ProtonMail gibt Nutzerdaten preis, was in Spanien zu einer Festnahme führt

 (restoreprivacy.com)
1 Punkte von GN⁺ 2024-05-08 | 1 Kommentare | Auf WhatsApp teilen

  • Im Zusammenhang mit einer rechtlichen Anfrage der spanischen Behörden hat ProtonMail Daten eines Mitglieds der katalanischen Unabhängigkeitsorganisation Democratic Tsunami offengelegt. In der Folge wurde die betreffende Person festgenommen.

  • ProtonMail ist ein in der Schweiz ansässiger sicherer E-Mail-Dienst, der für Ende-zu-Ende-Verschlüsselung und eine strikte No-Logs-Politik bekannt ist. Bereits 2021 hatte der Dienst einer rechtlichen Anfrage im Zusammenhang mit der Festnahme eines französischen Klimaaktivisten entsprochen.

  • Kern des aktuellen Falls ist, dass ProtonMail der spanischen Polizei die mit dem Konto einer Person mit dem Pseudonym "Xuxo Rondinaire" verknüpfte Wiederherstellungs-E-Mail-Adresse zur Verfügung gestellt hat. Diese Person steht im Verdacht, als Mitglied der katalanischen Polizei (Mossos d'Esquadra) interne Informationen an die Bewegung Democratic Tsunami weitergegeben zu haben.

  • Auf Grundlage der von ProtonMail erhaltenen Wiederherstellungs-E-Mail forderten die spanischen Behörden weitere Informationen bei Apple an und konnten so die betreffende Person identifizieren. Der Fall zeigt das komplexe Zusammenspiel zwischen Technologieunternehmen, Datenschutz der Nutzer und Strafverfolgungsbehörden.

  • ProtonMails Reaktion auf diese Anfrage unterliegt dem Schweizer Recht, das das Unternehmen zur Kooperation bei formell über das Schweizer Gerichtssystem eingereichten internationalen Rechtsersuchen verpflichtet. Allein im Jahr 2022 hat ProtonMail auf 5.971 Datenanfragen reagiert.

Die Bedeutung von OPSEC

  • Die aktuelle Situation erinnert daran, wie wichtig die Einhaltung strenger OPSEC (Operations Security) ist. Man sollte sich bewusst sein, dass Verknüpfungen mit Wiederherstellungsinformationen oder sekundären Diensten mit geringerem Datenschutzniveau, etwa einem Apple-Konto, eine potenzielle Schwachstelle darstellen können.

  • Nutzer mit Datenschutzbedenken, insbesondere solche, die an sensiblen oder politischen Aktivitäten beteiligt sind, sollten OPSEC bei der Nutzung von Privacy-Tools oberste Priorität einräumen.

  • Empfohlen wird, möglichst keine Wiederherstellungs-E-Mail-Adresse oder Telefonnummer zu verwenden, die direkt mit personenbezogenen Daten oder der Haupttätigkeit verknüpft werden kann, stattdessen anonyme Wegwerf-E-Mails oder virtuelle Telefonnummern in Betracht zu ziehen, ein VPN zum Verbergen der IP-Adresse zu nutzen und anonyme Zahlungsmittel einzusetzen.

Die Position von Proton

  • Proton bestätigte die wesentlichen Punkte des Falls und erklärte, dass die Tatsache, dass die von Apple erhaltenen Daten zur Identifizierung eines Terrorverdächtigen verwendet wurden, zeige, dass Proton selbst nur minimale Nutzerinformationen speichert.

  • Proton bietet grundsätzlich Privacy, aber keine Anonymität. Für Anonymität ist die eigene Sorgfalt der Nutzer bei angemessener OPSEC erforderlich, etwa indem kein Apple-Konto als optionale Wiederherstellungsmethode hinzugefügt wird.

  • Proton verlangt das Hinzufügen einer Wiederherstellungs-E-Mail nicht verpflichtend. Denn diese könnte auf Grundlage eines Schweizer Gerichtsbeschlusses theoretisch offengelegt werden. Terrorismus ist auch in der Schweiz illegal.

Meinung von GN⁺

  • Dieser Fall zeigt deutlich, wie schwierig es ist, ein Gleichgewicht zwischen Datenschutz der Nutzer und Strafverfolgung zu finden. Er kann als Beispiel dafür gelten, dass sich unter dem Vorwand der nationalen Sicherheit die Grenzen verschlüsselter Kommunikationsdienste offenbaren.

  • Aus Sicht von ProtonMail mag die Bindung an das Schweizer Recht unvermeidbar sein, doch wenn sich solche Fälle wiederholen, wird das Unternehmen das Vertrauen seiner Nutzer verlieren. Schon die Tatsache, dass mit einer strikten No-Logs-Politik geworben wird und zugleich jedes Jahr auf Tausende Datenanfragen reagiert wird, kann widersprüchlich wirken.

  • Nutzer, die in sensible Aktivitäten verwickelt sind, sollten solche Vorfälle zum Anlass nehmen, ihr eigenes OPSEC-Niveau zu überprüfen. Man darf nicht vergessen, dass selbst bei stark abgesicherten Diensten das Risiko einer Identitätsenthüllung über sekundäre Verknüpfungen wie Wiederherstellungs-E-Mails besteht.

  • Gleichzeitig sollten Strafverfolgungsbehörden hinterfragen, ob sie unter dem Vorwand der Terrorismusbekämpfung nicht übermäßig häufig die Herausgabe von Nutzerdaten verlangen. Eine Haltung, die demokratische Protestbewegungen nicht von Terrorismus unterscheidet, kann ein direkter Weg in eine Überwachungsgesellschaft sein.

  • Die Grenzen der von Staaten und Unternehmen gebotenen Privacy zu erkennen und die eigene OPSEC nicht zu vernachlässigen, dürfte der beste Weg sein, die Privatsphäre zu schützen. Dazu können verschiedene Maßnahmen wie VPN, anonyme Zahlungen und Wegwerf-E-Mails genutzt werden.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-05-08
Hacker-News-Kommentare
  • Es gibt eine Diskrepanz zwischen der Realität des Kundenschutzes bei ProtonMail und den Erwartungen der Leser
    • Es gibt Grenzen dafür, welchen Schutz ein rechtmäßiges Unternehmen bieten kann
    • ProtonMail und Apple fechten Vorladungen an, die sie für ungerechtfertigt halten, haben aber nicht die letzte Entscheidungsmacht
    • Nutzer sollten sorgfältig entscheiden, welche Informationen sie einem Dienstanbieter geben
    • Die Verknüpfung mit einer Telefonnummer oder einer Backup-E-Mail-Adresse kann ein entscheidender Hinweis zur Identifizierung sein
  • ProtonMail wird erwähnt, weil Apples Auskunftsersuchen zur tatsächlichen Identifizierung genutzt wurde (Klarname, Telefonnummer usw.)
    • Die E-Mail-Adresse war ein Hinweis, aber auch andere Informationen wie IP-Adresse, Google-Werbe-Cookies usw. können zur Identifizierung verwendet werden
  • Man sollte sich davor hüten, dass Websites, die mit Privatsphäre werben, Privatsphäre und Anonymität verwechseln
    • Privatsphäre reicht aus, um vor der Öffentlichkeit zu schützen, aber nicht vor dem Staat
    • Wenn man gegen den Staat kämpft oder ihm feindlich gegenübersteht, reicht bloße Privatsphäre nicht aus
    • Für Anonymität müssen möglicherweise Funktionen oder Komfort geopfert werden
  • ProtonMail gibt die Wiederherstellungsadresse heraus, Apple Informationen wie Klarname, Adresse und Telefonnummer
  • Wenn ein VPN-Dienst mit der Zahlungsart verknüpft ist, liefert er der Polizei nur einen weiteren Ansatzpunkt zur Verfolgung
    • Mullvad scheint der einzige VPN zu sein, der eine Zahlungsweise anbietet, die Anonymität gewährleistet
  • Der Kernpunkt ist, dass ProtonMail nach Schweizer Recht IP-Adressinformationen sammeln und herausgeben muss
    • Solange sie nicht durch Verschlüsselung garantiert ist, ist ein Versprechen von Privatsphäre nur eine leere Geste
    • Niemand will für den Schutz der Privatsphäre ins Gefängnis gehen
  • Man sollte Parallel Construction in Betracht ziehen
    • Es ist möglich, dass die Informationen bereits vorlagen (z. B. rechtmäßige ISP-Überwachung)
    • Dass ProtonMail/Apple Informationen herausgegeben haben, ist schlecht, muss aber nicht die eigentliche Quelle gewesen sein
  • ProtonMail gibt Informationen nur dann heraus, wenn Schweizer Recht es verlangt, und die Schweizer Datenschutzgesetze sind ziemlich gut
    • Das ist die strengste Datenschutzpolitik, die man sich von einem Unternehmen wünschen kann
    • ProtonMail kann nur E-Mail-Adressen, IP-Adressen usw. herausgeben, nicht aber den Inhalt von E-Mails
  • Wenn man versucht, ein ProtonMail-Konto über Tor zu erstellen, wird eine Verifizierung per Telefonnummer verlangt
    • Bei einer nicht über Proxy laufenden IP kann man dies umgehen
    • Sie wollen die Identität der Nutzer kennen und betreiben das schon seit Langem auf diese Weise
    • Es ist möglich, dass es schon lange eine Honeypot-Funktion erfüllt
  • Dies ist nicht das erste Mal, dass ProtonMail eine Wiederherstellungs-E-Mail an die Bundesregierung herausgegeben hat