Interessante Zahlen, die der auf Datenschutz und Datensicherheit spezialisierte E-Mail-Dienst mailbox.org aus Berlin in seinem jährlichen Transparenzbericht zu behördlichen Auskunftsanfragen für 2024 veröffentlicht hat. Über 30 Prozent dieser Anfragen durch Behörden waren rechtswidrig.
Anzeige
Auskunftsanfragen in 2024 rückläufig
Die Gesamtanzahl der behördlichen Auskunftsanfragen an mailbox.org sei im Jahr 2024 leicht zurückgegangen, stellt der Dienst fest. Von insgesamt 133 im Jahr 2023 ist die Zahl der Anfragen in 2024 auf 83 gesunken. Auch der Anteil der final als rechtswidrig abgelehnten Anfragen sei leicht zurückgegangen, und zwar von 33,8 Prozent (2023) auf 30,1 Prozent (2024), merkt der Dienst an.
Von den 83 Anfragen stammen 81 von Strafverfolgungsbehörden. 82 Anfragen wurden von deutschen Behörden und eine Anfrage von einer ausländischen Nicht-EU-Behörde gestellt. Bei 79 Anfragen handelte es sich um Bestandsdatenanfragen, bei drei um Beschlagnahmen von Postfächern und eine dieser Anfragen drehte sich um eine Telekommunikationsüberwachung.
Der häufigste Ablehnungsgrund
Seit dem letzten Jahr habe sich sich seitens der Behörden nicht viel verbessert, konstatiert der Anbieter. Weiterhin ist der häufigste Ablehnungsgrund die Übertragung der Anfrage auf einem unverschlüsselten Kanal, zum Beispiel per Fax und per E-Mail im Klartext. Im Jahr 2024 gingen fast ein Viertel (24,1 Prozent) aller Auskunftsanfragen per Fax oder Klartext-E-Mail ein. Diese Anfragen wurden von mailbox.org konsequent abgelehnt.
Seit dem 1. Januar 2023 sind Ermittlungsbehörden verpflichtet, Anfragen über E-Mail-ESB-Verfahren gesicherte bzw. PGP-verschlüsselte Kanäle einzureichen. Auskunftsanfragen per Fax und E-Mail in Klartext sind nicht länger zulässig.
Anzeige
Wie mailbox.org mit Anfragen umgeht
mailbox.org hat einen standardisierten Prozess zur Bearbeitung und Beantwortung von Auskunftsersuchen der Behörden. Jede Anfrage, ob nach Bestandsdaten, Postfachbeschlagnahmungen oder Telekommunikationsüberwachung, wird vom Datenschutzbeauftragten und Rechtsanwalt von mailbox.org geprüft, bewertet und entsprechend beantwortet oder abgewiesen. Nur bei rechtmäßiger und fehlerfreier Anfrage werden Daten von mailbox.org herausgegeben.
Welche Daten die Behörden abfragen
- Bestandsdatenabfragen: u. a. Telefonnummer, Name und Anschrift des Inhabers, Angaben zum Vertrag und Tarifmerkmalen
- Postfachbeschlagnahmen: Beschlagnahme sämtlicher im Postfach des Accounts befindlicher E-Mails
- Verkehrsdatenabfragen: u. a. IP-Adressen, von denen Logins auf den Mailserver stattfinden oder von denen aus E-Mails verschickt wurden
- Telekommunikationsüberwachung: Eine auf Dauer angelegte Überwachung aller empfangenen und gesendeten E-Mails und des gesamten Accounts
Anzeige
Jetzt Frage ich mich (das geht aus dem Bericht nicht hervor) wenn die Anfrage wegen unsicheren Übertragungsweg abgelehnt wurde, wird die Behörde doch in vielen Fällen noch mal eine Anfrage schicken? Ob und wie wurden die gezählt?
Haben da viele Aktivisten ihr Postfach? Wundert mich, dass so mancher Kunde auf dem Radar ist. Bestimmte Leute würden doch eher Protonmail über TOR nutzen. Was Protonmail auch empfiehlt über TOR zuzugreifen.
Einen extremen Trend, den ich in Frankfurt beobachten durfte waren Wickr Messenger Adressen and S-Bahnhaltestellen in Frankfurt. Glaube E-Mail ist für suspekte Menschen total uninteressant.
Kann mir auch egal sein, mein Gewissen ist rein.
Tja, da sind die Leute bei den Ermittlungsbehörden anscheinend noch in den Routinen der Vergangenheit hängengeblieben.
Computer sind ja "Neuland"……….
"Pack dat scheißding weg, ich kauf mir n schreibmaschin und fax dir dem MIIiiist", ist ein Satz, der mir beim Öffentlichen Dienst, gerne mal öfters (zu meinem leiden) durch den Kopf springt.
Wesentliche Regelungen bei Auskunftsverlangen oder zu TKG § 170 und $174 bietet die Bundesnetzagentur als Übersicht zu Überwachungsmaßnahmen & Auskunftserteilung hier. Die Details – auch zur Datenübertragung – auf schlanken 150 Seiten zu "ETSI-ESB" per PDF hier (Technical Specification zur Lawful Interception).
Ein verdammt großes Thema. Na, da schreib ich doch selbstredend einfach eine Mail im Clear-Text, sende die per Outlook und App via US-Server mal eben im Klartext an die Firmen. Ist auch einfacher und modern-digital.
Dazu ist zu ergänzen, dass mailbox.org ohnehin nur die Daten herausgeben kann, die auch tatsächlich vorliegen. Hinsichtlich der Bestandsdaten ist das oft schon gar nicht der Fall, weil solche Daten bei mailbox.org nicht angegeben werden müssen. IP-Adressen werden m. W. auch nur sehr restriktiv erfasst.
Mailbox.org ist im privacy-handbuch als Alternative zu ProtonMail erwähnt. Bei beiden muss man aber einiges beachten, damit die anonym zu betreiben sind.
TOR reicht da nicht, denn die Standard-Sicherheitsstufe ist zu niedrig. Die muss man auf "Safer" umstellen.
Im Proton muss man die Subscriptions abschalten, sonst werden die temporären Verifizierungs-Adressen gesperrt.
Die App auf dem Smartphone darf man auch nicht verwenden, weil sonst Google-Push deanonymisieren kann.
privacy-handbuch. de/handbuch_24e.htm
Welche e-Mail-Anbieter gibt es, die diese Kriterien erfüllen:
– ohne Telefonnummer bei der Anmeldung
– ohne zusätzliche Verifizierungs-email-Adresse
– mit TOR funktionieren
– ohne App auf dem Smartphone funktionieren
– OpenPGP erlauben
– den Inhalt der emails nicht scannen und den Account nicht sperren, wenn alles verschlüsselt ist
– keine IP-Adressen speichern
– keine Adressbücher automatisch erzeugen und nicht speichern
Da fällt mir gar kein Anbieter ein.
Es ist inzwischen ziemlich schwierig geworden, wirklich anonyme email benutzen zu können.
ProtonMail bzw ProtonVPN kann man meiner Meinung nach auch nicht vertrauen. Das könnten Honigfallen sein. Die kostenlosen Server liegen in den Niederlanden und die Niederländer waren auch bei der Entschlüsselung von EncroChat ganz vorne mit dabei und haben so die Zerschlagung der NDrangheta Mafia ermöglicht.
Wenn man die nicht kostenlosen Server in anderen Staaten benutzt, dann kann man über die Zahlung deanonymisiert werden.
Ich würd es mal so ausdrücken: Wer für seine krumme Machenschaften eMail verwendet ist nur nen (sehr) kleiner Fisch ;-P
Wieso kann man das nicht? Proton sagt klar, dass sie dich nicht ohne TOR schützen können. Es ist eine Firma die Auskünfte geben muss.
Welcher VPN ist "sicher"?
*** GB: Ab hier habe ich den Text gekürzt und Folgekommentare gelöscht, da die Diskussion mal wieder auf "politischen Nebenkriegsschauplätzen" entgleist. Sollte hier im Blog nicht sein und die gesamte Thematik geht bzgl. des Themas im Beitrag arg off topic. Danke für euer Verständnis.
> Welche e-Mail-Anbieter gibt es, die diese Kriterien erfüllen:
Zu den Adressbüchern kann ich spontan nichts sagen, aber ansonsten: Mailbox.org und Posteo
Beide bieten anonyme Zahlungsmöglichkeiten an, beide sind über Tor nutzbar.
Zumindest bei Posteo lässt sich das Adressbuch verschlüsseln. Ansonsten hat man das Problem ohnehin nur, wenn man den Webmailer verwendet – was generell eher mäßig empfehlenswert ist (kommt aber grundsätzlich natürlich immer auf das Szenario an). Standard-Smartphones (insbesondere mit GooglePlayDiensten) sind generell nicht für sicherheitskritische und anonyme Aktivitäten geeignet.
Kostenlos hingegen gibt es da nichts (mehr). Wer einen solche Dienst in großem Stil kostenlos anbietet, muss auf anderem Wege Geld verdienen, ansonsten ist das nicht plausibel.
Wird der Betroffene eigentlich informiert, wenn die Obrigkeit seine Daten haben will?
Oder muss ich ein Auskunftsersuchen nach Art. 15 stellen? Wenn ja, würde man dort überhaupt eine wahrheitsgemäße Antwort vom Betrieber erhalten oder "zwingt" die Obrigkeit den Betreiber, den Zugriff zu verschweigen? Und wie sieht es dann mit einem ausländischen Anbieter bspw. im Kongo aus? Gute Alternative zu Protonmail und Tor? Die Eingangstore zu Tor sollen doch auch von der amerikanischen Obrigkeit überwacht werden bzw. die Obrigkeit besitzt die Eingangstore?
Viele Fragen …
Mailbox.org gibt auf der Website viele Details zu dem Thema an.
Z. B. https://mailbox.org/de/post/auskuenfte-zu-bestandsdaten-verkehrsdaten-und-telekommunikationsueberwachungen
Ich finde es gerade nicht, aber ich glaube mich zu erinnern, dass sie in einem Zeitungsartikel gesagt haben, Tranzparenzberichte dürfen nur "allgemein" veröffentlicht werden, das würde bedeuten, der Betroffene erfährt es nicht.
Wenn ich es wiederfinde, reiche ich es nach.
Ergänzung: Kann sein, das es bei Posteo stand und nicht bei Mailbox.org.
"Rechtswidrig" impliziert Behördenwillkür. Hier liegen lediglich Verstöße gegen Formvorschriften hinsichtlich der Art und Weise der Übermittlungs rechtskonformer Behördenanfragen vor. Das liest sich wie Aufmerksamkeitsgeheische des kommerziellen E-Mail-Dienstes.
Sollte man schon differenzieren. Ein Formverstoß kann auch zur Rechtswidrigkeit führen.