Blog

Die Smartphone-Apps Proton Mail und Wire von XStealth und XStealth Lite haben wir vor fast einem Jahr entfernt. Damals hatten wir einige Verdachtsmomente in Bezug auf die IP-Verwaltung der Benutzer und die tatsächliche Verschlüsselung, die sich nun bestätigt haben.

Bevor wir die Untersuchung fortsetzen, möchten wir Sie an unseren Verschlüsselungsansatz erinnern: Verschlüsselung ist für den normalen Gebrauch gedacht und schützt nur vor (einigen) Hackern. Gegen die Strafverfolgungsbehörden, die Polizei, den Heimatschutz und so weiter ist sie überhaupt nicht geeignet. Und warum ist das so? Ganz einfach: Es gibt einen Generalschlüssel für alle Verschlüsselungslösungen, egal ob E-Mail, SMS, VOIP etc.

“Es spielt keine Rolle, welchen Dienst Sie nutzen, wenn er nicht 15 Meilen vor der Küste in internationalen Gewässern liegt, muss das Unternehmen das Gesetz einhalten.”

– schrieb Andy Yen, Leiter von ProtonMail, in einem Blogbeitrag.

Ein Skandal um den sicheren E-Mail-Dienst ProtonMail ereignete sich am vergangenen Wochenende. Die Leitung des Dienstes gab bekannt, dass sie vor kurzem gezwungen wurde, die IP-Adresse eines ihrer Kunden herauszugeben. ProtonMail hatte eine Anordnung der Schweizer Behörden erhalten, die nicht angefochten oder abgelehnt werden konnte.

Der Vorfall wird mit einer Reihe von Protesten gegen die Gentrifizierung in Paris im Sommer und Herbst 2020 in Verbindung gebracht. Damals besetzte eine Gruppe von Aktivisten der “Jeunesse pour le Climat” (Jugend für das Klima) eine Reihe von Plätzen und Gebäuden in Paris, um dagegen zu protestieren, dass Unternehmen Immobilien aufkaufen und die Mieten für die Anwohner um das Vierfache erhöhen.

In der Folge nutzten Aktivisten das Postfach von ProtonMail, um Proteste zu organisieren (jmm [***] @ protonmail.com). Dies erregte die Aufmerksamkeit von Immobilienfirmen und der französischen Polizei.

Die französische Polizei und Europol haben sich letzte Woche an die Schweizer Regierung gewandt und um Hilfe bei der Ermittlung der Identität des Postfachinhabers gebeten, berichtete Paris Luttes.

“Proton hat eine rechtsverbindliche Anordnung des Eidgenössischen Justiz- und Polizeidepartements erhalten. Dieser Anordnung mussten wir nachkommen. Nach Schweizer Recht muss der Verdächtige darüber informiert werden, dass seine Daten angefordert wurden. Das ist in den meisten Ländern nicht der Fall”, erklärt ProtonMail.

Andy Yen sagte jedoch, dass das Unternehmen nicht in der Lage gewesen sei, den Nutzer rechtzeitig über die Ereignisse zu informieren, da es eine gesonderte Geheimhaltungsanordnung gab. Das heißt, der Dienst musste die IP-Adresse, mit der sich der französische Aktivist in sein ProtonMail-Postfach eingeloggt hatte, speichern und den Behörden übergeben.

“Proton kann bei strafrechtlichen Ermittlungen in der Schweiz verpflichtet sein, Informationen über Accounts von Nutzern zu sammeln. Dies geschieht natürlich nicht standardmäßig. Es geschieht nur, wenn Proton einen Gerichtsbeschluss für ein bestimmtes Konto erhält. Das Internet ist in der Regel nicht anonym. Wenn Sie gegen Schweizer Gesetze verstoßen, kann ein gesetzestreues Unternehmen wie ProtonMail gesetzlich verpflichtet sein, Ihre IP-Adresse zu speichern.”

In diesem Zusammenhang hat Ian versucht, das schweizerische Rechtssystem als Ganzes zu verteidigen:

“Das schweizerische Rechtssystem ist nicht perfekt, aber es verfügt über eine Reihe von Kontrollmechanismen. Es ist erwähnenswert, dass selbst in diesem Fall die Zustimmung von drei Organen aus zwei Ländern erforderlich war, was eine ziemlich hohe Hürde darstellt, die die meisten (aber nicht alle) Missbräuche des Systems verhindert. […] Schließlich ist die Schweiz im Allgemeinen kein geeigneter Ort für die Strafverfolgung in Ländern, in denen es kein faires Justizsystem gibt”.

Es versteht sich von selbst, dass die Nutzer von ProtonMail über diese Entwicklung nicht erfreut waren. Viele von ihnen erinnerten sich daran, dass der ProtonMail-Dienst seit Jahren von Ransomware-Betreibern, Erpressern und anderen Kriminellen genutzt wird. Das Management des Unternehmens half schließlich bei den Ermittlungen gegen den Aktivisten und nicht gegen eine andere Erpressergruppe.

ProtonMail wurde auch wegen seines Marketings heftig kritisiert: Das Unternehmen verspricht seinen Nutzern seit Jahren “anonyme E-Mails”, obwohl der jüngste Transparenzbericht zeigt, dass die Zahl der Anfragen, die das Unternehmen von Behörden erhält, exponentiell steigt: von 13 im Jahr 2017 auf 3.572 im vergangenen Jahr (195 davon aus dem Ausland).

Daraufhin änderte das Unternehmen seine Datenschutzrichtlinie, die bis vor kurzem wie folgt lautete: “Standardmäßig protokollieren wir die IP-Adressen, die mit Ihrem anonymen E-Mail-Konto verbunden sein könnten, nicht”. Nun wurde der Satz “Wir protokollieren keine IP-Adressen” entfernt und durch folgenden Satz ersetzt: “ProtonMail ist ein E-Mail-Dienst, der die Privatsphäre respektiert und Menschen (und nicht Werbetreibende) an die erste Stelle setzt.