Erstellt am 12. April 2022, 14:00 Uhr | Kategorie: Blog
Am 28. April 2022 ist wieder Girls’ Day: Auch wir sind in diesem Jahr mit dabei – und interessierte Schülerinnen können sich ab sofort anmelden.
Der Girls’ Day ist ein bundesweiter Aktionstag zur Berufsorientierung, an dem Mädchen ab der 5. Klasse Einblick in Berufe nehmen können, die immer noch vorwiegend von Männern gewählt werden. So auch der vielseitige und spannende Beruf der Software-Entwicklerin: Der Frauenanteil im Studiengang Informatik liegt in Deutschland seit Jahren bei nur etwa einem Viertel.
Wir geben 10 Schülerinnen die Möglichkeit, einen Ausflug in die Welt des Codens zu machen und sich mit Informatikerinnen auszutauschen. Bei uns ist das Verhältnis zwischen Männern und Frauen in der Entwicklung ausgewogen. Viele Posteo-Funktionen wurden von Frauen programmiert; wie etwa der Posteo-Umzugsservice, unsere mobile Benutzeroberfläche oder der Anhangs-Browser mit Foto-Stream.
Am Girls’ Day werden zwei unserer Software-Entwicklerinnen erzählen, warum sie sich für das Informatikstudium entschieden haben, welche Studieninhalte zu erwarten sind, wie das Studieren mit so vielen männlichen Kommilitonen und Professoren war – und wie es danach beruflich für sie weiterging. Sie beantworten Fragen der Mädchen rund um die Berufswahl, und sprechen mit ihnen über die vielen Vorteile, die der Beruf aus ihrer Sicht mit sich bringt.
Die Schülerinnen lernen auch die E-Mail-Welt näher kennen: Wir zeigen ihnen, wie es funktioniert, dass so viele Rechner weltweit miteinander kommunizieren und über Protokolle Informationen austauschen. Das werden die Mädchen auch selbst ausprobieren können – und mit einem E-Mail-Server chatten. Unsere Informatikerinnen werden ihnen außerdem zeigen, woran sie bei Posteo gerade arbeiten.
Die Veranstaltung findet in unserem Posteo-Lab in Berlin statt. Anmelden können sich Schülerinnen, die 12 Jahre oder älter sind und sich vorstellen können, später Software-Entwicklerin zu werden. Vorkenntnisse sind nicht notwendig. Mehr Informationen und die Möglichkeit zur Anmeldung zu unserem Angebot finden Interessierte auf der Website des Girls’ Day.
Erstellt am 17. Januar 2022, 11:00 Uhr | Kategorie: Info
Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,
wir werden in den nächsten Tagen unser Haupt-Sicherheitszertifikat aktualisieren. Sicherheitszertifikate haben eine zeitlich begrenzte Gültigkeit und müssen hin und wieder erneuert werden. Deshalb werden wir es bis zum 28.01.2022 austauschen.
In den meisten Fällen werden Sie davon nichts mitbekommen.
Alle Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.
#more#
Wenn Sie das Vertrauen des Zertifikats durch einen manuellen Abgleich regeln, finden Sie unten den Fingerprint des neuen Haupt-Zertifikats, welches wir in Kürze verwenden. Die vollständigen Fingerprints aller Zertifikate finden Sie auch in unserem Impressum.
Neue Fingerprints des TLS-Sicherheitszertifikats für posteo.de:
Erstellt am 25. Juni 2021, 12:00 Uhr | Kategorie: Info
Liebe Posteo-Kundinnen und Kunden,
wir haben eine neue Funktion freigegeben: Unsere TLS-Empfangs-Garantie.
Die neue Sicherheitsfunktion schützt Sie davor, E-Mails von unsicher sendenden Servern zu empfangen und vervollständigt unsere TLS-Garantien: Für den Versand bieten wir eine solche schon seit einiger Zeit an. Sie können Ihre TLS-Empfangsgarantie ab sofort in den Einstellungen aktivieren.
Neu: TLS-Empfangs-Garantie
Schutz vor unsicheren Versendern
Aktivieren Sie die neue Sicherheitsfunktion, lehnen wir den Empfang einer E-Mail an Ihr Postfach ab, wenn ein Server sie ohne zeitgemäße Transportwegverschlüsselung zustellen möchte. Eine unsicherere Übermittlung von solchen Servern durch das Internet wird garantiert verhindert – und Sie erhalten sofort eine Benachrichtigung von uns. Auch als Laie erkennen Sie so sofort, wer sich nicht genügend um die E-Mail-Sicherheit bemüht.
#more# TLS schützt Ihre Mails auf dem Weg durch das Internet
E-Mails werden heutzutage über verschlüsselte Verbindungen übertragen: Die so genannte Transportwegverschlüsselung (TLS) schützt Ihre Kommunikation auf dem Weg durch das Internet. Ohne TLS könnten E-Mails auf dem Transport einfach abgefangen und mitgelesen werden. Fast alle E-Mail-Server bauen daher inzwischen standardmäßig solche verschlüsselten Verbindungen miteinander auf.
Die Quote unsicherer Server ohne zeitgemäße TLS-Verschlüsselung liegt bereits bei unter 5% (Posteo-Erhebung Mai 2021).
Wir haben die neue Funktion über mehrere Monate hinweg intern sowie mit Anwenderinnen getestet. Das Fazit: In der Regel wird die Empfangsgarantie im Alltag nicht bemerkt, da die allermeisten Versender heutzutage eine zeitgemäße Verschlüsselung unterstützen.
Den größten Anteil (>90%) der unverschlüsselten Kontaktversuche machen inzwischen Spammer und einige wenige Newsletter-Versender aus.
Für den seltenen Fall, dass der Empfang einer erwünschten E-Mail wegen fehlender TLS-Verschlüsselung gestoppt wird, erhalten Sie und der Absender von uns sofort eine Benachrichtigung.
Dann haben Sie zwei Möglichkeiten:
1. Sie entscheiden selbst, ob für Sie in diesem Fall auch eine unverschlüsselte Übertragung in Frage kommt. Wenn ja, deaktivieren Sie die Funktion kurzzeitig und bitten den Absender um erneuten Versand.
2. Sie weisen den Versender auf die fehlende Sicherheit hin, hierfür bieten wir in unserer Hilfe eine Vorlage an. In unseren Tests reagierten die Versender meist innerhalb von 1-2 Werktagen und aktivierten die fehlende Transportwegverschlüsselung. Jeder neu abgesicherte Server ist ein Beitrag zur IT-Sicherheit für alle.
Reagiert ein Betreiber nicht oder ausweichend, können Sie uns unter support+tls@posteo.de um Unterstützung bitten. Wir werden den Versender dann für Sie auch noch einmal kontaktieren.
Erneute Sicherheitsprüfung vor jedem E-Mail-Empfang
Aus Sicherheitsgründen wird bei jedem E-Mail-Empfang eine erneute TLS-Überprüfung durchgeführt. So stellen wir sicher, dass Ihre E-Mails auch dann nicht unsicher übertragen werden, wenn ein Server einmal kurzzeitig nicht TLS-fähig sein sollte – zum Beispiel aufgrund technischer Probleme oder eines Angriffs .
Der Empfang wird auch gestoppt, wenn Dritte eine sichere Verbindung angreifen und den Rückfall auf eine unverschlüsselte Verbindung erzwingen möchten.
So aktivieren Sie die TLS-Empfangsgarantie
Sie können Ihre TLS-Empfangs-Garantie ab sofort in den Einstellungen Ihres Posteo-Postfachs unter “Einstellungen → Mein Konto → Transportwegverschlüsselung” aktivieren. Unser Tipp: Dort können Sie auch Ihre TLS-Versand-Garantie aktivieren, die wir bereits seit längerem anbieten.
In unserer Hilfe haben wir für Sie einen Artikel zur neuen TLS-Empfangs-Garantie bereitgestellt. Dort erfahren Sie, wie Sie die Funktion aktivieren und deaktivieren – und wie Sie vorgehen können, wenn der Empfang einer E-Mail von einem unsicheren E-Mailserver gestoppt wurde.
Die TLS-Empfangs-Garantie im Überblick:
E-Mails werden garantiert immer über einen verschlüsselten Transportweg empfangen.
Sie und der Absender erhalten umgehend eine Benachrichtigung, wenn wir den E-Mail-Empfang von einem unsicheren Server gestoppt haben.
Sie erkennen auch als Laie sofort, wer sich nicht genügend um die E-Mail-Sicherheit bemüht.
Downgrade-Attacken, bei denen ein Angreifer eine Verschlüsselung ausschalten könnte, werden verhindert.
Veraltete Verschlüsselungsprotokolle werden ebenfalls nicht toleriert (wie z.B. SSLv3, TLS 1.0 & 1.1).
Man-in-the-Middle-Attacken werden erschwert. Verwendet der Absender-Server ebenfalls DANE, sind sie unmöglich.
Erstellt am 02. März 2021, 17:00 Uhr | Kategorie: Blog
Das Bundesinnenministerium will bei den Verhandlungen zur TKG-Novelle offenbar kurzfristig noch Änderungen mit weitreichenden Folgen für alle Internetnutzerinnen durchsetzen: Nach dem Willen des BMI sollen sich die Bürgerinnen und Bürger künftig identifizieren müssen, wenn sie weiterhin online über Messengerdienste, Audio-, Videochats oder auch per E-Mail kommunizieren möchten.
Egal, ob WhatsApp, Zoom, Facetime, iMessage, E-Mail oder Skype: Überall sollen künftig verifizierte Datensätze jedes Nutzers liegen. Dem BMI geht es um alle “nummerunabhängigen interpersonellen TK-Dienste”.
Konkret will das BMI, dass die Bürgerinnen und Bürger ihren Namen, die Anschrift sowie ihr Geburtsdatum zwingend bei den Anbietern hinterlegen, die diese Angaben (z.B. mit Personalausweis oder Ident-Diensten) verifizieren müssen.
#more#
Uns liegt ein entsprechendes Papier aus dem BMI seit letzter Woche vor. Heute wurde uns aus gut informierten Kreisen noch einmal bestätigt, dass die Identifizierungspflicht weiterhin nicht vom Tisch ist. Eine frühere Version des Papiers hatte sogar eine Entschlüsselungspflicht für die Anbieter enthalten – diese scheint nun entfallen. Wir haben uns jetzt für die Veröffentlichung des Papiers (siehe unten) entschieden, um eine öffentliche Debatte zu ermöglichen. Uns wurde berichtet, dass das BMI versucht, möglichst viele der insgesamt 15 im Papier enthaltenen Punkte auf den letzten Metern noch ins Gesetz zu bekommen.
(Quelle: Screenshot BMI-Papier)
BMI will Personen-Vorratsdatenspeicherung
Im Papier heisst es: “TK-Dienste sollen verpflichtet werden, Identifizierungsmerkmale zu erheben, zu verifizieren und im Einzelfall den Sicherheitsbehörden zur Verfügung zu stellen.” Die Daten der Bürgerinnen und Bürger sollen nur zum Zweck einer möglichen künftigen Strafverfolgung flächendeckend gespeichert werden: das wäre nichts anderes als eine Personen-Vorratsdatenspeicherung.
Die Identifizierungspflicht würde die Art und Weise, wie Menschen hierzulande Online-Dienste nutzen, grundlegend ändern. Die Nutzerinnen müssten stets zunächst ein Ident-Verfahren durchführen bzw. den Ausweis vorzeigen und wären gezwungen, ihre verifizierten Daten bei zahlreichen – über die ganze Welt verstreuten – Unternehmen zu hinterlegen. Oft handelt es sich um Dienste mit werbefinanzierten, datengetriebenen Geschäftsmodellen, denen die verifizierten Daten aller (deutschen) Nutzer auf dem Silbertablett geliefert würden: So verfügen die Plattformen der großen Konzerne wie Google, Facebook oder Apple oft über integrierte Audio-/Video- und Textchat-Angebote, die nicht getrennt vom Benutzerkonto gehalten werden. Daher wären in der Konsequenz die meisten Online-Angebote von der Identifikationspflicht betroffen. Das dürfte einen massiven und unverhältnismäßigen Eingriff in grundrechtlich geschützte Freiheitsrechte darstellen.
Die gesellschaftlichen Konsequenzen wären enorm: Etwa bei der Teilhabe von Personen ohne Ausweis (Kinder, Geflüchtete) oder von Menschen, die aus Sicherheitsbedenken ihre Daten online nicht überall angeben möchten. Das vertrauliche Hilfesuchen und Konsultieren von Beratungsangeboten würde genauso erschwert wie die Arbeit von Journalistinnen und Journalisten.
Die Anbieter würden hochattraktiv für Datendiebe und vermehrt Ziel von Angriffen. Datenschutzrechtliche Grundsätze würden zudem übergangen: Die Daten würden nur zum Zweck einer möglichen künftigen Strafverfolgung flächendeckend erhoben – und nicht etwa aus betrieblichen Erfordernissen. Wie die Anbieter Nutzerinnen und Nutzer aus Deutschland von ausländischen Nutzern zweifelsfrei unterscheiden sollen, wird in dem Papier nicht erörtert. Auch nicht, dass der Internetstandort Deutschland massiv benachteiligt würde. Es würde massive Ausweichbewegungen hin zu im Ausland sitzenden Angeboten geben, die widerum dazu gezwungen würden, deutsche Nutzer auszusperren – oder deren Identität festzustellen. Datensparsame Online-Dienste würden unmöglich gemacht.
Warum das BMI angesichts eines globalen Internets eine solche Regelung überhaupt für umsetzbar hält, ist völlig offen. Man kann das Internet nicht mit weitgehend nationalen Netzstrukturen – wie etwa Telefonnetzen – vergleichen.
Auch wird im Papier fälschlicherweise und irreführend davon gesprochen, für Strafverfolger solle dann künftig “im Einzelfall die Anonymität” aufgehoben werden. Erstens werden Bestandsdaten nicht in Einzelfällen, sondern millionenfach pro Jahr bei den Anbietern abgefragt – schon bei Ordnungswidrigkeiten (2019: Über 16 Millionen Anfragen laut Bundesnetzagentur). Und zweitens ist ein Account, der bei einem Anbieter mit einem verifizierten Datenatz verknüpft ist, niemals anonym – der Benutzername ist lediglich ein Pseudonym.
15 Punkte: Die Wunschliste des BMI ist lang
Das Papier enthält mehr als ein Dutzend weiterer Punkte, die das BMI im Rahmen der TKG-Novellierung gerne durchsetzen würde. Es ist unserer Ansicht nach durchaus möglich, dass der “Empörungs”-Punkt Identifikationspflicht ggf. die Aufmerksamkeit von den anderen Punkten des Papiers nehmen soll. Auch diese würden aber weitreichende Konsequenzen haben. So sollen die Begriffsdefinitionen für Bestands- und Verkehrsdaten erheblich weiter gefasst und aus ihrem datenschutzrechtlichen Kontext genommen werden. Auch den schon jetzt unklaren Begriff der sogenannten “Mitwirkenden” an TK-Diensten will das BMI ausweiten, bis hin zu Auftragsdatenverarbeitern. Auch sollen diese “Mitwirkenden” (z.B. Internetcafes, Krankenhäuser, Hotels usw.) verpflichtet werden, ebenfalls Daten für Auskunftsersuchen der Sicherheitsbehörden zu erheben und zu speichern. Es wird versucht, jeden zur Datenerhebung heranzuziehen, der auch nur im entferntesten in Berührung mit dem Erbringen von TK-Dienstleistungen kommt. So entstehen an vielen Stellen in der Gesellschaft Datenhalden – und zur Auskunft gegenüber den Behörden Verpflichtete.
Aus unserer Sicht wird hier durch das BMI klar versucht, im TKG ein eigenes Regime für die Erhebung von Daten – nur für die Strafverfolgungsbehörden – zu schaffen und diese Datenerhebung von den datenschutzrechtlichen Vorgaben der DSGVO zu entkoppeln: Dass man nämlich nur erheben darf, was für den Betrieb notwendig ist. Dieser Datenschutzgrundsatz wird auch im neuen TTDSG verankert, einem Gesetz, das künftig den Datenschutz für die TK-Anbieter regeln wird.
Dass nun versucht wird, im TKG einen anderen Datenbegriff zu etablieren und ein anderes Erhebungsregime festzuschreiben, ist alarmierend. Hier wird nun zielgericht konstruiert, dass immer alles erfasst werden muss, was für die Strafverfolgung notwendig ist – und nicht – wie bisher bei E-Mail-Diensten – nur das, was aus betrieblichen Gründen erforderlich ist.
Man hält sich nicht an das, was das BverfG für Datenerhebungen und Datenauskünfte vorgegeben hat, wenn man auf diesem Wege aushebeln möchte, was verfassungs- und datenschutzrechtlich vorgegeben ist. Man kann spezialgesetzliche Regelungen treffen, doch auch diese müssen den verfassungsrechtlichen Vorgaben entsprechen. In den Eingriffsvoraussetzungen muss klar sein, wann, welche und warum Daten erhoben werden. Aber nicht dieses “große Öffnen”, indem man an den Begriffsdefintionen für Bestands-, Verkehrsdaten und am ungeklärten Begriff der sogenannten “Mitwirkung” schraubt und diese so weit öffnet, dass Anbieter und beliebige Dritte am Ende alles erheben und speichern müssen – nur für die Zwecke der Ermittlungsbehörden.
TK-Dienste, die Internetzugangs- oder Signalübertragungsdienste anbieten, will das BMI außerdem verpflichten, im Rahmen einer Quellen-TKÜ sowie bei Online-Durchsuchungen “Auskünfte zu erteilen und Hilfestellung zu gewähren”. Das bedeutet: Diese Anbieter sollen verpflichtet werden, den Datenstrom so umzuleiten bzw. die hierzu notwendigen Hilfestellungen zu geben, dass die Sicherheitsbehörden die staatliche Überwachungssoftware (Staatstrojaner) auf dem Endgerät des Nutzers aufbringen können.
Welche Erfolgsaussichten die Forderungen aus dem BMI im derzeit laufenden Gesetzgebungsverfahren haben, ist noch unklar. Uns wurde aus dem Bundestag signalisiert, dass das BMI nicht locker lässt und weiter versucht, auf den letzten Drücker noch Themen ins TKG zu bekommen, die in der Ressortabstimmung eigentlich verworfen wurden – und dass es in der SPD-Fraktion Bedenken gibt. Das BMI beabsichtigt, so viele seiner Forderungen durchzusetzen wie möglich. Auch, da es wahrscheinlich ist, dass nach der Bundestagswahl andere Koalitionspartner mitregieren, die für solch tiefgreifende sicherheitspolitische Verschärfungen wenig offen wären. Wir hatten im Herbst bereits Stellung zum bisherigen Gesetzentwurf genommen – damals wurden Wirtschaft und Zivilgesellschaft nur 2 Tage Zeit für eine Stellungnahme eingeräumt. Wir möchten nicht in den kommenden Wochen von einem in wesentlichen Teilen verschärften Gesetzentwurf überrascht werden, zu dem kaum noch Stellung bezogen werden kann.
Disclaimer: Wenn Sie das Dokument lesen, beachten Sie bitte, dass es sich bisher nur um ein Forderungspapier aus dem Bundesinnenministerium handelt. Die dort enthaltenen Ausführungen und Begründungen geben daher ausschliesslich die Ansichten des BMI wieder – und entsprechen nicht zwingend Tatsachen. Es ist derzeit auch völlig unklar, welche oder ob wesentliche Teile des Papiers in den Gesetzentwurf gelangen werden.
Erstellt am 29. Dezember 2020, 18:00 Uhr | Kategorie: Info
Liebe Posteo-Kundinnen, Liebe Posteo-Kunden,
wir werden in den nächsten Tagen unser Haupt-Sicherheitszertifikat aktualisieren. Sicherheitszertifikate haben eine zeitlich begrenzte Gültigkeit und müssen hin und wieder erneuert werden. Deshalb werden wir es bis zum 21.01.2021 austauschen.
In den meisten Fällen werden Sie davon nichts mitbekommen.
Alle Programme wie Thunderbird oder Outlook finden das neue Zertifikat automatisch. Sie müssen nichts tun. Sollte Ihr Programm während des Umstellungsprozesses dennoch einen Zertifikatefehler melden, starten Sie Ihr Programm bitte einmal neu – dies sollte den Fehler beheben.
#more#
Wenn Sie das Vertrauen des Zertifikats durch einen manuellen Abgleich regeln, finden Sie unten den Fingerprint des neuen Haupt-Zertifikats, welches wir in Kürze verwenden. Die vollständigen Fingerprints aller Zertifikate finden Sie auch in unserem Impressum.
Neue Fingerprints des TLS-Sicherheitszertifikats für posteo.de:
