Posteos Verschlüsselung von Mails, Kalender, Kontakten und ein Erklärfilm von mailbox.org

runaroundman · 2. Juli 2023 um 05:58

Wies der Zufall will, gibts hier und hier 2 Aussagen bei den PrivacyGuides zum Thema.

Das ist korrekt: Ich krieg für solche Aussagen kein Gehalt, weiß aber, was du meinst!

mulanoo · 2. Juli 2023 um 07:22

Es scheint, dass jemand absichtlich versucht, Posteo mit solchen Beiträgen zu schädigen. Obwohl ich nicht genau sagen kann, wer dahintersteckt, habe ich eine Vermutung.

Auf Websites wie Golem.de (Gästebuch, Kommentare), Caschys Blog (Gästebuch) oder im Computerbase-Forum werden gezielte Beiträge oder Threads veröffentlicht, in denen Posteo schlecht gemacht und stattdessen Mailbox in den Himmel gelobt wird. Die Art und Weise, wie diese Beiträge formuliert sind, lässt vermuten, dass jemand im Auftrag von Mailbox stammen KÖNNTEN. Interessanterweise kommentiert dann der Chef von Mailbox diese Beiträge kurz darauf…

Es wirkt auf jeden Fall sehr merkwürdig…

Solche Threads landen dann in den Suchmaschinen Ergebnissen und potentielle neue Kunden werden dadurch verunsichert und denken sich „Ui. Dann gehe ich besser zu MB!“

Vor allem die Überschrift vom Thread…

„Posteos Verschlüsselung von Mails, Kalender, Kontakten UND EIN ERKLÄRFILM VON MAILBOX.ORG“

Es handelt sich lediglich um eine Vermutung, aber in der Vergangenheit bin ich auf zahlreiche kritische Beiträge gestoßen, die gegen Posteo gerichtet waren. Im Gegenzug wurde dabei häufig mit positiven Aspekten von Mailbox.org geworben, was den Anschein von Werbung erweckt.

runaroundman · 2. Juli 2023 um 08:18

Falls du mich meinst: Ich verweise gerne nochmal auf meine Aussage:

Den Beitrag hier habe ich erstellt, weil ich mir tatsächlich nicht sicher bin, wie ich Posteos Verschlüsselungs-Funktion werten soll, da mich eben Mailbox.orgs Filmchen etwas verwirrt hat.

Ich verwende übrigens Posteo UND Mailbox. Außerdem Tutanota und Proton schaue ich mir gerade an. Mit keinem der Anbieter bin ich irgendwie verbandelt, außer, dass sie Geld von mir kriegen!

Posteo hat mir übrigens auf meine Nachfrage hin nicht geantwortet…!

usern0m · 2. Juli 2023 um 23:25

Hi sorry ich habe diesen Beitrag übersehen. Es geht darum, dass so eine „Verschlüsselung“ nicht vor Überwachungsmaßnahmen seitens des Mailproviders schützt.

Das mit Davx5 wird da nicht erklärt, aber Du kannst ja mal im RFC schauen (das betrifft das Adressbuch).

Da steht nichts von Verschlüsselung, also kann sie Davx5 folglich nicht inplementieren, ohne nicht mehr standardkonform zu sein.

Schön, dass sie das früher gemacht haben. Mir fehlt die Kommunikation heute.

Mit dem Posteo-Krypto-Mailspeicher verschlüsseln Sie alle Ihre bei Posteo gespeicherten E-Mail-Daten (Inhalte, Anhänge und Metadaten) auf Knopfdruck.

(Quelle)

Eigentlich müsste es heißen, dass Posteo die Daten für einen verschlüsselt. Wenn da steht, dass ich meine Daten verschlüssele, dann bedeutet das für mich Ende-zu-Ende Verschlüsselung.

Danke für die Erklärung, ich habe mich bisher noch nicht mit verschlüsselten Passwörtern befasst. Allerdings wäre ein Protokoll möglich, bei dem der u2f-Standard zur Verschlüsselung von Daten genutzt wird und der wirklich sicher zumindest für die Adressbuch- und Kalenderdaten wäre (wo der private Schlüssel zur Verschlüsselung benutzt würde). So etwas hatte ich im Kopf🙃

Meiner Meinung betreibt mailbox.org auch irreführendes Marketing (z.B. mit dem Guard, den es meiner Meinung nach nicht geben sollte). Es hat sogar mal im Community Forum von mailbox.org einen kritischen Beitrag vom Betreiber des Privacy Handbuchs gegeben (ich finde den Beitrag leider nicht).

Was mich ggü Posteo skeptisch gemacht hat: https://www.kuketz-blog.de/?s=posteo
Einfach die ersten sechs Ergebnisse lesen.

Ich denke mal, dass sich sowohl Mitarbeiter*innen von Posteo als auch mailbox.org herumtreiben - die einzige Möglichkeit, Leute zu beurteilen, ist nach der inhaltlichen Differenziertheit und Qualität der Beiträge.

anon83163390 · 3. Juli 2023 um 02:15

wieso verlinkst Du zweimal den gleichen Beitrag und schreibst 2 Aussagen?

Ich verstehe auch nicht warum man das so machen muss, ein interner Schlüsselmanager hätte ausgereicht.
Es dient wahrscheinlich dazu es vorzuführen wie einfach es geht. Ich habe nur öffentliche Schlüssel dort hoch geladen und verzichte auf den Guard. Somit sind alle Verschlüsselungen sicher bis eine Überwachungsmaßnahme ansteht, aber sollen sie machen…finden nichts.

Also eher nicht posteo? Ich hätte das für einen Euro im Monat für Kontakte und Kalender genutzt, weil mailbox das nicht bietet.

Es macht einen Unterschied ob diese Überwachung jederzeit für alle Daten gilt, oder wie im Falle des verschlüsselten Postfach ab der Maßnahme, den hier wird ja bevor der IMAP Server verschlüsselt, eine Kopie erstellt, aber alles was vorher verschlüsselt wurde ist save.

Wie kann denn bei posteo der Kalender und die Kontakte überwacht werden, wenn díe Verschlüsselung überwacht werden? Indem man die TLS Verschlüsselung knackt?

usern0m · 3. Juli 2023 um 08:16

Mailbox bietet auch Kontakte und Kalender. Bei mir hat das iOS eine Zeit lang nicht 100%ig funktioniert, deswegen nutze ich es nicht. Ich muss mich auf so etwas verlassen können.

Es geht darum, dass irgendeine komische Verschlüsselung gebastelt wird, die irgendwie helfen sollen soll und irgendwie nicht.

Klar wenn Du TLS „knackst“, aber auch einfach wenn Du den Endpoint, der das Passwort entgegennimmt und die Verschlüsselung macht, kompromittierst.

Nur das Postfach bzw. Kalender Datenbank reicht nicht aus, Du brauchst eben einen anderen Server des Anbieters zu kompromittieren und ggf. so manipulieren, dass er die Passwörter loggt (vielleicht werden die schon geloggt, wer weiß) und dann versendet.

Das mag zwar schwieriger sein, aber im Endeffekt ist es mehr Komplexität plus der Verlust der Möglichkeit, das Passwort zurücksetzen zu können.

Ich persönlich finde: Ende zu Ende verschlüsseln oder es lassen, aber nichts dazwischen.

Für andere mag das anders sein, aber „Krypto-Mailspeicher“ klingt automatisch sicher, was es nicht ist.

Winston · 4. Juli 2023 um 09:54

Bei mir hat Mailbox.org einen Malus:

Mailbox.org hat jahrelang jeden sich dort Registrierenden per Google ReCaptcha an Google gemeldet.
Und jahrelang (!) zugleich Besserung gelobt …
Nach meinem letzten Stand unterlassen die das nun ausschließlich für die (wohl damals protestierenden) deutschen Nutzer.

kuketzblog · 4. Juli 2023 um 10:00

Was soll das bedeuten? „Gemeldet“? Wenn du damit meinst, dass Google die E-Mail-Adresse erfahren hat, die jemand registriert hat, ist das nicht korrekt. Google hat aber die IP-Adresse erfahren, das ist korrekt. Aber allein aufgrund dieser Informationen ist für Google noch kein Personenbezug herstellbar - da braucht es dann doch noch etwas mehr Daten.

Winston · 4. Juli 2023 um 10:02

Die IP-Adresse ist ein personenbezogenes Datum, sagt die Rechtssprechung.
Aus guten Gründen.
Sie ist ein bloßes Pseudonym.
Jüngst hat ein Gericht endlich entschieden, dass es für Google INSBESONDERE ein persönliches Datum ist.

b. Die übermittelten IP-Adressen stellen sowohl für die Beklagte als auch Google LLC als Verantwortliche der Datenübermittlung personenbezogene Daten dar.

116

Dynamische IP-Adressen stellen dann personenbezogene Daten dar, wenn dem Verantwortlichen rechtliche Mittel zur Verfügung stehen, die er vernünftigerweise einsetzen könnte, um mit Hilfe Dritter (zB der zuständigen Behörde und des Internetanbieters) die betroffene Person anhand der gespeicherten IP-Adresse bestimmen zu lassen (BGH ZD 2017, 424 = MMR 2017, 605).

117

Dies ist sowohl hinsichtlich der Beklagten als auch hinsichtlich Google LLC der Fall. Beiden stehen die rechtlichen Mittel zur Verfügung, über Zusatzinformationen von der IP-Adresse einen Rückschluss auf die natürliche Person zu ziehen.

118

Als Telekommunikationsanbieterin und Websitebetreiberin kann die Beklagte, soweit es sich bei den Besuchern um ihre Kunden handelt, ohne großen Aufwand Internet-Nutzer identifizieren, denen sie eine IP-Adresse zugewiesen hat, da sie in der Regel in Dateien systematisch Datum, Zeitpunkt, Dauer und die dem Internet-Nutzer zugeteilte dynamische IP-Adresse zusammenführen kann. In Kombination können die eingehenden Informationen dazu benutzt werden, um Profile der natürlichen Personen zu erstellen und sie (sogar ohne Heranziehung Dritter) zu identifizieren (vgl. BeckOK DatenschutzR/Schild DS-GVO Art. 4 Rn. 20).

119

Gleiches gilt für Google LLC, die als Anbieterin von Online-Mediendiensten ebenso über die Mittel verfügt Personenprofile zu erstellen und diese auszuwerten. Dabei kann gerade die IP-Adresse als personenspezifisches Merkmal dienen (vgl. LG W. I, Urteil vom 20.1.2022 – 3 O 17493/20) und etwa in der Kombination mit der Nutzung anderer Onlinedienste zur Identifizierung herangezogen werden (Feldmann, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Kapitel 4. Datenschutzkonformer Einsatz von Suchmaschinen im Unternehmen, Rn. 12).

http://www.justiz.nrw.de/nrwe/lgs/koeln/lg_koeln/j2023/33_O_376_22_Urteil_20230112.html

kuketzblog · 4. Juli 2023 um 10:11

Ja, es gibt Fälle, in denen Google einen Personenbezug über die IP-Adresse herstellen kann. Das gilt aber nicht pauschal - auch nicht nach dem Urteil.

Sofern jemand Google als Dienst bzw. in Verknüpfung mit einem Konto nutzt, dann ist für Google eine Herstellung zu einer Person möglich. Wird hier erklärt: https://www.kuketz-blog.de/wie-google-jemanden-fast-ueber-das-gesamte-internet-verfolgen-kann/

Ist das nicht der Fall, dann hat Google lediglich eine IP-Adresse.

Winston · 4. Juli 2023 um 10:15

Wenn Google das KANN, dann IST die IP ein personenbezogenes Datum.
Genau das besagt auch das Urteil.
Und, nein, man muss NICHT einen Google-Dienst nutzen, um für Google per IP identifizierbar zu sein.

AlphaElwedritsch · 4. Juli 2023 um 10:20

in wie weit bezieht sich das noch auf das thema?

Winston · 4. Juli 2023 um 10:24

Ja, ich wollte das hier gar nicht diskutieren, dachte das wäre endlich Allgemeinwissen. Ich mache zum Thema einen eigenen Thread auf, hier.

spr · 4. Juli 2023 um 11:42

Posteo.de und Mailbox.org wirken im Marketing schon recht ähnlich:

grüne Firmenfarbe (und auch sonst „grüne“ Versprechen)
Datenschutz und Sicherheit als Hauptverkaufspunkte
beide aus Berlin, „made in Germany“
Startpreis: 1 Euro pro Monat
komplizierte Dinge schon in den ersten Beschreibungen („PGP im Webmailer“ (Mailbox), „Eingangsverschlüsselung mit S/MIME oder OpenPGP“ (Poster)
usw.

Damit sprechen beide eine, im Vergleich zum Gesamtmarkt „E-Mail-Postfach“, kleine Zielgruppe an – die echte (nicht gefühlt riesige) Zielgruppe ist dann wohl doch nicht so groß.

Zum Vergleich die Kundenansprache bei Gmail (https://www.google.de/gmail/about/):

„Sichere, intelligente und benutzerfreundliche E-Mail-Lösung“
oder mein Favorit „Ein sicheres E-Mail-System, das Ihre Daten schützt und Ihnen die volle Kontrolle gibt.“

Nur das ist in einfacher Sprache und damit der erreichbare Markt (bei unser aller Liebe für Datenschutz) einfach größer. Oder auch bei GMX, web.de, Outlook.com und wie sie alle heißen. Schaut Euch wirklich mal die Werbetexte im Vergleich an und überlegt wer mehr Menschen erreichen kann aufgrund der niederschwelligeren Sprache…

Daher für mich eine Kindergarten-Show zwischen den beiden Anbietern Posteo.de und Mailbox.org, die gerade in ihrer Nische feststecken anstatt zu überlegen wie ein größerer Markt erreicht werden kann.

AlphaElwedritsch · 4. Juli 2023 um 13:40

feature request

könnte man ein aluhut symbol einführen, dass in der übersicht solche themen, die in kruse verschwörungstheorien abrutschen, kenntlich machen?
dann wüsste man sofort, dass es sich irgendwann nicht mehr lohnt das thema weiter zu verfolgen.
es sei denn man will sich der langeweile entziehen und nur belustigen lassen…

runaroundman · 4. Juli 2023 um 14:34

Richtig, sie sprechen beide die gleiche Zielgruppe an und das wird die Gruppe der Mailnutzer sein, die eben von Web.de, GMX, Outlook, Google…aus Privacygründen wegwollen. Sie sind nicht in einer Nische, sie bieten eine Alternative für die, die nicht mehr zur riesigen Gruppe derer, die nix zu verbergen haben, gehören wollen.

anon83163390 · 4. Juli 2023 um 18:32

Natürlich, nur nicht verschlüsselt. Aber wer bietet das korrekt an, Deiner Meinung nach?

Machen Sie bei Anmeldung mit dem Tor-Browser immer noch, selbst wenn man mit deren Exit node verbunden wird.

Und wo hat google genau das Hindernis diese etwas mehr Daten zu haben, zu bekommen oder als Auftragsarbeit zu organisieren?
Mailbox möchte sich gegen bot Anmeldungen so schützen, aber gleichzeitig kann man nach der Anmeldung auch keine Mails außerhalb der @mailbox.org Domain versenden in der Testzeit, erst nach Bezahlung geht mehr. Reicht das nicht als Schutz?

Und dann die Frage an alle die noch mit lesen, kennt wer einen Dienst der einen sichere Verschlüsselung für Kontakte und Kalender anbietet?

o0ps · 4. Juli 2023 um 21:26

Ich denke, wir sind mittlerweile an einem guten Ende angelangt. Ursprünglich ging es um die Verschlüsselung bei Posteo. Es hat sich zum Einen eine Diskussion über die Funktion/den Nutzen/den Sinn der Verschlüsselung bei E-Mail entwickelt als auch zeitweise ein Vergleich zu mailbox.org. Alles schöne Themen, nur driftet das Thema hier meiner Meinung nach komplett ab. Wenn ihr weiter über Pro und Contra zu posteo.de oder mailbox.org diskutieren wollt, eröffnet hierzu bitte einen eigenes Thema.

Gleiches gilt auch für die Frage von @anon83163390 .

Ich mache hier mal dicht, damit das Thema nicht noch mehr neue Abzweigungen erhält