Liebe Posteo Nutzer,

wir wenden uns heute mit einem kurzen Terminhinweis an Sie:

Am Samstag, dem 30. August, findet in Berlin die Großdemonstration “Freiheit statt Angst” statt, zu der ein breites gesellschaftliches Bündnis aufruft. #more# Die Demonstration richtet sich gegen die Überwachung der Bürgerinnen und Bürger. Der Umzug startet um 14 Uhr auf der Westseite des Brandenburger Tores. Mehr Informationen finden Sie auf der Website der Demonstration.

Viele Grüße
Ihr Posteo-Team

Liebe Posteo-Nutzer,

heute ist ein guter Tag für die Bürgerrechte im Netz: Erst heute morgen hatten wir als erster deutscher Provider einen Transparenzbericht über Auskunftsersuchen von Behörden veröffentlicht.#more#
Wir hatten darauf gehofft, dass andere deutsche Anbieter schon bald folgen würden. Nun ging alles schneller als erwartet. Die Telekom ist unserem Beispiel bereits heute Mittag gefolgt: Das Unternehmen hat soeben einen eigenen Transparenzbericht veröffentlicht. Heute morgen hatte die taz noch berichtet, dass die Telekom sich für nicht zuständig halte.

Aus dem Bericht der Telekom geht hervor, dass Behörden im vergangenen Jahr 49.796 Telekom-Anschlüsse überwacht haben. Außerdem erhielten Behörden 436.331 Verkehrsdatensätze und 28.162 Bestandsdatensätze von dem Unternehmen und ermittelten 946.641 Mal Anschlussinhaber hinter bestimmten IP-Adressen. Leider ist nicht dokumentiert, wie viele Anfragen abgelehnt wurden, und wie viele erfolgreich waren.

Einem Artikel der Zeit zufolge wollen auch andere Anbieter nun nachziehen:

Ein Sprecher von GMX und WEB.DE erklärte zeit.online, man arbeite “an einem Modell, hier für Transparenz zu sorgen”. Von Vodafone und Strato liegen bislang keine Antworten vor.

Wir haben zum Schluss eine Bitte an Sie: Wir möchten erreichen, dass Transparenzberichte Standard werden. Bitte fragen Sie mit Hilfe unseres Rechtgutachtens und der Antwort der Bundesregierung Ihre Provider nach Transparenzberichten. Es besteht eine gute Chance, jetzt mehr Transparenz bei deutschen Anbietern zu erreichen.

Viele liebe Grüße,
Ihr Posteo-Team

Liebe Posteo-Nutzer,

wir haben in den vergangenen Tagen zahlreiche Anfragen von verunsicherten Nutzern erhalten. Sie wollten erfahren, ob sie vom Datendiebstahl betroffen sind, der in der vergangenen Woche bekannt wurde. Medienberichten zufolge wurden insgesamt 18 Millionen Zugangsdaten für E-Mailpostfächer entwendet.#more#

Wir würden unsere Nutzer sehr gerne darüber informieren, ob sie betroffen sind – und bemühen uns intensiv, Kontakt zu Verantwortlichen im BSI herzustellen. Bisher leider ohne Erfolg.

Das BSI hat uns bisher nicht mitgeteilt, ob – und wenn ja, wieviele bzw. welche Posteo-Postfächer vom aktuellen Datendiebstahl betroffen sind. Inzwischen wurde uns von der Pressestelle mitgeteilt, dass diese Auskünfte nur E-Mailanbietern erteilt wurden, bei denen mehr als 20.000 Postfächer betroffen sind. Diese (sehr großen) Anbieter haben nun die Möglichkeit, alle betroffenen Kunden adäquat zu informieren.

Da bei Posteo nur wenige Nutzer betroffen sein dürften, wurden wir nicht informiert. Deshalb haben wir zurzeit auch keine Möglichkeit, eventuell betroffene Posteo-Nutzer aufzuklären.

Das würden wir aber gerne: Deshalb versuchen wir weiter, Kontakt zu den Verantwortlichen im BSI herzustellen. Auch bei einer geringen Anzahl von Betroffenen möchten wir gerne dieselben konkreten Auskünfte erhalten wie die großen Provider.

Was können Posteo-Nutzer bis dahin tun?

Das BSI empfiehlt verunsicherten Nutzern, auf der Testseite des BSI selbst zu überprüfen, ob Ihre Adresse betroffen ist. Das BSI gibt an, dass während des Tests die eingegebene E-Mailadresse sowie ein Hash Ihrer IP-Adresse dort gespeichert wird. Die Behörde versichert aber auch, dass alle personenbezogenen Daten, die bei der Nutzung des Tests erhoben werden, vollständig gelöscht werden, “sobald sie zur Durchführung des Tests nicht mehr benötigt werden”. Die angegebene E-Mail-Adresse werde zu “keinem anderen Zweck als zur Durchführung des Sicherheitstests verwendet”. Leider erhalten Sie bei diesem Test nur dann eine Antwort, wenn Ihre E-Mailadresse sicher betroffen ist. Wenn Ihre E-Mailadresse nicht betroffen ist, gibt es keine Entwarnung. Diese Lösung ist unbefriedigend, weil natürlich auch ein technischer Fehler eine Antwort verhindern könnte.
Wenn Sie verunsichert sind, empfehlen wir Ihnen – unabhängig vom BSI-Test -, einfach Ihr Passwort zu ändern.

Liebe Grüße,
Ihr Posteo-Team

Liebe Posteo-Nutzer,

in diesem Blogbeitrag geht es um ein Thema, das viele von Ihnen verunsichert und zu dem wir aktuell zahlreiche Anfragen erhalten. Es geht darum, auf welche Art deutsche E-Mailanbieter Daten an Ermittlungsbehörden übergeben, wenn ein richterlicher Beschluss zur Herausgabe oder Überwachung eines E-Mailpostfachs vorliegt. #more#

Die Computerzeitschrift c`t schreibt hierzu in Ihrer aktuellen Ausgabe (4/2014):

“E-Mailprovider mit mehr als 10.000 Kunden müssen eine so genannte SINA-Box betreiben, die den Mailverkehr aller Kunden ausleiten kann, ohne dass es der Provider oder der Kunde bemerkt.”

Das ist falsch. Es ist deutschen Behörden nicht möglich, ohne das Wissen eines Providers auf E-Mails von Nutzern zuzugreifen. Und eine SINA-Box hat keinen Zugriff auf die Systeme eines Providers.
Wir haben die Redaktion um Richtigstellung gebeten. Sie hat den Fehler inzwischen eingeräumt und eine Richtigstellung im c’t-Blog veröffentlicht. Da wir nicht alle Anfragen persönlich beantworten können, möchten wir nun an dieser Stelle darüber informieren, wie es sich mit der SINA-Box verhält:

Bei Posteo steht bisher keine SINA-Box.
In der Telekommunikations-Überwachungsverordnung gibt es die Pflicht für Telekommunikations-Anbieter, ab einer Teilnehmerzahl von 10.000 einen speziellen Computer (SINA-Box) aufzustellen. Bei uns ist nicht zweifelsfrei zu sagen, wieviele Teilnehmer unser Dienst hat, da wir keine Bestandsdaten unserer Nutzer erheben. Wir wissen nur die Anzahl der Postfächer.

Wir werden sicher irgendwann eine SINA-Box anschaffen müssen – die Einschätzung des richtigen Zeitpunkts überlassen wir unseren sehr erfahrenen Anwälten, die für verschiedene Telekommunikations-Unternehmen SINA-Lösungen mit der Bundesnetzagentur verhandeln. Das ist aber eher ein finanzielles Ärgernis. Die Sicherheit der Daten unserer Nutzer wird dadurch nicht gemindert. Davon sind wir inzwischen, nach einer intensiven Auseinandersetzung mit diesem Thema (u.a. mit Anwälten und Behörden), überzeugt – und können Ihnen dies versichern.

Eine SINA-Box ist ein Computer, der eine verschlüsselte Verbindung zu den berechtigten Behörden aufbaut, ein so genanntes VPN. Wir hätten zwar keinen Zugriff auf die SINA-Box. Aber die Behörden hätten über die SINA-Box umgekehrt auch keinen Zugriff auf unsere Server oder auf unseren Netzwerkverkehr.
Im Gegenteil: Die Behörde hätte keinen Zugriff auf unsere Server. Sie würde uns aber die Möglichkeit geben, den Inhalt eines Postfachs über die SINA-Box auf einem Behörden-Server abzuspeichern, wenn ein Richter die Herausgabe/Überwachung eines Postfachs angeordnet hätte.
Auf diesen hätten wir danach keinen Zugriff mehr, sondern nur die Behörde. Allerdings würden sich auf diesem Computer ausschließlich die Daten befinden, die wir selbst (Posteo) dort hinterlegt hätten.
-———
Anmerkung: Die c`t schreibt, dass über eine SINA-Box der Mailverkehr aller Kunden ausgeleitet werden kann, ohne dass es der Provider oder der Kunde bemerkt.
Das ist falsch.
-———
Auch der Behördencomputer (hinter der SINA-Box) wäre, ebenso wie die SINA-Box selbst, weder mit unseren Servern verbunden, noch würde er Zugriff auf unsere Server ermöglichen. Es geht den Behörden sogar im Gegenteil darum, ein absolut abgeschottetes System aufzustellen, damit Dritte keine Möglichkeit erhalten, Daten mitzulesen, die wir manuell übergeben müssten. Wenn ein richterlicher Beschluss vorliegt, müssten wir über diesen Computer Kopien der Daten zur Verfügung stellen, also z.B. indem wir die Daten per FTP-Zugriff an die Behörde übertragen (einseitig durch uns).

Schon jetzt, auch ohne SINA-Box, sind wir dazu verpflichtet, auf einen richterlichen Beschluss hin die Daten eines Postfachs herauszugeben, worauf wir in unserer Datenschutzerklärung auch hinweisen. Dazu ist jeder E-Mailanbieter in Deutschland ab dem ersten Nutzer verpflichtet.

Der Gesetzgeber hat die Hürde zur Herausgabe von Inhalten recht hoch gelegt: Ihre E-Mails unterliegen dem Fernmeldegeheimnis.
Da wir Postfächer niemals freiwillig herausgeben (§ 94 Abs. 1 StPO), sondern Anfragen stets förmlich widersprechen, muss eine strafrechtliche Beschlagnahme eines Posteo-Postfachs durch einen Richter angeordnet werden (§ 94 Abs. 2 StPO, § 98 Abs. 1 S. 1 bzw. Abs. 2 S. 1 StPO). Eine strafrechtliche TKÜ-Anordnung zur Überwachung eines Postfachs kann ausschließlich bei bestimmten schweren Straftaten erwirkt werden – nicht bei Ordnungswidrigkeiten o.ä. Die gesetzliche Regelung hierzu finden Sie z.B. hier. Der richterliche Beschluss muss von den Behörden bei uns (dem Provider) vorgelegt werden und wird durch unsere Anwälte auf Umfang und formale Korrektheit geprüft, bevor wir Daten ausleiten.

Der Provider händigt Daten nach Vorlage eines richterlichen Beschlusses also selbst aus. Der Kunde darf über eine TKÜ-Anordnung nicht informiert werden. Das ist verboten, damit würden wir uns strafbar machen.

Aktuell müssten wir z.B. eine DVD mit dem Postfach-Inhalt an die abfragende Stelle schicken – über die aufgestellte Sina-Box haben die Behörden die Daten schneller und sicherer. Sonst gibt es keinen Unterschied zum bisherigen Vorgehen. Und auch keine darüber hinausgehenden Möglichkeiten der Behörden, auf Daten unserer Nutzer zuzugreifen.

Wir würden gerne so bald wie möglich einen Transparenzbericht zur Anzahl von Behördenanfragen herausgeben. Dies würde der allgemeinen Verunsicherung sicher entgegenwirken. Leider ist noch nicht abschließend geklärt, ob dies nach deutschem Recht überhaupt zulässig ist. Eventuell würden wir uns mit dem Veröffentlichen eines Transparenzberichtes strafbar machen. Wir lassen hierzu gerade ein Rechtsgutachten erstellen. Wir werden in Kürze ausserdem eine Seite bereitstellen, auf der wir über rechtliche Fragen informieren, die uns häufig erreichen.

Wir hoffen, wir konnten mit diesem Beitrag zur Klärung beitragen.

Viele liebe Grüße sendet,
das Posteo-Team

PS: Hier finden Sie ein Dokument mit häufigen Fragen des Herstellers von SINA-Boxen.

Liebe Posteo-Nutzer,

wir wünschen Ihnen Alles Gute für das Jahr 2014 – und möchten uns ganz herzlich bei allen bedanken, die uns in diesem Jahr unterstützt, Vertrauen entgegengebracht und uns weiterempfohlen haben. #more#

Das vergangene Jahr war sehr ereignisreich für uns. Die Enthüllungen von Edward Snowden bzw. der NSA-Skandal haben viel Aufmerksamkeit auf unser kleines Projekt gelenkt. Das war sehr anstrengend, aber wir nehmen die Herausforderung und die Verantwortung gerne an.

Posteo steht am Ende des abgelaufenen Jahres deutlich solider da als zuvor. Das Wachstum ermöglicht uns, auch sehr anspruchsvolle Vorhaben zeitnah umzusetzen, ohne auf Fremdfinanzierung angewiesen zu sein. So haben wir in den vergangenen Monaten unsere Server noch sicherer gemacht, zusätzliche Verschlüsselungsoptionen eingeführt (Kalender- und Adressbuch) und arbeiten inzwischen mit einem Team sehr erfahrener Linux-Administratoren zusammen. Auch lassen wir uns nun intensiv von Anwälten betreuen, die auf E-Maildienstleistungen spezialisiert sind. Sie vertreten unsere Interessen kompetent und engagiert – und stärken damit Ihr Recht auf informationelle Selbstbestimmung.

Wir haben in den vergangenen Monaten ein sehr professionelles Entwickler-Team zusammengestellt, das nun an zusätzlichen Verschlüsselungsoptionen arbeitet. Wir hoffen, noch im Frühjahr mit den ersten Tests zur individuellen Verschlüsselbarkeit der E-Mailpostfächer (mithilfe Ihrer Passwörter) beginnen zu können. Auch am Kalender und in vielen anderen Bereichen wird fleissig gearbeitet, um Posteo weiter zu verbessern und den Unterbau flexibler zu gestalten.

Unser Support-Team ist ebenfalls gewachsen. Es wird Ihnen auch im kommenden Jahr kompetent und zeitnah Hilfestellung bei all Ihren Problemen bieten. Ausserdem sitzt es daran, unsere Hilfe-Seiten auszubauen und zu überarbeiten. So werden wir in Kürze alle Beiträge zu E-Mailprogrammen um konkrete Anleitungen und Tipps zu Verschlüsselung per PGP und S/Mime erweitern. Diese Art der Verschlüsselung ist zwar mit einem gewissen Mehraufwand für Sie verbunden, stellt aber einen weiteren und zuverlässigen Schutz gegen unbefugte Mitleser dar.

Die Politik reagiert leider anders auf die Enthüllungen von Edward Snowden, als von uns erhofft – und möchte die anlasslose und flächendeckende Vorratsdatenspeicherung wieder einführen. Deswegen werden wir uns im neuen Jahr politisch vor allem gegen die Wiedereinführung der Vorratsdatenspeicherung einsetzen. Neben unserem und dem Engagement unseres Rechtsbeistands wird es hier auch auf Sie ankommen: Die Vorratsdatenspeicherung wird kommen, wenn es keinen gesellschaftlichen artikulierten Widerspruch dagegen gibt.

Viele liebe Grüße,
das Posteo-Team