Liebe Posteo-Kundinnen und Posteo-Kunden,

die Bundesdatenschutzbeauftragte, Andrea Voßhoff, hat heute ihren aktuellen Tätigkeitsbericht für die Jahre 2015 und 2016 vorgelegt.

In dem Bericht wird aufgeführt, welchen Unternehmen in den vergangenen zwei Jahren ein Kontrollbesuch abgestattet wurde.
Hier werden auch wir erwähnt: Denn Posteo wurde im November 2016 routinemäßig und anlasslos geprüft.

Die Bundesdatenschutzbeauftragte schreibt über Posteo (anonymisiert) in ihrem Bericht:
“Ein E-Mail-Diensteanbieter hat den Datenschutz hingegen wirklich beeindruckend umgesetzt. Obwohl es sich um einen gebührenpflichtigen Dienst handelt, hat das Unternehmen einen Weg gefunden, weder Bestandsdaten im Sinne des § 95 TKG noch Verkehrsdaten nach § 97 TKG für den Betrieb zu benötigen und diese folglich auch nicht zu erheben oder dauerhaft zu speichern. Wie mir berichtet wurde, zweifeln viele Sicherheitsbehörden, die Auskunft nach § 113 TKG verlangen, diese Praxis an und versuchen, teilweise gerichtlich nicht vorhandene Daten einzuklagen.”

Quelle: 26. Tätigkeitsbericht zum Datenschutz für die Jahre 2015 und 2016, Seite 177

Das Betreiben eines konsequent datenschutzfreundlichen Angebotes ist in Deutschland tatsächlich mitunter schwierig. Es ist mit einem enormen bürokratischen Aufwand und mit hohen Anwaltskosten verbunden.
Wir freuen uns deshalb sehr über die wohlwollende Erwähnung im Tätigkeitsbericht. #more#

Da der Tätigkeitsbericht nun vorliegt, veröffentlichen wir aus Transparenzgründen heute auch den Prüfbericht der Bundesdatenschutzbeauftragten zu Posteo. Der Kontrollbesuch fand am 24. November 2016 statt. Aus Sicherheitsgründen haben wir wenige technische Details, die u.a. dem Schutz vor Mißbrauch dienen, geschwärzt. Das gilt auch für zwei Passagen zu einem laufenden juristischen Verfahren.

Hier der Bericht der BfDI zu Posteo im Pdf-Format.

Eine Auswahl von Zitaten aus dem Prüfbericht:

zu Bestandsdaten:
“Zusammenfassend stelle ich fest, dass Posteo im Sinne des § 95 TKG keine Bestandsdaten erhebt.” (Seite 4)
“Posteo berücksichtigt den Grundsatz der Datensparsamkeit sehr umfassend. Obwohl die Konten gebührenpflichtig sind, hat Posteo einen Weg gefunden, keine Bestandsdaten erheben zu müssen.” (Seite 8)

zu Bezahldaten:
“Die Bezahldaten werden nicht mit den E-Mail-Postfächern verknüpft, sondern getrennt gespeichert. Hierfür hat Posteo bereits 2009 ein eigenes System zur Anonymisierung der Zahlungsvorgänge entwickelt, das in 2015 den neuen gesetzlichen Vorgaben zur länderspezifischen Mehrwertsteuer angepasst wurde.” (Seite 2)

zu IP-Adressen, Logdaten und Verkehrsdaten:
“IP-Adressen von Kunden sind in den internen Systemen von Posteo nicht verfügbar und können daher auch nicht gespeichert werden.” (Seite 5)
“Zusammenfassend stelle ich fest, dass Posteo keine auf Kunden beziehbaren IP-Adressen und damit keine Verkehrsdaten nach § 96 TKG zur Diensterbringung benötigt und speichert.” (Seite 6)
“Die Gewährleistung der Sicherheit der Systeme nach § 109 TKG ist ohne Erhebung von personenbeziehbaren Verkehrsdaten sichergestellt.” (Seite 8)

zur Verschlüsselung:
“Gegen physischen Diebstahl sind alle Festplatten verschlüsselt, wobei Posteo im Besitz dieses Schlüssels ist. Zusätzlich kann der Nutzer den Posteo-Krypto-E-Mail-Speicher nutzen, um seine E-Mail mit einem eigenen Schlüssel zu verschlüsseln. Posteo unterstützt zusätzlich die Ende-zu-Ende-Verschlüsselung basierend auf PGP und S/MIME. Eine E-Mail kann also dreimal unabhängig voneinander verschlüsselt sein.” (Seite 7)
“Jeder Nutzer kann eine TLS-Versand-Garantie einschalten. Diese stellt sicher, dass die E-Mail über eine sichere, verschlüsselte Verbindung gesendet wird. (…) Ist ein sicherer Versand nicht möglich, wird die E-Mail nicht versendet und Posteo benachrichtigt den Absender per E-Mail.” (Seite 7)

Viele Grüße
Ihr Posteo-Team

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

wir haben gestern einen Werbebrief der Firma Uniscon (universal identity control GmbH ) erhalten.
Wir veröffentlichen ihn, um transparent zu machen, wie einige Akteure die neue Vorratsdatenspeicherung derzeit aktiv ausgestalten. Und wie sie versuchen, Unternehmen “Vorratsdatenspeicherung as a Service” zu verkaufen.

Bei Uniscon weiss man offenbar nicht, dass E-Mail-Anbieter wie Posteo (Dienste der elektronischen Post) von der Pflicht zur Vorratsdatenspeicherung explizit ausgenommen sind. Im Schreiben an uns wird behauptet, alle Telekommunikationsunternehmen seien ab dem 1.07.2017 verpflichtet, “eine sichere Lösung zur Speicherung von Verkehrsdaten (VDS) einzusetzen”.

Trotz dieses grundlegenden Irrtums bietet man uns in dem Schreiben einen “Gesamtservice für die Vorratsdatenspeicherung” an, der auch Rechtliches umfasst: die Firma könne das automatische Erteilen “von Auskünften an auskunftssuchende Behörden” sowie das “gesetzliche Berichtswesen” für uns übernehmen. Man verspricht sogar “Entlastung bei der Kommunikation mit der Bundesnetzagentur”.
Auch das Speichern der Verbindungsdaten könne übernommen werden. Derzeit, so schreibt das Unternehmen, “bedienen wir 60 Kunden mit der Lösung, welche im Rechenzentrum des TÜV-Süd betrieben wird.”

Im Brief wird betont, die Lösung sei “in sehr enger Zusammenarbeit mit dem Bundeswirtschaftsministerium entstanden”.
Man habe “im Dialog mit der Bundesnetzagentur wesentliche Punkte des Anforderungskataloges (Anm. d. Red.: für die VDS) mitgestaltet”. Ihre Lösung nennen sie “Vorratsdatenspeicherung as a Service (VDSaaS)” und schreiben: “Wir nehmen Ihnen diese Aufwände ab, damit Sie sich auf Ihr Geschäft fokussieren können!”

Wir halten eine an Dienstleister ausgelagerte Vorratsdatenspeicherung und Datenausleitung, wie sie sich in diesem Schreiben andeutet, für sehr bedenklich. #more#

Provider sollten Verantwortung für ihre Kunden tragen: das rechtliche Prüfen und Abwickeln eingehender Behördenersuchen und richterlicher Anordnungen sollte nicht an Dienstleister ausgelagert werden. Aus der eigenen Praxis wissen wir, dass Behördenersuchen oft nicht rechtmäßig sind. Für die Betroffenen geht es u.a. um Beschränkungen ihrer Grundrechte (siehe Grundgesetz Art 10). Wir halten es aus Gründen der demokratischen Kontrolle deshalb für nicht wünschenswert, dass wenige Dienstleister diese gesellschaftlich wichtige Aufgabe für eine Vielzahl von Telekommunikationsunternehmen übernehmen. Aus denselben Gründen sollte auch das technische Speichern und Ausleiten von Verbindungsdaten der Bürgerinnen und Bürger nicht in die Hand von Dienstleistern gelegt werden. Sicherheitstechnisch ist das Speichern von Verkehrsdaten zahlreicher Anbieter an nur einem oder wenigen Standorten ohnehin nicht zu empfehlen.

Posteo ist von der Vorratsdatenspeicherung nicht betroffen. E-Mail-Anbieter wie Posteo (Dienste der elektronischen Post) sind von der Pflicht zur Vorratsdatenspeicherung explizit ausgenommen. Wir unterhalten keinerlei Geschäftsbeziehungen zu der Firma Uniscon. Den Werbebrief haben wir unaufgefordert erhalten. Wir lehnen die verdachtsunabhängige Vorratsdatenspeicherung grundsätzlich ab.

Viele Grüße
Ihr Posteo-Team

Liebe Mailvelope-Nutzerinnen und -Nutzer,

wir wenden uns mit einem Sicherheitshinweis an alle, die das Verschlüsselungs-Add-on Mailvelope unter Firefox nutzen.

Wir haben ein aktuelles Sicherheits-Audit von Mailvelope durchführen lassen. Hierbei wurde eine kritische Schwachstelle im Zusammenspiel zwischen dem Browser Firefox und Mailvelope gefunden. Die Sicherheits-Architektur von Firefox lässt es unter bestimmten Umständen zu, dass Angreifer mit Hilfe kompromittierter Add-ons an den privaten Schlüssel des Nutzers gelangen können. Wir bitten alle Mailvelope-Nutzer mit Firefox deshalb, unsere Sicherheits-Empfehlungen weiter unten in diesem Beitrag aufmerksam zu lesen. #more#

Betroffen sind auch Mailvelope-Nutzer bei allen anderen Anbietern wie z.B. Gmail, GMX, web.de sowie De-Mail.

Die Firefox-Architektur schottet Add-ons nicht genügend gegeneinander ab. Dies ist bereits seit Jahren bekannt. Dass sogar private Schlüssel eines Mailvelope-Nutzers bei gezielten Angriffen in Firefox kompromittiert werden können, war bisher aber nicht belegt. Die von uns beauftragten Sicherheits-Ingenieure von Cure53 konnten dies nun nachweisen. Cure53 hatte Mailvelope in der Vergangenheit bereits unter Chrome auditiert: In unserem Auftrag haben die Ingenieure das Plugin nun erstmals auch im Zusammenspiel mit Firefox untersucht. Im Untersuchungsbericht kommen sie zu dem Schluss, dass Firefox derzeit keine geeignete Umgebung für Mailvelope darstellt. Sie schreiben:

“Letztendlich kann das Cure53-Team das Verwenden von Mailvelope unter Firefox nicht guten Gewissens empfehlen.”

Schwachstelle bis voraussichtlich November 2017

Wir haben den Entwickler von Mailvelope, Thomas Oberndörfer, nach dem Sicherheits-Audit informiert. Die Schwachstelle kann er jedoch nicht schliessen, da sie durch die Architektur von Firefox bedingt ist. Bei Firefox wird bereits seit einiger Zeit eine neue Architektur entwickelt. Mozilla plant, die Arbeiten bis November 2017 mit der Freigabe von Firefox 57 abzuschliessen. Auch Thomas Oberndörfer arbeitet schon an einer Mailvelope-Version für die neue, verbesserte Firefox-Architektur. Für seine Entwicklung danken wir Ihm.

Bis Mozilla die Architektur angepasst hat, gelten folgende Sicherheits-Empfehlungen:

Option 1: Weichen Sie übergangsweise auf eine andere Software-Lösung aus: Nutzen Sie Mailvelope entweder in einem anderen Browser oder verwenden Sie PGP mit einem lokalen E-Mail-Programm. In der Posteo-Hilfe finden Sie hierzu verschiedene Anleitungen.

Option 2: Alternativ minimiert übergangsweise ein eigenes Firefox-Profil für Mailvelope das Risiko. Wir haben in der Posteo-Hilfe Schritt-für Schritt-Anleitungen für das Anlegen von Firefox-Profilen veröffentlicht: Anleitung für Mac Anleitung für Windows. Mailvelope-Nutzer anderer E-Mail-Provider können ebenfalls nach diesen Anleitungen vorgehen. Beachten Sie bitte unbedingt folgende Sicherheits-Empfehlungen, um das Risiko eines erfolgreichen Angriffs tatsächlich zu minimieren:

• Installieren Sie auf dem neu angelegten Browser-Profil keine weiteren Add-ons.
• Nutzen Sie das Firefox-Profil ausschliesslich für Ihre verschlüsselte Mailvelope-Kommunikation: Rufen Sie lediglich den Webmailer Ihres E-Mail-Anbieters auf und besuchen mit diesem Profil niemals andere Websites.
• Wählen Sie außerdem ein möglichst sicheres Passwort für Ihren PGP-Schlüssel.
• Achten Sie darauf, nicht versehentlich durch Phishing weitere Add-ons zu installieren, über die Sie angegriffen werden könnten.

Aufgrund der Probleme in der Firefox-Architektur raten wir außerdem:

• Beschränken Sie das Verwenden von Add-ons in Ihrem Firefox-Browser auf ein Minimum, bis Mozilla die Architektur angepasst hat.
• Wer für seine Ende-zu-Ende-verschlüsselte Kommunikation einen getrennten, zusätzlichen Benutzer auf seinem Betriebssystem einrichtet, schirmt sich noch weiter vor potentiellen Angreifern ab.

Hier aus Transparenzgründen noch einmal die (übersetzten) Empfehlungen aus dem Cure53-Prüfbericht:

“Nutzern, die auf Mailvelope zum Ver- und Entschlüsseln hochsensibler Daten vertrauen, können zwei Wege empfohlen werden. Erstens können sie Mailvelope in einem Browser-Profil nutzen, in dem ausschliesslich und exklusiv Mailvelope ohne andere Erweiterungen installiert ist. Zweitens müssten sie auf eine andere Software-Lösung vertrauen, zum Beispiel auf Thunderbird mit Enigmail.”

“Aktuell wird jedem Nutzer von Mailvelope unter Firefox empfohlen, seine Mailvelope-Einstellungen zu exportieren, Mailvelope aus Firefox zu löschen und die Mailvelope-Einstellungen in eine Mailvelope-Installation unter Google Chrome umzuziehen. Alternativ kann Mailvelope in einem separaten Browserprofil benutzt werden, um das Risiko des Diebstahls von Schlüsselmaterial zu miniminieren – allerdings darf dann kein anderes Add-on in diesem Profil installiert sein.”

Von Posteo beauftragte Sicherheits-Ingenieure fanden Schwachstelle

Unsere Kunden verwenden im Alltag verschiedene Geräte, Browser und Add-ons in ihren lokalen Umgebungen. Die Kommunikations-Sicherheit unserer Kunden ist uns sehr wichtig: Deshalb lassen wir auch externe Standard-Komponenten kontinuierlich auf Schwachstellen überprüfen. Hierfür arbeiten wir u.a. mit den unabhängigen IT-Sicherheitsexperten von Cure53 zusammen. Bei Mailvelope unter Firefox sind sie nun fündig geworden.

Dr. Mario Heiderich (Cure53) erklärt hierzu:

“Das Problem liegt aktuell in der Architektur. Daher gibt es keinen einfachen Fix. Mozilla weiß das, muss aber auch den schweren Spagat zwischen radikalen Änderungen sowie besonnenen und daher oft träge wirkenden Entscheidungen halten. Aber es geht in die richtige Richtung, das ist bei komplexer Software schon mal etwas durchaus Positives.”

Thomas Oberndörfer (Mailvelope) sagt:

“Mailvelope ist natürlich von der Sicherheit der zugrundeliegenden Browser Plattform abhängig. Schwächen im Add-on System von Firefox sind schon länger bekannt, umso mehr ist es zu begrüßen, dass Mozilla hier jetzt nachbessert. Security Audits wie das von Posteo durchgeführte sind für uns ein wichtiger Indikator, um zu sehen, wie wir Mailvelope weiter verbessern können.”

Prüfbericht wird nach Schließen der Schwachstelle veröffentlicht

Die oben geschilderte Schwachstelle wird durch Mozilla voraussichtlich erst im November 2017 geschlossen. Aus Sicherheitserwägungen werden wir den Prüfbericht deshalb erst zu einem späteren Zeitpunkt veröffentlichen. In ihm wird der Angriff, der zum Erfolg führen kann, detailliert beschrieben. Mailvelope sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegt der Bericht bereits vor.

Das Sicherheits-Audit hat auch positive Ergebnisse zu Mailvelope erbracht, die wir an dieser Stelle erwähnen möchten: Es wurde geprüft, ob E-Mail-Provider, für die Mailvelope genutzt wird, auf den im Browser gespeicherten privaten Schlüssel der Mailvelope-Nutzer zugreifen können: Dies war nicht möglich. Alle anderen Versuche der Sicherheits-Ingenieure, als Betreiber von Dritt-Webseiten oder Man-in-the-Middle-Angreifer auf die in Mailvelope gespeicherten privaten Schlüssel zuzugreifen, waren ebenfalls nicht erfolgreich.

Schwachstelle zeigt: Opensource erhöht die Sicherheit

Wir unterstützen aus Sicherheitsgründen ausschliesslich OpenSource-Komponenten mit transparentem Code – wie das Verschlüsselungs-Plugin Mailvelope. Unserer Ansicht nach ist transparenter Code essentiell für die Sicherheit und die demokratische Kontrolle im Internet: Unabhängige Experten können durch eine Code-Analyse jederzeit Schwachstellen oder Backdoors identifizieren. Wie im aktuellen Fall. Es muss nicht auf die Sicherheits-Aussagen eines Providers oder Entwicklers vertraut werden. Mit den von uns beauftragten Sicherheits-Audits wollen wir dazu beitragen, die Sicherheit gängiger OpenSource-Komponenten und echter Ende-zu-Ende-Verschlüsselung weiter zu erhöhen.

Viele Grüße
Ihr Posteo-Team