Proton Mail sperrt auf Anfrage einer Cybersicherheitsbehörde Journalist:innen-Konten

 (theintercept.com)
4 Punkte von GN⁺ 2025-09-14 | 1 Kommentare | Auf WhatsApp teilen
  • Proton Mail hat die Konten von Journalist:innen, die über den Hack von Computersystemen der südkoreanischen Regierung recherchierten, auf Anfrage einer Cybersicherheitsbehörde vorübergehend gesperrt
  • Auch nach der Wiederherstellung der Konten fordern die Journalist:innen eine klare Erklärung zu Protions Entscheidungsprozess bei Sperrungen und dessen Grundlage
  • Viele Medienhäuser weltweit nutzen Proton Mail als Alternative zu Gmail; der Vorfall weckt daher Sorgen um Privatsphäre und Vertrauenswürdigkeit
  • Proton räumte ein, auf eine Meldung einer externen Stelle hin gegen die Konten vorgegangen zu sein, nannte jedoch weder die genaue Behörde noch die Begründung
  • Der Vorfall deutet darauf hin, dass Schutzrichtlinien für gefährdete Nutzergruppen wie Journalist:innen, Whistleblower und Sicherheitsforscher:innen gestärkt werden müssen

Proton Mail sperrt auf Anfrage einer Cybersicherheitsbehörde Journalist:innen-Konten

Protons Selbstverständnis und die Sperrung von Journalist:innen-Konten

  • Proton ist ein E-Mail-Dienst, der sich als „neutraler und sicherer Raum zum Schutz persönlicher Daten, dem Erhalt der Freiheit verpflichtet“ präsentiert
  • Im vergangenen Monat wurden auf Anfrage einer Cybersicherheitsbehörde die Proton-Mail-Konten von zwei Journalist:innen, die über den Hack von Computersystemen der südkoreanischen Regierung recherchierten, deaktiviert
  • Nach öffentlicher Kritik und längerer Zeit wurden die Konten wiederhergestellt, doch die Journalist:innen und die Redaktion verlangen weiterhin eine klare Erklärung für Protons Entscheidungsprozess bei der Kontensperrung

Schutz von Journalist:innen und die Folgen des Vorfalls

  • Martin Shelton von der Freedom of the Press Foundation weist darauf hin, dass viele Medienhäuser Proton Mail als Alternative zu Gmail und anderen Diensten wählen und den Dienst gerade nutzen, um Situationen wie diese zu vermeiden
  • Es wurde die Ansicht geäußert, dass bei der Nutzung von Proton durch Journalist:innen bei sensiblen Themen wie Sperrmaßnahmen zunächst eine nicht öffentliche Kommunikation erfolgen sollte
  • Auf Reddit erklärte das offizielle Proton-Konto, der Fall sei „übertrieben“ dargestellt worden, und behauptete, man habe Journalist:innen-Konten nicht absichtlich blockiert

Hintergrund der Sperrung der Journalist:innen-Konten

  • Bei den deaktivierten Konten handelte es sich um die von Saber und cyb0rg, die für die August-Ausgabe von Phrack einen Bericht über APT-Angriffe (Advanced Persistent Threats) im Zusammenhang mit dem Hack südkoreanischer Regierungsbehörden verfasst hatten
  • Sie verfolgten einen Hack, der dem als nordkoreanisch geltenden Akteur „Kimsuky“ ähnelte, und informierten nach dem Verfahren der Responsible Disclosure vorab die betroffenen Stellen und Sicherheitsorganisationen (Korea Internet and Security Agency, KrCERT/CC usw.), bei denen Schwachstellen entdeckt worden waren
  • KrCERT hinterließ ihnen eine Antwort, in der ihnen gedankt wurde

Erklärung zu CERT und Meldesystemen für Cybersicherheit

  • CERT (Computer Emergency Response Team) ist eine Organisation, die auf die Reaktion auf Sicherheitsvorfälle spezialisiert ist
  • CERTs gibt es in mehr als 70 Ländern; sie werden staatlich oder privat betrieben und sind auf verschiedene Bereiche spezialisiert
  • In den USA ist die Cybersecurity and Infrastructure Agency ein typisches Beispiel

Ablauf der Kontensperrung und Streit um Werte

  • Etwa eine Woche nach Erscheinen der gedruckten Ausgabe von Phrack wurden die Proton-Mail-Konten gesperrt, die die Journalist:innen zur Offenlegung der Schwachstellen eingerichtet hatten
  • Als Grund wurde eine „mögliche Verletzung von Richtlinien“ genannt; das Proton Abuse Team antwortete, die Wiederherstellung werde wegen Verbindungen zwischen Konten und „böswilliger Nutzung“ abgelehnt
  • Die Phrack-Redaktion entgegnete, dass nie Hack-Daten über Proton-Konten gesendet oder empfangen wurden, und betonte, dass die Sorge vor Informationsmissbrauch unbegründet sei, erhielt darauf jedoch keine Antwort

Öffentliche Reaktionen und gesellschaftliche Kontroverse

  • Auf dem X-Konto von Phrack verbreiteten sich kritische Beiträge über Protons Kommunikation und moralische Maßstäbe und erreichten mehr als 150.000 Aufrufe
  • Das offizielle Proton-Konto erklärte, man habe auf Grundlage einer Meldung eines CERT mehrere Konten gesperrt und prüfe die einzelnen Fälle nun separat
  • Zugleich erklärte Proton, man stehe „an der Seite von Journalist:innen“, räumte jedoch ein, dass die mangelnde Zugriffsmöglichkeit auf die Konten selbst die Vermeidung von Fehlalarmen einschränke
  • Welches CERT die Meldung abgegeben hatte und um welche konkrete Einrichtung es sich handelte, wurde nicht offengelegt

Wiederherstellung der Konten und weitere Reaktionen

  • Andy Yen, Gründer und CEO von Proton, teilte lediglich mit, dass die Konten wiederhergestellt wurden, lieferte jedoch keine weitere Erklärung zu den konkreten Gründen oder Verfahren der Sperrung und Wiederherstellung
  • Phrack erklärte, dass die Sperrung dazu geführt habe, dass „Journalist:innen faktisch daran gehindert wurden, mit anderen Medien zusammenzuarbeiten und auf Berichterstattung zu reagieren“, wodurch realer Schaden entstanden sei
  • Zudem wurde große Sorge darüber geäußert, welche Botschaft dieser Vorfall künftig an gefährdete Gruppen wie Whistleblower oder Journalist:innen sendet
  • Es wurde gefordert, dass Proton Kontensperrungen zumindest nur dann vornehmen sollte, wenn ein Gerichtsbeschluss vorliegt oder ein eindeutiges Verbrechen beziehungsweise ein nachgewiesener Verstoß gegen die Nutzungsbedingungen gegeben ist

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-09-14
Hacker-News-Kommentare

  • Ich verfolge das Thema schon eine Weile auf X/Twitter, und ich halte es für ein wirklich ernstes Problem, dass Phrack Proton mehrfach privat kontaktiert haben soll und ignoriert wurde. Proton gab erst dann Feedback und stellte das Konto wieder her, nachdem Phrack das Thema öffentlich gemacht hatte und es auf X/Twitter viral gegangen war. Davor hatte ein Autor direkt Einspruch bei Proton eingelegt, wurde aber abgewiesen, und bis der Fall auf X/Twitter Wellen schlug, passierte überhaupt nichts. Ich möchte also betonen, dass Proton offenbar schon allein wegen einer Meldung von CERT sofort Konten gesperrt hat, sich aber überhaupt nicht dafür interessierte, solange es keine öffentliche Kontroverse gab.

    • Proton erlaubt die Erstellung von E-Mail-Konten, ohne auch nur einen Nachweis zu verlangen, dass man eine reale Person ist. Ich kritisiere das nicht grundsätzlich, weil ich das für ein notwendiges Merkmal eines Privacy-Tools halte. Aber es war schon ziemlich beängstigend zu sehen, wie schwach die Sicherheit ist, wenn ich in nur wenigen Sekunden automatisiert Hunderte Proton-Mail-Adressen erzeugen konnte. Auch das CAPTCHA ist so simpel, dass man es leicht per Skript umgehen kann. Es ist fast überraschend, dass Proton nicht auf weltweiten Spam-Blocklisten gelandet ist. Zumindest beim Spamschutz müsste dringend nachgebessert werden. Wenn man in sensiblen Fällen wie diesem nicht schnell reagieren kann, wäre ein vorsichtigerer Betrieb aus meiner Sicht eher angebracht.

    • Etwas gewagt formuliert: Ich denke, dass in diesem Fall eine US-Cybersicherheitsbehörde involviert war. Der Proton-CEO hat sich sehr unterstützend gegenüber der aktuellen US-Regierung gezeigt (siehe den gelöschten Beitrag des offiziellen Proton-Reddit-Accounts, dazu ein Artikel hier). Konkrete Beweise habe ich nicht, aber allein die öffentlichen Aussagen des CEOs lassen mich darüber nachdenken, ob Proton nicht so etwas wie ein Crypto AG des 21. Jahrhunderts sein könnte.

    • Die Fans auf Reddit verdrehen die Situation auf seltsame Weise und liefern endlose Erklärungen, um sie zu rechtfertigen oder Proton zu verteidigen. Aber die Fakten lassen sich nicht in zwei Hälften teilen.

    • Positiv betrachtet ist es immerhin interessant, dass wir heute in einer Zeit leben, in der man Probleme durch die Macht sozialer Medien lösen kann.

    • Laut der offiziellen Antwort von Proton auf Reddit stimmt die Behauptung nicht, dass Phrack achtmal das Rechtsteam kontaktiert habe. Tatsächlich seien nur zwei E-Mails eingegangen, und die letzte sei an einem Samstag im Posteingang des Rechtsteams gelandet und habe eine Antwort binnen 48 Stunden verlangt, was bei einem großen Unternehmen wie Proton unrealistisch sei. Außerdem wird darauf hingewiesen, dass die Nachricht nicht über den offiziellen Kundensupport-Kanal, sondern an das Postfach der Rechtsabteilung ging. Originalantwort (Link)

  • Der wahre Wert eines Unternehmens zeigt sich an seiner Kommunikationsfähigkeit. Wenn es nur dann kommuniziert, wenn die öffentliche Aufmerksamkeit groß wird, welchen Eindruck hinterlässt das über die Firma? Ich frage mich ernsthaft: Ist Proton Mail unter den Firmen, die E-Mail-Dienste anbieten, wirklich die beste Option? Ich hoste meine E-Mails selbst und habe vor, das auch weiterhin zu tun, aber falls ich für andere einen E-Mail-Dienst bräuchte, würde ich gern wissen, ob Proton Mail noch die brauchbarste Wahl ist. Mich interessieren die Meinungen anderer.

    • Meine Erfahrung ist zwar begrenzt, aber ich würde eher nein sagen. Fastmail, Runbox, Purelymail (Entwicklung durch 1–2 Personen), Mailbox (Support eher schwach, aber das System stabil, ich nutze es selbst), Migadu (nur vom Namen her bekannt), Tuta (persönlich ein ungutes Gefühl dabei, deaktiviert wie Proton IMAP/POP, Proton erlaubt es mit einem kleinen Trick), MXRoute hat z. B. im LET-Forum ebenfalls einen guten Ruf. Zoho ist auch okay, wenn man nur E-Mail will, aber wenn man ohnehin Zoho nutzt, ist der Unterschied zu Google oder MSFT im Grunde nur der Preis. Es gibt viele Optionen. Zur Einordnung: Ich bin nicht einmal in der Lage, auf einem VPS zuverlässig eine Seedbox selbst zu hosten, deshalb wage ich mich an E-Mail gar nicht erst heran.

    • Ich habe 20 Jahre lang selbst gehostet und nie Probleme gehabt, habe es dann aber aus Sicherheitsgründen aufgegeben. Irgendwann würde ich gern wieder dazu zurückkehren. Frage: Wie verwaltet ihr die Sicherheit auf solchen Servern? Bei mir führten schon viele Patches, selbst wenn sie nichts direkt damit zu tun hatten, oft zu Problemen im System, und nicht selten funktionierte Mail dann ein oder zwei Tage lang nicht.

    • Ich kann dem Blickwinkel zustimmen, Kommunikationsfähigkeit als Wert eines Unternehmens zu sehen. Aber viele Leute scheint das nicht zu interessieren. Das ist ähnlich wie bei Leuten, die monatlich viel Geld für Claude ausgeben und trotzdem praktisch keinen Zugang zum Support-Team von Anthropic haben. Tutanota wäre vielleicht ebenfalls einen Blick wert.

    • Ich würde mich freuen, wenn du bald deinen Self-Hosting-Stack für E-Mail teilen könntest. Durch diesen Beitrag habe ich plötzlich Interesse daran bekommen, es selbst zu hosten.

  • Offizielle Reddit-Antwort von Proton Unser Team erhielt eine CERT-Meldung über einige Konten, die von Hackern missbraucht worden seien, und deaktivierte daraufhin mehrere Konten wegen Verstößen gegen die ToS. Da wir eine Zero-Access-Architektur haben und den Kontoinhalt nicht einsehen können, ist uns bewusst, dass Anti-Missbrauchs-Systeme auch legitime Aktivitäten betreffen können. Wir haben Fälle mit möglicher Wiederherstellung individuell geprüft und zwei Konten wiederhergestellt; Konten mit eindeutigen ToS-Verstößen können nicht wiederhergestellt werden. Auch die Behauptung, Phrack habe das Rechtsteam achtmal kontaktiert, ist nicht zutreffend. Tatsächlich gingen an die E-Mail-Adresse des Rechtsteams nur zwei Nachrichten ein, und die letzte kam am Samstag, den 6. September, mit der Bitte um Antwort innerhalb von 48 Stunden, was für ein großes Unternehmen realistisch schwer umzusetzen ist (und zudem kein offizieller Kundensupport-Kanal war). Wir glauben, dass diese Angelegenheit übermäßig aufgeblasen wurde und wir keine angemessene Gelegenheit für eine passende Antwort hatten. Wir bitten um Verständnis. — Proton Team

    • Ein Punkt ist für mich nicht ganz nachvollziehbar: Wenn man angeblich nicht feststellen kann, ob Richtlinien verletzt wurden, wie entscheidet man dann allein auf Basis einer CERT-Anfrage über eine Kontosperre? Und nach welchem Maßstab wurden am Ende gerade diese zwei Konten wiederhergestellt?

    • Diese Antwort enttäuscht mich eher noch mehr. CERT ist keine Organisation mit rechtlicher Zwangsgewalt. Ohne schnelle und sorgfältige Nachanalyse in so einem Fall so vorzugehen, ist für Protons Kernkundschaft äußerst besorgniserregend. Je größer die Nutzerbasis wird, desto leichter lässt die Wachsamkeit nach, und genau so ein Verhalten ist ein schlechtes Beispiel dafür. Ich frage mich, was aus den betroffenen Konten geworden wäre, wenn das Thema nicht in den sozialen Medien groß geworden wäre.

  • Seit Proton angekündigt hat, Konten zu löschen, die eine gewisse Zeit lang nicht eingeloggt waren, habe ich es auf meiner Liste „nutzerorientierter“ E-Mail-Plattformen vom ersten Platz gestrichen. Wenn ein Anbieter für E-Mail, Messaging und Kommunikation nicht garantieren kann, dass der Dienst über 1 Jahr, 2 Jahre oder 20 Jahre hinweg stabil verbunden bleibt, je nachdem, was ich brauche, sehe ich keinen Grund, ihn zu nutzen. Falls es ein kostenpflichtiger Dienst ist, sollte er Zahlungsmittel akzeptieren, die die Privatsphäre wahren, aber selbst dann wäre ich noch zögerlich. Früher wirkte Proton vertrauenswürdig, weil kostenlose Konten über VPNs und Business-Dienste quersubventioniert wurden, aber mit der Löschrichtlinie hat Proton dieses Vertrauen aus meiner Sicht selbst beschädigt. Ich finde nicht, dass das eine unvernünftige Forderung ist; mindestens ein differenzierteres Modell je nach Speicherbedarf wäre nötig. In der aktuellen Struktur kann man nicht einmal Regierungs-E-Mail-Konten aufbewahren, die man nur alle paar Jahre einmal benutzt. Man könnte zwar Benachrichtigungen an eine Wiederherstellungsadresse schicken, aber dann würde der Sinn eines privacy-orientierten Mail-Dienstes wieder verwässert. (Zur Einordnung: Google Voice löscht ähnlich ebenfalls Nummern, wenn man sie nicht regelmäßig nutzt, auch Nummern für 2FA, und das sogar dann, wenn noch 4 Dollar Guthaben auf dem Konto sind.)

    • Es hieß, der Löschzeitraum sei unklar, aber tatsächlich ist es ein Jahr (offizielle Info).

    • Die Richtlinie gilt nur für kostenlose Konten, die 12–24 Monate lang nicht eingeloggt waren. Bei kostenpflichtigen Diensten wird sogar Barzahlung per Post unterstützt. Das Grundprinzip kann ich nachvollziehen, aber angesichts der Art der Forderungen wirkt der Kunde etwas unrealistisch.

    • Mich würde interessieren, wer den ersten Platz stattdessen bekommen hat.

    • Ich habe auch mehrere kostenlose Proton-Konten und einige davon seit mehr als vier Jahren nicht genutzt, trotzdem existieren sie noch problemlos. Nur auf Basis dieser Aussage Proton zu verurteilen, wirkt auf mich etwas überzogen. Es fühlt sich fast nach einer kollektiven Abneigung an. Natürlich ist Proton nicht perfekt, aber verglichen mit den US-Big-Tech-Maildiensten ist der Datenschutz aus meiner Sicht nicht einmal ansatzweise vergleichbar. Man sollte das nicht nur negativ sehen. Auch die Einschätzung, der Dienst sei „instabil“, teile ich nicht; auf Desktop und Mobil hatte ich keinerlei Probleme.

    • Wenn man nicht zahlt, ist man kein Kunde, sondern profitiert im Grunde nur von Kulanz. Man sollte nicht zu viel Gratisleistung erwarten.

  • Ich war seit 2018 zahlender Proton-Abonnent, habe aber vor Kurzem gekündigt (läuft im November aus), weil der Dienst zu viele Bugs hatte und zu instabil war. Hat jemand Empfehlungen für alternative E-Mail- oder VPN-Anbieter? Über Fastmail und mailbox.org habe ich viel Gutes gehört (kürzlich in mailbox umbenannt und den Dienst überarbeitet). Außerdem frage ich mich, ob es eine einfache Möglichkeit gibt, die vielen virtuellen E-Mail-Adressen zu migrieren, die ich mit SimpleLogin erstellt habe. Jede einzelne manuell umzustellen wäre ziemlich mühsam.

    • Mit Fastmail hatte ich keine Probleme. Die UI ist zwar etwas eingeschränkt, aber technisch funktioniert alles perfekt und schnell, Ausfälle sind selten. Kalender, Adressbuch und Third-Party-Integrationen funktionieren gut. Für Einzelpersonen reicht das völlig aus, und inzwischen gibt es auch Offline-Unterstützung. Beim VPN gilt: Wenn einem Privatsphäre wichtig ist, ist es am besten, sich z. B. einen VPS in Estland zu mieten oder zu Hause selbst Wireguard mit DDNS usw. aufzusetzen und so einen Tunnel zu betreiben.

    • Bei mailbox gibt es wegen eines Vorfalls von vor neun Jahren bei mir noch immer ein gewisses Misstrauen: Link

    • Ich nutze Fastmail zusammen mit Mullvad. Beide sind preislich vernünftig und funktionieren gut. Ich kann auch empfehlen, es selbst auf einem VPS zu hosten.

    • Ich nutze Zoho seit über vier Jahren mit meiner Familie und bin sehr zufrieden. Es gibt keine Gebühren pro Domain, deshalb verwalten wir 12 Domains. Die Web- und Mobile-Apps bieten viele Einstellungen, der Dienst ist schnell und stabil, und die UI ändert sich nicht ständig, was angenehm vorhersehbar ist.

    • Posteo.de (unterstützt keine eigenen Domains), mailbox.org, runbox.com, mailfence, migadu, cranemail usw. sind ebenfalls einen Blick wert. Sie sind günstiger als Fastmail und unterstützen alle IMAP, wodurch Umzug und Backup einfacher sind.

  • Ich denke, Proton kann in so einer Situation kaum vermeiden, kritisiert zu werden. Wenn sie sagen würden, sie greifen ohne Gerichtsbeschluss nicht ein, würden Medien ihnen vermutlich böswillig den Rahmen „ein Ort voller Krimineller“ verpassen.

    • Aus Angst noch schlechtere Richtlinien einzuführen, ist nicht richtig. Proton Mail hat diese Art von Kritik ohnehin schon mehrfach abbekommen, daher wäre es besser, konsequent eine vernünftige Politik beizubehalten. Man sollte sich nicht von Clickbait-Medien zu bedeutungslosen Kompromissen treiben lassen.

    • Die aktuelle Haltung wirkt auf mich eher wie reine Verantwortungsvermeidung. Proton kooperiert ohnehin schon und bekommt trotzdem gelegentlich Medienschelte. Selbst wenn sie ihr behauptetes Prinzip wirklich durchziehen würden, würde sich vermutlich nicht viel ändern.

    • Die meisten CERT-Anfragen sind sinnvoll und es lohnt sich, darauf zu reagieren, aber sowohl blindes Befolgen als auch pauschales Ignorieren sind falsch. Gerade bei Einsprüchen oder legitimen Security-Reports muss es zwingend eine manuelle Prüfung geben. Statt extremer Positionen sollte man einen vernünftigen Mittelweg finden.

  • Hier ist der Link zur offiziellen Proton-Antwort auf Reddit (Original), und ich würde gern mehr Details über den ersten CERT-Kontakt wissen.

  • Ich glaube, Protons Schweigen wirkt eher zu ihrem Nachteil. Das Bild eines vertrauenswürdigen, sicheren und standhaften Dienstes hat durch diesen Vorfall an Kraft verloren.

    • Andererseits finde ich, dass Ladar Levison und Lavabit mit ihrem Umgang vor über zehn Jahren sehr viel Vertrauen gewonnen haben. Zur Einordnung: Lavabit (Website) erklärt derzeit, dass keine Neuanmeldungen angenommen werden und man sich ganz auf die Verbesserung des bestehenden Dienstes konzentriert.

  • PSA: Proton betrachtet Konten als „inaktiv“ und löscht sie, wenn man sich ein Jahr lang nicht einloggt. Die Kriterien sind unklar, etwa weil selbst Konten, die nur empfangen und nichts senden, als „ungenutzt“ gelten können. Dadurch kann ich mein iCloud-Konto nicht mehr wiederherstellen. Das Offboarding des Kontos wird mich wohl einiges an Zeit kosten.

    • Es wurde gesagt, die Definition von „ungenutzt“ sei unklar, aber laut offizieller Richtlinie reicht ein Login pro Jahr aus, damit das Konto bestehen bleibt (Richtlinie).

    • Ich frage mich, ob Protons frühere intransparente Abrechnungsmethode noch immer verwendet wird. Ich hatte einmal per Gutschein upgegradet, und nach Ablauf wurde das Konto automatisch in einen negativen Saldo versetzt und gesperrt, bis ich zahlte. Seitdem nutze ich Proton nicht mehr.

    • Ich frage mich, ob diese Richtlinie auch für kostenpflichtige Konten gilt. Wenn ich zum Beispiel fünf Jahre im Voraus bezahle und dann drei Jahre lang verschwinde, würde das Konto dann weiter bestehen?

  • Zu glauben, dass E-Mail- oder VPN-Firmen sich nicht an Gesetze halten, ist wirklich naiv. Sonst würden nicht einmal Zahlungsabwickler sie zulassen. Man muss außerdem bedenken, dass Hosting-Unternehmen oder Upstream-Netzbetreiber das Konto oder sogar das ganze Unternehmen sofort abschalten könnten.

    • Mich würde allerdings interessieren, welche konkreten Gesetze hier gemeint sind. Ist das eine Aussage in dem Sinne, dass du genau weißt, welche Gesetze Proton in jedem einzelnen Schritt zu diesem Verhalten gezwungen haben, oder ist das einfach nur eine inhaltsleere Bemerkung?