{"id":257380,"date":"2021-09-07T11:39:51","date_gmt":"2021-09-07T09:39:51","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=257380"},"modified":"2022-07-22T13:52:39","modified_gmt":"2022-07-22T11:52:39","slug":"protonmail-gibt-ip-eines-franzsischen-aktivisten-heraus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/09\/07\/protonmail-gibt-ip-eines-franzsischen-aktivisten-heraus\/","title":{"rendered":"ProtonMail gibt IP eines französischen Aktivisten heraus"},"content":{"rendered":"

[English<\/a>]Zweiter \"S\u00fcndenfall\" des in der Schweiz angesiedelten E-Mail-Diensts ProtonMail? Dieser Dienst bietet eine Ende-zu-Ende Verschl\u00fcsselung der Mails, bevor sie an den Server von ProtonMail geschickt werden. ProtonMail wird von der Proton Technologies AG betrieben, die ihren Sitz in Plan-les-Ouates (Kanton Genf) hat. Ihre Server sind an zwei Standorten in der Schweiz, au\u00dferhalb der EU- und US-Gerichtsbarkeit, gelegen. Daher gilt ProtonMail (vermeintlich) als \u201esicherer E-Mail-Dienst und Hort der Privatsph\u00e4re\". Nun hat ProtonMail erneut so etwas wie einen S\u00fcndenfall, zumindest aus Sicht potentieller Nutzer, begangen, indem die IP-Adresse eines franz\u00f6sischen Aktivisten herausgegeben wurde.<\/p>\n

<\/p>\n

ProtonMail gibt Daten an die USA heraus<\/h2>\n

Zuerst ein R\u00fcckblick: \"\"Ich hatte ja bereits Anfang August 2021 im Artikel ProtonMail und die Nutzerdaten\u00fcbermittlung in die USA<\/a> darauf hingewiesen, dass die Verwendung von ProtoMail kein Freifahrtschein sei, der sicherstellt, dass keine Benutzerinformationen an andere Staaten gehen. Wer bei diesem Dienst ein Postfach unterh\u00e4lt, dessen Daten k\u00f6nnen ganz schnell in den USA landen. Ich bin \u00fcber einen Tweet<\/a> von Jens Kubieziel auf den betreffenden Sachverhalt gesto\u00dfen.<\/p>\n

\"ProtonMail<\/a><\/p>\n

Die Aussage: ProtonMail, nach eigenen Angaben ein \u00absicherer E-Mail-Dienst aus der Schweiz\u00bb, liefert Nutzerdaten an Sicherheitsbeh\u00f6rden. Die Details lassen sich im verlinkten Blog-Beitrag nachlesen – bez\u00fcglich der Rechtm\u00e4\u00dfigkeit der Datenweitergabe – ob gut oder schlecht – m\u00f6chte ich keine Diskussion starten, denn es gibt den alten Spruch \"der Zweck heiligt die Mittel\".<\/p>\n

IP eines franz\u00f6sischen Aktivisten geloggt<\/h2>\n

Nun gibt es einen zweiten Fall, der nach Bekanntwerden ziemliche Wellen schl\u00e4gt. Ein Polizeibericht legte offen<\/a>, dass es den franz\u00f6sischen Beh\u00f6rden gelungen ist, die IP-Adresse eines franz\u00f6sischen Aktivisten zu ermitteln, der den Onlinedienst ProtonMail genutzt hat. Der Hintergrund des Ganzen: Seit einem Jahr gab es eine Besetzung von Gesch\u00e4ftsr\u00e4umen und Wohnungen in der N\u00e4he der Place Sainte Marthe in Paris durch Aktivisten. Diese k\u00e4mpfen gegen Gentrifizierung, Immobilienspekulation, Airbnb und Spitzenrestaurants. Die als lokaler Konflikt gestartete Hausbesetzung entwickelte sich schnell zu einer symbolischen Kampagne, die f\u00fcr Schlagzeilen sorgte, als die Aktivisten begannen, R\u00e4umlichkeiten zu besetzen, die von Le Petit Cambodge gemietet worden waren. Das Restaurant war das Ziel der Terroranschl\u00e4ge vom 13. November 2015 in Paris.<\/p>\n

Am 1. September ver\u00f6ffentlichte die Aktivistengruppe einen Artikel auf Paris-luttes.info, einer antikapitalistischen Nachrichten-Website, wie Techcrunch hier schreibt<\/a>. Im Artikel fasste die Gruppe Informationen \u00fcber verschiedene polizeiliche Ermittlungen und Gerichtsverfahren gegen einige Mitglieder der Gruppe zusammen.<\/p>\n

Die franz\u00f6sische Polizei hat \u00fcber Europol ein Ersuchen an die Schweizer Polizei gerichtet, um das Unternehmen ProtonMail zu zwingen, die IP-Adresse eines seiner Nutzer zu ermitteln. Es handelt sich wohl um die IP-Adresse der Person, die ein ProtonMail-Konto eingerichtet hat – die Polizei wollte dar\u00fcber die um die Identit\u00e4t der Person ermitteln.<\/p>\n

Die Aktivisten der Gruppe nutzte diese ProtonMail E-Mail-Adresse zur Kommunikation. Die Adresse wurde auch auf verschiedenen anarchistischen Websites verbreitet. Auf Grund dieser Anordnung der Schweizer Polizei wurde die IP-Adresse herausgegeben und der Aktivist verhaftet. ProtonMail hat in dieser Erkl\u00e4rung zum<\/a> Fall Stellung bezogen.<\/p>\n

We would like to provide important clarifications regarding the case of the climate activist who was recently arrested by French police on criminal charges. We are also deeply concerned about this case and deplore that the legal tools for serious crimes are being used in this way. In the interest of transparency, we would like to provide additional context.<\/p>\n

In this case, Proton received a legally binding order from Swiss authorities which we are obligated to comply with. There was no possibility to appeal this particular request.<\/p>\n

As detailed in our transparency report<\/a>, our published threat model<\/a>, and also our privacy policy<\/a>, under Swiss law, Proton can be forced to collect information on accounts belonging to users under Swiss criminal investigation. This is obviously not done by default, but only if Proton gets a legal order for a specific account.<\/p><\/blockquote>\n

Die Betreiber von ProtonMail sind zutiefst besorgt \u00fcber den Fall des franz\u00f6sischen Aktivisten, der k\u00fcrzlich von der franz\u00f6sischen Polizei unter Strafandrohung verhaftet wurde. Wie Proton im Transparenzbericht und weiteren Dokumenten wie der Datenschutzerkl\u00e4rung ausf\u00fchrlich darlegt, kann Proton nach Schweizer Recht gezwungen werden, Informationen \u00fcber Konten von Nutzern zu sammeln, gegen die in der Schweiz strafrechtlich ermittelt wird. Dies geschieht nat\u00fcrlich nicht standardm\u00e4\u00dfig, sondern nur, wenn Proton eine gerichtliche Anordnung f\u00fcr ein bestimmtes Konto erh\u00e4lt.<\/p>\n

In diesem Fall hat Proton eine rechtsverbindliche Anordnung der Schweizer Beh\u00f6rden erhalten, der wir nachkommen m\u00fcssen. Es gab keine M\u00f6glichkeit, gegen diese spezielle Aufforderung Widerspruch einzulegen. Proton ist zutiefst besorgt \u00fcber diesen Fall und bedauert, dass die rechtlichen Mittel f\u00fcr schwere Straftaten auf diese Weise eingesetzt werden.<\/p>\n

Wurde der Betroffene informiert?<\/h2>\n

Unklar ist, laut Techcrunch<\/a>, wann genau die betroffenen Kontoinhaber dar\u00fcber informiert wurden, dass ihre Daten von den Schweizer Beh\u00f6rden angefordert wurden, denn laut ProtonMail ist die Benachrichtigung nach Schweizer Recht obligatorisch. Hier verweigert Proton unter Berufung auf das laufende Verfahren aber jegliche Auskunft und verwies Techcrunch auf die Schweizer Beh\u00f6rden, die das Auskunftsersuchen erstellten.<\/p>\n

Nach Schweizer Recht muss (so Proton in diesem Dokument<\/a>) ein Benutzer benachrichtigt werden, wenn ein Dritter seine privaten Daten anfordert und diese Daten in einem Strafverfahren verwendet werden sollen. Allerdings kann unter bestimmten Umst\u00e4nden eine Benachrichtigung verz\u00f6gert werden. Aktuell ist da unklar, was genau abgelaufen ist und welche Order bez\u00fcglich der Informationssperre durch Proton vorlag.<\/p>\n

Der S\u00fcndenfall<\/h2>\n

Und da kommen wir an den springenden Punkt: Im aktuellen Fall ist es f\u00fcr mich nicht erkennbar, ob schwere Straftaten begangen wurden. Vor allem die Einrichtung eines ProtonMail-Kontos d\u00fcrfte juristisch nicht unter diese Rubik fallen. Dass die Anordnung eines franz\u00f6sischen Richters reicht, um \u00fcber Europol ein Rechtshilfeersuchen an die Schweiz zur Ermittlung von IP-Adressen zu stellen, sollte jetzt jedem Nutzer klar machen,\u00a0 dass seine Daten nicht gesch\u00fctzt sind.<\/p>\n

Mir ist noch der Fall des deutschen Autors Dogan Akhanli im Hinterkopf<\/a>, der auf Grund eines t\u00fcrkischen Haftbefehls 2017 in Spanien festgesetzt wurde. In diesem Fall sorgte die internationale Aufmerksamkeit daf\u00fcr, dass ein spanisches Gericht den Europol-Haftbefehl aus der T\u00fcrkei als unzul\u00e4ssig einstufte und diesen au\u00dfer Kraft setzte.<\/p>\n

Auch wenn die F\u00e4lle juristisch anders gelagert sind, zeigt sich, dass die eigentlich sinnvollen internationalen Abkommen zur Strafverfolgung der Gefahr eines Missbrauchs unterliegen. Es sind ja eine Menge Staaten an Strafverfolgungssysteme wie Europol und Interpol angeschlossen – auch Staaten, in denen Menschenrechte und Justiz in Schieflage geraten sind.<\/p>\n

Und in Sachen Cyber-Strafrecht hinkt die Justiz, nach meiner Einsch\u00e4tzung, eh hinterher. Welcher Richter kann auf die Schnelle erkennen, ob ein Ersuchen eine rechtliche Basis hat? Im Zweifelsfall wird er den Antrag durchwinken und der Provider muss die Daten herausr\u00fccken. Die Mail selbst sind bei ProtonMail zwar verschl\u00fcsselt. Aber die Metadaten liefern bereits eine Menge Informationen. Am Ende des Tages f\u00fchren solche F\u00e4lle dazu, dass die schweren Jungs in die Illegalit\u00e4t des Darknet abtauchen und nur noch Aktivisten in die F\u00e4nge der Justiz gelangen.<\/p>\n

Erg\u00e4nzungen: Weitere Informationen finden sich im Artikel France\/Suisse\/S\u00e9curit\u00e9 IT : Protonmail a communiqu\u00e9 \u00e0 la police l'adresse IP de militant\u00b7es anti-gentrification<\/a> (franz\u00f6sisch) und bei heise<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Zweiter \"S\u00fcndenfall\" des in der Schweiz angesiedelten E-Mail-Diensts ProtonMail? Dieser Dienst bietet eine Ende-zu-Ende Verschl\u00fcsselung der Mails, bevor sie an den Server von ProtonMail geschickt werden. ProtonMail wird von der Proton Technologies AG betrieben, die ihren Sitz in Plan-les-Ouates (Kanton … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-257380","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257380","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=257380"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/257380\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=257380"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=257380"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=257380"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}