Liebe Posteo-Kundinnen und Posteo-Kunden,
Liebe Thunderbird-Nutzer und Interessierte,

wir wenden uns mit Sicherheitshinweisen an alle Nutzer von Thunderbird und dem Verschlüsselungs-Add-on Enigmail.

Wir wollen, dass weit verbreitete Open Source-Lösungen sicherer werden.
Im Herbst haben wir deshalb mit dem Mozilla SOS Fund kooperiert und gemeinsam ein umfangreiches Sicherheits-Audit von Thunderbird mit Enigmail beauftragt. Für Enigmail war es das erste Sicherheits-Audit überhaupt.

Ziel dieser Sicherheits-Untersuchung war es, Schwachstellen zu identifizieren und die geprüfte Software nachhaltig sicherer zu machen. Im aktuellen Audit wurden zahlreiche Schwachstellen nachgewiesen. Die Enigmail-Entwickler haben alle gefundenen Probleme bereits behoben. Auch in Thunderbird konnten einige Fehler bereits behoben werden – allerdings werden die meisten Verbesserungen erst in kommenden Versionen zur Verfügung stehen. Darüber hinaus gibt es Probleme mit der Architektur des Thunderbird-Add-on-Systems. Deshalb wenden wir uns heute an Sie.

Betroffen sind Thunderbird-Nutzer bei allen Anbietern, wie z.B. auch bei Gmail, GMX oder web.de.

Wir bitten alle Thunderbird- und Enigmail-Nutzer, unsere Sicherheits-Empfehlungen weiter unten in diesem Beitrag aufmerksam zu lesen. Beachten Sie die einfachen Sicherheitshinweise, kommunizieren Sie bereits deutlich sicherer.
#more#

24 Tage, 8 Tester, 22 Schwachstellen

Die umfangreiche Untersuchung von Thunderbird mit Enigmail wurde im Herbst 2017 von unabhängigen Sicherheitsingenieuren (Cure53) durchgeführt. Finanziert wurde das Audit zu gleichen Teilen von Posteo und dem Mozilla SOS Fund. Das Projekt umfasste 24 Tage und ein Team von 8 Testern.
Geprüft wurden die Bereiche “Eingehende PGP E-Mails”, “Eingehende HTML-E-Mails”, “Erstellen der PGP-Schlüsselpaare/Verschlüsselung generell”, “Kalender, RSS und andere Funktionen mit Rich-Text” sowie die “Standardeinstellungen”.

Insgesamt wurden 22 sicherheitsrelevante Schwachstellen gefunden, davon wurden 3 als “kritisch” und 5 als “hoch” eingestuft. Die Entwickler von Thunderbird und Enigmail waren in das Audit einbezogen und wurden nach dem Sicherheits-Audit umgehend informiert.

Die Tester selbst fassen die Ergebnisse in ihrem Bericht wie folgt zusammen:

“Ein genauer Blick auf die Implementierungen von Thunderbird und Enigmail offenbarte eine weite Verbreitung von Design-Mängeln, Sicherheitsproblemen und Fehlern. (…) Kurz gefasst, darf eine Kommunikation unter dem gegenwärtigen Design und in dieser Zusammensetzung derzeit nicht als sicher angesehen werden.”(Übs.)

“A detailed look at the implementations of both Thunderbird and Enigmail revealed a high prevalence of design flaws, security issues and bugs. (…) In short, secure communications may not be considered possible under the current design and setup of this compound.”(Original)

Als kritisch wurde bei Enigmail u.a. eingestuft, dass dort sowohl Signaturen als auch Identitäten vorgetäuscht werden konnten. Auch konnte die verschlüsselte Kommunikation eines Nutzers von Dritten abgefangen und unter bestimmten Bedingungen im Weiteren kompromittiert werden.
Die Enigmail-Entwickler haben alle gefundenen Schwachstellen inzwischen geschlossen und eine neue Enigmail-Version (1.9.9) zur Verfügung gestellt. Hierfür möchten wir uns bei Enigmail bedanken.
Allerdings ist Enigmail auf Thunderbird angewiesen. Und dort stehen viele der Verbesserungen erst in kommenden Versionen zur Verfügung.

Thunderbird-Add-on-Architektur gefährdet die Sicherheit Ihrer Daten

Im Frühjahr hatten sich im Rahmen eines Posteo-Audits bereits Architekturschwächen bei Firefox bestätigt, die wir daraufhin auch in Thunderbird vermuteten. Das aktuelle Audit hat dies bestätigt:

Die Add-on-Architektur von Thunderbird lässt es zu, dass Angreifer über kompromittierbare Plugins/Add-ons an Ihre E-Mail-Kommunikation gelangen. Die Plugins/Add-ons werden nicht stark genug voneinander abgegrenzt und haben u.a. Zugriff auf die Inhalte in Thunderbird. Das betrifft auch Ende-zu-Ende-verschlüsselte Kommunikation: Der private PGP-Schlüssel des Nutzers kann so in die Hände eines Angreifers gelangen. Enigmail selbst kann hier nicht nachbessern. Es ist sogar möglich, dass ein Angreifer über kompromittierte Add-ons in Thunderbird Zugriff auf Teile Ihres Gerätes und auf ihre sensiblen Daten erhält.

Im Prüfbericht wird zu Vorsicht geraten:

“Angenommen, ein kompromittierbares Add-on ist installiert, dann eröffnen sich einem Angreifer zahlreiche Wege, an den privaten Schlüssel und andere sensible Daten zu gelangen. (…) Fortan sollten sich alle Nutzer bewusst sein, dass Thunderbird-Extensions so mächtig sind wie ausführbare Dateien, was bedeutet, dass sie mit angemessener Vorsicht und Sorgsamkeit zu behandeln sind.”(Übs.)

“Assuming that a vulnerable or rogue extension is installed, an attacker acquires multiple ways of getting access to private key material and other sensitive data. (…) Henceforth, users are asked to be aware that extensions in Thunderbird are as powerful as executables, which means that they should be treated with adequate caution and care.”(Original)

In Firefox wurde die Architektur in der aktuellen Version 57 grundlegend umgebaut.
Bei Thunderbird ist derzeit nicht absehbar, ob die Add-on-Architektur zeitnah geändert wird.

RSS-Feeds als Spione

Im Audit wurden auch schwerwiegende Sicherheitsprobleme in Verbindung mit RSS-Feeds nachgewiesen, die voraussichtlich erst in Thunderbird Version 59 vollständig behoben sein werden. Die Angriffswege werden in diesem Beitrag aus Sicherheitsgründen nicht weiter beschrieben. Das Verwenden von RSS-Feeds in Thunderbird kann Ihre vertrauliche Kommunikation in Thunderbird sowie andere sensible Daten offenlegen und gefährden.

Bitte beachten Sie folgende Sicherheits-Empfehlungen:

Für alle Thunderbird-Nutzer:

• Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur Verfügung stehen. Die neuen Versionen werden verschiedene Schwachstellen beheben, die in dem Audit festgestellt wurden.
• Nutzen Sie Thunderbird möglichst ohne oder nur mit aktuell geprüften Add-ons/Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde. Aktuell kann das Verwenden kompromittierbarer Add-ons/Plugins die Vertraulichkeit Ihrer Kommunikation und anderer sensibler Daten auf Ihren Geräten gefährden.
• Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer (Ende-zu-Ende-verschlüsselten) Kommunikation gefährden.
• Achten Sie darauf, nicht versehentlich Add-ons durch Phishing zu installieren, über die Sie angegriffen werden könnten.

Beachten Sie diese einfachen Sicherheitshinweise, kommunizieren sie bereits deutlich sicherer.

Für Enigmail-Nutzer:

• Updaten Sie Enigmail umgehend auf die neue Version 1.9.9. Diese Version behebt alle im Audit gefundenen Schwachstellen.
• Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur Verfügung stehen. Die neuen Versionen werdenverschiedene Schwachstellen beheben, die in dem Audit festgestellt wurden.
• Installieren Sie zusätzlich zu Enigmail keine weiteren Add-ons oder Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde.
• Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer Ende-zu-Ende-verschlüsselten Kommunikation gefährden.
• Achten Sie darauf, nicht versehentlich weitere Add-ons durch Phishing zu installieren, über die Sie angegriffen werden könnten.

Beachten Sie diese einfachen Sicherheitshinweise, kommunizieren sie bereits deutlich sicherer.

Prüfbericht wird nach Schließen der Schwachstellen veröffentlicht
Aus Sicherheitserwägungen werden wir den Prüfbericht erst veröffentlichen, wenn alle gefundenen Schwachstellen geschlossen sind. In ihm werden die erfolgreichen Angriffe der Tester detailliert beschrieben. Den beteiligten Entwicklern, Posteo und Mozilla liegt der Bericht vor.

Posteo und Open Source
Posteo unterstützt aus Sicherheitsgründen ausschliesslich Open Source-Komponenten mit transparentem Code. Wir sind überzeugt davon, dass transparenter Code essentiell für die Sicherheit und die demokratische Kontrolle im Internet ist: Unabhängige Experten können jederzeit Schwachstellen oder Backdoors identifizieren und so die jeweilige Software Schritt für Schritt sicherer machen. Bei nicht transparentem Code muss hingegen auf die Sicherheits-Aussagen eines einzelnen Providers oder Entwicklers vertraut werden. Und diese sind für die Öffentlichkeit nicht nachprüfbar. Das ist aus unserer Sicht keine Option.

Open Source-Projekte brauchen Ihre Unterstützung:

- Spenden Sie an das Thunderbird-Projekt, um die Weiterentwicklung von Thunderbird zu fördern: https://donate.mozilla.org/de/thunderbird/
- Spenden Sie an die Enigmail-Entwickler, um die Weiterentwicklung von Enigmail zu fördern: https://www.enigmail.net/index.php/en/home/donations

Nach dem Audit: Was die Beteiligten sagen

Der Enigmail-Entwickler Patrick Brunschwig bedankt sich:

“Enigmail ist eines der meistgenutzten Tools für die Verschlüsselung mit OpenPGP. Es brauchte 16 Jahre Entwicklungszeit, bis das erste Sicherheits-Audit durchgeführt wurde. Es war überfällig, und ich möchte Posteo dafür danken, dass es die Initiative ergriffen hat und das Audit gemeinsam mit der Mozilla Foundation co-finanziert hat. Nicht besonders überraschend für so ein altes Projekt, hat das Audit eine Anzahl wichtiger Probleme offenbart, die jetzt angegangen wurden.”(Übs.)

“Enigmail is one of the most widely used tool for OpenPGP email encryption. Yet it took 16(!) years of development until the first security audit was performed. It was more than overdue, and I would like to thank Posteo (www.posteo.de) for taking the initiative and co-financing an audit report together with the Mozilla Foundation. Not very surprising for such an old project, the audit report revealed a number of important issues that were addressed now.”(Original)

Mozilla wertet die Untersuchung als Erfolg:

"Mozilla’s Secure Open Source Fund, ein Projekt von MOSS, stellt Sicherheits-Audits für relevante Open Source Software zur Verfügung. Wir freuen uns sehr, dass wir mit Posteo zusammenarbeiten konnten, um eine der wichtigsten Software-Kombinationen für sichere E-Mail zu untersuchen, und wir sind glücklich, dass die Daten der Nutzer als Ergebnis sicherer geworden sind."(Übs.)

“Mozilla’s Secure Open Source Fund, a MOSS program, provides code-read security audits for key pieces of open source software. We are very pleased to have been able to collaborate with Posteo to audit one of the main software combinations used for secure email, and are glad that users’ data is safer and more secure as a result.”(Original)

Dr. Mario Heiderich von Cure53 wünscht sich nach den Ergebnissen der Untersuchung die Neuauflage eines Bug Bounty Programms für Thunderbird:

“Wenn alle durch Cure53 gefundenen Probleme beseitigt sind, sollte abschliessend stark in Erwägung gezogen werden, wieder ein Bug-Bounty Programm für Thunderbird einzuführen. Dieser Ansatz würde würde dabei helfen, die Sicherheit auf einem akzeptablen Level zu halten, statt sie sich zu einem veralteten Stand verschlechtern zu lassen .”(Übs.)

“In closing, once all relevant issues reported here by Cure53 have been fixed, it should be strongly considered to re-establish a bug bounty program for Thunderbird. This approach would help keeping the security level at an acceptable level instead of allowing it to deteriorate and move towards a stale state of datedness.”(Original)

Patrik Löhr von Posteo möchte Veränderungen in der Add-on-Architektur von Thunderbird:

“Wir wollen verbreitete Open Source-Komponenten und echte Ende-zu-Ende-Verschlüsselung sicherer machen: Und am besten lässt sich dies über Sicherheits-Audits erreichen.
Dass alle in Enigmail gefundenen Schwachstellen bereits geschlossen werden konnten, ist ein Erfolg.
Bei der Add-on-Architektur von Thunderbird muss allerdings nachgebessert werden, um ein zeitgemäßes, sicheres Setup zu erreichen. Thunderbird ist ein essentiell wichtiges Werkzeug für sehr viele Menschen, die mit E-Mail arbeiten und eine echte Ende-zu-Ende-Verschlüsselung nutzen. Deshalb: Der Aufwand lohnt sich.”

Viele Grüße
Ihr Posteo-Team

Liebe Kundinnen und Kunden,
liebe Interessierte,

wir haben einen Transparenzhinweis für Sie: Wir haben unsere Spenden-Seite aktualisiert. Dort legen wir offen, welche Organisationen wir im vergangenen Jahr (2016) finanziell unterstützt haben.

Uns ist es wichtig, gesellschaftliches Engagement zu fördern und als Unternehmen Verantwortung zu übernehmen.
Deshalb unterstützen wir ausgewählte Organisationen aus den Bereichen Umwelt- und Klimaschutz, Netzpolitik & Meinungsfreiheit sowie aus der Flüchtlingshilfe.

Im vergangenen Jahr haben wir insgesamt 29.600,00 EUR gespendet. Davon waren 28.002,00 EUR freiwillige Spenden durch das Unternehmen Posteo. Aus gespendeten Restguthaben stammten die übrigen 1.598,00 EUR. #more#

Im Vergleich zum Vorjahr konnten wir unsere Spenden im Jahr 2016 um 5.250,00 EUR erhöhen.

Empfänger der Posteo-Spenden waren, wie bereits im Vorjahr, u.a. Reporter ohne Grenzen, die UNO-Flüchtlingshilfe, der Bund für Umwelt und Naturschutz Deutschland sowie Netzpolitik.org.

Neu hinzugekommen ist ein Klimaschutzprojekt des Deutschen Roten Kreuzes im Amazonasgebiet: Dort sind 1,3 Millionen Menschen durch die klimawandelbedingte Zunahme von Extremwetter-Ereignissen akut bedroht. Im Rahmen des Projektes werden Häuser in sicherer Bauweise auf erhöhten Plattformen errichtet. Außerdem werden Decken und Hygienekits verteilt sowie ein Gesundheitsdienst eingesetzt. Das Projekt trägt nachhaltig zur Existenzsicherung der vom Klimawandel betroffenen Menschen bei.

Außerdem unterstützen wir seit dem Jahr 2016 das Europäische Zentrum für Verfassungs- und Menschenrechte (ECCHR). Ziel der Anwälte des ECCHR ist es, staatliche und nichtstaatliche Akteure für schwerwiegende Menschenrechtsverletzungen gerichtlich zur Verantwortung zu ziehen. Gegründet wurde das ECCHR im Jahr 2007 unter anderem von dem Menschenrechtsanwalt Wolfgang Kaleck, der in Deutschland den Whistleblower Edward Snowden vertritt.

Posteo wirtschaftet nachhaltig und ist unabhängig: Unser Dienst wird ausschliesslich über die Postfachgebühren unserer Kunden finanziert. Investoren oder Werbepartner gibt es bei Posteo nicht.
Deshalb sind Sie es, die unser Engagement ermöglichen – und einen Unterschied machen. Hierfür bedanken wir uns bei Ihnen.

Alle Empfänger von Posteo-Spenden finden Sie auf unserer Seite Wen wir unterstützen.

Viele Grüße
Ihr Posteo-Team

Liebe Posteo-Kundinnen und Posteo-Kunden,

wir werden häufig gefragt, ob der Zugriff auf Posteo-Postfächer zusätzlich abgesichert werden kann – ohne besondere Computerkenntnisse. Eine Möglichkeit hierzu ist die Zwei-Faktor-Authentifizierung, die wir bereits seit einiger Zeit anbieten.

Sie ist ein einfacher, aber effektiver Zusatzschutz vor fremden Zugriffen: Beim Einloggen im Webmailer wird neben dem persönlichen Passwort auch ein Einmal-Code abgefragt. Die Zwei-Faktor-Authentifizierung verhindert Account-Diebstahl: Sollten Kriminelle oder Geheimdienste einmal Ihre Zugangsdaten (Benutzername und Passwort) erbeuten, haben sie keine Möglichkeit, auf Ihre Kontoeinstellungen zuzugreifen, Ihr Passwort zu ändern und Sie aus Ihrem Postfach auszusperren. Der Zugriff von Dritten auf Ihre Konten- und Sicherheitseinstellungen wird wirksam verhindert.

Wir haben die Erfahrung gemacht, dass Menschen ohne besondere IT-Kenntnisse sich oft nicht zutrauen, die Zwei-Faktor-Authentifizierung zu aktivieren. Eine optimale Online-Sicherheit ist aber für alle wichtig: Deshalb haben wir heute ein Video veröffentlicht, in dem unser Hilfe-Redakteur Tim Vüllers Ihnen Schritt für Schritt zeigt, wie Sie die zusätzliche Absicherung einrichten. Er erklärt auch, wie das Verfahren grundlegend funktioniert und zeigt, wie er persönlich es im Alltag nutzt. Außerdem verrät er im Video einen zusätzlichen Sicherheits-Trick: Wenn Sie Posteo nicht mit externen Mailprogrammen (wie Outlook oder Thunderbird) verwenden, können Sie den Zugriff für solche Programme sperren. Dann schützt die Zwei-Faktor-Authentifizierung auch Ihre E-Mails zusätzlich vor unbefugten Zugriffen. #more#

Wir werden in Zukunft weitere Hilfe-Videos veröffentlichen. Unsere Videos können mit Untertiteln barrierefrei angesehen werden. Zusätzlich sind Video-Versionen auf Englisch und Französisch verfügbar.

Weitere Kosten entstehen Ihnen mit der Zwei-Faktor-Authentifizierung nicht. Sie können das Verfahren auf vielen verschiedenen Geräten benutzen (Computer, Smartphone, Tablet, Yubikey).
Übrigens: Unser Kunden-Support hilft Ihnen auch gerne persönlich weiter, wenn Sie einmal Fragen oder Probleme mit der Zwei-Faktor-Authentifizierung haben sollten. Eine detaillierte Schritt-für-Schritt-Anleitung für das Einrichten finden Sie alternativ auch in der Posteo-Hilfe.

Viele Grüße
das Posteo-Team

Liebe Posteo-Kundinnen und Posteo-Kunden,

die Bundesdatenschutzbeauftragte, Andrea Voßhoff, hat heute ihren aktuellen Tätigkeitsbericht für die Jahre 2015 und 2016 vorgelegt.

In dem Bericht wird aufgeführt, welchen Unternehmen in den vergangenen zwei Jahren ein Kontrollbesuch abgestattet wurde.
Hier werden auch wir erwähnt: Denn Posteo wurde im November 2016 routinemäßig und anlasslos geprüft.

Die Bundesdatenschutzbeauftragte schreibt über Posteo (anonymisiert) in ihrem Bericht:
“Ein E-Mail-Diensteanbieter hat den Datenschutz hingegen wirklich beeindruckend umgesetzt. Obwohl es sich um einen gebührenpflichtigen Dienst handelt, hat das Unternehmen einen Weg gefunden, weder Bestandsdaten im Sinne des § 95 TKG noch Verkehrsdaten nach § 97 TKG für den Betrieb zu benötigen und diese folglich auch nicht zu erheben oder dauerhaft zu speichern. Wie mir berichtet wurde, zweifeln viele Sicherheitsbehörden, die Auskunft nach § 113 TKG verlangen, diese Praxis an und versuchen, teilweise gerichtlich nicht vorhandene Daten einzuklagen.”

Quelle: 26. Tätigkeitsbericht zum Datenschutz für die Jahre 2015 und 2016, Seite 177

Das Betreiben eines konsequent datenschutzfreundlichen Angebotes ist in Deutschland tatsächlich mitunter schwierig. Es ist mit einem enormen bürokratischen Aufwand und mit hohen Anwaltskosten verbunden.
Wir freuen uns deshalb sehr über die wohlwollende Erwähnung im Tätigkeitsbericht. #more#

Da der Tätigkeitsbericht nun vorliegt, veröffentlichen wir aus Transparenzgründen heute auch den Prüfbericht der Bundesdatenschutzbeauftragten zu Posteo. Der Kontrollbesuch fand am 24. November 2016 statt. Aus Sicherheitsgründen haben wir wenige technische Details, die u.a. dem Schutz vor Mißbrauch dienen, geschwärzt. Das gilt auch für zwei Passagen zu einem laufenden juristischen Verfahren.

Hier der Bericht der BfDI zu Posteo im Pdf-Format.

Eine Auswahl von Zitaten aus dem Prüfbericht:

zu Bestandsdaten:
“Zusammenfassend stelle ich fest, dass Posteo im Sinne des § 95 TKG keine Bestandsdaten erhebt.” (Seite 4)
“Posteo berücksichtigt den Grundsatz der Datensparsamkeit sehr umfassend. Obwohl die Konten gebührenpflichtig sind, hat Posteo einen Weg gefunden, keine Bestandsdaten erheben zu müssen.” (Seite 8)

zu Bezahldaten:
“Die Bezahldaten werden nicht mit den E-Mail-Postfächern verknüpft, sondern getrennt gespeichert. Hierfür hat Posteo bereits 2009 ein eigenes System zur Anonymisierung der Zahlungsvorgänge entwickelt, das in 2015 den neuen gesetzlichen Vorgaben zur länderspezifischen Mehrwertsteuer angepasst wurde.” (Seite 2)

zu IP-Adressen, Logdaten und Verkehrsdaten:
“IP-Adressen von Kunden sind in den internen Systemen von Posteo nicht verfügbar und können daher auch nicht gespeichert werden.” (Seite 5)
“Zusammenfassend stelle ich fest, dass Posteo keine auf Kunden beziehbaren IP-Adressen und damit keine Verkehrsdaten nach § 96 TKG zur Diensterbringung benötigt und speichert.” (Seite 6)
“Die Gewährleistung der Sicherheit der Systeme nach § 109 TKG ist ohne Erhebung von personenbeziehbaren Verkehrsdaten sichergestellt.” (Seite 8)

zur Verschlüsselung:
“Gegen physischen Diebstahl sind alle Festplatten verschlüsselt, wobei Posteo im Besitz dieses Schlüssels ist. Zusätzlich kann der Nutzer den Posteo-Krypto-E-Mail-Speicher nutzen, um seine E-Mail mit einem eigenen Schlüssel zu verschlüsseln. Posteo unterstützt zusätzlich die Ende-zu-Ende-Verschlüsselung basierend auf PGP und S/MIME. Eine E-Mail kann also dreimal unabhängig voneinander verschlüsselt sein.” (Seite 7)
“Jeder Nutzer kann eine TLS-Versand-Garantie einschalten. Diese stellt sicher, dass die E-Mail über eine sichere, verschlüsselte Verbindung gesendet wird. (…) Ist ein sicherer Versand nicht möglich, wird die E-Mail nicht versendet und Posteo benachrichtigt den Absender per E-Mail.” (Seite 7)

Viele Grüße
Ihr Posteo-Team

Liebe Posteo-Kundinnen,
Liebe Posteo-Kunden,
Liebe Interessierte,

wir haben gestern einen Werbebrief der Firma Uniscon (universal identity control GmbH ) erhalten.
Wir veröffentlichen ihn, um transparent zu machen, wie einige Akteure die neue Vorratsdatenspeicherung derzeit aktiv ausgestalten. Und wie sie versuchen, Unternehmen “Vorratsdatenspeicherung as a Service” zu verkaufen.

Bei Uniscon weiss man offenbar nicht, dass E-Mail-Anbieter wie Posteo (Dienste der elektronischen Post) von der Pflicht zur Vorratsdatenspeicherung explizit ausgenommen sind. Im Schreiben an uns wird behauptet, alle Telekommunikationsunternehmen seien ab dem 1.07.2017 verpflichtet, “eine sichere Lösung zur Speicherung von Verkehrsdaten (VDS) einzusetzen”.

Trotz dieses grundlegenden Irrtums bietet man uns in dem Schreiben einen “Gesamtservice für die Vorratsdatenspeicherung” an, der auch Rechtliches umfasst: die Firma könne das automatische Erteilen “von Auskünften an auskunftssuchende Behörden” sowie das “gesetzliche Berichtswesen” für uns übernehmen. Man verspricht sogar “Entlastung bei der Kommunikation mit der Bundesnetzagentur”.
Auch das Speichern der Verbindungsdaten könne übernommen werden. Derzeit, so schreibt das Unternehmen, “bedienen wir 60 Kunden mit der Lösung, welche im Rechenzentrum des TÜV-Süd betrieben wird.”

Im Brief wird betont, die Lösung sei “in sehr enger Zusammenarbeit mit dem Bundeswirtschaftsministerium entstanden”.
Man habe “im Dialog mit der Bundesnetzagentur wesentliche Punkte des Anforderungskataloges (Anm. d. Red.: für die VDS) mitgestaltet”. Ihre Lösung nennen sie “Vorratsdatenspeicherung as a Service (VDSaaS)” und schreiben: “Wir nehmen Ihnen diese Aufwände ab, damit Sie sich auf Ihr Geschäft fokussieren können!”

Wir halten eine an Dienstleister ausgelagerte Vorratsdatenspeicherung und Datenausleitung, wie sie sich in diesem Schreiben andeutet, für sehr bedenklich. #more#

Provider sollten Verantwortung für ihre Kunden tragen: das rechtliche Prüfen und Abwickeln eingehender Behördenersuchen und richterlicher Anordnungen sollte nicht an Dienstleister ausgelagert werden. Aus der eigenen Praxis wissen wir, dass Behördenersuchen oft nicht rechtmäßig sind. Für die Betroffenen geht es u.a. um Beschränkungen ihrer Grundrechte (siehe Grundgesetz Art 10). Wir halten es aus Gründen der demokratischen Kontrolle deshalb für nicht wünschenswert, dass wenige Dienstleister diese gesellschaftlich wichtige Aufgabe für eine Vielzahl von Telekommunikationsunternehmen übernehmen. Aus denselben Gründen sollte auch das technische Speichern und Ausleiten von Verbindungsdaten der Bürgerinnen und Bürger nicht in die Hand von Dienstleistern gelegt werden. Sicherheitstechnisch ist das Speichern von Verkehrsdaten zahlreicher Anbieter an nur einem oder wenigen Standorten ohnehin nicht zu empfehlen.

Posteo ist von der Vorratsdatenspeicherung nicht betroffen. E-Mail-Anbieter wie Posteo (Dienste der elektronischen Post) sind von der Pflicht zur Vorratsdatenspeicherung explizit ausgenommen. Wir unterhalten keinerlei Geschäftsbeziehungen zu der Firma Uniscon. Den Werbebrief haben wir unaufgefordert erhalten. Wir lehnen die verdachtsunabhängige Vorratsdatenspeicherung grundsätzlich ab.

Viele Grüße
Ihr Posteo-Team