Was ist eigentlich bei ProtonMail los? Nun wurde bekannt, dass der E-Mail-Dienst freiwillig Echtzeit-Überwachungen seiner Nutzer durchführt.
Was ist eigentlich bei ProtonMail los? Der Züricher Staatsanwalt Stephan Walder sagte Mitte Mai bei einem Vortrag, dass der E-Mail-Dienst ProtonMail freiwillig mit der Staatsanwaltschaft zwecks der Echtzeit-Überwachung seiner Nutzer kooperiert. Walder musste dafür noch nicht einmal einen Bundesgerichtsentscheid vorlegen.
Ist ProtonMail bei den Behörden zu hilfsbereit?
Staatsanwalt Stephan Walder leitet im Kanton Zürich das Kompetenzzentrum Cybercrime. Am 10. Mai 2019 hielt Walder bei einer Weiterbildungsveranstaltung zum Thema Digitalisierung des Straf- und Strafprozessrechts einen Vortrag über die Möglichkeiten und Grenzen der Strafverfolgung. Eher beiläufig erwähnte Walder als positives Beispiel, dass der Schweizer E-Mail-Dienst ProtonMail freiwillig Echtzeit-Überwachungen für ihn durchführen würde. Der Staatsanwalt kontaktierte Rechtsanwalt Martin Steiger, weil er sich in seinem Blogbeitrag falsch zitiert fühlte. Steiger war allerdings bei der Veranstaltung anwesend und twitterte diese Aussage live von den Besucherreihen.
Gelernt: @ProtonMail unterstützt Echtzeit-Überwachungsmassnahmen, auch ohne BGE … Wird von Cybercrime-Staatsanwalt Walder ausdrücklich als positives Beispiel erwähnt!
— Martin Steiger (@martinsteiger) 10. Mai 2019
Atombunker in den Alpen vs. Überwachungsstaat Schweiz
Rechtsanwalt Martin Steiger hatte bei ProtonMail zwischenzeitlich mehrfach per Twitter angefragt, wieso sie freiwillig derartige Echtzeit-Überwachungen ihrer Nutzer durchführen würden. Das Unternehmen betonte stattdessen, die Inhalte der Kommunikation ihrer Kunden könne man aufgrund der Ende-zu-Ende-Verschlüsselung nicht überwachen.
Wie RA Steiger festhält, ist ProtonMail höchst wahrscheinlich als abgeleiteter Kommunikationsdienst (AAKD) dazu verpflichtet, die Überwachung ihrer Kunden zu dulden. Außerdem ist man zur Weitergabe aller Metadaten von Verdächtigen verpflichtet. Derartiges steht auch im Transparenz-Bericht aus dem Jahr 2014. Wie viel die NSA mit Metadaten anfangen kann, haben wir ja schon in einem früheren Beitrag ausführlich beschrieben.
Steiger bringt seine Bewertung des Unternehmens auf den Punkt. „ProtonMail hat den Sitz in der Schweiz und damit in einem Überwachungsstaat, der Schritt für Schritt ausgebaut wird. (…) Jeder Nutzer von ProtonMail (oder ProtonVPN) muss selbst entscheiden, ob der Dienst vertrauenswürdig ist. Die Differenz zwischen Werbung und Wirklichkeit spricht zumindest gegen einen Vertrauensvorschuss für ProtonMail.“
Das Unternehmen reagierte zwischenzeitlich auf die Aussagen des Juristen von der Kanzlei Steiger Legal. So ganz entkräften können sie Steigers Artikel aber nicht. In einer E-Mail argumentierte der Chefjurist des Unternehmens zu einem späteren Zeitpunkt, ProtonMail sei wohl doch ein Anbieter abgeleiteter Kommunikationsdienste. Die Duldung von Überwachung durch den Dienst ÜPF gemäß Art. 27 Abs. 1 BÜPF sei eine Verpflichtung für Echtzeit-Überwachungen.
Was sagt die Szene dazu?
Dementi oder nicht – die Szene wird sich von solchen Nachrichten erst einmal erholen müssen. Manche Beobachter haben noch immer an einem älteren Blogbeitrag von VPNScam.com zu kauen. Dort werden die Zusammenhänge zwischen ProtonMail, ProtonVPN, dem Manager Darius Bereika, NordVPN und einer Tracking-Firma namens Tesonet offenbart, der Bereika vorstehen soll. Der Eintrag des Tesonet CEO beim Business-Netzwerk Linked In kürzt den Nachnamen als B. ab, der Vorname passt aber.
Sollte man ProtonMail weiterhin nutzen? Kommt darauf an, was ihr macht. Ich nutze diesen Dienst schon länger und war stets sehr zufrieden. Wäre ich aber ein Cyberkrimineller, dann würde ich wahrscheinlich sicherheitshalber auf Mail.ru, Yandex Mail oder einen anderen russischen E-Mail-Anbieter ausweichen. Nicht weil der Schweizer Anbieter schlecht wäre, sondern weil er sich den dortigen Gesetzen unterwerfen muss. Auch wenn verschlüsselte E-Mails verschlüsselt bleiben, so verrät die Weitergabe der Metadaten unendlich viel über mich und meine Kontakte.
Update: Interessant – Martin Steiger hat seinen Blogbeitrag gelöscht. Warum, führt er nicht aus. Auch ProtonMail hat deren Posting entsprechend angepasst. Was da wohl hinter den Kullissen passiert ist??!
Tarnkappe.info