Der Schweizer Dienstanbieter Proton geriert sich gern als Hort sicherer Netzkommunikation. Mails werden verschlüsselt, IP-Adressen nicht gespeichert – auch VPN-Dienste werden angeboten. Wer sich sicher im Internet bewegen wolle, solle auf Proton setzen. So bewirbt der Anbieter seine Dienstleistungen.
Polizei will Aktivistengruppe identifizieren
Wer das tut, kann indes eine böse Überraschung erleben. So geschah es einem Nutzer aus dem Umfeld des Pariser Aktivistenkollektivs „Jugend für Klima“, das der Fridays-for-Future-Bewegung zugerechnet wird. Das war ins Visier polizeilicher Ermittlungen geraten, weil es im Zuge der Proteste gegen die Gentrifizierung des Pariser Viertels Place Sainte Marthe durch Besetzungen und andere illegale Aktionen aufgefallen war.
Rund 20 Personen wurden dabei festgenommen, mehrere Durchsuchungen durchgeführt und mehrere Personen zu Haftstrafen auf Bewährung oder Geldstrafen von mehreren Tausend Euro verurteilt. Sieben Personen warten auf ihren Prozessbeginn Anfang 2022 wegen Diebstahl, Sachbeschädigung und Hausfriedensbruch. Bei den Ermittlungen war die Polizei schnell auf Mitglieder des Kollektivs gestoßen. Die konnten sie unter Verwendung von auf Instagram geposteten Fotos identifizieren.
Im Zuge der Ermittlungen hatte die Polizei auch festgestellt, dass das Kollektiv über eine Protonmail-Adresse kommunizierte. Über Europol richteten sie eine Auskunftsanordnung an das Schweizer Unternehmen. Protonmail beantwortete diese Anordnung, indem es die IP-Adresse und den Fingerabdruck des vom Kollektiv verwendeten Browsers übermittelte.
Proton speichert IP-Adressen nicht – es sei denn doch
Das ist insofern erstaunlich, als dass der Dienst damit wirbt, keine IP-Adressen zu speichern. Protonmail musste also nach der Auskunftsanordnung diese Praxis für die angefragte Adresse ausdrücklich ändern. Das sei in Ausnahmefällen möglich, erklärt der Dienstleister. Eine behördliche Anordnung begründe eine solche Ausnahme.
Zudem weist der Proton-Chef Andy Yen per Twitter darauf hin, dass seine AGB die Nutzung der Dienste für in der Schweiz illegale Aktivitäten ausdrücklich ausschließe. Inwieweit dieser Hinweis zielführend ist, bleibt rätselhaft, denn dem betroffenen Nutzer wird bislang wohl nicht vorgeworfen, illegale Aktivitäten per E-Mail abgewickelt zu haben.
Wer Protonmail nutzt und sicherstellen will, dass nicht doch ganz ausnahmsweise die IP mitgeschnitten wird, sollte den Dienst künftig nur noch über das Tor-Netzwerk oder wenigstens per VPN und im Inkognitomodus des Browsers aufrufen. Das VPN Protons sollte man dafür wohl eher nicht verwenden – es könnten Ausnahmen gelten.
Der Autor dieses Beitrags hat sich kaum bis wenig mit „sicheren“ Maildienstanbietern beschäftigt. Denn auch auf der Proton-Webseite steht, dass eine Herausgabe nur per Zwang über Schweizer Behörden erfolgt. D.h. die Französischen Behörden müssen die Herausgabe bei den Schweizer Behörden beantragen. Erst dann wird Protonmail aktiv. => https://protonmail.com/blog/transparency-report/ Und die sind eher Konservativ was sowas angeht. Denn auch Protonmail unterliegt Gesetzen. Das rüttelt nicht an der Sicherheit der Dienste. Selbes macht (muss btw)Tutanota in Deutschland.
Schuld ist, wer im Internet seine Daten jedem dahergelaufenen anbietet und nicht auf anonyme Zahlungsmöglichkeiten zurückgreift und Sicherheitsmaßnahmen wie VPNS, Passwortmanager, 2FA und co halbherzig bis gar nicht nutzt.
Entweder man beschäftig sich mit dem Thema als Autor, oder man lässt es. Solche Halbherzig dahingeschriebenen Artikel schaden mehr als sie Informieren.
Was hingegen mehr als unsicher ist: Mehr als 19 Werbetracker auf t3n.
Der Kommentar geht voll am Thema vorbei. Nirgends wird behauptet, dass Protonmail rein freiwillig die Daten rausgegeben hat. Vielmehr wird auf Europol und eine offizielle Herausgabeanordnung verwiesen. Auch die NUtzung von Tor oder VPN wird angesprochen und ausdrücklich empfohlen.
Fakt ist aber auch, dass Proton die IP nicht hätte herausgeben können, wenn sie tatsächlich keine speichern würden. Auf Anforderung damit anzufangen ist jedenfalls eine sehr merkwürdige Verfahrensweise und etwas, womit Nutzer sicher nicht rechnen müssen. Die großen VPN-Dienste verfolgen eine rigorose No-Logging-Taktik aus genau diesem Grund: Damit sie keine IPs haben, deren Herausgabe angeordnet werden kann. No-Logging liefe aber voll ins Leere, wenn man im Falle, dass es eine Behörde interessiert, einfach damit anfangen könnte. Damit wäre der ganze Ansatz hinfällig. Und so ist es bei Proton, auch wenn sie sich anders darstellen. Los jetzt. Komm schon mit dem Argument, wer nichts zu verbergen hat und so weiter… Übrigens: In China, Nordkorea und so weiter gelten auch Gesetze. Miese Argumentation…
Nur dass die meisten großen VPN-Anbieter eben schon loggen. 100% Anonymität gibt es im Internet einfach nicht und grade im Mailbereich, Mails waren NIE für Anonymität konzipiert. VPNs sind auch nicht die Lösung übrigens auch Tor nicht, denn auch hier greifen die Behörden mittlerweile durch.
Und ich bin wirklich niemand, der mit dem Argument kommt „Wer nichts zu verbergen hat..“ Im Gegenteil, jeder sollte sich umfassender mit solchen Themen beschäftigen. Ich nutze GrapheneOS & Linux, eigens aufgesetztes Wireguard-VPN & Pi-Hole als DNS. Ich hoste meine Mails, Nextcloud (doppelt E2E Verschlüsselt) und meine eigene Mastodon-Instanz selbst. Meine Websites kommen ganz ohne Tracking aus & mein Go-To ist Open Source.
Grade bei solchen Artikeln ist es wichtig zu Bilden und vor allem: Wenn Kritik an der Praxis, dann bitte nicht nur an einem. Tutanota macht es auch so. PrivateInternetAccess macht es auch so. PIA ist einer der von dir beschriebenen großen VPN-Player. Posteo, Mailbox.org ebenso.
Für mich ließt sich das halt wie ein Rant gegen Proton (btw nutze ich keine Proton-Dienste) a lá Apple gegen Windows. Mit dem Finger drauf zeigen und dabei vergessen dass es 100 andere auch machen. Mir fehlt da der Vergleich mit anderen Anbietern.
Die Meldung bezieht sich auf einen konkreten Fall eines Aktivisten aus Frankreich. Da besteht kein Grund, zu schauen, ob es nicht anderswo auf der Erde auch andere Dienste gibt, die man aus dem gleichen Grund kritisieren könnte. Wird dem Aktivisten im Zweifel auch wurscht sein. Und ein Rant ist ebenfalls nicht. Denn dann hätte ich mir tatsächlich andere Dienste angesehen und die Sache eingeordnet. Es ist aber nur eine News. Kennt man vielleicht nicht mehr so, wo die Grenzen immer stärker verschwimmen…
Dennoch könnte man etwas mehr als nötig machen & aufzeigen dass das ein Branchen-Standard ist. Übrigens bin ich Linux-Administrator mit berufserfahrung in Bereich Netzwerk- & Webanwendungen. Das hat nichts mit Grenzen die verschwimmen zu tun, eher dass ich aus erster Hand weiß, wie solche Systeme umgesetzt werden. Und die No-Tracking-Policy bei den VPN Anbietern wie NordVPN bezieht sich nicht auf die IPs, sondern die Daten die bei der Nutzung anfallen. IPs werden in den meisten Fällen geloggt. Selbst wenn man eigene VPNs, wie ich, aufsetzt.
Ausserdem bin ich mit dem letzten Teil deines Satzes „Fakt ist aber auch, dass Proton die IP nicht hätte herausgeben können, wenn sie tatsächlich keine speichern würden. Auf Anforderung damit anzufangen ist jedenfalls eine sehr merkwürdige Verfahrensweise und etwas, womit Nutzer sicher nicht rechnen müssen.“ nicht einverstanden. User müssen eben SCHON mit soetwas rechnen. Vor allem in einer Zeit, in der Daten mehr Wert sind als vieles andere. Jemand der seit den 90ern über soetwas schreibt, sollte das eigentlich kritisch betrachtet miterlebt haben.
Blauäugig Dienste nutzen ohne T&Cs zu lesen birgt genau solche Risiken (Proton war schon immer ehrlich bezüglich herausgaben!), die der Aktivist nun spürt. Im Tech-Support herrscht das Mantra „Zum Großteil der Zeit sitzt das Problem VOR dem Rechner.“ Es gibt durchaus sicherere Kanäle die man hätte nutzen können. Also war eher der Aktivist fahrlässig, nicht aber Proton. Proton hat im Rahmen der T&C gehandelt.
Und ja, sie versprechen sichere Dienste, Apple verspricht ebenso Datenschutz und speichert Backups in der Cloud unverschlüsselt für Behörden zugänglich. VW stellt sich auch als diverses Unternehmen dar und baut Autos in Straflagern ausserhalb der EU. Nur weil jemand was sagt, muss man es nicht glauben und DA käme investigativer Journalismus ins spiel und der Faktencheck wie es in der Branche anderswo gemacht wird.
„Da besteht kein Grund, zu schauen, ob es nicht anderswo auf der Erde auch andere Dienste gibt, die man aus dem gleichen Grund kritisieren könnte.“ Früher waren die Journalisten mal nicht so eingeschränkt in ihrer sichtweise. Investigativer Journalismus nannte man das mal. Jetzt werden Meldungen stumpf von Newsseiten abgekupfert und man feiert sich.
Wie gesagt, ich hätte mir etwas mehr als Quellen-Copy & Paste gewünscht.
Ach kuck. Jetzt sind wir schon beim Quellen-Copy-and-Paste. Welche darf es denn wohl gewesen sein? Investigativen Journalismus gibt es auch heute noch, aber den machen wir nicht für jede News. Die kann dann nämlich keiner mehr bezahlen und wir wären immer zu spät dran. Damit sollten wir spätestens jetzt an dem Punkt angelangt sein, an dem wir feststellen, dass wir nicht zusammenkommen. Schönen Abend noch.
Da kann ich nur Posteo.de empfehlen. Die speichern nix und Du kannst sogar Bargeld in einen Brief stecken, um den Account zu bezahlen. Ihr besonderer Fokus liegt darauf, jegliche Bestandsdaten zu vermeiden, dazu gehört auch die IP-Adresse.
Der jährliche Transparentbericht dazu ist ebenfalls interessant (Deutsche Behörden können offensichtlich nur höchst selten eine rechtskonforme Anfrage stellen).