Posteo veröffentlicht Transparenzbericht

Erstellt am 10. August 2016, 11:30 Uhr | Kategorie: Medien

Der E-Mailanbieter Posteo veröffentlicht seinen Transparenzbericht und kritisiert Forderungen nach schneller Datenherausgabe.
Wer nicht viel speichert, muss auch nicht viel herausgeben. Das zeigt der diesjährige Transparenzbericht des Berliner Mailanbieters. Gleichzeitig kritisiert das Unternehmen die Forderungen nach einem behördlichen Datenzugriff bei Facebook und Telekommunikationsdiensten innerhalb von einer Stunde als unverhältnismäßig und nicht praktikabel.
Der E-Mailanbieter Posteo hat seinen Transparenzbericht für das Jahr 2015 veröffentlicht. Der Bericht gibt einen Überblick über alle Auskunftsersuchen von Strafverfolgungsbehörden und Nachrichtendiensten an das Unternehmen – und wieviele von diesen Ersuchen am Ende zu einer Datenherausgabe führten. Posteo hatte vor zwei Jahren als erster deutscher Mailanbieter einen Transparenzbericht vorgelegt, andere Telekommunikationsanbieter sind mittlerweile nachgezogen.

zum Artikel

Die schöne Welt der vielen Daten

Erstellt am 05. August 2016, 14:30 Uhr | Kategorie: Medien

Die schöne Welt der vielen Daten – beherrschen wir sie, oder sie uns?
Angela Merkel hat die Bedeutung einer “hohen Datensicherheit” erkannt. (…) Es geht nicht nur um die Frage, ob der rechtliche Rahmen beim Thema “Big Data” richtig oder falsch ist, sondern auch darum, ob dieser Rahmen eingehalten wird. Das ist nicht immer der Fall: Im November 2015 hat zum Beispiel Posteo – ein Anbieter elektronischer Briefkästen – den Bundesinnenminister Thomas de Maizière dafür kritisiert, dass Polizeibehörden “unverschlüsselte Ersuchen um Bestandsdaten” an den Anbieter gerichtet hätten. In diesen Anfragen seien persönliche Daten (wie z.B. Namen und Tatvorwürfe) enthalten gewesen, “die seitens der Behörden nicht verschlüsselt” waren. Dies verstoße gegen das Bundesdatenschutzgesetz.
In einem Brief an den Vorsitzenden der SPD-Bundestagsfraktion Thomas Oppermann bestätigt der Innenminister den Tatvorwurf.

zum Artikel

Nach Posteo-Warnung: SPD sichert ihre Server ab

Erstellt am 25. Juli 2016, 12:30 Uhr | Kategorie: Blog

Liebe Posteo-Kundinnen und Posteo-Kunden,

In der vergangenen Woche hatten wir Sie u.a. davor gewarnt, Nachrichten an die E-Mailserver der SPD zu senden.
Denn die Server der Hauptdomain @spd.de waren auch drei Jahre nach dem NSA-Skandal nicht abgesichert: Sie konnten E-Mails nicht über einen sicheren, verschlüsselten Übertragungweg empfangen.
Auch andere größere Server wie z.B. die von Amazon Marketplace, Congstar oder der GEWOBAG waren betroffen. Die unsicheren Server hatten wir von Kunden gemeldet bekommen, die unsere neue TLS-Versand-Garantie nutzen.
#more#

Am Freitag hatten auch einige Medien wie Golem und das t3n-Magazin über die fehlende Verschlüsselung der SPD-Server berichtet.



Die SPD hat nun reagiert: Unsere Tests am heutigen Montag haben ergeben, dass offenbar nachgebessert wurde. Die Transportwegverschlüsselung (TLS) wurde aktiviert – und Sie können nun sicherer mit @spd.de-Adressen kommunizieren. Auch wenn Man-in-the-Middle-Attacken weiterhin möglich bleiben, da die SPD die Technologie DANE weiterhin nicht nutzt.

Am vergangenen Donnerstag waren die SPD-Server noch nicht TLS-fähig:

Der Test am heutigen Montag zeigt: Die SPD hat nachgebessert


Auch die Stadt Halle @halle.de und die Gewobag @gewobag haben nach unserem Bericht die TLS-Verschlüsselung aktiviert. Wir bedanken uns bei den Betreibern der jeweiligen E-Mailserver für die Reaktion – und bei allen Posteo-Kunden, die uns die unsicheren Server gemeldet hatten. Andere Betreiber unsicherer Server, wie z.B. Congstar oder Amazon Marketplace, haben noch nicht nachgebessert.

Viele Grüße
Ihr Posteo-Team

E-Mails an @spd.de nicht abgesichert

Erstellt am 22. Juli 2016, 11:30 Uhr | Kategorie: Medien

Der Berliner E-Mail-Anbieter Posteo warnt: Unverschlüsselte E-Mails an die Domain @spd.de können nicht sicher übertragen werden. Auch andere bekannte Domains sind betroffen. Selbst drei Jahre nach der Aufdeckung des NSA-Skandals durch Edward Snowden unterstützten E-Mail-Adressen mit spd.de-Domain keine Transportverschlüsselung. Darauf weist der Berliner E-Mail-Anbieter Posteo nach zahlreichen Beschwerden seiner Nutzer hin.

zum Artikel

SPD, Congstar & Co: Was tun bei unsicheren Servern?

Erstellt am 21. Juli 2016, 19:00 Uhr | Kategorie: Blog

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir haben in den vergangenen Tagen viel positives Feedback zu unserer neuen TLS-Versand-Garantie erhalten: Hierfür möchten wir uns herzlich bedanken. Es freut uns, wie gut Sie die neue Sicherheits-Funktion annehmen. Innerhalb weniger Tage haben rund 20 Prozent unserer Kunden die neue Funktion aktiviert. Bei aktivierter TLS-Garantie werden Ihre E-Mails nur dann versendet, wenn sie über einen verschlüsselten Transportweg an den Empfänger übertragen werden können.
Da wir aktuell zahlreiche Nachfragen erhalten, gehen wir hier auf einige unsichere E-Mailserver ein und zeigen auf, welche Optionen Sie nach einem Versandstopp haben.

Zunächst ein Beispiel, zu dem wir zahlreiche Nachfragen erhalten: Die SPD.

Die E-Mail-Server der offenbar weit verbreiteten Domain “@spd.de” sind tatsächlich nicht abgesichert. Sie unterstützen auch drei Jahre nach dem NSA-Skandal noch keine TLS-Verschlüsselung beim Empfang von E-Mails. Das können wir bestätigen. Wir hatten von zahlreichen Kunden mit aktivierter TLS-Versand-Garantie Nachfragen zur Sicherheit von “@spd.de” erhalten.


Einige andere SPD-Domains, zum Beispiel von Landesverbänden, scheinen hingegen nicht betroffen zu sein.

#more#

Die derzeitige Konfiguration ist unsicher und stellt ein Sicherheitsrisiko dar. Ob Sie sensible Inhalte dennoch weiterhin mit “@spd.de”-Adressen austauschen möchten, ist Ihre persönliche Entscheidung. Sie können Ihre TLS-Versand-Garantie für das Versenden ggf. kurzzeitig deaktivieren. Bitte beachten Sie jedoch: Aufgrund der fehlenden Absicherung von “@spd.de” kann diese Kommunikation von unbefugten Dritten, wie Kriminellen und Geheimdiensten, mitgelesen werden. Daten Dritter sollten Sie an spd.de-Adressen aus Gründen des Datenschutzes nicht versenden: Darüber sollten diese Personen selbst entscheiden können.

Wir haben auf die IT der SPD keinen Einfluss. Sie können sich aber an den Parteivorstand wenden, dem diese Domain laut DENIC gehört – und der für sie verantwortlich ist.
Es ist für Administratoren von E-Mailservern in der Regel kein größerer Aufwand, die TLS-Verschlüsselung an ihren Servern zu aktivieren.
Wir gehen davon aus, dass die Domain zeitnah abgesichert wird, wenn Beschwerden eingehen. Denn die fehlende Absicherung stellt ein gravierendes Sicherheitsrisiko dar. Dann können Sie auch bei aktivierter TLS-Versand-Garantie wieder E-Mails an spd.de-Adressen versenden.

Keine Verschlüsselung auch bei Amazon Marketplace und Congstar

Wir bitten auch alle Kunden, die sich wegen der nicht TLS-fähigen E-Mail-Server von @marketplace.amazon.de, @kabelbw.de, @congstar.de, @gewobag.de und anderen (weiter unten aufgeführten) Domains an uns gewendet hatten: Wägen Sie im Einzelfall ab, ob Sie eine E-Mail an das unsichere E-Mailsystem versenden möchten. Für alle nicht TLS-fähigen Server gilt: Die Kommunikation mit solchen veralteten E-Mail-Systemen ist unsicher.


Nach einem Versandstopp haben Sie grundsätzlich folgende Möglichkeiten:
- Sie informieren den Empfänger (ggf. auf einem anderen Weg) darüber, dass ein sicherer E-Mail-Versand an seine Adresse nicht möglich ist und bitten ihn um das Mitteilen einer anderen E-Mail-Adresse.
- Sie deaktivieren die Posteo-TLS-Versand-Garantie kurzzeitig und versenden die E-Mail sicher, indem Sie die Nachricht mit einer Ende-zu-Ende-Verschlüsselung versehen.
- Sie deaktivieren die Posteo-TLS-Versand-Garantie kurzfristig und versenden die E-Mail ausnahmsweise unverschlüsselt bzw. unsicher.

Den Domaininhaber um eine bessere Absicherung bitten

Wenn Sie möchten, können Sie den Inhaber einer Domain auch bitten, die TLS-Verschlüsselung auf seinen Servern zu aktivieren. So tragen Sie dazu bei, eine bessere Absicherung des E-Mailverkehrs insgesamt zu erreichen.

So finden Sie mit wenigen Klicks die Inhaber von .de-Domains:
Rufen Sie die Internetseite www.denic.de auf. Klicken Sie oben rechts auf “Domainabfrage”.
Geben Sie den Domainnamen ein, er steht hinter dem @. Bei einer @spd.de-Adresse geben Sie also z.B. nur spd.de ein. Dann klicken Sie auf Abfrage starten.
Unten erscheint eine Sicherheitsfrage. Geben Sie die angezeigten Buchstaben ein und klicken auf Absenden.
Ihnen werden nun der Domaininhaber und die dazugehörigen Kontaktdaten angezeigt.

Insgesamt lässt sich sagen, dass heutzutage meist nur noch veraltete und schlecht gewartete E-Mailserver kein TLS unterstützen. Aktivieren Sie die TLS-Versand-Garantie, wird es deshalb im Alltag in der Regel nur selten vorkommen, dass eine Ihrer E-Mails aus Sicherheitsgründen nicht versandt wird.

Zum Schluss haben wir für Sie beispielhaft einige E-Mail-Domains mit größerer Reichweite zusammengestellt, die erstaunlicherweise noch kein TLS unterstützen – und zu denen wir in den vergangenen Tagen Rückfragen erhalten haben:

- United Nations Office at Geneva: @unog.ch
- SPD: @spd.de
- Kabel Baden-Württemberg: @kabelbw.de
- Congstar: @congstar.de
- Amazon Marketplace: @marketplace.amazon.de
- Karl-Franzens-Universität Graz: @uni-graz.at
- Deutsche Internetapotheke: @deutscheinternetapotheke.de
- Stadt Halle an der Saale: @halle.de
- Stadt Saarbrücken: @saarbruecken.de
- SWB-Gruppe, Bremen: @swb-gruppe.de
- Deutsche Oper Berlin: @deutscheoperberlin.de
- Gewobag: @gewobag.de
- QVC: Teleshopping @qvc.de

Viele Grüße
Ihr Posteo-Team