestimmung. Beide Faktoren geben auch Unternehmen klare Handlungsanweisungen und minimieren Unsicherheiten, wie sie Daten erheben und verarbeiten dürfen – insbesondere auch untereinander.”

Zum Verhältnis zwischen Grundrechten und sicherheitspolitischen Interessen:

Wir haben betont, dass kein Zielkonflikt zwischen sicherheitspolitischen Interessen und einem effektiven Schutz der Privatsphäre der Bürgerinnen und Bürger besteht. In einem Rechtsstaat sollten vielmehr beide Pole in einem ausgewogenen Verhältnis zueinander stehen:

“Um die Demokratie in der digitalen Welt wieder zu stärken, ist es unerlässlich, ein ausgewogeneres Verhältnis zwischen beiden Polen wieder herzustellen. Internationalen, flächendeckenden Überwachungstätigkeiten von Geheimdiensten lässt sich nur mit Maßnahmen zur Verschlüsselung, zur Datensparsamkeit und zur Anonymisierung begegnen. Dies ist im Interesse der Bürgerinnen und Bürger – und auch im Interesse von Unternehmen und Behörden.”

Viele freundliche Grüsse
Das Posteo-Team

Classic Bridge: Konzert im Posteo Lab

2015-02-06T18:15:00+01:00

Liebe Posteo Kunden,
liebe Interessierte,

seit dem 02. Februar ist das Posteo Lab auf dem Berliner Kreuzberg täglich für Sie geöffnet. Im Posteo Lab können Sie aber nicht nur Posteo ausprobieren, Verschlüsselungs-Trainings absolvieren, Postfächer eröffnen oder Guthaben aufladen.

Das Lab ist auch ein Begegnungs- und Veranstaltungsort. Ende Februar startet nun eine erste, kleine Konzertreihe: Die Classic Bridge. #more#

Am 26.02. laden Posteo und Sphinx ET gemeinsam zu einem Klavier- und Celloabend in unseren Kuppelsaal ein, der sich zwischen Klassik und Moderne sowie zwischen verschiedenen Stilrichtungen bewegen wird. Durch den Abend führen die beiden Musiker Beatrix Becker (Klavier, Bassklarinette & Komposition) & Sébastian Rateau (Violoncello). Beatrix Becker erzählt gemeinsam mit ihrem musikalischen Partner fließende Klaviergeschichten. Sie lädt mit Eigenkompositionen im Spannungsfeld von Klassik, Tango, Flamenco, Jazzminiatur und epischer Musik zur Mitfahrt auf eine musikalische Reise ein. Inspirieren lässt sich die Berlinerin von großen Komponisten – und nicht zuletzt von Orten, Natureindrücken und Begegnungen.

Die Veranstaltung im Überblick:

Classic Bridge: Klavier- und Celloabend mit Beatrix Becker und Sébastian Rateau
im Posteo Lab, Methfesselstrasse 38, Berlin-Kreuzberg.

Datum: 26. Februar 2015
Beginn: 19 Uhr, Einlass 18:30 Uhr
Eintritt: 10 EUR im VVK/ 15 EUR Abendkasse
Veranstalter: Posteo und Sphinx ET

Wenn Sie Karten im Vorverkauf erwerben möchten, können Sie dies ab dem 10.02. entweder direkt im Posteo Lab tun (Öffnungszeiten Mo-Fr zwischen 15 und 18 Uhr) oder eine E-Mail an info@sphinxet.de senden.

Viele liebe Grüsse
Das Posteo-Team

Update: Stiftung Warentest korrigiert Test-Artikel

2015-02-04T15:15:00+01:00

Liebe Posteo-Kunden,

Im aktuellen Heft der Stiftung Warentest werden E-Mailanbieter getestet. Posteo ist gemeinsam mit einem anderen Anbieter punktgleicher Testsieger. Dennoch waren in dem Test-Artikel zahlreiche Fehler zu verschiedenen Themen (u.a. zu unserer Zwei-Faktor-Authentifizierung und zum Thema Verschlüsselung) enthalten. Diese hatten wir bemängelt.

Unsere bisherigen Blogartikel zum Thema können Sie hier nachlesen:
- 29.Januar 2015, 12:00 Uhr
- 03.Februar 2015, 15:30 Uhr

Die Stiftung Warentest hat inzwischen reagiert und ist in den meisten Punkten unseren Richtigstellungen gefolgt. Die Redaktion hat ihren fehlerhaften Test-Artikel an vielen Stellen korrigiert – und auch den Tenor ihres Artikels geändert.#more#

Dies war notwendig geworden, da der Tenor des Stiftung Warentest-Artikels rund um eine Falschdarstellung aufbaute, die von der Redaktion in das Zentrum des Textes gestellt worden war. Der neue Test-Artikel wurde inzwischen auf der Seite der Stiftung Warentest test.de veröffentlicht.

Der Artikel steht kostenlos zur Verfügung, damit die Verbraucher die neue Fassung ohne Zusatzkosten lesen können. Eine Übersicht der wichtigsten Punkte, die richtiggestellt wurden, finden Sie auch am Ende dieses Blogbeitrags.

In einem Punkt fordern wir die Stiftung Warentest aber weiterhin zu einer Klarstellung bzw. Richtigstellung auf:

Die Stiftung Warentest erklärt bisher öffentlich, die im Test fälschlicherweise als “Verschlüsselung des Postfachs” bezeichnete “Verschlüsselung des Eingangspostfachs” sei nicht “bewertungsrelevant gewesen”. Das ist offensichtlich falsch.

Denn der Bereichsleiter Untersuchungen der Stiftung Warentest, Dr. Holger Brackemann, hat es uns gegenüber bereits gestern Abend schriftlich eingeräumt. Dr. Brackemann schreibt:

“Die Bewertung […] im Urteil Verschlüsselung beruht auf der damals nicht vorhandenen optionalen Verschlüsselung der Eingang-Postfaches.”

Das bedeutet: Das Kriterium war doch bewertungsrelevant. Die Stiftung Warentest hat die Verschlüsselungskonzepte aller anderen Anbieter abgewertet, weil sie damals fälschlicherweise davon ausging, dass ein Anbieter ein vollständig verschlüsseltes Postfach anbieten würde.
Die Stiftung Warentest sollte dies nun auch öffentlich richtigstellen. Wir erwarten, dass der Sachverhalt nun abschließend aufgeklärt wird: Wir haben uns deshalb so intensiv für die Richtigstellungen eingesetzt, weil es im Interesse der Verbraucher ist, dass die Stiftung Warentest Fehler richtigstellt. Wir meinen auch, dass es angemessen wäre, wenn die Stiftung Warentest nun über weitere eigene Kanäle öffentlich darüber informiert, dass sich zahlreiche Fehler in einem Test-Artikel ihres aktuellen Print-Magazins befinden. Das Heft hat eine Auflage von mehr als 450.000 Exemplaren.

Der Überblick über die bisherigen Änderungen der Stiftung Warentest:

- Alle Stellen, in denen die Redaktion fälschlicherweise von einer “Verschlüsselung des Postfachs” bei einem Anbieter sprach, wurden geändert.

- Alle Falschdarstellungen zu unserer Zwei-Faktor-Authentifizierung wurden korrigiert.

- Die Redaktion hat außerdem ihre Falschdarstellung gestrichen, dass nur ein anderer Anbieter über ein umfassendes Datenschutzkonzept verfüge.

- Auch die missverständliche Formulierung, Kunden der PR-Initiative “E-Mail made in Germany” würden generell sehen, ob eine E-Mail verschlüsselt übertragen werde, wurde korrigiert.

- Die Redaktion hatte in der ersten Fassung Ihres Textes fälschlicherweise von nur einem Testsieger gesprochen; auch dies wurde korrigiert.

- Die Falschdarstellung, dass Apple noch nie Kundendaten herausgegeben habe, wurde ebenfalls gestrichen.

- Die Formulierung, die implizierte, dass ein getesteter Anbieter nicht auf Schadsoftware scannen würde, wurde ebenfalls korrigiert.

Viele freundliche Grüße
Das Posteo-Team

Stiftung Warentest: Weitere Richtigstellungen

2015-02-03T15:30:00+01:00

Liebe Posteo-Kunden,
Liebe Interessierte.

Im aktuellen Heft der Stiftung Warentest werden E-Mailanbieter getestet. Posteo ist gemeinsam mit einem anderen Anbieter punktgleicher Testsieger. Dennoch sind in dem Test-Artikel zahlreiche Fehler zu verschiedenen Themen (u.a. zu unserer Zwei-Faktor-Authentifizierung und zum Thema Verschlüsselung) enthalten. Diese hatten wir bemängelt.

Unseren ersten Blogartikel zum Thema können Sie hier nachlesen:
- 29.Januar 2015, 12:00 Uhr

Wir haben noch einmal alle vorliegenden Unterlagen geprüft (den Test-Artikel, die Anbietervorabinformation, das Untersuchungsprogramm). Unsere neuen Erkenntnisse haben wir der Stiftung Warentest zeitnah mitgeteilt.

1.) Im Artikel der Stiftung Warentest befinden sich weitere Falschdarstellungen, die wir beim ersten Lesen übersehen hatten. Einige stellen wir am Ende dieses Blogbeitrags richtig, da sie das Angebot von Posteo diskreditieren.#more#

2.) Beim Durchgehen aller Vorabinformationen der Stiftung Warentest und der E-Mailkommunikation mit der Redaktion haben wir darüber hinaus Unregelmäßigkeiten festgestellt:

Die Stiftung Warentest hat in dem Artikel eine optionale Eingangs-Verschlüsselung fälschlicherweise als “Verschlüsselung des Postfachs” bezeichnet. Der Begriff suggeriert die vollständige Verschlüsselung eines Postfachs – welche keiner der getesteten E-Mail-Dienste anbietet. Das Kriterium wurde maßgeblich zur Bewertung des Verschlüsselungskonzeptes der Provider herangezogen und der gesamte Artikel baut rund um diese Falschdarstellung auf.
Das Verschlüsselungskonzept von 13 der 14 getesteten Provider wurde daraufhin fälschlicherweise deutlich schlechter bewertet – auch das von Posteo.

Das Kriterium “Verschlüsselung des Postfachs” war nachweislich weder im Untersuchungsprogramm des Tests noch in der Anbietervorabinformation der Stiftung Warentest aufgeführt, das den Anbietern im Vorfeld zugesandt wurde. Das bedeutet: Die Anbieter wurden nicht adäquat informiert. Ihnen wurde damit keine Möglichkeit gegeben, vor der Veröffentlichung hierzu Stellung zu nehmen – und die Stiftung Warentest über ihre falschen Annahmen aufzuklären. Selbst gesetzte Verfahrens- und Qualitätsstandards wurden nicht eingehalten.

Die Redaktion war z.B. bereits mindestens seit Mitte November über die Unterschiede zwischen einer vollständigen Postfach-Verschlüsselung und einer optionalen Eingangs-Verschlüsselung informiert. Wir haben beim Durchsehen aller Unterlagen festgestellt, dass wir der Stiftung Warentest Mitte November in einer E-Mail den Unterschied zwischen einer optionalen Eingangs-Verschlüsselung neu eingehender E-Mails (mit PGP/S/MIME) und einer vollständigen “Verschlüsselung des Postfachs” (die keiner der getesteten Dienste anbietet) dargelegt haben.

Wir stellen fest:
Diese Informationen blieben, aus welchen Gründen auch immer, völlig unberücksichtigt.

Weitere Richtigstellungen zu weiteren Falschdarstellungen, missverständlichen Darstellungen und unausgewogenen Formulierungen der Redaktion.

Den ersten Teil unserer Richtigstellungen finden Sie in unserem Blogbeitrag vom 29.01.

-————————————————————————————————————————————————————-
Falschdarstellungen zum Datenschutzkonzept

Stiftung Warentest schreibt:

“Nur der Testsieger setzt konsequent auf Datenschutz und speichert alle E-Mails verschlüsselt.”

Wir stellen richtig:

Erstens schreibt die Redaktion von nur einem Testsieger, obwohl Posteo dasselbe Qualitätsurteil wie ein weiterer Anbieter erhalten hat – und somit auch gleichberechtigter Testsieger ist. Über diese Tatsache geht die Redaktion im Artikel konsequent hinweg.

Dieser Satz ist außerdem eine ungerechtfertigte Abwertung unseres Datenschutzkonzeptes.

Das Datenschutzkonzept von Posteo geht über das des genannten Anbieters hinaus. Und zwar nicht nur, weil die Annahme der Redaktion, dass alle E-Mails bei diesem Anbieter verschlüsselt gespeichert würden, falsch ist. Wir möchten die beiden wichtigsten Unterschiede kurz erläutern, da sie im Test mehrfach aufgegriffen und falsch dargestellt werden:

a) Nur bei Posteo erfolgt die Anmeldung anonym – und zwar jede Anmeldung. Wir erheben als einziger Anbieter grundsätzlich keine personenbezogenen Daten unserer Nutzer. Wir sind gesetzlich dazu nicht verpflichtet und möchten so datensparsam wie möglich arbeiten. Weil wir grundsätzlich solche Daten nicht erheben, beantworten wir auch jede eingehende Bestandsdatenanfrage von Behörden negativ.

Der andere Anbieter erhebt hingegen ganz regulär Bestandsdaten (Pflicht: Name, Vorname und Land. Optional: Adresse) – wie herkömmliche Anbieter auch, und zwar nicht optional. Diese müssen bei behördlichen Bestandsdatenanfragen herausgeben werden. Auch wird dort bei der Anmeldung z.B. ein Recaptcha von Google verwendet, dass u.a. die IP-Adresse des Kunden an Google übermittelt.

Bei Posteo erfolgt jede Bezahlung seit unserer Gründung 2009 anonym. Egal, ob der Kunde in Bar, per Überweisung oder per Paypal zahlt. Hierfür hat Posteo ein eigenes technisches Bezahlsytem zum Anonymisieren aller Bezahlvorgänge entwickelt. Unser konsequentes Anonymisieren von Zahlungen steht ebenfalls im Gegensatz zu allen anderen Anbietern im Test. Im Übrigen liegen uns nur aufgrund dieses Bezahlsystems tatsächlich keine Bestandsdaten unserer Kunden mit Postfachbezug vor. Würden wir eine anonyme Anmeldung ermöglichen, Bezahldaten aber regulär mit Postfächern verknüpfen, wären die bei den Bezahlvorgängen übermittelten personenbezogenen Daten ebenfalls Bestandsdaten. Das alleinige Angebot einer anonymen Anmeldung wäre somit ohne Mehrtwert für den Verbraucher, wenn nicht auch alle Bezahlvorgänge konsequent anonymisiert würden.

Fazit: Die Aussage “Nur der Testsieger setzt konsequent auf Datenschutz” ist deshalb nachweislich falsch und ungerechtfertigt. Auch später im Text stellt die Redaktion diese Zusammenhänge falsch dar.

Zitat 1:
“Die jungen Anbieter (…) schützen gut: Sie erheben nur wenige oder gar keine Kundendaten. Was sie nicht speichern, kann niemandem in die Hände fallen.”

Wir stellen erneut richtig:

Aus den oben genannten Gründen ist diese Aussage bzw.Gleichstellung falsch.

Zitat 2:
Beschreibung von Posteo im Test ganz unten:
“Vertraulich. Kunden können Konto anonym einrichten und bezahlen (Geld im Briefumschlag zusenden).”

Hierzu stellen wir erneut richtig:
Bei Posteo erfolgt jede Anmeldung und Bezahlung seit unserer Gründung 2009 anonym (nicht “können”). Egal, ob der Kunde in Bar, per Überweisung oder per Paypal zahlt. Hierfür hat Posteo ein eigenes technisches Bezahlsytem zum Anonymisieren der Bezahlvorgänge entwickelt (siehe oben). Die Darstellung, die anonyme Bezahlung bei Posteo beschränke sich auf den Barbrief, ist deshalb falsch. In diesen setzen Verbraucher im Allgemeinen wenig Vertrauen. Unser Bezahlsystem erläutern wir den Verbrauchern u.a. hier.

-———————————————————————————————————————————————-
Falschdarstellung im Absatz “Anbieter liest mit”

Die Redaktion schreibt, ausser einem Anbieter würden alle Dienste die E-Mails im Klartext speichern. Sie schreibt: “Sie scannen sie auf Schadsoftware, Google nutzt das auch für Werbung.”

Wir stellen richtig:
Auch der genannte Anbieter speichert E-Mails im Klartext ab. Der zweite Satz impliziert außerdem, dass dieser Anbieter E-Mails nicht auf Schadsoftware scannen würde.

Das ist falsch. Auch dieser Anbieter scannt E-Mails mehrfach auf Schadsoftware. Dies hätte die Redaktion auf der Website des Anbieters nachlesen können.
-——————————————————————————————————————————————-
Falschdarstellungen Transparenzberichte

Falschdarstellung zur iCloud

Stiftung Warentest schreibt:
“Das US-Unternehmen gab laut Transparenzbericht bislang keine Kundendaten heraus.”

Wir stellen richtig:
Diese pauschale Aussage ist selbstverständlich falsch und entbehrt jeglicher Grundlage – auch für Deutschland. Dies kann in den Transparenzberichten von Apple eingesehen werden.

-—————————————————————————————————————————————————
Absatz “Angriff unterwegs: Mann in der Mitte”

Der komplette Abschnitt ist leider missverständlich und enthält Falschdarstellungen. Wir können in diesem Text nicht alles im Detail ausführen. Wir raten der Redaktion, sich beim Überarbeiten an Experten zu wenden.

Update 3: Richtigstellungen zu Stiftung Warentest

2015-01-29T12:00:00+01:00

Liebe Posteo-Kunden,

Heute ist ein Test der Stiftung Warentest erschienen, der E-Mailanbieter testet. Posteo ist gemeinsam mit einem anderen Anbieter punktgleicher Testsieger.

Leider sind im Test trotzdem zahlreiche Falschaussagen zu unserem Angebot und zu den Angeboten anderer Anbieter enthalten. Die Redaktion der Stiftung Warentest hat außerdem verschiedene technische Zusammenhänge falsch dargestellt.

Update: Wir haben bereits eine Richtigstellung von Stiftung Warentest eingefordert.

Update 2 (30.01., ca. 11:00): Die Stiftung hat den Test kurzfristig von ihrer Seite test.de genommen und hat uns mitgeteilt, dass Anfang der kommenden Woche eine aktualisierte Fassung veröffentlicht wird. Darüber hinaus wird die Stiftung Warentest den Sachverhalt auch in der nächsten Ausgabe ihrer Zeitschrift “test” aufgreifen.

Update 3 (30.01., ca. 16:00): Die Stiftung Warentest hat uns soeben erlaubt, ihre Stellungnahme an uns vollständig zu veröffentlichen.

“Sehr geehrter Herr Löhr,

ich muss mich zunächst entschuldigen, dass wir auf Ihre Mail inhaltlich am gestrigen Tage nicht reagieren konnten. Es war leider so, dass – aus verschiedenen Gründen – keine der Personen, die sich inhaltlich vertieft mit dieser Untersuchung beschäftigt haben, im Haus war.

Wir haben inzwischen mit dem von uns beauftragten Prüfinstitut Ihre Punkte besprochen und gehen nun davon aus, dass wir unsere Veröffentlichung an mehreren Stellen ändern werden. Wir werden deshalb den Test kurzfristig von unserer Seite test.de nehmen und Anfang der kommenden Woche eine aktualisierte Fassung veröffentlichen. Darüber hinaus werden wir den Sachverhalt auch in der nächsten Ausgabe unserer Zeitschrift test aufgreifen.

Ich bedauere, dass in dieser Veröffentlichung offensichtlich nicht alle Sachverhalte korrekt wiedergegeben wurden, und kann Ihnen versichern, dass wir die Ursachen dafür untersuchen und notwendige Schlussfolgerungen daraus ziehen werden.

Mit freundlichen Grüßen,

Dr. Holger Brackemann

Leiter des Bereichs Untersuchungen”

Mit diesem Blogbeitrag möchten wir die verschiedenen Falschaussagen von Stiftung Warentest richtigstellen.#more#

-————————————————————————————

Falschaussagen: Zwei-Faktor-Authentifizierung

Zu unserer Zwei-Faktor-Authentifizierung macht Stiftung Warentest gleich mehrere Falschaussagen.

Sie schreibt: „Die Crux: Sicherheits-Funktionen wie die Zwei-Faktor-Authentifizierung realisiert auch Posteo über ein via Handy übertragenes Einmalpasswort. Einzige Lösung, um anonym zu bleiben: eine im Ausland gekaufte, nicht personalisierte Guthabenkarte fürs Handy. Verzichten Kunden auf das Zwei-Faktor-Verfahren, steigt das Risiko, dass das Konto gehackt wird. “

Wir stellen richtig:

1.) Es ist falsch, dass beim Nutzen der Zwei-Faktor-Authentifizierung bei Posteo ein Passwort „via Handy übertragen“ wird. Die Redaktion hat schlicht das für die Zwei-Faktor-Authentifizierung bei Posteo verwendete TOTP-Verfahren nicht verstanden, das wie folgt funktioniert: Das Einmal-Passwort wird auf dem Kunden-Gerät (z.B. auf einem Mobiltelefon, Tablet oder Desktop) erzeugt und angezeigt, für das der Kunde zuvor die Zwei-Faktor-Authentifizierung aktiviert hat. Aktiviert der Kunde die Absicherung, wird auf seinem Gerät ein individueller Algorithmus hinterlegt, der auch in unserem System gespeichert wird. Mit diesem wird alle 30 Sekunden ein individuelles Einmal-Passwort berechnet – und zwar auf dem Gerät des Kunden und unabhängig davon auch im System von Posteo.

Das Passwort wird nicht per Handy übertragen. Der Kunde gibt das Einmal-Passwort selbst beim Login-Vorgang auf der Posteo-Website ein. Die beiden Codes werden beim Login dort miteinander verglichen. Stimmen sie überein, erfolgt das Login. Eine Verbindung zwischen dem Gerät des Kunden und Posteo besteht nicht.

2.) Es ist falsch, dass die Authentifizierung bei Posteo per Handy erfolgen muss. Unsere Kunden können hierfür auch ein Tablet, einen Computer oder einen Yubikey benutzen. In keinem Fall besteht aber eine Verbindung zwischen der Zwei-Faktor-Authentifizierung und der Mobilfunk-Karte des Kunden.

3.) Es ist aus den oben genannten Gründen auch falsch, dass die Zwei-Faktor-Authentifizierung die Anonymität unserer Kunden beeinträchtigt. Dies behauptet die Stiftung Warentest und geht sogar so weit, Posteo-Kunden zu empfehlen, eine im Ausland gekaufte, nicht personalisierte Guthabenkarte für ihr Handy zu kaufen. Diese Empfehlung ist völliger Unfug und entbehrt jeder Grundlage (siehe unsere Ausführungen oben).

-————————————————————————————

Falschaussagen: Verschlüsseltes Postfach

Die Stiftung Warentest behauptet in ihrem Testbericht:
„Nur einer liest nicht mit“ und betont in ihrem Text wiederholt: „Mit einer Ausnahme speichert jeder der geprüften E-Mail-Dienste Nachrichten seiner Kunden im Klartext.“ Nur ein Anbieter schütze die Kunden und speichere deren E-Mails verschlüsselt.
Diese Aussage ist falsch.

Wir stellen richtig:

Alle getesteten Anbieter speichern die E-Mails der Kunden grundsätzlich im Klartext ab – es sein denn, der Kunde selbst nutzt eine Ende-zu-Ende-Verschlüsselung und aktiviert eine optionale Eingangs-Verschlüsselung, dann wird der Inhalt (ohne Betreff, Absender und andere so genannte Metadaten) neu eingehender E-Mails verschlüsselt gespeichert. Die Stiftung Warentest bezeichnet dennoch eine optionale Verschlüsselung neu eingehender E-Mails durch den Anbieter als “Verschlüsselung des Postfachs”. Sie suggeriert so fälschlicherweise, bei dem Anbieter würden alle E-Mails verschlüsselt gespeichert. Tatsächlich ist dies eine optionale Funktion, die zudem nur einen Teil der E-Mails betrifft (z.B. nicht die gesendeten E-Mails) und nur Nutzern von PGP vorbehalten bleibt.
Posteo bietet seit dem 28.01. ebenfalls eine Eingangs-Verschlüsselung mit PGP und mit S/MIME an. Zur Klarstellung beschreiben wir die Funktionsweise einer Eingangs-Verschlüsselung näher:

Bei einer Eingangs-Verschlüsselung können lediglich Kunden, die bereits PGP (oder S/MIME) verwenden, ihren öffentlichen Schlüssel hochladen und alle neu eingehenden E-Mails mit PGP oder S/MIME verschlüsseln. Die bereits im Postfach enthaltenen Nachrichten bleiben unverschlüsselt, alleine deshalb ist die pauschale Bezeichnung „verschlüsseltes Postfach“ schon falsch.

Eine Verschlüsselung neu eingehender E-Mails ist erstens keine Postfach-Verschlüsselung, da das E-Mail-Archiv unverschlüsselt bleibt. Zweitens ist sie ausschließlich Kunden vorbehalten, die eine Ende-zu-Ende-Verschlüsselung nutzen. Ende-zu-Ende-Verschlüsselung muss stets der Nutzer selbst einrichten – und nur wenige tun das.

Trotzdem hat Stiftung Warentest die optionale Eingangs-Verschlüsselung als grundsätzliche “Verschlüsselung des Postfachs” bezeichnet und maßgeblich zur Bewertung des Verschlüsselungskonzeptes der Provider herangezogen.

Auch der Titel „Nur einer liest nicht mit“ suggeriert Sicherheit, die nicht existiert: Maßnahmen wie das Scannen auf Spam oder eine richterlich angeordnete Postfach-Überwachung sind bei einer Eingangs-Verschlüsselung weiterhin möglich, da die E-Mails erst nach dem Eintreffen auf den Servern des Providers verschlüsselt werden.

-————————————————————————————

Falschaussage Umzugshilfe

Die Stiftung Warentest zählt im Artikel Anbieter auf, die eine Umzugshilfe bieten. Posteo wird hier fälschlicherweise nicht genannt.
Wir stellen richtig:
Posteo bietet seit Jahren eine Umzugshilfe an, mit der E-Mails zu Posteo übertragen werden können. In unserer Hilfe bieten wir hierzu Anleitungen an und unser Support-Team hilft kostenfrei ebenfalls bei Fragen rund um den Umzug.

-————————————————————————————

Missverständliche Formulierung: „E-Mail made in Germany“

Stiftung Warentest schreibt, dass Kunden der in der Initiative „E-Mail made in Germany“ verbundenen Firmen sehen würden, ob die Nachricht verschlüsselt übermittelt und nach deutschem Datenschutz gespeichert wird. Zitat: "Schon beim Eintippen der Mailadresse des Empfängers signalisiert ein grüner Haken, ob beides zutrifft.“

Wir stellen richtig:
Kunden der Initiative „E-Mail made in Germany“ sehen nicht in allen Fällen, ob eine E-Mail verschlüsselt übermittelt und nach deutschem Datenschutzrecht gespeichert wird.

Beides trifft z.B. auch auf Posteo zu, trotzdem wird beim Versand zu Posteo kein „grüner Haken angezeigt“. Posteo ist nicht Mitglied der PR-Initiative. Offene und sichere Methoden wie DANE, das Posteo als erster deutscher E-Mail-Provider eingeführt hat, bleiben unberücksichtigt, obwohl Posteo damit eine sichere Transportverschlüsselung anbietet – und deutschen Datenschutz ebenfalls.

-————————————————————————————

Missverständliche Formulierung: SSL-Verschlüsselung.

Zur gängigen SSL-Verschlüsselung behauptet Stiftung Warentest:
Die Stiftung Warentest behauptet, dass jeder zweite Anbieter im Test bei unsicherer Verbindung einfach nicht senden würde.

Wir stellen richtig:
Das ist eine missverständliche Darstellung. Hier fehlen der Redaktion vermutlich die grundlegenden Kenntnisse der E-Mailtechnik: SSL-fähige E-Mailserver versuchen in der Regel beim Versand zwar stets, eine mit SSL-verschlüsselte Verbindung aufzubauen – ist dies aber nicht möglich, weil z.B. der E-Mailserver des Empfängers nicht verschlüsseln kann, wird die E-Mail auch ohne SSL-Verschlüsselung versendet. Das gehört zum E-Mail-Standard und wird allgemein so gehandhabt. Wir können nur vermuten, dass die Redaktion die erzwungene SSL-Verschlüsselung der Anbieter meint, die bei vielen Anbietern besteht, wenn der Kunde eine E-Mail von seinem Rechner an seinen jeweiligen Anbieter „übergibt“, bevor dieser die E-Mail dann zu anderen Anbietern versendet. Beim eigentlichen E-Mailversand durch das Internet wird eine E-Mail in der Regel entgegen der Annahme von Stiftung Warentest von den Anbietern auch dann (unverschlüsselt) versendet, wenn der Gegenserver nicht verschlüsseln kann.

Neue Angebote zu Ende-zu-Ende-Verschlüsselung

2015-01-28T18:24:00+01:00

Liebe Posteo-Kunden,

wir haben unser Angebot rund um den Einsatz von Ende-zu-Ende-Verschlüsselung erweitert. Zum einen bieten wir nun persönliche Verschlüsselungs-Trainings in unserem Posteo Lab auf dem Berliner Kreuzberg an. Posteo-Kunden können ab sofort Termine vereinbaren. Zum anderen haben wir neue Verschlüsselungsfunktionen für Sie freigeschaltet: Kunden, die eine Ende-zu-Ende-Verschlüsselung verwenden, um mit einzelnen Kontakten verschlüsselte E-Mails auszutauschen, haben ab sofort die Möglichkeit, alle neu eingehenden E-Mails mit einer Verschlüsselung zu versehen.#more#

Unabhängig davon, ob der Absender einer E-Mail diese ursprünglich verschlüsselt hatte oder nicht. Wir unterstützen hierbei beide gängigen Technologien: S/MIME und OpenPGP.
Mit den neuen Angeboten möchten wir die Verbreitung von Ende-zu-Ende-Verschlüsselung insgesamt fördern. Verschlüsselungstechnologien werden noch immer viel zu selten genutzt. Dabei sind sie ein wirksames Instrument, mit dem Menschen ihr Grundrecht auf unbeobachtete Kommunikation tatsächlich wahrnehmen können. Wir wissen aus dem Kontakt zu vielen von Ihnen, dass die Hemmschwelle sehr hoch ist, E-Mails mit S/MIME oder PGP zu verschlüsseln. Viele trauen sich das Verschlüsseln von E-Mails nicht zu – dabei ist es gar nicht so kompliziert. Wir tun bei Posteo viel dafür, Ihre Daten bestmöglich zu schützen. Bei der Ende-zu-Ende-Verschlüsselung kann der Provider den Kunden aber nur unterstützen, da dieser seine Schlüssel aus Sicherheitsgründen unbedingt selbst verwalten sollte. Daher versuchen wir, Sie durch Hilfe-Anleitungen, dem Unterstützen von Plugins wie Mailvelope – und nun auch mit den persönlichen Verschlüsselungs-Trainings und der Eingangs-Verschlüsselung zum Verschlüsseln zu ermutigen.

Persönliche Verschlüsselungs-Trainings

Die persönlichen Verschlüsselungs-Trainings finden im Posteo Lab statt, das ab dem 02.02. täglich zwischen 15 und 18 Uhr für Sie geöffnet ist. Interessenten können Posteo dort auch ausprobieren, Postfächer eröffnen, nachhaltig produzierte IT-Produkte wie die faire Computermaus entdecken oder Guthaben aufladen. Die Trainings beinhalten nicht nur kompetente Hilfestellung beim Einrichten von S/MIME oder PGP: Unsere Verschlüsselungs-Trainer üben mit den Teilnehmern auch, wie sie die Verschlüsselung im Alltag verwenden können. Die Kosten für ein Training betragen 29 EUR.

Eingangs-Verschlüsselung mit S/MIME und OpenPGP

Die neue Eingangs-Verschlüsselung können Sie bequem in den Einstellungen Ihres Posteo-Postfachs aktivieren. Wir stellen die neue Funktion ohne Aufpreis bereit. Sie müssen lediglich den öffentlichen Teil Ihres S/MIME- oder PGP-Schlüssels bei Posteo importieren. Mit diesem verschlüsseln wir dann jede neu eingehende E-Mail – eine wirkungsvolle Maßnahme, um die Sicherheit Ihrer gespeicherten E-Mails noch einmal zu erhöhen.
Eine reguläre Ende-zu-Ende-Verschlüsselung, welche bereits beim Absender einer E-Mail ansetzt, ersetzt sie aber nicht. Wir raten Ihnen, vor dem Aktivieren der Verschlüsselung sorgfältig abzuwägen, ob Sie alle neu eingehenden E-Mails mit S/MIME oder PGP verschlüsseln möchten. Einmal verschlüsselte E-Mails bleiben dauerhaft verschlüsselt, auch wenn Sie die Eingangs-Verschlüsselung für neu eingehende E-Mails später wieder deaktivieren. Und auch eine Volltextsuche ist bei verschlüsselten E-Mails nicht mehr möglich.

Tipp: In unserer Hilfe finden Sie verschiedene Anleitungen zur Eingangs-Verschlüsselung und zum Einrichten bzw. dem Arbeiten mit einer Ende-zu-Ende-Verschlüsselung.

Posteo-Postfach-Verschlüsselung folgt bald

Das Freischalten der Eingangs-Verschlüsselung und der Start der persönlichen Verschlüsselungs-Trainings sind nur der erste Schritt beim weiteren Ausbau unseres Verschlüsselungskonzeptes. In Kürze werden wir eine selbst entwickelte, voll umfängliche Postfachverschlüsselung einführen, die nicht nur neu eingehende E-Mails, sondern auch das gesamte E-Mailarchiv inklusive aller enthaltenen Inhalte und Metadaten auf Knopfdruck verschlüsselt. Ein externes Sicherheits-Audit ist bereits abgeschlossen. Sobald wir die Posteo-Postfach-Verschlüsselung veröffentlichen, informieren wir Sie in unserem Blog darüber.

Viele freundliche Grüße
Ihr Posteo-Team

Update: Avira stört Posteo-Anzeige

2015-01-14T11:34:00+01:00

Liebe Posteo-Kunden,

wir erhalten zurzeit vermehrt Meldungen darüber, dass einige Kunden Anzeigeprobleme beim Arbeiten in unserem Webmailer haben. Unter anderem wurde uns gemeldet, dass nur wenige E-Mails im Webmailer angezeigt werden oder “ewig geladen” wird. Bei uns liegen aber keine Störungen vor.

Unserem Team ist es gelungen, die Ursache für die Anzeigeprobleme zu identifizieren: Ein Add-on des Antiviren-Herstellers Avira stört die korrekte Anzeige bzw. Funktionalität unseres Webmailers. #more#

Betroffen sind alle Nutzer, die das Add-on “Avira Browserschutz” nutzen. Uns wird in allen Rückmeldungen betroffener Kunden übereinstimmend geschildert, dass die fehlerhafte Anzeige behoben ist, sobald das Avira Add-on im Browser deaktiviert wurde. Wir haben dies daraufhin in Tests nachgestellt und können nun bestätigen, dass das Add-on die Ursache der Anzeigeprobleme ist.

UPDATE: (23.01.)

Avira hat die Fehlerursache inzwischen identifiziert und uns mitgeteilt, dass sie voraussichtlich in der kommenden Woche behoben werden kann. Avira-Kunden können dann auch bei aktiviertem Browser-Schutz wieder fehlerfrei auf Ihr Posteo-Postfach zugreifen.

Sollten auch Sie von den Anzeigeproblemen betroffen sein, deaktivieren Sie bitte bis zur Fehlerbehebung das “Avira Browserschutz”-Add-on. Rufen Sie Posteo dann erneut in Ihrem Browser auf. Ihr Postfach sollte wieder störungsfrei angezeigt werden und laden.

Wir stehen weiter mit Avira in Kontakt. Wir werden diesen Blogbeitrag erneut updaten, wenn wir bestätigen können, dass der Fehler behoben wurde.

Bei Rückfragen können Sie sich gerne per E-Mail an unseren Support wenden unter support@posteo.de.

Viele Grüße
Ihr Posteo-Team

Neu: Anonymes Bezahlsystem erweitert

2014-12-31T12:13:00+01:00

Liebe Posteo-Kunden,

ab sofort wickeln wir Bezahlvorgänge über unser neues, erweitertes Einmal-Code-System zum Anonymisieren von Zahlungen ab. Bislang haben wir unser codebasiertes Bezahlsystem ausschließlich dazu verwendet, die Bezahldaten von den E-Mail-Postfächern zu trennen. Seit heute enthalten die Einmal-Codes auch eine chiffrierte Landeskennung, damit wir trotz einer neuen Gesetzeslage auch weiterhin unser datensparsames Konzept beibehalten können.#more#

Am 01.01. tritt das so genannte “Kroatien-Gesetz” in Kraft. Das Gesetz ist die deutsche Umsetzung einer EU-Verordnung. Sie schreibt vor, dass Anbieter elektronischer Dienstleistungen jeweils in dem EU-Land Umsatzsteuer abführen müssen, in dem der Verbraucher sitzt. Bisher war der Firmensitz des Dienstleisters ausschlaggebend für den Ort der Besteuerung. Ab dem 01.01. sind wir deshalb dazu verpflichtet, bei jedem Zahlungsvorgang durch mehrere Maßnahmen festzustellen, aus welchem EU-Land uns eine Zahlung erreicht. Dies kann zum Beispiel mit Hilfe einer Geo-IP-Bestimmung oder der Auswertung von Zahlungsdaten erfolgen. Der Gesetzgeber fordert, mindestens zwei Merkmale festzustellen, die sich nicht widersprechen dürfen. Das Erfüllen dieser neuen gesetzlichen Vorgaben war eine Herausforderung für uns: Denn wir speichern keine personenbezogenen Daten von Ihnen und möchten dies auch weiterhin nicht tun.

Deshalb haben wir unser anonymes Bezahlverfahren zum Inkrafttreten des neuen Gesetzes erweitert, um unser konsequentes Datensparsamkeitskonzept beibehalten zu können. Wir sind nun zwar dazu verpflichtet, eine gesetzlich vorgeschriebene Landesbestimmung durchzuführen. Ihr Ergebnis wird aber in einen Abschnitt unserer Einmal-Codes chiffriert, den ausschließlich Sie erhalten, wenn Sie künftig einen Bezahlvorgang starten. Dieser Teil des Codes beinhaltet das Ergebnis einer Geo-IP-Bestimmung und einer Browser-Regions-Bestimmung (Ihre IP-Adresse wird nicht gespeichert). Der Teil des Codes, der in unserem System liegt, ist etwas kürzer und beinhaltet diese sensible Information nicht. Sie wird bis zum Abschluß der Zahlung also zu Ihnen “ausgelagert”. Das ist wichtig, da wir sonst bis zum Zahlungsabschluß personenbezogene Daten mit Postfachbezug in unserem System hätten. Und das wollen wir nicht.

Sie teilen uns den vollständigen Code, und damit auch das Ergebnis der Landesbestimmung, erst im Verwendungszweck Ihrer Zahlung mit. Trifft eine Zahlung per Überweisung oder in einem Brief bei Posteo ein, wertet unser Bezahlsystem automatisiert den Code aus – und kann die Zahlung so dem Postfach zuordnen. Die chiffrierte Landeskennung in den letzten 3 Zeichen wird ebenfalls automatisiert ausgewertet, um die abzuführende Umsatzsteuer für das jeweilige EU-Land zu berechnen. Mit Ihrem Postfach wird die ausgewertete Information nicht verknüpft. Der Auswertungs-Vorgang dauert nur den Bruchteil einer Sekunde. Ist der Code ausgewertet, ist das Guthaben aufgeladen und der Einmal-Code ist aus
dem System gelöscht. So ist nicht mehr feststellbar, für welches Posteo-Postfach Sie Guthaben eingezahlt haben. Und es ist nicht mehr feststellbar, in welchem Land der Besitzer eines Posteo-Postfachs lebt.

Paypal- und Kreditkartenzahlungen werden direkt nach dem Start des Bezahlvorgangs abgeschlossen. Deshalb ist das Anwenden des Code-Systems hier nicht notwendig. Auch die Informationen zur Landesbestimmung werden umgehend ausgewertet und müssen nicht temporär gespeichert werden. Paypal- und Kreditkartenzahlungen sowie die bei ihnen erhobenen Landeskennungen werden ebenfalls nicht mit den E-Mailpostfächern verknüpft.

Wir haben Verständnis für das Vorhaben des Gesetzgebers, mit dem neuen Gesetz Steuerschlupflöcher stopfen zu wollen. Problematisch ist aber, dass auch Unternehmen, die datensparsam arbeiten wollen, durch das “Kroatiengesetz” verpflichtet werden können, personenbezogene Daten ihrer Kunden zu erheben und zu speichern. In der Regel verfügen Anbieter nicht über komplizierte codebasierte Bezahlsysteme, die es ermöglichen, datensparsam zu arbeiten – sie müssen die Daten dann schlicht abfragen und speichern. So entstehen neue, weitere Datenhalden. Außerdem: Eine Bankverbindung ist schon recht manipulationssicher. Ob zusätzliche Maßnahmen wie Geolokalisierungen die Trefferquote nennenswert erhöhen, bezweifeln wir.

Weitere Informationen zum anonymen Bezahlsystem von Posteo finden Sie auf einer Infoseite Bezahlung, die wir seit heute bereit stellen.

Viele Grüße und einen guten Rutsch ins neue Jahr wünscht Ihnen,
Ihr Posteo-Team

Neu: Zwei-Faktor-Authentifizierung im Webmailer

2014-11-12T08:05:00+01:00

Liebe Posteo-Nutzer,

es gibt Neuigkeiten: Sie haben ab sofort die Möglichkeit, den Zugriff auf Ihr Posteo-Postfach (im Browser) mit einer Zwei-Faktor-Authentifizierung zusätzlich abzusichern.

#more#

Die Technologie ist vergleichbar mit den mehrstufigen Sicherheitsverfahren im Bankenbereich. An einem Geldautomaten können Sie nur dann Geld abheben, wenn Sie etwas wissen (Ihre Geheimzahl) und etwas besitzen (Ihre EC-Karte). Mit der Zwei-Faktor-Authentifizierung verhält es sich ähnlich: Sie benötigen für den Login etwas, das Sie wissen: Ihr Posteo-Passwort. Und etwas, das Sie besitzen, z.B. Ihr Mobiltelefon. Der Login-Vorgang verändert sich durch die neue Absicherung nur geringfügig: Nachdem Sie Ihren Benutzernamen und Ihr Passwort eingegeben haben, wird zusätzlich ein aktuelles Einmal-Passwort abgefragt. Das Einmal-Passwort wird Ihnen auf einem Gerät (z.B. auf einem Mobiltelefon, Tablet oder Desktop) angezeigt, für das Sie zuvor die Zwei-Faktor-Authentifizierung aktiviert haben.

Sollten Kriminelle oder Geheimdienste einmal Ihre Zugangsdaten (Benutzername und Passwort) erbeuten, haben sie keine Möglichkeit, über den Webmailer auf Ihr Konto zuzugreifen – und dort z.B. Ihre Konto- und Sicherheitseinstellungen zu manipulieren. Die herkömmlichen Zugangsdaten reichen für den Login-Vorgang nicht mehr aus.

Wir haben die Zwei-Faktor-Authentifizierung für Sie so einfach und so sicher wie möglich bereitgestellt: Bei Posteo haben Sie nicht nur die Möglichkeit, die Technologie mit kostenfreien Apps auf allen gängigen Plattformen zu nutzen; Sie können hierfür auch spezielle Zusatzhardware (wie z.B. einen Yubikey) verwenden. Alle Nutzer, die Posteo nur im Browser (über den Webmailer) aufrufen, können mit der Zwei-Faktor-Authentifizierung sogar die Sicherheit Ihrer E-Mails und Ihres Postfachs insgesamt deutlich erhöhen. Wenn sie in den Einstellungen angeben, dass Sie ausschließlich den Webmailer verwenden, wird der Zugriff für lokale E-Mailprogramme gesperrt. So lassen sich auch Angriffe ausschließen, die nicht über den Browser, sondern über externe Programme (via IMAP und POP3) erfolgen.

Das Einrichten der Zwei-Faktor-Authentifizierung ist simpel. Sie ist auch für Nutzer ohne technische Fachkenntnisse empfehlenswert. Die Technologie basiert auf dem offenen TOTP-Standard. Weitere Kosten entstehen Ihnen nicht: Wir stellen die neue Funktion ohne Aufpreis bereit. Wie Sie die Zwei-Faktor-Authentifizierung aktivieren können, erfahren Sie in der Posteo-Hilfe.

Die Zwei-Faktor-Authentifizierung erhöht die Sicherheit beim Webmail-Zugriff bereits signifikant. Unser Entwickler-Team arbeitet darüber hinaus aktuell an einer Lösung, die auch den Zugriff über lokale E-Mailprogramme mit einem mehrstufigen Sicherheitsverfahren absichern soll. Wir hoffen, Ihnen auch diese Lösung bald zur Verfügung stellen zu können.

Liebe Grüße
das Posteo-Team

Eingabe des aktuellen Einmal-Passworts bei der Anmeldung

Aktivierung der Zwei-Faktor-Authentifizierung in den Einstellungen

E-Mail-Verschlüsselung im Browser mit Mailvelope

2014-10-10T11:16:00+02:00

Liebe Posteo-Nutzer,

seit einigen Tagen ist eine neue Version des Verschlüsselungs-Add-ons Mailvelope (für Firefox und Chrome) verfügbar. In der neuen Version ist es für Posteo bereits vorkonfiguriert.
Dadurch ist es nun komfortabel möglich, die Inhalte einzelner E-Mails im Posteo-Webmailer mit OpenPGP zu verschlüsseln.

#more#

Anhänge können mit dem Add-on nicht verschlüsselt werden. Mailvelope ist besonders interessant für alle, die Posteo bevorzugt im Webmailer nutzen und ihre E-Mails dort mit einer Ende-zu-Ende-Verschlüsselung absichern möchten. Mailvelope ist quelloffen (Open Source): Der Programmcode des Add-ons ist einsehbar und basiert auf offenen Standards.

In der Posteo-Hilfe im Bereich “Webmail” finden Sie eine Anleitung, wie Sie das Add-on in Ihrem Browser (Firefox oder Chrome) installieren können – und wie das Verschlüsseln mit Mailvelope funktioniert. Andere Browser, wie z.B. Safari oder den Internet Explorer, unterstützt Mailvelope bisher nicht. Sollten Sie Probleme beim Verwenden von Mailvelope oder Fragen zu dem Verschlüsselungs-Add-on haben, wenden Sie sich bitte an den Mailvelope-Support.

Viele Grüsse
Ihr Posteo-Team

Email encryption in your browser with Mailvelope

Dear Posteo user,

A few days ago, a new version of the encryption add-on Mailvelope (available for Firefox and Chrome) was released. The new version is preconfigured to work with Posteo.

Using the add-on, it is now possible to easily encrypt the content of emails using OpenPGP within the Posteo webmail interface. You can also sign your emails, but attachments can not be encrypted using the add-on. Mailvelope is especially interesting for all who prefer to use the Posteo webmail interface and who would like to secure their emails with end-to-end encryption. Mailvelope is open source: The program code for the add-on is visible and based on open standards.

In the Posteo help section “Webmail”, you can find instructions on how to install the add-on in Firefox or Chrome and how encryption using Mailvelope works. Other browsers such as Safari or Internet Explorer do not yet support Mailvelope. If you encounter problems using Mailvelope or have questions about the add-on, please contact Mailvelope support.

Best regards,
The Posteo Team

Posteo-Webmailer: Neues Design verfügbar

2014-09-23T15:23:00+02:00

Liebe Posteo-Nutzer,

es gibt Neuigkeiten: Seit heute ist das neue Standard-Design unseres Webmailers verfügbar. #more#

Sie haben ab sofort die Möglichkeit, das neue Design in den Einstellungen Ihres Postfachs unter “Einstellungen” → “Benutzeroberfläche” → “Oberflächendesign” zu aktivieren. Wenn Sie das Design nutzen möchten, wählen Sie dort bitte “Standard” aus und bestätigen die Design-Umstellung mit “Speichern”.

Unser Team hat in den vergangenen Monaten an dem Erscheinungsbild der Benutzeroberfläche gearbeitet. Der Webmailer ist nun optisch ansprechender – und lässt sich einfacher bedienen.
Das alte Design wird übergangsweise noch bis zum Frühjahr 2015 unterstützt – wir empfehlen aber, schon jetzt auf das neue Design umzustellen.

Wir werden bald weitere Varianten des neuen Standard-Designs zur Verfügung stellen. Andere Bereiche, wie zum Beispiel die Hilfe, werden schrittweise an das neue Design angepasst.

Im Zuge der Design-Umstellungen wurden im Hintergrund auch technologische Verbesserungen vorgenommen: Diese bilden die Grundlage für verschiedene neue Funktionen, wie zum Beispiel die Posteo-Postfach-Verschlüsselung, die wir in diesem Herbst einführen werden.

Viele Grüße
Ihr Posteo-Team

Demo gegen Überwachung in Berlin

2014-08-22T14:15:00+02:00

Liebe Posteo Nutzer,

wir wenden uns heute mit einem kurzen Terminhinweis an Sie:

Am Samstag, dem 30. August, findet in Berlin die Großdemonstration “Freiheit statt Angst” statt, zu der ein breites gesellschaftliches Bündnis aufruft. #more# Die Demonstration richtet sich gegen die Überwachung der Bürgerinnen und Bürger. Der Umzug startet um 14 Uhr auf der Westseite des Brandenburger Tores. Mehr Informationen finden Sie auf der Website der Demonstration.

Viele Grüße
Ihr Posteo-Team

Telekom-Router "Speedport W 724V" blockiert Posteo

2014-06-17T14:30:00+02:00

Liebe Posteo-Nutzer,

wir haben einen wichtigen Hinweis für alle Nutzer, die den Router “Speedport W 724V” der Telekom verwenden: Dieser Router blockiert ab Werk das Versenden von E-Mails aus lokalen E-Mail-Programmen (z.B. aus Thunderbird, Outlook oder von Smartphones und Tablets), wenn ein E-Mailanbieter nicht auf der im Router hinterlegten “Liste der sicheren Mailserver” steht. #more#

Posteo steht nicht auf dieser Liste. Deshalb schlägt der Mailversand fehl, wenn Posteo-Nutzer mit einem “Speedport W 724V” Router versuchen, E-Mails aus E-Mail-Programmen zu versenden. Wir erhalten seit einiger Zeit täglich Anfragen von Betroffenen – und sind daraufhin in Dialog mit der Telekom getreten. Nun wurde uns eine Änderung bzw. Ergänzung der Liste zugesagt. Allerdings wird dies voraussichtlich nicht zeitnah geschehen, da die Liste von der Telekom nur mit einem Firmware-Update erweitert werden kann.
Dynamisch aktualisierbar ist sie nach Angaben der Telekom nicht. Leider hat diese “starre” Konfiguration zur Folge, dass unsere Nutzer zurzeit massive Probleme im Zusammenspiel mit diesem Router haben.

Das Problem betrifft nur das Modell “Speedport W 724V”. Dass Posteo nicht auf der Telekom-Liste der “sicheren Mailserver” steht, lässt keine Rückschlüsse auf die Sicherheit unserer Server zu. Es handelt sich vielmehr um eine “Liste erlaubter Mailserver”, die die Telekom führt. Das Unternehmen möchte mit der Sendebeschränkung auf bestimmte Anbieter/Server den Spamversand durch verseuchte Nutzer-PC`s eindämmen.

Die gute Nachricht: Betroffene Nutzer können Posteo selbst in die “Liste der sicheren Mailserver” eintragen und die Sendeprobleme so beheben.

Und so geht es:
Wenn Sie einen “Speedport W 724V” Router der Telekom besitzen, rufen Sie in Ihrem Browser bitte die Bedienoberfläche Ihres Routers auf. Sie ist unter der Adresse “speedport.ip” erreichbar. Loggen Sie sich nun bitte mit dem Passwort ein, das als “Gerätepasswort” auf der Rückseite Ihres Gerätes steht. Sollten Sie das Passwort Ihres Routers geändert haben, geben Sie bitte dieses Passwort ein. Wählen Sie in der Bedienoberfläche nun bitte den Punkt “Internet” und dort “Liste der sicheren Mailserver” aus. Klicken Sie auf “Weiteren E-Mail-Server eintragen” und geben “posteo.de” ein. Fertig – nun können Sie über Ihr Netzwerk mit allen Programmen und Geräten über Posteo E-Mails versenden. Zur Illustration haben wir diesem Beitrag einen Screenshot beigefügt.

Viele Grüße,
Ihr Posteo-Team

Posteo unterstützt DANE/TLSA

2014-05-12T08:45:00+02:00

Liebe Posteo-Nutzer,

wir unterstützen seit heute die innovative Technologie DANE/TLSA (DNS-based Authentification of Named Entities).#more# DANE eliminiert verschiedene Schwachstellen der weit verbreiteten Transportwegverschlüsselung SSL/TLS – und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und beim Zugriff auf Webseiten.

Mit DANE werden die so genannten „digitalen Fingerabdrücke“ eines Verschlüsselungs-Zertifikates im „Telefonbuch“ des Internets (DNS) hinterlegt. Dort können sie von Mailservern, Mailprogrammen und Browsern automatisiert überprüft werden, bevor eine verschlüsselte Verbindung zu einer Seite aufgebaut oder eine E-Mail übertragen wird. So lässt sich die Echtheit eines Servers vor jedem Verbindungsaufbau verifizieren. Bisher senden die meisten Server Daten über verschlüsselte Verbindungen, ohne vorab die Echtheit des anderen Servers verifiziert zu haben. DANE verhindert wirksam, dass Dritte (Kriminelle, Geheimdienste) vortäuschen können, ein bestimmter Web- oder Mailserver zu sein, um an Zugangsdaten oder Inhalte zu gelangen (gefälschte Zertifikate).

Die Einträge im „Telefonbuch“ des Internets werden zusätzlich mit der Technologie DNSSEC abgesichert, damit DANE vertraut werden kann. DNSSEC verhindert, dass Dritte Einträge verändern und die „digitalen Fingerabdrücke“ der Verschlüsselungs-Zertifikate austauschen können. Leider wird DNSSEC von den meisten Domainanbietern noch nicht unterstützt. Auch Posteo musste vor der Einführung von DANE seinen Domainanbieter wechseln.

DANE eröffnet auch auf anderer Ebene neue Möglichkeiten: Mailserver können ab sofort mit Hilfe eines DANE-Eintrages verschlüsselte Verbindungen erzwingen. Bisher handeln Mailserver vor dem Aufbau jeder Verbindung neu aus, ob beide Partner aktuell eine Verbindungsverschlüsselung unterstützen. Posteo hat seine Server bereits so konfiguriert: Haben andere Mailanbieter auch einen DANE-Eintrag, versendet Posteo an deren Server grundsätzlich nur noch über verschlüsselte Verbindungen. Kommt keine verschlüsselte Verbindung zustande, wird der Mailversand aus Sicherheitsgründen abgebrochen. So lassen sich nicht nur Man-in the-Middle-Attacken verhindern. Das Verfahren ist auch aus folgendem Grund so wichtig: Mit DANE können Mailserver sich weltweit eindeutig authentifizieren – und sich gegenseitig garantieren, dass E-Mails stets über verschlüsselte Verbindungen übertragen werden. Anders als z.B. bei „E-Mail Made in Germany“, einem Verbund weniger deutscher Anbieter, der alle anderen Mailserver aussen vor lässt und seinen Nutzern nur untereinander verschlüsselte Verbindungen verspricht. Posteo lehnt diese Art der „Abschottung“ einzelner deutscher Anbieter ab: Ein globales Netz erfordert globale Verbesserungen in der Sicherheit der Kommunikation über einheitliche, offene Standards.

Da die Technologie noch sehr wenig verbreitet ist, gibt es derzeit kaum Programme oder andere Provider, die DANE unterstützen. Wir wollen deshalb mit gutem Beispiel vorangehen, um die Verbreitung dieses wichtigen Verfahrens vorantreiben – DANE wird künftig maßgeblich dazu beitragen, die Kommunikation im Internet wieder sicherer zu machen.

Immerhin: Für alle gängigen Browser gibt es bereits DANE-Addons, mit denen Internetnutzer den Zugriff auf Posteo schon jetzt mit DANE absichern können. Auf folgender Webseite finden Sie eine Liste aller bereits verfügbaren Erweiterungen. Wir können keinen Support für Addons und Prüftools leisten, bitte haben Sie Verständnis.

Direkt implementiert ist die Technologie bisher aber in keinem Browser. Wir hoffen, dass die Hersteller DANE und DNSSEC möglichst bald nachrüsten. Auch möchten wir andere Mailanbieter dazu anregen, DANE zu implementieren, damit die Kommunikation über verschlüsselte Verbindungen zwischen den Mailservern weltweit sicherer wird.

Liebe Grüße
das Posteo-Team

Nach Posteo-Transparenzbericht: Telekom zieht nach

2014-05-05T14:15:00+02:00

Liebe Posteo-Nutzer,

heute ist ein guter Tag für die Bürgerrechte im Netz: Erst heute morgen hatten wir als erster deutscher Provider einen Transparenzbericht über Auskunftsersuchen von Behörden veröffentlicht.#more#
Wir hatten darauf gehofft, dass andere deutsche Anbieter schon bald folgen würden. Nun ging alles schneller als erwartet. Die Telekom ist unserem Beispiel bereits heute Mittag gefolgt: Das Unternehmen hat soeben einen eigenen Transparenzbericht veröffentlicht. Heute morgen hatte die taz noch berichtet, dass die Telekom sich für nicht zuständig halte.

Aus dem Bericht der Telekom geht hervor, dass Behörden im vergangenen Jahr 49.796 Telekom-Anschlüsse überwacht haben. Außerdem erhielten Behörden 436.331 Verkehrsdatensätze und 28.162 Bestandsdatensätze von dem Unternehmen und ermittelten 946.641 Mal Anschlussinhaber hinter bestimmten IP-Adressen. Leider ist nicht dokumentiert, wie viele Anfragen abgelehnt wurden, und wie viele erfolgreich waren.

Einem Artikel der Zeit zufolge wollen auch andere Anbieter nun nachziehen:

Ein Sprecher von GMX und WEB.DE erklärte zeit.online, man arbeite “an einem Modell, hier für Transparenz zu sorgen”. Von Vodafone und Strato liegen bislang keine Antworten vor.

Wir haben zum Schluss eine Bitte an Sie: Wir möchten erreichen, dass Transparenzberichte Standard werden. Bitte fragen Sie mit Hilfe unseres Rechtgutachtens und der Antwort der Bundesregierung Ihre Provider nach Transparenzberichten. Es besteht eine gute Chance, jetzt mehr Transparenz bei deutschen Anbietern zu erreichen.

Viele liebe Grüße,
Ihr Posteo-Team

Posteo veröffentlicht Transparenzbericht

2014-05-05T06:00:00+02:00

Liebe Posteo-Nutzer,

vor einiger Zeit hatten wir es angekündigt, nun ist es endlich soweit: Wir haben heute als erster deutscher Telekommunikationsanbieter einen Transparenzbericht veröffentlicht.#more# Vorab hatten wir in einem Rechtsgutachten untersuchen lassen, ob dies deutschen Unternehmen trotz gesetzlicher Verschwiegenheitspflichten gestattet ist. Die Gutachter sind zu dem Schluss gekommen, dass das Veröffentlichen von Transparenzberichten zulässig ist, solange keine Ermittlungen gefährdet werden. Unterstützung für unseren Bericht haben wir von Hans-Christian Ströbele (MdB) erhalten: Er hatte die Bundesregierung Mitte April zur Rechtmäßigkeit von Transparenzberichten deutscher Anbieter befragt. Die Bundesregierung hat in ihrer Antwort die Ansicht unserer Gutachter bestätigt.

Unser Transparenzbericht dokumentiert alle Anfragen von Strafverfolgungsbehörden und Nachrichtendiensten, die wir im Jahr 2013 erhalten haben und informiert darüber, wie oft tatsächlich Daten herausgegeben wurden. Er enthält außerdem Informationen über die Art der Anfragen sowie über die Anzahl von Behördenersuchen mit formalen Mängeln. Im Rahmen des Berichtes machen wir auch einen Fall von Behördenwillkür öffentlich: Beamte des Staatsschutzes hatten im Juli 2013 eine Durchsuchung bei Posteo durchgeführt und versucht, uns zu einer rechtswidrigen Kooperation zu nötigen. Auch zu diesem Vorfall hatte Ströbele die Bundesregierung befragt. Er sagte heute zur Veröffentlichung: “Ich habe sehr aufmerksam zur Kenntnis genommen, dass heute das Berlin-Kreuzberger Unternehmen Posteo, das verschlüsselte E-Maildienste anbietet, als erster deutscher Dienst mutig einen detaillierten Transparenzbericht veröffentlicht hat über dort eingegangene Auskunftsersuchen deutscher Strafverfolger. Ich werde mich für eine Klarstellung der Rechtslage – entsprechend dem von Posteo eingeholten Rechtsgutachten – dahin einsetzen, dass Posteo und alle ähnlichen Unternehmen zukünftig außer statistischen Angaben auch Einzelinformationen über solche Ersuchen veröffentlichen dürfen, ohne dabei Sanktions-Androhungen zu befürchten.”

Behörden fragen vor allem nach Bestandsdaten
Deutsche Strafverfolgungsbehörden richteten im Jahr 2013 in sieben Fällen Anfragen zur Herausgabe von Nutzerdaten an uns. In allen Fällen wurde um die Bestandsdaten einzelner Nutzer ersucht. Diese Anfragen wurden von uns stets negativ beantwortet, da wir aus Gründen der Datensparsamkeit keine Bestandsdaten erheben. In einem Fall lagen weitere Ersuchen vor: Unter anderem Beschlüsse zur Beschlagnahmung und zur laufenden Überwachung (TKÜ) eines E-Mailpostfachs. Diesen musste Posteo nachkommen.

Nur zwei der insgesamt sieben Behördenersuchen um Bestandsdaten waren formal korrekt.
Mehr als zwei Drittel der Ersuchen wurde entweder nicht vorschriftsmäßig an uns übermittelt oder es wurden Daten abgefragt, die ohne einen richterlichen Beschluss gar nicht hätten abgefragt werden dürfen. Wegen zwei Fällen haben unsere Anwälte Beschwerde beim zuständigen Landesdatenschutzbeauftragten eingelegt.

Posteo ist ein sehr kleiner Anbieter. Wir haben im Jahr 2013 nur sieben Behördenanfragen erhalten. Uns geht es aber darum, hier Pionierarbeit zu leisten. Dass deutsche Anbieter bisher keine Transparenzberichte veröffentlichen, liegt auch an der nicht eindeutigen Rechtslage hierzulande. Deshalb hatten wir vorab ein Rechtsgutachten erstellen lassen und hoffen, dass andere Unternehmen nun nachziehen. Wir möchten etwas für die Bürgerrechte im Internet erreichen. Unser Rechtsanwalt Matthias Bergt, der Autor des Gutachtens erklärt die Rechtslage wie folgt: "Eigentlich verpflichten Gesetze wie das TKG oder das G10-Gesetz deutsche Unternehmen, Auskunftsersuchen geheim zu halten. Wer Informationen zu staatlichen Überwachungsmaßnahmen weitergibt, macht sich in vielen Fällen strafbar. Wir sind in unserem Gutachten aber zu dem Schluss gekommen, dass die Intention des Gesetzgebers nicht ist, ein allgemeines Verbot jeglicher Aussagen zu Behördenanfragen auszusprechen. Vielmehr geht es darum, eine Gefahrdung der Ermittlungen durch einzelfallbezogene Angaben zu vermeiden. Statistische Angaben wie sie Posteo in seinem Transparenzbericht macht, sind deshalb zulässig. Nicht erlaubt wäre es dagegen, einen Nutzer über eine erfolgte oder gar erst noch bevorstehende Auskunft zu seinem Namen und seiner Anschrift zu informieren.“
Wir freuen uns sehr, dass die Bundesregierung die Rechtsauffassung unserer Anwälte bestätigt hat. Denn nun kann sich kein Provider mehr auf die unklare Rechtslage berufen: Wer jetzt keinen Transparenzbericht veröffentlicht, will das nicht tun.

Staatsschutz-Beamte setzten Posteo unter Druck
Im Rahmen des Berichtes machen wir auch öffentlich, wie Beamte des Staatsschutzes im Juli 2013 eine Durchsuchung bei Posteo durchgeführt haben und versuchten, uns zu einer rechtswidrigen Kooperation zu nötigen. Als Druckmittel setzten sie einen angeblichen Beschluss zur Durchsuchung und Beschlagnahmung der gesamten Geschäftsunterlagen von Posteo ein – über den sie tatsächlich aber nicht verfügten. Die Beamten wollten unter anderem erreichen, dass wir für sie dokumentieren, mit welchen IP-Adressen sie (die Kunden von Posteo) beim Login auf ihre E-Mailadressen zugreifen (ähnlich einer Vorratsdatenspeicherung). Unsere Anwälte haben Strafanzeigen und Dienstaufsichtsbeschwerden gegen alle beteiligten Beamten und Richter gestellt.

Detaillierte Informationen zu diesem Vorfall finden Sie in unserer Strafanzeige gegen die beteiligten Beamten (im Transparenzbericht).

Wir hoffen, dass unsere Anzeigen bewirken, dass es bei Posteo künftig nicht mehr zu solchen Vorfällen kommt.
Auch in Zukunft werden wir bei Willkür stets Anzeige erstatten und uns auch für betroffene Nutzer einsetzen, wenn unserer Anwälte feststellen, dass ein Ersuchen nicht rechtskonform ist.

Hinweis: Wir können aus Kapazitätsgründen keine individuellen Fragen zu unserem Transparenzbericht beantworten oder eine Rechtsberatung leisten. Wir bitten um Verständnis.

Liebe Grüße,
Ihr Posteo-Team

Neu: Kontakte nach Nachnamen sortierbar

2014-04-23T16:00:00+02:00

Liebe Posteo-Nutzer,

wir haben heute eine neue Funktion freigeschaltet: Das Adressbuch kann im Webmailer ab sofort auch nach Nachnamen sortiert werden. #more# Viele von Ihnen hatten sich dies gewünscht. Die Sortierung Ihrer Adressbuch-Kontakte können Sie ab sofort in den Einstellungen Ihres Postfachs unter “Einstellungen” > “Adressbuch” ändern, indem Sie im Bereich “Sortierung” die Option “Nachname” auswählen.

Viele liebe Grüße,
Ihr Posteo-Team

Unser neues, erweitertes Zertifikat ist installiert

2014-04-17T09:10:00+02:00

Liebe Posteo-Nutzer,

bereits in der vergangenen Woche hatten wir wegen der Heartbleed-Sicherheitslücke unser Zertifikat gegen ein vorübergehendes neues Zertifikat ausgetauscht. Nun wurde auch unser neues Zertifikat, ein sogenanntes “Zertifikat mit erweiterter Überprüfung”, von der Zertifizierungsstelle beglaubigt. #more#
Das bedeutet, dass die Stelle unsere Identität bestätigt hat, nachdem Sie verschiedene Unterlagen von Posteo (Handelsregisterauszug, Gewerbeanmeldung, Schreiben von unserem Anwalt, Anruf bei uns und unserem Anwalt, Kopien von Kreditkarte und Personalausweis) geprüft hat.

Wir haben das Zertifikat nun ersetzt – das alte Zertifikat wurde widerrufen. Sie müssen Ihr Passwort nicht erneut ändern.

Das neue, erweiterte Zertifikat wird mit einer grün hinterlegten Adresszeile (vor unserer Internetadresse) ausgezeichnet. Klicken Sie darauf, wird Ihnen bestätigt, dass Sie wirklich auf unserer Webseite sind. Sie erfahren auch, wann unser Zertifikat ausgestellt wurde. Diese Information ist nach Heartbleed besonders wichtig. Mit dem erweiterten Zertifikat wollen wir Sie vor Betrug in Form von Phishingversuchen schützen. Erweiterte Zertifikate werden vor allem von Unternehmen eingesetzt, die mit sensiblen Daten umgehen, z.B. von Banken.

Unser neues Zertifikat entspricht den aktuellen Sicherheits-Standards und wurde mit dem SHA-256-Algorithmus signiert.

Falls Ihr Browser, Ihr Mailprogramm, Smartphone oder Tablet nach der Umstellung eine Fehlermeldung wegen eines ungültigen Zertifikates produzieren sollte, liegt dies nicht an einem Angriff oder einem Fehler. Ihr Programm hat dann lediglich noch das alte Zertifikat zwischengespeichert. Abhilfe sollte in den meisten Fällen ein Neustart des Programms oder Gerätes bringen.

Die “elektronischen Fingerabdrücke” unseres neuen Sicherheitszertifikates lauten:
SHA256: 80:2B:33:67:66:39:C4:27:27:29:D6:14:11:1E:2B:7F:CF:C1:3D:58:5E:B7:6B:26:A3:63:80:2E:56:77:C6:03
SHA1: 3A:89:D8:AD:DC:A7:23:5C:8F:44:E9:DD:2E:85:6A:31:D2:D3:C9:70
MD5: 96:F6:19:7E:BE:1F:26:18:CB:37:15:85:04:97:07:13

Sie finden die Fingerabdrücke auch in unserem Impressum. Diese Information ist nur für Nutzer relevant, die unsere Zertifikate manuell abgleichen.

Viele liebe Grüße,
das Posteo-Team

Heartbleed Bug: Bitte ändern Sie Ihr Passwort

2014-04-11T14:30:00+02:00

Liebe Posteo-Nutzer,

wir wenden uns mit einem wichtigen Sicherheitshinweis an Sie.

Wir hatten bereits am Dienstag in unserem Blog darüber informiert, dass eine sehr schwerwiegende Sicherheitslücke in der weit verbreiteten Verschlüsselungssoftware OpenSSL entdeckt wurde. Die Software wird weltweit von den meisten Internetdiensten eingesetzt, die Verbindungen aus Sicherheitsgründen verschlüsseln.#more#

Posteo hatte deshalb am Dienstag auf allen Servern die “reparierte” Version der Verschlüsselungsbibliothek eingespielt und einen neuen TLS-Schlüssel generiert.

Nach dem aktuellen Kenntnisstand waren Posteo-Nutzer vor dem nachträglichen Entschlüsseln von Verbindungen zwar geschützt, weil wir alle verschlüsselten Verbindungen zusätzlich mit der Technologie Perfect Forward Secrecy absichern.

Wir wollen aber “auf Nummer sicher gehen”.

Leider benötigt die Zertifizierungsstelle nun länger als angenommen, um unser neues – besonders sicheres – erweitertes Zertifikat zu beglaubigen. Deshalb haben wir heute Mittag einen Schnitt gemacht. Wir haben das alte erweiterte Sicherheitszertifikat nun zunächst durch ein neues herkömmliches Zertifikat ausgetauscht. Dieses vorübergehende neue Zertifikat wurde uns von einer anderen Zertifizierungstelle (SwissSign) umgehend ausgestellt.

Nun wenden wir uns mit folgender Bitte an Sie:

Wir haben die alten Zertifikate ausgetauscht.
Ändern Sie aus Sicherheitsgründen nun bitte Ihr Posteo-Passwort.

Dies ist eine präventive Vorsichtsmaßnahme.
Wir empfehlen Ihnen ausserdem, auch bei anderen Onlinediensten (z.B. bei Banken, Online-Shops und sozialen Netzwerken) Ihr Passwort zu ändern, sobald die Dienste nicht mehr anfällig für den “Heartbleed” Bug sind und ihre Zertifikate ausgetauscht haben.

Da OpenSSL so weit verbreitet ist, waren fast alle wichtigen Dienste und Seiten betroffen. Viele große Internetdienste rufen aktuell ihre Nutzer dazu auf, die Passwörter zu ändern. Bitte folgen Sie diesem Rat.
Bei dem Heartbleed Bug handelt es sich um ein sehr schwerwiegendes Sicherheitsproblem, dass alle Internetnutzer ernst nehmen sollten.

Sobald unser neues, erweitertes Sicherheitszertifikat eintrifft, werden wir die Zertifikate erneut austauschen und darüber in unserem Blog (in der Kategorie “Info”) informieren. Es ist nicht notwendig, das Passwort nach diesem Zertifikatetausch noch einmal zu ändern.

Die folgenden Informationen sind nur für Nutzer relevant, die unsere
Fingerprints manuell abgleichen:

Die Fingerprints des aktuellen Zertifikats lauten:
SHA1: 73:F0:49:85:ED:15:66:FD:2C:D8:4A:93:51:08:D7:15:93:71:3D:E6
MD5: 2F:CB:9E:2F:DB:40:59:E2:72:13:D1:6F:0D:00:40:99

Viele liebe Grüße,
Ihr Posteo-Team

BSI-Reaktion: Posteo informiert betroffene Nutzer

2014-04-09T11:00:00+02:00

Liebe Posteo-Nutzer,

nun ging alles sehr schnell: Noch vorgestern hatten wir darüber berichtet, dass das BSI kleinen Anbietern wie Posteo leider nicht mitteilt, welche ihrer Nutzer vom aktuellen Datendiebstahl betroffen sind.#more# Die Behörde hatte diese Auskünfte nur Providern mit mehr als 20.000 betroffenen Postfächern erteilt.

Nun hat die Behörde auf unsere Nachfragen reagiert. Das BSI hat uns heute morgen eine Liste der betroffenen Postfächer (verschlüsselt) übermittelt. Wir haben die betroffenen Nutzer umgehend per E-Mail informiert.

Wenn Sie bisher keine E-Mail von uns erhalten haben, ist Ihr Posteo-Postfach deshalb sicher nicht betroffen. Sie müssen die BSI-Testseite nicht mehr aufsuchen und dort Ihre E-Mailadresse eingeben, um Gewissheit zu bekommen.

Insgesamt wurden uns 22 E-Mailadressen übermittelt. Drei davon gibt es nicht mehr.

Drei weitere waren Alias-Adressen. Mit erbeuteten Alias-Adressen ist bei Posteo aus Sicherheitsgründen aber keine Anmeldung möglich. Deshalb empfehlen wir unseren Nutzern, sich bei Online-Diensten und Shops bevorzugt mit Alias-Adressen anzumelden.

Über keines der übrigen 16 Postfächer wurde in den vergangenen 7 Tagen tatsächlich Spam versandt.

Datendiebe können auf ganz unterschiedlichen Wegen an Zugangsdaten gelangen. Zum Beispiel, indem Sie Anmeldedaten bei Online-Shops oder sozialen Netzwerken entwenden. Oder, indem Sie sich über Schadprogramme Zugang zu Geräten verschaffen. Es ist deshalb nicht sicher, in wievielen Fällen tatsächlich eine gültige Kombination aus einer E-Mailadresse und einem dazu gehörenden Passwort erbeutet wurde.

Für die Zukunft würden wir uns wünschen, dass das BSI auch kleineren E-Mailanbietern dieselben konkreten Auskünfte erteilt, wie den großen Providern. stern.de berichtet heute, das BSI wolle nun im Einzelfall klären, ob eine Datenweitergabe an kleinere E-Mail-Anbieter möglich sei. Ein Mitarbeiter des BSI wird wie folgt zitiert: “Leider gibt es keinen Gesamtüberblick: Wer ist Provider und wer nicht?”

Dazu möchten wir Folgendes anmerken: Wer in Deutschland E-Maildienstleistungen für die Öffentlichkeit erbringt, muss dies der Bundesnetzagentur mitteilen.

Liebe Grüße,
Ihr Posteo-Team

Posteo zum "Heartbleed"-Bug

2014-04-08T14:15:00+02:00

Liebe Posteo-Nutzer,

gestern wurde eine schwerwiegende Sicherheitslücke in der weit verbreiteten Verschlüsselungssoftware OpenSSL entdeckt. Die Software wird weltweit von den meisten Internetdiensten eingesetzt, die Verbindungen aus Sicherheitsgründen verschlüsseln. Die Entwickler von OpenSSL haben inzwischen ein Update ihrer Verschlüsselungsbibliothek veröffentlicht.#more#

Die neue Version enthält den Fehler nicht mehr. Allen besorgten Nutzern möchten wir auf diesem Wege Folgendes mitteilen: Posteo hat heute Vormittag auf allen Servern die “reparierte” Version der Verschlüsselungsbibliothek eingespielt und die Dienste neu gestartet.

Damit ist Posteo – nach dem aktuellen Wissensstand – nicht mehr von der Sicherheitslücke betroffen. Sollten in den kommenden Stunden und Tagen neue Informationen öffentlich werden, reagieren wir im Hintergrund umgehend auf diese Erkenntnisse. Es ist nicht notwendig, uns im Support mit neuen Informationen zu versorgen.

Wir möchten darauf hinweisen, dass Posteo alle Verbindungen zusätzlich mit der Technologie Perfect Forward Secrecy (PFS) absichert. Nach dem aktuellen Kenntnisstand schützt das Verwenden von PFS vor der nachträglichen Entschlüsselung durch potentielle Angreifer – auch, wenn diese den gestern bekannt gewordenenen Bug ausgenutzt haben sollten.

Wir haben als Konsequenz aus der Sicherheitslücke ausserdem bereits einen neuen TLS-Schlüssel generiert. Dieser muss nun von der Zertifizierungsstelle beglaubigt werden. Sobald der neue Schlüssel verfügbar ist, werden wir den Schlüssel austauschen und Ihnen die neuen Fingerprints mitteilen (im Blog und im Impressum). Diese Information ist nur für Nutzer relevant, die unsere Fingerprints manuell abgleichen.

Viele liebe Grüße,
Ihr Posteo-Team

Datendiebstahl: BSI informiert kleine Anbieter nicht

2014-04-07T17:00:00+02:00

Liebe Posteo-Nutzer,

wir haben in den vergangenen Tagen zahlreiche Anfragen von verunsicherten Nutzern erhalten. Sie wollten erfahren, ob sie vom Datendiebstahl betroffen sind, der in der vergangenen Woche bekannt wurde. Medienberichten zufolge wurden insgesamt 18 Millionen Zugangsdaten für E-Mailpostfächer entwendet.#more#

Wir würden unsere Nutzer sehr gerne darüber informieren, ob sie betroffen sind – und bemühen uns intensiv, Kontakt zu Verantwortlichen im BSI herzustellen. Bisher leider ohne Erfolg.

Das BSI hat uns bisher nicht mitgeteilt, ob – und wenn ja, wieviele bzw. welche Posteo-Postfächer vom aktuellen Datendiebstahl betroffen sind. Inzwischen wurde uns von der Pressestelle mitgeteilt, dass diese Auskünfte nur E-Mailanbietern erteilt wurden, bei denen mehr als 20.000 Postfächer betroffen sind. Diese (sehr großen) Anbieter haben nun die Möglichkeit, alle betroffenen Kunden adäquat zu informieren.

Da bei Posteo nur wenige Nutzer betroffen sein dürften, wurden wir nicht informiert. Deshalb haben wir zurzeit auch keine Möglichkeit, eventuell betroffene Posteo-Nutzer aufzuklären.

Das würden wir aber gerne: Deshalb versuchen wir weiter, Kontakt zu den Verantwortlichen im BSI herzustellen. Auch bei einer geringen Anzahl von Betroffenen möchten wir gerne dieselben konkreten Auskünfte erhalten wie die großen Provider.

Was können Posteo-Nutzer bis dahin tun?

Das BSI empfiehlt verunsicherten Nutzern, auf der Testseite des BSI selbst zu überprüfen, ob Ihre Adresse betroffen ist. Das BSI gibt an, dass während des Tests die eingegebene E-Mailadresse sowie ein Hash Ihrer IP-Adresse dort gespeichert wird. Die Behörde versichert aber auch, dass alle personenbezogenen Daten, die bei der Nutzung des Tests erhoben werden, vollständig gelöscht werden, “sobald sie zur Durchführung des Tests nicht mehr benötigt werden”. Die angegebene E-Mail-Adresse werde zu “keinem anderen Zweck als zur Durchführung des Sicherheitstests verwendet”. Leider erhalten Sie bei diesem Test nur dann eine Antwort, wenn Ihre E-Mailadresse sicher betroffen ist. Wenn Ihre E-Mailadresse nicht betroffen ist, gibt es keine Entwarnung. Diese Lösung ist unbefriedigend, weil natürlich auch ein technischer Fehler eine Antwort verhindern könnte.
Wenn Sie verunsichert sind, empfehlen wir Ihnen – unabhängig vom BSI-Test -, einfach Ihr Passwort zu ändern.

Liebe Grüße,
Ihr Posteo-Team

Posteo zur Mär von der "Abhör-Schnittstelle"

2014-01-29T18:05:00+01:00

Liebe Posteo-Nutzer,

in diesem Blogbeitrag geht es um ein Thema, das viele von Ihnen verunsichert und zu dem wir aktuell zahlreiche Anfragen erhalten. Es geht darum, auf welche Art deutsche E-Mailanbieter Daten an Ermittlungsbehörden übergeben, wenn ein richterlicher Beschluss zur Herausgabe oder Überwachung eines E-Mailpostfachs vorliegt. #more#

Die Computerzeitschrift c`t schreibt hierzu in Ihrer aktuellen Ausgabe (4/2014):

“E-Mailprovider mit mehr als 10.000 Kunden müssen eine so genannte SINA-Box betreiben, die den Mailverkehr aller Kunden ausleiten kann, ohne dass es der Provider oder der Kunde bemerkt.”

Das ist falsch. Es ist deutschen Behörden nicht möglich, ohne das Wissen eines Providers auf E-Mails von Nutzern zuzugreifen. Und eine SINA-Box hat keinen Zugriff auf die Systeme eines Providers.
Wir haben die Redaktion um Richtigstellung gebeten. Sie hat den Fehler inzwischen eingeräumt und eine Richtigstellung im c’t-Blog veröffentlicht. Da wir nicht alle Anfragen persönlich beantworten können, möchten wir nun an dieser Stelle darüber informieren, wie es sich mit der SINA-Box verhält:

Bei Posteo steht bisher keine SINA-Box.
In der Telekommunikations-Überwachungsverordnung gibt es die Pflicht für Telekommunikations-Anbieter, ab einer Teilnehmerzahl von 10.000 einen speziellen Computer (SINA-Box) aufzustellen. Bei uns ist nicht zweifelsfrei zu sagen, wieviele Teilnehmer unser Dienst hat, da wir keine Bestandsdaten unserer Nutzer erheben. Wir wissen nur die Anzahl der Postfächer.

Wir werden sicher irgendwann eine SINA-Box anschaffen müssen – die Einschätzung des richtigen Zeitpunkts überlassen wir unseren sehr erfahrenen Anwälten, die für verschiedene Telekommunikations-Unternehmen SINA-Lösungen mit der Bundesnetzagentur verhandeln. Das ist aber eher ein finanzielles Ärgernis. Die Sicherheit der Daten unserer Nutzer wird dadurch nicht gemindert. Davon sind wir inzwischen, nach einer intensiven Auseinandersetzung mit diesem Thema (u.a. mit Anwälten und Behörden), überzeugt – und können Ihnen dies versichern.

Eine SINA-Box ist ein Computer, der eine verschlüsselte Verbindung zu den berechtigten Behörden aufbaut, ein so genanntes VPN. Wir hätten zwar keinen Zugriff auf die SINA-Box. Aber die Behörden hätten über die SINA-Box umgekehrt auch keinen Zugriff auf unsere Server oder auf unseren Netzwerkverkehr.
Im Gegenteil: Die Behörde hätte keinen Zugriff auf unsere Server. Sie würde uns aber die Möglichkeit geben, den Inhalt eines Postfachs über die SINA-Box auf einem Behörden-Server abzuspeichern, wenn ein Richter die Herausgabe/Überwachung eines Postfachs angeordnet hätte.
Auf diesen hätten wir danach keinen Zugriff mehr, sondern nur die Behörde. Allerdings würden sich auf diesem Computer ausschließlich die Daten befinden, die wir selbst (Posteo) dort hinterlegt hätten.
-———
Anmerkung: Die c`t schreibt, dass über eine SINA-Box der Mailverkehr aller Kunden ausgeleitet werden kann, ohne dass es der Provider oder der Kunde bemerkt.
Das ist falsch.
-———
Auch der Behördencomputer (hinter der SINA-Box) wäre, ebenso wie die SINA-Box selbst, weder mit unseren Servern verbunden, noch würde er Zugriff auf unsere Server ermöglichen. Es geht den Behörden sogar im Gegenteil darum, ein absolut abgeschottetes System aufzustellen, damit Dritte keine Möglichkeit erhalten, Daten mitzulesen, die wir manuell übergeben müssten. Wenn ein richterlicher Beschluss vorliegt, müssten wir über diesen Computer Kopien der Daten zur Verfügung stellen, also z.B. indem wir die Daten per FTP-Zugriff an die Behörde übertragen (einseitig durch uns).

Schon jetzt, auch ohne SINA-Box, sind wir dazu verpflichtet, auf einen richterlichen Beschluss hin die Daten eines Postfachs herauszugeben, worauf wir in unserer Datenschutzerklärung auch hinweisen. Dazu ist jeder E-Mailanbieter in Deutschland ab dem ersten Nutzer verpflichtet.

Der Gesetzgeber hat die Hürde zur Herausgabe von Inhalten recht hoch gelegt: Ihre E-Mails unterliegen dem Fernmeldegeheimnis.
Da wir Postfächer niemals freiwillig herausgeben (§ 94 Abs. 1 StPO), sondern Anfragen stets förmlich widersprechen, muss eine strafrechtliche Beschlagnahme eines Posteo-Postfachs durch einen Richter angeordnet werden (§ 94 Abs. 2 StPO, § 98 Abs. 1 S. 1 bzw. Abs. 2 S. 1 StPO). Eine strafrechtliche TKÜ-Anordnung zur Überwachung eines Postfachs kann ausschließlich bei bestimmten schweren Straftaten erwirkt werden – nicht bei Ordnungswidrigkeiten o.ä. Die gesetzliche Regelung hierzu finden Sie z.B. hier. Der richterliche Beschluss muss von den Behörden bei uns (dem Provider) vorgelegt werden und wird durch unsere Anwälte auf Umfang und formale Korrektheit geprüft, bevor wir Daten ausleiten.

Der Provider händigt Daten nach Vorlage eines richterlichen Beschlusses also selbst aus. Der Kunde darf über eine TKÜ-Anordnung nicht informiert werden. Das ist verboten, damit würden wir uns strafbar machen.

Aktuell müssten wir z.B. eine DVD mit dem Postfach-Inhalt an die abfragende Stelle schicken – über die aufgestellte Sina-Box haben die Behörden die Daten schneller und sicherer. Sonst gibt es keinen Unterschied zum bisherigen Vorgehen. Und auch keine darüber hinausgehenden Möglichkeiten der Behörden, auf Daten unserer Nutzer zuzugreifen.

Wir würden gerne so bald wie möglich einen Transparenzbericht zur Anzahl von Behördenanfragen herausgeben. Dies würde der allgemeinen Verunsicherung sicher entgegenwirken. Leider ist noch nicht abschließend geklärt, ob dies nach deutschem Recht überhaupt zulässig ist. Eventuell würden wir uns mit dem Veröffentlichen eines Transparenzberichtes strafbar machen. Wir lassen hierzu gerade ein Rechtsgutachten erstellen. Wir werden in Kürze ausserdem eine Seite bereitstellen, auf der wir über rechtliche Fragen informieren, die uns häufig erreichen.

Wir hoffen, wir konnten mit diesem Beitrag zur Klärung beitragen.

Viele liebe Grüße sendet,
das Posteo-Team

PS: Hier finden Sie ein Dokument mit häufigen Fragen des Herstellers von SINA-Boxen.

Grüße zum Jahreswechsel

2013-12-31T20:00:00+01:00

Liebe Posteo-Nutzer,

wir wünschen Ihnen Alles Gute für das Jahr 2014 – und möchten uns ganz herzlich bei allen bedanken, die uns in diesem Jahr unterstützt, Vertrauen entgegengebracht und uns weiterempfohlen haben. #more#

Das vergangene Jahr war sehr ereignisreich für uns. Die Enthüllungen von Edward Snowden bzw. der NSA-Skandal haben viel Aufmerksamkeit auf unser kleines Projekt gelenkt. Das war sehr anstrengend, aber wir nehmen die Herausforderung und die Verantwortung gerne an.

Posteo steht am Ende des abgelaufenen Jahres deutlich solider da als zuvor. Das Wachstum ermöglicht uns, auch sehr anspruchsvolle Vorhaben zeitnah umzusetzen, ohne auf Fremdfinanzierung angewiesen zu sein. So haben wir in den vergangenen Monaten unsere Server noch sicherer gemacht, zusätzliche Verschlüsselungsoptionen eingeführt (Kalender- und Adressbuch) und arbeiten inzwischen mit einem Team sehr erfahrener Linux-Administratoren zusammen. Auch lassen wir uns nun intensiv von Anwälten betreuen, die auf E-Maildienstleistungen spezialisiert sind. Sie vertreten unsere Interessen kompetent und engagiert – und stärken damit Ihr Recht auf informationelle Selbstbestimmung.

Wir haben in den vergangenen Monaten ein sehr professionelles Entwickler-Team zusammengestellt, das nun an zusätzlichen Verschlüsselungsoptionen arbeitet. Wir hoffen, noch im Frühjahr mit den ersten Tests zur individuellen Verschlüsselbarkeit der E-Mailpostfächer (mithilfe Ihrer Passwörter) beginnen zu können. Auch am Kalender und in vielen anderen Bereichen wird fleissig gearbeitet, um Posteo weiter zu verbessern und den Unterbau flexibler zu gestalten.

Unser Support-Team ist ebenfalls gewachsen. Es wird Ihnen auch im kommenden Jahr kompetent und zeitnah Hilfestellung bei all Ihren Problemen bieten. Ausserdem sitzt es daran, unsere Hilfe-Seiten auszubauen und zu überarbeiten. So werden wir in Kürze alle Beiträge zu E-Mailprogrammen um konkrete Anleitungen und Tipps zu Verschlüsselung per PGP und S/Mime erweitern. Diese Art der Verschlüsselung ist zwar mit einem gewissen Mehraufwand für Sie verbunden, stellt aber einen weiteren und zuverlässigen Schutz gegen unbefugte Mitleser dar.

Die Politik reagiert leider anders auf die Enthüllungen von Edward Snowden, als von uns erhofft – und möchte die anlasslose und flächendeckende Vorratsdatenspeicherung wieder einführen. Deswegen werden wir uns im neuen Jahr politisch vor allem gegen die Wiedereinführung der Vorratsdatenspeicherung einsetzen. Neben unserem und dem Engagement unseres Rechtsbeistands wird es hier auch auf Sie ankommen: Die Vorratsdatenspeicherung wird kommen, wenn es keinen gesellschaftlichen artikulierten Widerspruch dagegen gibt.

Viele liebe Grüße,
das Posteo-Team

Neu: Newsletterfunktion

2013-11-25T10:30:00+01:00

Liebe Posteo-Nutzer,

wir haben eine neue Funktion für Sie bereitgestellt:

Ab sofort haben Sie die Möglichkeit, Nachrichten aus unserem Bereich “Aktuelles” als Newsletter zu abonnieren. #more#

In den Einstellungen Ihres Postfachs können Sie unter “Newsletter” festlegen, ob Sie Nachrichten aus den verschiedenen Kategorien unseres Blogs künftig per E-Mail erhalten möchten. Abonnierte Nachrichten lassen sich jederzeit wieder abbestellen, indem Sie das Häkchen in der jeweiligen Kategorie wieder entfernen und Ihre Eingabe speichern.

Für alle Nutzer voreingestellt ist ab sofort das Abonnement der Kategorie “Wichtige Infos”. In dieser Kategorie informieren wir ausschliesslich über wichtige Dinge, die Ihr Posteo-Postfach betreffen – wie z.B. über anstehende Wartungsarbeiten oder mögliche AGB-Änderungen. Sie haben die Möglichkeit, auch diese Nachrichten in den Einstellungen unter “Newsletter” wieder abzubestellen.

Hinweis: Wir versenden grundsätzlich keine Werbe-Mails, wenn Sie unsere Blog-Nachrichten abonnieren.

Viele liebe Grüße sendet,
das Posteo-Team

Mehrere Kalender für Mobilgeräte
und externe Programme

2013-10-16T16:00:00+02:00

Liebe Posteo-Nutzer,

wir haben in den vergangenen Monaten zahlreiche E-Mails erhalten, in denen wir darum gebeten wurden, mehrere Kalender bereitzustellen.

Ein erster Schritt ist nun geschafft: Sie können ab sofort mehrere Kalender bei Posteo nutzen, wenn Sie mit einem Mobilgerät oder externen Programmen arbeiten. Es ist möglich, bis zu 20 Kalender anzulegen und per CalDAV auf diese zuzugreifen. Da die Kalender sehr ressourcenintensiv sind, gilt: Drei Kalender sind ohne Aufpreis im Postfach enthalten. Jeder weitere Kalender wird mit 0,10 EUR pro Monat berechnet.

Achtung: Zusätzliche Kalender lassen sich aktuell nur mit externen Programmen oder Mobilgeräten nutzen. Im Webmailer ist dies noch nicht möglich. Wir arbeiten daran, diese Funktion baldmöglichst zur Verfügung zu stellen.

Sie finden die Funktion unter “Einstellungen”→“Kalender”.
Kalender lassen sich jeweils (lesend) mit anderen teilen.
In der Hilfe von uns finden Sie weitere Informationen zur Einrichtung Ihrer Programme und Geräte.

Viele liebe Grüße sendet,
das Posteo-Team

Umstellung auf PFS abgeschlossen

2013-10-16T14:00:00+02:00

Liebe Posteo-Nutzer,

seit Bekanntwerden des NSA-Skandals haben wir an vielen Stellen unser Sicherheitskonzept erweitert und unsere Server weiter abgesichert. Unter anderem haben wir im Sommer damit begonnen, die Technologie Perfect Forward Secrecy (PFS) einzuführen, die das nachträgliche Entschlüsseln von SSL-Verbindungen durch unbefugte Dritte wirksam verhindern kann.

Seit Anfang August unterstützen wir PFS bereits für die meisten Browser. Nun ist die Umstellung unserer Server abgeschlossen und PFS wird von Posteo für alle gängigen Browser angeboten. Dies gilt, mit einer Ausnahme, auch für den Internet Explorer: Alle Versionen des Internet Explorers unter Windows XP unterstützen PFS nicht. Wir können dies nicht beeinflussen. Wir empfehlen WindowsXP-Nutzern deshalb, aus Sicherheitsgründen auf andere Browser zurückzugreifen und nicht den Internet Explorer zu verwenden.

Die Sicherheit unseres SSL-Zertifikats können Sie auch selbst auf der unabhängigen Testseite der Qualys-Labs überprüfen: https://www.ssllabs.com/ssltest/analyze.html?d=posteo.de

Viele liebe Grüße sendet,
das Posteo-Team

Neu: Verschlüsselung der Handynummern

2013-08-30T13:30:00+02:00

Liebe Posteo-Nutzer,

wir haben eine neue Sicherheitsfunktion umgesetzt. Sie müssen nichts weiter tun, dies ist nur eine Information. #more#
Die Handynummern, die bei uns für das Zurücksetzen von Passwörtern hinterlegt werden können, liegen nun verschlüsselt in unserer Datenbank. Für uns ist Ihre Nummer also nicht mehr einsehbar – und auch unser System kann sie nicht mehr lesen.

Trotzdem funktioniert das Zurücksetzen des Passwortes weiterhin.

Wenn Sie Ihr Passwort vergessen haben, müssen Sie ab sofort neben Ihrer Posteo-Adresse auch Ihre Handynummer eingeben. Sobald Sie ihre Handynummer eingegeben haben, wiederholt unser System die Verschlüsselung der Handynummer und vergleicht das Ergebnis mit dem bei uns in der Datenbank verschlüsselten Wert. Nur wenn dieser übereinstimmt und damit sicher ist, dass es sich um die richtige Handynummer handelt, schickt Ihnen unser System eine SMS mit einem neuen Passwort an die eingegebene Handynummer zu.

Die Handynummern sind nun ähnlich abgelegt wie die Passwörter: Sie liegen als gesalteter Hash in der Datenbank. Nur die letzten drei Ziffern jeder Nummer speichern wir unverschlüsselt, damit Sie eine Chance haben, die von Ihnen hinterlegte Nummer zu erkennen, falls sich Ihre Nummer einmal ändern sollte.

Bisher war es aus Sicherheitsgründen nur möglich, Passwörter einmal pro Monat zurükzusetzen.
Im Zuge der Umstellung ist diese Limitierung nun weggefallen. Nach dem Versand einer SMS können Sie nun schon nach 30 Minuten eine Weitere anfordern. Dies ist notwendig, wenn Sie die SMS einmal versehentlich gelöscht haben sollten, es Netzprobleme beim Versand gab oder die SMS aus anderen Gründen nicht angekommen sein sollte.

Bisher mussten Nutzer sich in solchen Fällen an unseren Support wenden. Dies ist nun nicht mehr notwendig.

Posteo ist mit dieser Umstellung wieder ein wenig sicherer geworden, weil wir nun noch weniger von Ihnen wissen.

Viele freundliche Grüße sendet,
das Posteo-Team

Posteo unterstützt Demoaufruf "Freiheit statt Angst"

2013-08-21T10:45:00+02:00

Ein breites gesellschaftliches Bündnis ruft zu einer Großdemonstration für Freiheitsrechte, für einen modernen Datenschutz und für ein freies Internet auf: Am Samstag, den 7. September 2013, protestiert das Bündnis in Berlin unter dem Motto “Freiheit statt Angst” in Berlin für eine offene Gesellschaft und gegen den ausufernden Überwachungswahn. #more#

Posteo unterstützt den Aufruf zur Demonstration “Freiheit statt Angst” auch in diesem Jahr. Seit den Enthüllungen um Prism, Tempora und Co. steht fest: Es ist heute wichtiger denn je, für Bürgerrechte auf die Straße zu gehen und diese einzufordern.

Die Überwachung stellt alle Bürgerinnen und Bürger unter Generalverdacht. Die Unschuldsvermutung wird zunehmend zu einem Lippenbekenntnis aus vergangener Zeit. Überwachungsstrukturen und Datenhalden sind missbrauchsanfällig und bilden ein Sicherheitsrisiko.

Die Massenüberwachung gefährdet die freie Gesellschaft.

Wer sich ständig überwacht und beobachtet fühlt, kann sich nicht mehr unbefangen bewegen und freizügig seine Rechte ausüben. Überwachung schadet nicht nur Minderheiten und jedem Einzelnen von uns, sondern behindert auch massiv die Arbeit und das Engagement von Privatpersonen und Organisationen der Zivilgesellschaft. Überwachung, Misstrauen und Angst erzeugen schrittweise eine Gesellschaft unkritischer Bürger und Bürgerinnen, die “nichts zu verbergen” haben, und dem Staat gegenüber – zur vermeintlichen Gewährleistung einer totalen Sicherheit – gehorsam ihre Freiheitsrechte aufgeben. Eine solche Gesellschaft wollen wir nicht.

Wir wollen eine freie, demokratische und offene Gesellschaft. Solch eine Gesellschaft kann ohne private Räume und ungehinderte Kommunikation nicht existieren. Wir streiten für ein freies Internet, ohne Diskriminierung einzelner Inhalte und für den Schutz der Meinungs- und Pressefreiheit im Internet weltweit. Unsere Privatsphäre ist unabdingbarer Bestandteil unserer menschlichen Würde – und zwar in allen Lebensbereichen. Wir fordern ein Ende des Überwachungswahns.

Treffpunkt für die diesjährige Demonstration “Freiheit statt Angst 2013″ ist am Samstag, 7. September um 13.00 Uhr der Alexanderplatz in Berlin-Mitte.

Informationen zur Demonstration, sowie zur An- und Abreise erhalten Sie unter: http://blog.freiheitstattangst.de

Verschlüsselung bei Posteo

2013-08-13T22:00:00+02:00

Liebe Nutzer und Interessierte,

es gibt eine aktuelle dpa-Meldung (u.a. hier) zum Thema E-Mailsicherheit, in der wir lobend erwähnt werden. Leider aber mit falschen, zu positiven Fakten. #more#
Im Artikel heisst es:
“Eine Ausnahme ist zum Beispiel Posteo: Der Anbieter verspricht, die Nachrichten mit dem Nutzerpasswort verschlüsselt abzuspeichern.”

Das Versprechen wir jedoch nicht. Auch haben wir dies bisher nicht öffentlich angekündigt. Tatsächlich arbeiten wir daran, sind aber mit dieser Funktion noch nicht fertig. Wir möchten eine zusätzliche Verschlüsselung der E-Mails in Zukunft bereitstellen. Wir bieten bisher die Verschlüsselung der Adressbuch- und Kalenderdaten mit dem persönlichen Passwort des Nutzers an (AES). Diese Funktion war einfacher umzusetzen, deswegen haben wir damit begonnen. Für solche Funktionen gibt es keine Standardsoftware, wir müssen diese Lösungen selbst programmieren.

Die Mails liegen bei uns aktuell auf vollverschlüsselten Festplatten und Servern, sind aber selbst nicht verschlüsselt. Auch der Zugriff erfolgt verschlüsselt, dies schützt wirksam vor dem Mitlauschen unbefugter Dritter. Das gilt auch, wenn Sie ein lokales Mailprogramm oder ein Mobilgerät benutzen, weil die Verbindungen zu Posteo nur verschlüsselt aufgebaut werden kann (unverschlüsselte Verbindungen zu Clientsystemen bieten wir nicht an).

Auch werden wir gerade sehr oft gefragt, ob wir eine Ende-zu-Ende Verschlüsselung per PGP oder S/Mime im Webmailer anbieten oder dies planen. Wir bieten bisher keine Ende-zu-Ende Verschlüsselung im Webmailer an, wollen sie aber künftig gerne bereitstellen. Dies ist allerdings ebenfalls anspruchsvoll, weil die privaten Schlüssel der Nutzer hierbei auf unserem Server liegen würden. Wir wollen deshalb eine Lösung anbieten, bei der wir als Betreiber keinen Zugriff mehr auf den dafür notwendigen privaten Schlüssel unserer Nutzer erlangen können. Dies könnte ähnlich wie die Verschlüsselung der Adress- und Kalenderdaten ablaufen. Aber auch hier gilt: Es gibt aktuell sehr hohe Erwartungen an uns, wir sind aber immer noch ein sehr kleines Team und brauchen Zeit für Entwicklungen. Es wird also noch eine Weile dauern, bis wir diese zusätzlichen Verschlüsselungsoptionen anbieten können.
Bis dahin können Sie Ende-zu-Ende-Verschlüsselung mit Posteo auf nahezu allen Betriebssystemen mit so gut wie jedem E-Mailprogramm benutzen – auch auf den allermeisten Mobilplattformen. Wir werden demnächst unsere Hilfe um entsprechende Anleitungen erweitern.

Liebe Grüße,
das Posteo-Team

"Perfect Forward Secrecy" bei Posteo

2013-08-12T13:00:00+02:00

Liebe Nutzer, liebe Interessierte,

es tut uns leid, dass wir erneut einen sehr technischen Beitrag veröffentlichen müssen. #more#
Wir erhalten aktuell sehr viele Support-Anfragen zum Thema Perfect Forward Secrecy bei Posteo.
Die Fachbegriffe TLS/SSL und PFS erklären wir unter dem Artikel.

In der heute veröffentlichten Ausgabe der Computerzeitschrift c’t werden die TLS-Verschlüsselungen verschiedener Mailanbieter auf das sicherheitsrelevante Merkmal PFS (Perfect Forward Secrecy) untersucht. Erfreulicherweise werden wir neben den großen Anbietern erwähnt – und schneiden dabei auch gut ab. Unerfreulich ist jedoch, dass die Angaben zu uns an einer Stelle falsch sind. In der c`t steht, dass wir PFS zwar auf Mailserver-Ebene unterstützen würden, nicht aber im Webmailer. Das ist nachweislich falsch. [UPDATE] Die c’t hat über folgende Heise News-Meldung die Darstellung aktualisiert. [/UPDATE]

Die Umstellungen unserer Server zur Einführung von PFS haben sich offensichtlich zeitlich mit den Tests der c’t-Redaktion überschnitten. Wir bedauern, dass die Redaktion bei so einem aktuellen Thema nicht zeitnaher getestet hat. Auch wäre es möglich gewesen, uns zu kontaktieren und zu PFS zu befragen.

Wir unterstützen PFS seit dem 02.08. für alle Browser – mit Ausnahme des Internet Explorers. Seit Ende Juni arbeiten wir an der Umsetzung von PFS. Ende Juli haben wir PFS im Webmailer bereits für alle Browser unterstützt, die TLS 1.2 fähig sind (iOS und Opera, wenn in Opera manuell TLS1.2 aktiviert wurde). Seit dem 02. August unterstützen wir PFS generell für alle gebräuchlichen Browser – mit Ausnahme des Internet Explorers. Um den Internet Explorer zu unterstützen, müssen wir noch weitere Updates vornehmen, die bald umgesetzt sein werden. Der Internet Explorer wird für 10% der Zugriffe auf unser System genutzt – 90% der Zugriffe auf unseren Webmailer erfolgen seit Anfang August sicher mit PFS (automatisch: Sie müssen nichts einstellen).

Es lässt sich übrigens sehr leicht überprüfen, für welche Browser wir PFS bereits unterstützen. Sie können auf der unabhängigen Testseite der Qualys-Labs jederzeit die Sicherheit unseres Sicherheits-Zertifikats selbst überprüfen: https://www.ssllabs.com/ssltest/analyze.html?d=posteo.de Im Bereich “Handshake Simulation” bedeutet ein “FS” hinter dem jeweiligen Browser, dass PFS von uns mit diesem Browser unterstützt wird.

Viele liebe Grüße sendet,
das Posteo-Team

Begriffserläuterungen:
TLS ersetzt seit Version 3.0 namentlich das SSL-Protkoll. TLS ist also einfach nur die Weiterentwicklung von SSL. Gemeint ist damit ein Verfahren zur sicheren, verschlüsselten Datenübertragung im Internet. Wenn Sie auf eine Webseite zugreifen oder eine E-Mail verschicken und diese Daten werden über eine mit TLS gesicherte Verbindung geleitet, kann niemand diese Daten mitlesen.

Ohne die PFS-Funktion könnte man den per TLS verschlüsselten Verkehr aufbewahren und alle Inhalte im Nachhinein entschüsseln, falls die Entschlüsselung einmalig gelingt und der geheime Schlüssel bekannt würde. Mit dem Einsatz von PFS kann dies effektiv ausgeschlossen werden. Beim Einsatz von PFS einigen sich die beiden Verschlüsselungspartner jeweils neu auf einen geheimen Sitzungsschlüssel für die Verbindung, der nicht ausgetauscht werden muss und im Nachhinein automatisch zerstört wird. Dazu wird das Diffie-Hellmann-Prinzip benutzt.

Endlich: Verbindungsverschlüsselung
auch bei anderen Mailanbietern

2013-08-09T18:00:00+02:00

Liebe Posteo Nutzer,

wir haben erfreuliche Neuigkeiten zu vermelden: #more#
Die großen deutschen Mailprovider gmx, web.de und t-online haben heute endlich bekannt gegeben, dass sie die serverseitige Verschlüsselung der E-Mailkommunikation (SSL) aktiviert haben.

Wie Sie evt. bereits wissen, versendet und empfängt Posteo E-Mails standardmäßig über eine mit SSL verschlüsselte Verbindung, wenn der Empfängerserver dies ebenfalls unterstützt. Ist dies der Fall, handeln die Server miteinander eine verschlüsselte Verbindung aus, so dass die Mails sicher übertragen werden. Diese Art der Verschlüsselung arbeitet im Hintergrund, ohne dass Sie oder der Empfänger Ihrer Nachrichten irgendetwas tun müssen. Das geht, weil wir beim Versand den Übertragungsweg verschlüsseln, über den die Mail gesendet wird. Nicht die Mail selbst.

Das Problem hierbei war bisher: Die Server vieler großer Provider haben diese Art der Verschlüsselung nicht unterstützt (bis heute hauptsächlich Googlemail). Weil die meisten Provider diese einfache Art der Verschlüsselung noch nicht angeschaltet hatten, mussten Nutzer leider selbst zusätzlich aktiv werden (End-To-End-Verschlüsselung), wenn sie vollständigen Schutz beim Senden und Empfangen ihrer Mails haben wollten. Nun können Posteo-Nutzer seit heute auch mit Nutzern von web.de, gmx und T-Online Mails über verschlüsselte Verbindungen austauschen.

Wir haben die Aussagen der Betreiber für Sie überprüft und es sieht gut aus.

Große Anbieter im Überblick mit denen wir die Verschlüsselung getestet haben:

	von Posteo	zu Posteo
Arcor	ja	ja
Freenet	ja	ja
AOL	ja	ja
Gmail	ja	ja
GMX	ja	ja
Kabel Deutschland	ja	ja
O2	nein	nein
Outlook.com	nein	nein
Riseup	ja	ja
T-Online	ja	ja
Vodafone	ja	ja
web.de	ja	ja
Yahoo	nein	nein

Stand: 11.08.2013

Wir werden dies in den kommenden Tagen regelmäßig für Sie überprüfen und eine ständig aktualisierte Übersicht in unserem neuen Hilfebeitrag: Mit welchen Anbietern werden meine E-Mails verschlüsselt ausgetauscht? bereitstellen.

Was wir noch anmerken möchten: Die großen deutschen Provider (T-Online, GMX und web.de) haben heute auch eine PR-Kampagne unter dem Namen “E-Mail Made in Germany” vorgestellt. Dies ist unserer Einschätzung nach eine reine Werbekampagne. Die drei größten deutschen Mailanbieter haben sich selbst ein “Sicherheits-Siegel” ausgedacht und stellen es sich auch selbst aus. Natürlich soll dies Sicherheit suggerieren und das Vertrauen der Nutzer zurückgewinnen. Die Anbieter haben jahrelang die Empfehlungen des BSI zum sicheren Betrieb von Mailservern missachtet und erst heute die SSL-Verschlüsselung angeschaltet. Was wir sehr begrüßen, wir tun dies bereits seit unserer Gründung 2009. Dass diese Provider sich jetzt aber mit einem eigenen Siegel bescheinigen, sicher zu sein, finden wir, um es vorsichtig auszudrücken, befremdlich.

Sie können auch selbst prüfen, ob eine Mail verschlüsselt übertragen wurde: Wenn Sie im Webmailer eine Mail anklicken, können Sie mit dem Zahnradsymbol über Ihrer Mailübersicht den Quelltext der Mail anzeigen lassen.

Hier ein Beispiel aus dem Quelltext einer Mail, die zwischen gmail und Posteo gesendet wurde:
-———————-
Received: from mail-pb0-f49.google.com (mail-pb0-f49.google.com [209.85.160.49])
by mail.posteo.de (Postfix) with ESMTPS
for <support@posteo.de>; Tue, 16 Jul 2013 09:25:38 +0200 (CEST)
-————————
Die Verschlüsselung erkennen Sie bei uns an dem ESMTPS hinter unserem Servernamen (mail.posteo.de (Postfix)). Die Verschlüsselung zeigt das “S” am Ende an.

Achtung: In den Mailheadern gibt es immer mehrere Received-Bereiche. Relevant ist jeweils nur die Zeile, in der beide Server, die miteinander kommuniziert haben, aufgeführt werden. Im Beispiel also mail-pb0-f49.google.com und mail.posteo.de.

Finden Sie ein ESMTPS in dieser Zeile, war die Verbindung, über die gesendet wurde, verschlüssselt. In den anderen Bereichen kann dennoch ESMTP stehen, das sagt jedoch nichts über die Verbindung durch das Internet aus.

Viele liebe Grüße sendet,
das Posteo-Team

Update:
Der Artikel wurde am 11.08. mit weiteren Ergebnissen zu getesteten Mailprovidern aktualisiert.

Neu: Nutzerdaten-Verwaltung

2013-06-12T13:00:00+02:00

Liebe Posteo-Kunden,

seit heute ist unsere neue Nutzerdaten-Verwaltung verfügbar. Dort haben Sie ab sofort die Möglichkeit, persönliche Daten wie Termine und Adressbuch-Einträge “in einem Schwung” zu löschen.

#more#

Bisher mussten angelegte Termine und Kontakte einzeln wieder gelöscht werden. Nun können Sie sämtliche Kontakte und Kontaktgruppen aus Ihrem Adressbuch mit einem Mausklick löschen. Bei den Terminen können Sie wahlweise alle Termine oder nur Termine eines bestimmten Zeitraums aus Ihrem Kalender löschen lassen.

Auch können Sie nun Ihre Webmailer-Einstellungen mit einem Klick zurücksetzen. Betroffen sind ausschließlich Einstellungen, die sich unter “Einstellungen” ändern lassen. E-Mails, Sammeldienste, Filterregeln, Aliase, etc. bleiben erhalten.

Datenschutz-Hinweis: Löschen Sie Daten bei uns, werden diese tatsächlich restlos von unseren Servern gelöscht und nicht nur in der Datenbank als gelöscht markiert. Befanden sich Daten zum Zeitpunkt unseres täglichen Backups auf unseren Servern, sind diese Daten nach der Löschung noch maximal 7 Tage in den Backups zu finden und lassen sich dort auch bei versehentlicher Löschung wiederherstellen.

Die Nutzerdaten-Verwaltung finden Sie in den “Einstellungen” Ihres Postfachs unter “Nutzerdaten-Verwaltung”.

Wir werden die Nutzerdaten-Verwaltung in Zukunft erweitern und Ihnen an dieser zentralen Stelle auch den Im- und Export Ihrer Daten ermöglichen. Zurzeit finden Sie die Möglichkeiten zum Im- und Export Ihrer Daten noch in den jeweiligen Bereichen (Kalender bzw. Adressbuch).

Viele freundliche Grüße sendet,
das Posteo-Team

Neues Design und neue Funktionen

2013-05-17T18:00:00+02:00

Liebe Nutzer,

es ist soweit: Posteo hat endlich ein neues Design!

Die Seiten sind moderner und funktionaler geworden – und wir sind froh, Ihnen nach Monaten des Tüftelns nun das Ergebnis unserer Arbeit präsentieren zu können. Wir hoffen, die neuen Seiten gefallen Ihnen so gut wie uns #more# – und hoffen, dass die Umgewöhnung nicht zu schwer fällt.

Zeitgleich mit dem Redesign haben wir auch neue Funktionen für Sie freigeschaltet. Ihr Kalender und Ihr Adressbuch sind ab sofort (ohne Aufpreis) mit Ihrem persönlichen Passwort verschlüsselbar. Mit unserer Verschlüsselung können Sie den Zugriff Dritter auf Ihre Daten wirksam verhindern. Selbst wir haben dann keinen Zugriff mehr auf Ihre Daten. Mehr Informationen zur optionalen AES-Verschlüsselung finden Sie in unserer Hilfe.

Neu ist auch unsere reduzierte Version der Startseite, der “ECO-Switch”.

Nutzer, die sich täglich einloggen und nicht immer die gesamte Startseite angezeigt bekommen möchten, können sich ab sofort nur noch das Login anzeigen lassen. Da ein Großteil der Seite bei der ECO-Switch-Version nicht mehr mitgeladen werden muss, spart die Nutzung der reduzierten Startseite Energie und schont so Ressourcen.

Viele freundliche Grüße sendet
das Posteo-Team

Die Website neu macht der Mai

2013-05-01T20:00:00+02:00

Liebe Posteo-Nutzer,

die Ankündigung ist schon ein Weilchen her – in Kürze wird sich die Website von Posteo im neuen Design und mit mehr und besser aufbereiteten Informationen über Posteo präsentieren. #more# Für das tägliche Login werden wir eine auf das Login reduzierte Seite bereitstellen, die sich jeder auf Wunsch mit nur einem Klick aktvieren kann (ECO-Switch).

Zeitgleich mit dem neuen Webauftritt werden wir wie angekündigt die Verschlüsselungsmöglichkeit für Kontakte und Termine freischalten. Damit bekommen Sie auf Wunsch die vollständige Hoheit über Ihre Daten – obwohl sie bei uns auf dem Server gespeichert sind.

Der Webmailer und die Hilfe sind von den Designänderungen nicht betroffen – die Modernisierung dieser beiden Teile steht bei uns für die nächste Zeit ganz oben auf der ToDo-Liste.

Viele freundliche Grüße,
das Posteo-Team

Screenshot einer neuen Unterseite.

Neu: Posteo-Gutscheinfunktion

2013-01-18T13:30:00+01:00

Liebe Posteokunden,

ab heute ist es möglich, mit Gutscheinen Guthaben an andere Posteo-Nutzer oder Posteo-Interessenten zu verschenken. #more#
Mit einem Posteo-Gutschein können Sie Anderen eine Freude machen. Sie können aber auch Ihren Kindern oder Ihrem Partner das Postfach aufladen – oder den Bekannten unterstützen, der nur über eingeschränkte Computerkenntnisse verfügt.

Gutscheine können wahlweise für ein bestimmtes Posteo-Postfach oder ohne Postfach-Bindung erstellt werden. Gutscheine ohne Postfach-Bindung eignen sich für Posteo-Interessenten oder Personen, deren Posteo-Adresse Sie nicht kennen.

Wenn Sie einen Gutschein für einen bestimmten Posteo-Nutzer erstellen, erhält der Empfänger eine E-Mail mit einem Link, über den sich der Gutschein mit einem Klick einlösen lässt. Wenn Sie möchten, können Sie der E-Mail eine persönliche Nachricht hinzufügen.

Erstellen Sie einen Gutschein ohne Postfach-Bindung, erhalten Sie eine E-Mail mit einem Gutscheincode. Diesen können Sie dem Empfänger z.B. in einer Karte oder in einer persönlichen E-Mail mitteilen. Der Beschenkte kann mit dem Gutschein-Code entweder ein Postfach eröffnen oder ein bestehendes Postfach aufladen.

Die Funktion zum Erstellen eines Gutscheins finden Sie in Ihrem Postfach unter “Einstellungen”→“Gutscheine”.

Viel Freude mit der neuen Funktion wünscht
das Posteo-Team

Neues erweitertes Sicherheitszertifikat

2013-01-05T10:00:00+01:00

Liebe Posteo-Kunden,

Freitagnacht (in der Nacht vom 04. auf den 05.01.) haben wir unser Sicherheitszertifikat aktualisiert. #more# Sicherheitszertifikate haben eine begrenzte zeitliche Gültigkeit und müssen ab und an erneuert werden.
In den meisten Fällen werden Sie davon nichts mitbekommen haben.
Falls Ihr Browser, Ihr Mailprogramm, Smartphone oder Tablet nach der Umstellung jedoch eine Fehlermeldung wegen eines ungültigen Sicherheitszertifikates produziert, liegt dies nicht an einem Angriff oder einem Fehler. Ihr Programm hat dann lediglich noch das alte Zertifikat zwischengespeichert. Abhilfe sollte in den meisten Fällen ein Neustart des Programms bringen.

Unser neues Sicherheitszertifikat ist ein sogenanntes “Zertifikat mit erweiterter Überprüfung”. Solch ein Zertifikat wird mit einer grün hinterlegten Adresszeile ausgezeichnet und lässt Sie auf einen Blick erkennen, ob Sie wirklich auf unserer Webseite sind. Damit wollen wir Sie vor Betrug in Form von Phishingversuchen schützen.
Unsere Webseite war bisher schon immer nur per SSL-Verschlüsselung erreichbar. Allerdings konnten Sie ohne manuelle Überprüfung nicht sicher sein, mit wem Sie verschlüsselt kommunizieren. Theoretisch hätte ein Angreifer unsere Identität vortäuschen können.
Mit der grünen Adressleiste, in der unser Firmenname hervorgehoben ist, können Sie nun mit einem Blick sicher sein, sich wirklich auf unserer Webseite zu befinden.

Wer das Vetrauen der Zertifikate (trotzdem) durch manuellen Abgleich regelt – hier sind die alten und neuen Fingerprints, die Sie auch immer im Impressum finden können:

Alt:
SHA1: 77:FA:75:68:3F:5D:3A:90:53:8C:F8:20:7B:99:A1:5F:7E:DC:53:46
MD5: CA:5B:EA:36:60:7B:78:D5:89:C1:F6:AE:11:B8:1B:C2

Neu:
SHA1: 63:24:A1:4B:7F:50:EF:A1:59:15:97:5F:23:0F:33:D3:E4:BD:42:31
MD5: 9D:7B:CE:9B:11:57:01:2D:49:C8:A6:2D:58:B3:93:45

Viele freundliche Grüße,
das Posteo-Team

Neue Bankverbindung

2013-01-01T16:00:00+01:00

Liebe Posteo-Kunden,

wir wünschen Ihnen Alles Gute für das Jahr 2013. #more#

Mit dem Jahreswechsel gibt es bei Posteo einige kleine Änderungen im Hintergrund.

Wir haben ein neues Konto bei der GLS-Bank. Sie können Ihre ausgelösten Überweisungen noch problemlos auf das alte Konto überweisen, für alle neuen Kontoaufladungen bekommen Sie per Mail automatisch unsere neue Bankverbindung mitgeteilt.

Die Barbriefe können jetzt direkt an “Posteo” adressiert werden, die Adresse bleibt ansonsten gleich.

Posteo war bisher ein “Projekt von Löhr Computer”. Damit wir ab jetzt unkompliziert direkt als “Posteo” auftreten können, haben wir Posteo zum 01.01.2013 in eine eigenständige Firma überführt. Die Änderungen für Sie und uns sind nur kosmetischer Natur, an Posteo ändert sich nichts – wir sind dasselbe Team und haben denselben hohen Anspruch wie immer.
Posteo ist nach wie vor ein Einzelunternehmen.

Viele freundliche Grüße,
das Posteo-Team

Neu: Posteo-Kalender freigeschaltet!

2012-11-23T20:00:00+01:00

Liebe Posteokunden,

wir haben heute den neuen Posteo-Kalender zur Nutzung freigeschaltet. #more# Sie finden den Kalender ab sofort im Webmailer rechts neben dem Adressbuch.
In der Hilfe haben wir dokumentiert, wie er funktioniert und wie Sie ihn auf Smart-Phones, Tablets und Desktop-Computern einrichten können. Die Synchronisation erfolgt per CalDAV, dieser Standard lässt sich momentan mit folgenden Geräten und Programmen verwenden:

alle Apple-Geräte (iPhone, iPad, iPod und alle Mac Computer)
alle Android-Smartphones und Tablets (erfordert eine kostenpflichtige App eines Drittanbieters)
Thunderbird mit Lightning
EM-Client
Outlook (erfordert ein kostenpflichtiges Programm eines Drittanbieters)
Evolution und einige andere Programme für Linux

Die Kalenderfunktion erfordert keine Preiserhöhung, Posteo wird weiterhin 1 EUR pro Monat kosten. Wer die Entwicklung neuer Funktionen unterstützen möchte, kann gerne mehr als ein Jahr im Voraus bezahlen. Posteo kommt komplett ohne Förderung und Kredite aus und wir möchten auch keine Spenden – auch wenn uns die Angebote im Supportpostfach natürlich ehren…

Bald werden wir auch die Möglichkeit freischalten, den Kalender und das Adressbuch auf Wunsch zu verschlüsseln.

Wir wünschen viel Spass mit dem neuen Werkzeug!

Viele freundliche Grüße,
das Posteo-Team

Verbesserung des Adressbuchabgleichs

2012-11-22T19:30:00+01:00

Liebe Posteo-Nutzer,

heute können wir die ersten Verbesserungen verkünden. #more# Die Adressbuch-Synchronisation wurde erheblich verbessert. Sie funktioniert jetzt mit mehr externen Programmen. Konkret wurden die Probleme beseitigt, die eine Synchronisation mit dem Adressbuch unter MacOS X 10.6 und 10.8 verhindert haben. Ausserdem funktioniert jetzt der Abgleich mit Thunderbird über ein Add-on (den SOGo Connector) und wir haben ein externes Programm gefunden, und getestet, welches Ihnen die Synchronisation mit Outlook ermöglicht. Das Programm iCal4OL ermöglicht generell die Anbindung von CardDAV-Servern. Es ist allerdings kostenpflichtig und kostet einmalig 18,- EUR bei einem externen Anbieter. Andere Möglichkeiten für den Abgleich von Outlook mit Posteo sind uns nicht bekannt.
Das iPhone und Android synchronisieren weiter wie gewohnt mit Posteo.

Für alle Programme stehen Anleitungen in der Hilfe bereit.

Viele freundliche Grüße,
das Posteo-Team

Ausblick: Neue Funktionen bei Posteo

2012-11-14T19:00:00+01:00

Liebe Posteo-Nutzer,

zunächst einmal: Vielen Dank für Ihr Vertrauen #more# – und dafür, dass Sie uns so fleissig weiterempfehlen!

Die grosse Nachfrage und die vielen freundlichen Mails in unserem Supportpostfach zeigen uns, dass wir mit Posteo eine Lücke schliessen, die die grossen Mailanbieter nicht bedienen. Unserem Projekt geht es sehr gut und wir sind fleissig dabei, Posteo weiter auszubauen. Wir haben in den vergangenen Monaten hart gearbeitet, entwickelt und getestet und werden in nächster Zeit einige neue Funktionen für Sie freischalten. Mit diesen Funktionen wollen wir, – noch stärker als bisher -, als Alternative zu den großen Internet-Konzernen auftreten.

Wir werden Posteo um einen per CalDAV synchronisierbaren Kalender erweitern. Ihre Termine werden dann mit den meisten Smartphones, Tablets und lokalen Kalenderprogrammen synchronisierbar sein. Und damit wir nicht die nächste Datenhalde in der Cloud werden, haben wir eine einzigartige Besonderheit für die Daten des Adressbuchs und des Kalenders entwickelt: Die Daten können mit Ihrem persönlichen Passwort verschlüsselt werden. Sie sind dann weder für uns, noch für Dritte einsehbar. Das Beste dabei ist: Die Verschlüsselung erfolgt völlig unkompliziert. Sie müssen nichts installieren oder lernen – und die Verschlüsselung funktioniert mit allen Endgeräten und Programmen ohne weitere Anpassungen. In den kommenden Wochen werden wir diese Neuerungen nach und nach freischalten und jeweils umfassend in der Hilfe dokumentieren, damit hoffentlich keine Fragen offen bleiben.

Auch unsere Server-Infrastruktur wird in den kommenden Wochen umgebaut und erweitert. Davon sollen Sie so wenig wie möglich merken – deshalb werden wir alle notwendigen Wartungsarbeiten Nachts durchführen. Die Arbeiten werden wir jeweils vorher ankündigen und immer erst nach 1 Uhr in der Früh beginnen, damit wir möglichst wenig stören. Es werden wahrscheinlich zwei bis drei solcher Wartungstermine notwendig sein.

Und zu guter Letzt wollen wir Sie auch schon darauf vorbereiten, dass wir zurzeit an einem neuen Aussenauftritt von Posteo arbeiten und Sie auf unserer Webseite bald mit einem frischen Design begrüßen werden. Versprochen: Es wird unaufdringlich und unaufgeregt bleiben – wir können das jetzige Design nur langsam nicht mehr sehen. Dem Webmailer werden wir erst im Laufe des kommenden Jahres ein neues Gesicht verpassen, aber auch für ihn ist eine Designaktualisierung geplant.

Wir hoffen, Sie haben viel Freude mit den Verbesserungen,
viele freundliche Grüße,
das Posteo-Team

Neue Sicherheitszertifikate

2012-09-26T17:00:00+02:00

Liebe Posteo-Kunden,

Freitagnacht (in der Nacht vom 28. auf den 29.09.) haben wir unsere Sicherheitszertifikate aktualisiert. #more# Sicherheitszertifikate haben eine begrenzte zeitliche Gültigkeit und müssen ab und an erneuert werden.
In den meisten Fällen werden Sie davon nichts mitbekommen haben.
Falls Ihr Browser, Ihr Mailprogramm, Smartphone oder Tablet nach der Umstellung jedoch eine Fehlermeldung wegen eines ungültigen Sicherheitszertifikates produziert, liegt dies nicht an einem Angriff oder einem Fehler. Ihr Programm hat dann lediglich noch das alte Zertifikat zwischengespeichert. Abhilfe sollte in den meisten Fällen ein Neustart des Programms bringen.
Wer das Vetrauen der Zertifikate durch manuellen Abgleich regelt – hier sind die alten und neuen Fingerprints, die Sie auch immer im Impressum finden können:

Alt:
SHA1: 09:54:A1:02:D4:0E:18:9A:83:C7:FF:6E:7B:2F:26:63:3A:EB:07:A2
MD5: 73:46:F4:49:66:1B:66:21:0A:04:5D:83:1C:A0:B9:A4

Neu:
SHA1: 77:FA:75:68:3F:5D:3A:90:53:8C:F8:20:7B:99:A1:5F:7E:DC:53:46
MD5: CA:5B:EA:36:60:7B:78:D5:89:C1:F6:AE:11:B8:1B:C2

Viele freundliche Grüße,
das Posteo-Team

Posteo mit neuem Adressbuch

2012-03-02T20:00:00+01:00

Endlich ist es soweit – ab sofort steht allen Posteo-Nutzern die erweiterte Adressbuchfunktion zur Verfügung. #more# Das neue Adressbuch speichert nun Adressen, Telefonnummern und ggf. mehrere Mailadressen Ihrer Kontakte. Eine weitere Neuerung: Das Adressbuch lässt sich via “CardDAV”-Standard mit lokalen E-Mailprogrammen und vielen Smartphones synchronisieren.
Alle wichtigen Informationen rund um die Adressbucherweiterung finden Sie in der Posteo-Hilfe . Hier erfahren Sie auch, wie Sie Ihr Posteo-Adressbuch mit Ihrem Smartphone oder Ihrem lokalen Mailprogramm synchronisieren können. Sollten Sie einmal ein Problem haben, für das Sie in der Hilfe keine Lösung finden, können Sie sich per Mail an unseren Support (support@posteo.de) wenden.

Stellungnahme zur TKG-Entscheidung des Verfassungsgerichts

2012-02-25T17:00:00+01:00

Das Bundesverfassungsgerichts hat gestern Teile des TKG (Telekommunikationsgesetzes) für verfassungswidrig erklärt. #more#
Die Medien haben im Zuge dieser Entscheidung vor allem herausgestellt, dass bei Telekommunikationsanbietern gespeicherte Daten und Passwörter von Ermittlungsbehörden abgefragt werden. In der Berichterstattung wurden allerdings keine Unterschiede zwischen Telekommunikationsanbietern im Allgemeinen und Mailanbietern im Speziellen gemacht. Denn Anbieter elektronischer Post sind laut TKG (§111) von der Pflicht ausgenommen, Bestandsdaten Ihrer Kunden zu erheben. Erst wenn ein Mailanbieter Bestandsdaten erhebt, muss er sie auch zur automatisierten Abfrage bereitstellen.
Wir haben uns daher bei der Gründung von Posteo dazu entschieden, eine anonymisierte Zahlung unserer Postfächer zu ermöglichen, damit wir keine Bestandsdaten erheben und weitergeben müssen. Wir bedauern, dass die meisten Emailanbieter die Möglichkeiten, die Ihnen das TKG bietet, nicht nutzen – da sie in der Regel selbst Interesse an den Bestandsdaten Ihrer Kunden haben. Bei uns werden keine Bestandsdaten erhoben.
Deswegen können Ihre Daten bei Posteo weder verkauft, noch gestohlen oder abgefragt werden. Posteo steht für Selbstbestimmtheit im Internet.

Posteo noch schneller und effizienter.

2012-02-05T21:00:00+01:00

Sie haben es hoffentlich nicht gemerkt #more# – in den letzten Wochen haben wir umfangreiche Umstrukturierungen an unseren Servern vorgenommen. Diese sind seit diesem Wochenende abgeschlossen.
Aufgrund der tollen Resonanz auf unser Projekt wurde es notwendig, die technische Basis von Posteo grundlegend zu ändern. Unsere Systeme wachsen nun problemlos mit und werden auch mit größer werdenen Nutzerzahlen spielend fertig. Die blitzschnellen Reaktionszeiten des Posteosystems basieren nun auf einem Verbund von Festkörperlaufwerken (SSDs). Diese sparen nicht nur Strom und Abwärme im Vergleich zu herkömmlichen Festplatten, sie sind vor allem um ein vielfaches Schneller. Um diese Schnelligkeit auch mit der sehr aufwendigen, vollständigen Verschlüsselung unseres Speichersystems nutzen zu können, mussten wir einige spezielle Optimierungen vornehmen – wir sind nun zufrieden, wir hoffen Sie auch…

Viele freundliche Grüße,
das Posteo-Team

Adressbuch: Erweiterung Ende Dezember (Update)

2011-12-01T11:00:00+01:00

Liebe Posteokunden,

uns erreichen fast täglich Fragen nach einer Erweiterung des Adressbuchs. #more#
Aufgrund der Menge der Anfragen möchten wir nun gerne auch öffentlich vorab informieren, dass wir an der Erweiterung arbeiten.
Wir werden allen Nutzern ein vollständig überarbeitetes Adressbuch bieten, mit der Option auch Adressen, Telefonnummern und mehrere Mailadressen pro Kontakt zu speichern.
Das Adressbuch wird nicht nur im Webmailer verfügbar, sodern auch synchronisierbar sein. Die Adressen werden sich in lokalen E-Mailprogrammen oder Smartphones nutzen lassen. Das wird nicht mit allen Programmen und Geräten funktionieren, aber mit einem sehr großen Teil. Wir verwenden den sogenannten “CardDAV”-Standard, der aus der Apple-Welt kommt und immer mehr Verbreitung findet.
Im zweiten Schritt werden wir die Möglichkeit bieten, dass Sie sich optional das Adressbuch verschlüsseln lassen können. Und zwar mit Ihrem eigenen Passwort – wir werden keinen Nachschlüssel haben. Wir wollen damit die Möglichkeit bieten, dass Ihre Daten trotz zentraler Speicherung im Internet wirklich Ihre bleiben. Der einzige Haken: Vergessen Sie Ihr Passwort, können auch wir Ihre Daten nicht mehr rekonstruieren. Die Verschlüsselung wird es deswegen nur optional geben, mit großen Warnhinweisen und Apellen an die eigene Verantwortung.
Unser Zeitplan sieht die Erweiterung des Adressbuches bis Ende Dezember vor. Die Verschlüsselungsoption werden wir nachträglich bis zum Ende des Winters anbieten.

Update: Leider brauchen wir noch ein bisschen, wir hoffen bis Ende Januar fertig zu werden. Der nassfeuchte Winter hat uns leider einige krankheitsbedingte Ausfälle beschert…

Viele freundliche Grüße,
das Posteo-Team

Bug bei Paypal

2011-10-24T19:00:00+02:00

Liebe Posteokunden,

einige Nutzer haben einen Bug im Zusammenhang mit der Bezahlung per Paypal #more# erleben müssen. Zahlungen per Paypal scheitern, wenn als Zahlungsmethode bei Paypal Giropay ausgewählt wird und mit einem aktiven Javascriptblocker gesurft wird. Die Zahlung wird von Paypal als erfolgreich an uns vermeldet und kurze Zeit später aber wieder als “offen” gekennzeichnet: Es fliesst kein Geld zu uns, Sie bekommen aber Guthaben von unserem System gutgeschrieben. Danach ist manueller Aufwand von uns aus nötig, damit das Geld uns dann auf anderem Weg erreicht.
Bitte schalten Sie bis aus weiteres während dem Bezahlvorgang per Paypal jegliche Javascriptblocker ab.
Der Fehler ist bei uns zuerst vor einer Woche aufgetreten und bis heute aber nun schon drei mal. Paypal ist der Fehler (laut Hotline) bekannt, sie bieten bisher aber keinen Workaround, den wir einsetzen könnten.

UPDATE: Der Fehler konnte in Zusammenarbeit mit Paypal behoben werden, es funktioniert jetzt wieder alles reibungslos.

Viele freundliche Grüße,
das Posteo-Team

Fehler mit Firefox 7 ist behoben

2011-10-02T08:30:00+02:00

Liebe Posteokunden,

der Fehler mit Firefox 7 ist behoben. #more#

Viele freundliche Grüße,
das Posteo-Team

Fehler mit Firefox 7

2011-10-01T10:00:00+02:00

Liebe Posteokunden,

mit der gerade veröffentlichten Version 7 des Webbrowsers Firefox gibt es leider ein Darstellungsproblem #more# in unserem Webmailer. Der Browser ersetzt leider den kompletten Inhalt der Betreffzeile durch drei Punkte, wenn der Text nicht komplett in die Zeile passen würde: Der Betreff ist nicht mehr lesbar. Wir werden den Fehler zeitnah in der kommenden Woche beheben.

Viele freundliche Grüße,
das Posteo-Team

Posteo unterstützt Demoaufruf "Freiheit statt Angst"

2011-08-30T10:00:00+02:00

Es ist wieder soweit: Am 10. September findet in Berlin die Großdemonstration “Freiheit statt Angst” statt. #more# Ein breites gesellschaftliches Bündnis ruft dazu auf, gegen die ausufernde Überwachung durch Wirtschaft und Staat und für eine offene Gesellschaft zu protestieren. Der Demonstrationszug startet um 13 Uhr vor dem Brandenburger Tor und zieht von dort aus zum Alexanderplatz. Posteo unterstützt den Demoaufruf auch in diesem Jahr. Egal, ob die geplante Wiedereinführung der Vorratsdatenspeicherung, das unverhältnismäßige Datensammeln von Unternehmen und Behörden oder der meist fahrlässige Umgang mit den gesammelten Daten: Es gibt viele Gründe, auch in diesem Jahr auf die Strasse zu gehen und ein Zeichen für eine offene Gesellschaft zu setzen. Informationen zur Demo erhalten Sie unter: http://blog.freiheitstattangst.de/about/

Sie wollen mehr darüber erfahren, was wir für den Schutz Ihrer Daten unternehmen? Unter https://posteo.de/site/datenschutz finden Sie alles rund um den Datenschutz bei Posteo.

Vereinfachung des Spamfilters

2011-03-25T20:00:00+01:00

Wir arbeiten beständig daran, den Spamfilter von Posteo zu verbessern. #more# Dazu gehört auch der Umgang mit den von uns als Spam eingestuften Mails, den wir schon eine ganze Weile als verbesserungswürdig auf unserer To-Do-Liste hatten. Wir haben Spammails bisher in zwei Kategorien eingeteilt: Mails, die sicher Spam sind und Mails, die mit einer hohen Wahrscheinlichkeit Spam sind. Die sicheren Spammails wurden abgewiesen und die „wahrscheinlichen“ Spammails landeten bisher im Ordner „Spam“ und wurden dort nach 14 Tagen automatisiert gelöscht. Wer nicht regelmäßig in den Ordner schaute, dem konnte es bisher passieren, dass Mails verschwanden. Denn der Absender bekam keine Rückmeldung über die Einstufung seiner E-Mail als „wahrscheinlicher“ Spam.

Deswegen haben wir unseren Umgang mit Spammails vereinfacht. In Zukunft weisen wir auch alle Mails zurück, die bisher im Spam-Ordner gelandet wären. Der Absender erhält darüber immer eine Nachricht von seinem Mailanbieter. So hat er die Chance, die Umstände abzustellen, weswegen die Mail als Spam eingestuft wurde oder sich auf anderem Weg an den Empfänger zu wenden – es kann keine Kommunikation mehr im Sand verlaufen.

Für den Fall, dass es dem Absender nicht möglich ist, seine Umstände zu verbessern, damit die Mails nicht mehr als Spam eingestuft werden, haben wir eine sogenannte „Whitelist“ eingeführt. Diese ist in den Einstellungen zu finden. Alle Absender, die von den Nutzern dort eingetragen werden, lassen wir immer durch unseren Spamfilter durch. Diese Whitelist sollte aber mit Vorsicht und nur in wirklichen Problemfällen benutzt werden. Das Problem ist, dass E-Mailabsender fast beliebig gefälscht werden können und deshalb bei Absendern, die so „erlaubt“ werden, eine erhöhte Vorsicht angebracht ist (Stichwort Phishing). Im Gegensatz zu vorher ist es mit der „Whitelist“ nun möglich, selbst Einfluss auf den Spamfilter zu nehmen.

Die Umstellung haben wir heute abgeschlossen. Der Spamordner wird erst in 14 Tagen verschwinden, denn solange können darin noch Mails enthalten sein, die wir vor der Umstellung als Spam eingestuft haben.

Demoaufruf "Fukushima heisst: Alle AKWs abschalten!"

2011-03-23T09:30:00+01:00

Posteo ruft zur Teilnahme an den Anti-Atom-Demonstrationen am 26.03. auf. #more# Die Großdemonstrationen finden am Samstag, den 26. März, in Berlin, Hamburg, Köln und München statt. Die Reaktorkatastrophe in Fukushima hat noch einmal bestätigt: Es gibt keinen Schutz vor dem nuklearen Restrisiko. Die Natur hält sich nicht an Berechnungen. Technik und Menschen können auch in hochentwickelten Ländern versagen. Alle AKWs müssen jetzt endgültig vom Netz! Mehr Informationen zu den Großdemos am Wochenende finden Sie unter: www.ausgestrahlt.de

Die Vorratsdatenspeicherung ist keine Lösung

2010-11-23T10:00:00+01:00

Wir haben uns heute öffentlich gegen eine Wiedereinführung der Vorratsdatenspeicherung ausgesprochen #more# und das Recht unserer Kunden auf informationelle Selbstbestimmung unterstrichen.
In der aktuellen Debatte wird von der Politik fälschlicherweise das Bild vermittelt, die Vorratsdatenspeicherung sei die einzige Methode, Verbrechen im Internet aufzuklären. Mit richterlichem Beschluss ist es jederzeit möglich, Telefone und E-Mailpostfächer zu überwachen. Die Vorratsdatenspeicherung ist teuer, unwirksam und greift unverhältnismäßig in die Privatsphäre der Bürgerinnen und Bürger ein. Die meisten Onlinedelikte sind Betrugsfälle oder Urheberrechtsverletzungen – und keineswegs Terrorismus oder Schwerstkriminalität. Das macht Online-Straftaten nicht harmlos, es ist aber schwer nachvollziehbar, wie die Vorabverdächtigung von 80 Millionen Deutschen und die Speicherung aller ihrer Verbindungsdaten dazu in einem angemessenem Verhältnis stehen sollen.

Am vergangenen Freitag hatte die Innenministerkonferenz in Hamburg gefordert, die Vorratsdatenspeicherung möglichst schnell wieder einzuführen. Begründet wurde dies damit, dass viele schwere Straftaten ohne die Vorratsdatenspeicherung nicht aufgeklärt werden könnten.

Wir über uns: Anonyme Anmeldung

2010-10-26T10:00:00+02:00

Es gibt Fragen, die uns regelmäßig gestellt werden. #more# Die Häufigsten beantworten wir ab sofort in der Rubrik “Wir über uns”.

Warum bieten wir eine anonyme Anmeldung an? Welche Vorteile hat das?

Die Vorteile der anonymen Anmeldung liegen auf der Hand: Mit nicht erhobenen Daten kann auch kein Missbrauch betrieben werden. Weder bei uns noch anderswo. Bei uns werden Daten nicht verkauft, sie können nicht gestohlen und auch nicht abgefragt werden. Posteo steht für Selbstbestimmheit im Internet.

Beim Betrieb von „elektronischer Post“ gibt es einige Gesetze, die beachtet werden müssen. Das wichtigste ist das TKG, das Telekommunikationsgesetz. Es schrieb bis vor kurzem noch die Vorratsdatenspeicherung vor, regelt aber noch viele andere Dinge. Unter anderem, dass man als Telekommunikationsanbieter von seinen Kunden Bestandsdaten erheben muss, also Namen und Adresse. Diese Daten muss man dann wiederum über eine automatisierte Schnittstelle der Bundesnetzagentur bereitstellen, die diese allen möglichen Behörden, insbesondere der Polizei, dem Zoll, dem BND, aber auch den Notrufabfragestellen bereitstellt. Insgesamt haben über 1000 Behörden Zugriff auf die Bestandsdaten aller Telekommunikationsanbieter und nutzen das laut Bundesnetzagentur rund 11.000 mal am Tag (Tätigkeitsbericht 2009).
Die einzige Ausnahme von diesem automatisierten Datensauger sieht das Gesetz für „Anbieter elektronischer Post“ vor, die keine Bestandsdaten erheben. Wer keine Daten hat, muss sie auch nicht zur Verfügung stellen. Als E-Mailanbieter ist die Erhebung von Bestandsdaten also freiwillig.

Würden wir für die Bezahlung Daten erheben, hätten wir Bestandsdaten und müssten diese bereitstellen.
Deswegen bieten wir nur anonymisierbare Vorauszahlungsmethoden. Wir verknüpfen die Daten der Bezahlungen nicht mit den Postfächern über z.B. den Namen, sondern über Zahlungscodes. Damit entkoppeln wir die Zahlungen von den Postfächern. Das ermöglicht es uns auch, die vollständig anonyme Barzahlung per Brief anzubieten. Es hindert uns aber auch daran, die eigentlich sehr bequeme Zahlung per Lastschrift anzubieten, denn dafür müssten wir neben dem Namen sogar die Kontodaten speichern.

Barzahlung voller Erfolg

2010-10-25T17:00:00+02:00

Anfang September haben wir die Möglichkeit geschaffen Posteo Postfächer Bar zu bezahlen. #more#
Wir sind überwältigt von der Resonanz. Über 10 Prozent aller Nutzer schicken uns Geld per Brief. Mit einem solch großen Anteil hatten wir im Vorfeld nicht gerechnet, ist die Bezahlmethode doch mit dem meisten Aufwand verbunden.
Was uns besonders freut, ist das positive Feedback, welches wir über die Briefe bekommen. Einige Nutzer geben sich besondere Mühe und schmücken die Briefe oder schreiben uns anonym ihren Dank – dafür möchten wir uns an dieser Stelle bedanken!

Demoaufruf "Atomkraft: Schluss jetzt!"

2010-09-09T17:00:00+02:00

Posteo ruft zur Teilnahme an der Großdemonstration Atomkraft: Schluss jetzt! auf. #more# Die Demonstration findet am Samstag, den 18. September, in Berlin statt und startet um 13 Uhr am Hauptbahnhof. Ausserdem unterstützt Posteo ab sofort den privaten Atomausstieg: Alle, die in diesem Herbst zu einem der vier unabhängigen Ökostromanbieter wechseln, können Posteo ein Jahr lang kostenlos nutzen. Mehr dazu auf unserer Kampagnenseite.

Posteo verurteilt die Entscheidung der Bundesregierung, die Atomkraftwerke länger laufen zu lassen. Die Regierung Merkel handelt unverantwortlich und gegen den Willen der Menschen im Land. Atomkraft ist eine unbeherrschbare Risikotechnologie, die deutschen Meiler sind hoffnungslos veraltet und das Unfallrisiko steigt mit jedem weiteren Betriebsjahr an. Der Ausbau der Erneuerbaren Energien wird durch die längeren Laufzeiten nicht etwa gefördert, wie die Regierung behauptet, sondern gebremst. Deshalb wollen wir gerade jetzt ein Zeichen setzen und all jene unterstützen, die zu einem Ökostromanbieter wechseln, und so den Ausbau der Erneuerbaren vorantreiben.

Demoaufruf "Freiheit statt Angst"

2010-09-01T19:00:00+02:00

Am Samstag, den 11. September, findet in Berlin die Großdemonstration Freiheit statt Angst statt. #more# Zusammen mit über 150 Organisationen rufen wir zur Teilnahme auf. Der Umzug startet um 13 Uhr am Potsdamer Platz. Die Demo richtet sich gegen die ausuferne Überwachung durch Wirtschaft und Staat und ist Teil des weltweiten Aktionstages “Freedom not Fear”. Die Demo kann auch durch Spenden unterstützt werden.

Die Vorratsdatenspeicherung ist noch längst nicht vom Tisch, sie ist nur ausgesetzt. Die Richtlinie zur Vorratsdatenspeicherung muss nun EU-weit gekippt werden, um eine Wiedereinführung in Deutschland zu verhindern. Egal, ob soziale Netzwerke, internationale Unternehmen oder der Staat: Unsere Daten werden gesammelt, miteinander verknüpft und an Dritte weitergegeben. Sie lagern auf Servern auf der ganzen Welt. Wir wollen die Kontrolle über unsere Daten zurück – und gehen mit gutem Beispiel voran: Datensparsamkeit war bei unserem E-Mailprojekt von Anfang an das Leitmotiv. Bei uns ist eine anonyme Anmeldung möglich und seit neuestem akzeptieren wir als Internetdiensleister sogar Bargeld als Bezahlmethode – ungewöhnlich, aber konsequent.

Neue Zahlmethode: Barzahlung

2010-09-01T18:00:00+02:00

Ab sofort bieten wir die Möglichkeit der Barzahlung an. #more# Damit wird die anonyme Nutzung von Posteo noch besser gewährleistet. Wie bei der Überweisung gibt es für jeden Zahlvorgang einen Code, der zusammen mit dem Bargeld in Scheinen per Post an uns geschickt werden kann. Durch den Code wissen wir, welchem Postfach das Bargeld zugeordnet werden soll. Nähere Hinweise zum Briefversand des Geldes gibt es beim Zahlvorgang. Statt 12 Monate werden bei der Barzahlung 15 Monate im Voraus bezahlt, weil wir nur Scheine per Post akzeptieren.
Für uns sind auch die bisherigen Bezahlmethoden anonym, weil wir die Daten, die wir bei Überweisungen oder Nutzung von Paypal zwangsläufig erhalten, nicht mit den Postfächern verknüpfen. Mit der Barzahlung können wir unseren Anspruch nach Datensparsamkeit allerdings noch besser erfüllen.

Adressbuch: Gruppen möglich

2010-08-20T23:10:00+02:00

Wir haben unseren Webmailer aktualisiert #more# und damit hält eine stark nachgefragte Funktionen bei Posteo Einzug: Es gibt endlich Gruppen im Adressbuch.

Im Adressbuch gibt es nun links unten ein Plus-Symbol. Damit können Sie neue Gruppen erstellen. Dann können Sie Kontakte mit der Maus in eine solche Gruppe ziehen. Wenn Sie eine E-Mail verfassen, können Sie im Empfängerfeld den Namen der Gruppe eintippen.
Oft empfiehlt es sich, die Gruppen nicht im Feld “Empfänger” zu verwenden, sondern im Feld “BCC”. Dann sehen nicht alle Empfänger die Adressen der anderen.

Webmailer: Neue Konversationsansicht

2010-08-20T23:00:00+02:00

Unser Webmailer ist aktualisiert #more# und um neue Konfigurationsmöglichkeiten bereichert. Nachrichten lassen sich jetzt beliebig sortieren und ausserdem in einer Konversationsansicht anzeigen.

Die Neuerung ist ein bisschen versteckt zu aktivieren. Im Posteingang gibt es links oben neben dem Wort “Betreff” ein neues Symbol. Dort lässt sich der Anzeigemodus auf “Konversationen” umstellen. Dabei werden Mails thematisch sortiert angezeigt, was es einfacher macht z.B. Diskussionen nachzuverfolgen. Eine weitere Neuerung ist dort auch noch versteckt. Sie können nun völlig frei definieren, welche Spalten Sie im Posteingang sehen möchten und wonach die E-Mails sortiert werden sollen.

Umzugshilfe: Bis zu drei Mailsammeldienste

2010-02-14T10:00:00+01:00

Wir haben die Funktionen zur Umzugshilfe erweitert. #more# Sie können nun bis zu drei E-Mail-Konten von beliebigen Anbietern in Ihrem Posteo-Postfach abrufen. Bereits empfangene E-Mails werden importiert, Neue werden automatisch übertragen. Der Abruf erfolgt per POP3. Wenn Ihr bisheriger Anbieter dies unterstützt, läuft die Übertragung verschlüsselt ab.
Mit einigen wenigen Anbietern, wie T-Online in der kostenfreien Variante, funktioniert der Sammeldienst leider nicht, weil diese Anbieter den Abruf per POP3 nicht unterstützen.

Adressbuch: Empfängerwahl vereinfacht

2010-01-25T18:30:00+01:00

Ab sofort ist es einfacher möglich, mit Posteo Mails an einzelne oder alle Empfänger aus Ihrem Adressbuch zu senden. #more#

Wenn Sie eine neue Mail verfassen möchten, erscheint nun ein “Adressbuch-Symbol” oben rechts in der Symbolleiste. Klicken Sie es an, öffnet sich eine Liste mit allen Einträgen aus Ihrem Adressbuch. Sie können nun einzelne oder alle Teilnehmer auswählen und per Klick in die Felder “Empfänger”, “Kopie” oder “Blindkopie” übernehmen.

Adressbuch: Neue Importmöglichkeiten

2010-01-25T18:15:00+01:00

Wir haben unsere Importfunktion für Adressbücher verbessert. #more# Ab sofort können Sie auch dann Ihr Adressbuch zu Posteo übernehmen, wenn Ihr bisheriger Anbieter keinen Export im v-Card Format anbietet (gmx, web.de…). Die entsprechende Funktion finden Sie ab sofort im Adressbuch.

Passwort vergessen: Per SMS können Sie ein Neues anfordern

2010-01-25T18:00:00+01:00

Wenn Sie Ihr Passwort vergessen haben, senden wir Ihnen gern per SMS ein neues Passwort zu. #more# Für diesen Fall können Sie im Kundenmenü Ihre Handynummer hinterlegen. Die Nummer wird von Posteo ausschliesslich zu diesem Zweck verwendet, und Sie können sie jederzeit wieder vollständig löschen.