Mail-Provider aus Hannover Gericht zwingt Tutanota zur Herausgabe unverschlüsselter Mails

Der deutsche Mail-Anbieter Tutanota setzt stark aufs Thema Datenschutz. Unter bestimmten Vorraussetzungen gibt er Ermittlern seit diesem Juni aber Zugriff auf unverschlüsselte Mail-Inhalte.

Maildienst Tutanota: Der Unternehmensname steht sinngemäß für "sichere Nachricht"
Tutanota

Maildienst Tutanota: Der Unternehmensname steht sinngemäß für "sichere Nachricht"

Von


Der E-Mail-Anbieter Tutanota kann per Gerichtsbeschluss gezwungen werden, Nachrichten seiner Kunden unverschlüsselt an Ermittler herauszugeben. Das wurde durch Recherchen von "Süddeutscher Zeitung", NDR und WDR bekannt. Das Start-up aus Hannover stellt sich selbst als "weltweit sicherster E-Mail-Service" dar. Als in Deutschland ansässiges Unternehmen sieht es sich jedoch mit einer Rechtslage konfrontiert, die es ihm schwer macht, sich Anfragen von Ermittlern zu entziehen.

Bei Tutanota hatte sich Anfang Oktober 2018 das Amtsgericht Itzehoe gemeldet: Geschäftsführer Matthias Pfau sei mit einem Schreiben aufgefordert worden, Ermittlern das Mitlesen bestimmter E-Mails eines Kunden in Echtzeit zu ermöglichen, heißt es in den Berichten. In der Aufforderung ging es um ein- und ausgehende Mails, die nicht Ende-zu-Ende-verschlüsselt sind, die aber auf den Tutanota-Servern durch eine vom Unternehmen eingesetzte Verschlüsselung vor fremdem Zugriff geschützt werden. Die Inhalte von Nachrichten dagegen, bei denen eine Ende-zu-Ende-Verschlüsselung zum Einsatz kommt, weil beide Kommunikationspartner den Dienst benutzen, kann Tutanota gar nicht entschlüsseln.

Hintergrund der Gerichtsforderung waren dem WDR zufolge Ransomware-Attacken auf Betriebe aus Schleswig-Holstein, bei denen eine Mail-Adresse von Tutanota genutzt wurde. Diese Adresse wollten Ermittler überwachen. Verwiesen wurde im Rahmen der Aufforderung auf Paragraf 100a der Strafprozessordnung und auf Paragraf 110 des Telekommunikationsgesetzes (TKG), hieß es.

Matthias Pfau weigerte sich zunächst, der Forderung des Amtsgerichts nachzukommen. Dann jedoch entschied das Gericht, dass Tutanota die Daten herausgeben muss und verhängte 1000 Euro Ordnungsgeld - und das Bundesverfassungsgericht traf im Januar eine Entscheidung, die Pfau bewog, sich nicht weiter zu wehren.

Damals hatte das Bundesverfassungsgericht eine Verfassungsbeschwerde von Posteo abgewiesen. In der Pressemitteilung des Gerichts dazu hieß es: "Es verstößt nicht gegen das Grundgesetz, dass der Anbieter eines E-Mail-Dienstes im Rahmen einer ordnungsgemäß angeordneten Telekommunikationsüberwachung verpflichtet ist, den Ermittlungsbehörden die Internetprotokolladressen (im Folgenden: IP-Adressen) der auf ihren Account zugreifenden Kunden auch dann zu übermitteln, wenn er seinen Dienst aus Datenschutzgründen so organisiert hat, dass er diese nicht protokolliert."

Ähnlich wie Tutanota wirbt auch Posteo mit einem Fokus auf Datensparsamkeit und IT-Sicherheit um Kunden für seine Mail-Postfächer. Posteo hatte unmittelbar nach der Nachricht aus Karlsruhe eine "architektonische Lösung" angekündigt, die "die Sicherheit und die Rechte unserer Kundinnen und Kunden nicht beeinträchtigt". Mittlerweile verweist das Unternehmen auf eine Entscheidung des Europäischen Gerichtshofs aus dem Juni und betont, keinerlei Umbaumaßnahmen an seinen Systemen vorgenommen zu haben. Das Verfahren vor dem Bundesverfassungsgericht sei "in Bezug auf E-Maildienste wie Posteo überholt, weil das TKG auf diese Dienste nicht mehr anwendbar ist".

Tutanota reagierte auf den Konflikt mit dem Amtsgericht Itzehoe mit einer neuen Funktion, heißt es in den Medienberichten: Wenn für einen Account eine gültige Anordnung eines deutschen Gerichts vorliegt, könne das Unternehmen zusätzlich eine Kopie der nicht Ende-zu-Ende-verschlüsselten E-Mails erstellen, die auch die Ermittler lesen können. Rückwirkend ließen sich solche Kopien aber nicht anlegen - und die Inhalte Ende-zu-Ende-verschlüsselter Mails blieben für Tutanota und Ermittler weiter unlesbar.

Dem SPIEGEL sagte Matthias Pfau, die beschriebene Funktion gebe es bei Tutanota seit Juni. Sie werde selektiv und nur für einzelne Accounts eingeschaltet, wenn ein entsprechender gültiger Gerichtsbeschluss vorliege. "Wir versuchen die Privatsphäre so gut wie möglich zu schützen und sind daher nicht glücklich, so eine Funktion einbauen zu müssen", betont Pfau.

Praktisch kam das Feature auch bereits zum Einsatz. Das lässt sich aus dem jüngsten Transparenzbericht von Tutanota ablesen, der die Kunden über Behördenanfragen aus dem ersten Halbjahr 2019 informiert. Dort ist von vier Anfragen nach "Echtzeit-Inhaltsdaten" die Rede. Und es heißt auch, dass in vier Fällen aufgrund eines gültigen Gerichtsbeschlusses "Echtzeit-Inhaltsdaten" herausgegeben wurden. Einmal soll es dabei um das Postfach gegangen sein, das mit den Ransomware-Attacken in Schleswig-Holstein in Zusammenhang stand, erfuhr der SPIEGEL.

Update, 18.15 Uhr: Wir haben in diesem Artikel die Passagen zum Anbieter Posteo präzisiert und um einen Verweis auf das Urteil des Europäischen Gerichtshofs aus dem Juni sowie eine aktuelle Stellungnahme des Unternehmens ergänzt.



insgesamt 19 Beiträge
Alle Kommentare öffnen
Seite 1
sikasuu 12.11.2019
1. Da bleibt PGP / GPGP(1) wohl das einzige Mittel,
... um Mail sicher auszutauschen! Alle anderen Anbieter , gleich ob in In- oder Ausland, werden sich wohl über "kurz oder lang" Geheimdiensten, Gerichten usw beugen müssen. . Ist schon sehr "fragwürdig" meine Platten kann ich "verschlüsseln", meine Mails usw. auch, ein wenig Kenntnis vorausgesetzt denn PGP ist z.B. Im Thunderbird schon als Option vorhanden, aber ein Mail-Anbieter muss bei Überwachung mitspielen? . Na ja, Rechtsstaat?!? Und es trifft... die "Dummen" die nichts zu "verbergen haben"? . Sind wir demnächst wieder beim Verbot von Verschlüsselung, wie in U-SA in den 1990gern. Siehe dazu: https://de.wikipedia.org/wiki/Pretty_Good_Privacy . Kopfschüttelnd Sikasuu
Mancomb 12.11.2019
2. Eine Katastrophe
für den Standort Deutschland. Daten sind hier nicht sicher, Punkt. Auf der einen Seite die Bürger mit der DSGVO gängeln, dann aber den Behörden praktisch uneingeschränkt Zugriff auf alle Daten geben. Schade, werde ich mein Konto bei Tutanota kündigen müssen. Oder hoffen, dass sie ihre Server ins Ausland verlegen. Wir bewegen uns in eine Richtung, die mir ganz und gar nicht gefällt. Unsere Gesetzgebung wird sogar mittlerweile von Regimes wie Russland und Venezuela 1:1 übernommen: https://foreignpolicy.com/2019/11/06/germany-online-crackdowns-inspired-the-worlds-dictators-russia-venezuela-india/ Als ob wir aus Stasi und Gestapo überhaupt nichts gelernt hätten.
sailor60 12.11.2019
3. ich kann ehrlich nicht erkennen an welcher Stelle hier ein Problem
auftaucht. Kriminelle wie auch Firmen können jederzeit Ende zu Ende verschlüsselt kommunizieren. Hier tun es ein paar Kriminelle eben nicht und die Staatsmacht will diesen Umstand nutzen. Wo ist das Problem? Wenn Tutanota eine proprietäre end to end Verschlüsselung eingesetzt hätte und hier hier nun ein paar Löcher rein schießen würde - das wäre ein Problem.
Bibs1980 12.11.2019
4.
"...die aber auf den Tutanota-Servern durch eine vom Unternehmen eingesetzte Verschlüsselung vor fremdem Zugriff geschützt werden." Wenn sie von irgendwem anders als dem Sender und dem Empfänger zu entschlüsseln sind, sind sie de facto nicht vor fremdem Zugriff geschützt. Ob die Datensätze in der Datenbank nun verschlüsselt sind oder nicht. Wenn irgendwo ein Generalschlüssel herumliegt, kann man das auch gleich lassen.
abalward 12.11.2019
5.
Zitat von Bibs1980"...die aber auf den Tutanota-Servern durch eine vom Unternehmen eingesetzte Verschlüsselung vor fremdem Zugriff geschützt werden." Wenn sie von irgendwem anders als dem Sender und dem Empfänger zu entschlüsseln sind, sind sie de facto nicht vor fremdem Zugriff geschützt. Ob die Datensätze in der Datenbank nun verschlüsselt sind oder nicht. Wenn irgendwo ein Generalschlüssel herumliegt, kann man das auch gleich lassen.
Das wichtige Stichwort lautet hier Echtzeitdaten ! Die einmal verschlüsselten Datensätze in der Datenbank kann Tutanota nicht rekonstruieren. Daher kann Tutanota auch nicht Zugriff auf bereits verschickte / versandte Mails geben. Der Zugriff für die Behörden ist sicherlich vor der Verschlüsselung : 1, A schickt unverschlüsselte Mail an B bei Tutanota. 2. Mailserver von Tutanota empfängt die unverschlüsselte Mail. 3. Wenn "unter Beobachtung" wird die Mail kopiert und an die Behörden weitergeleitet sowie *anschließend* verschlüsselt und im Postfach des Nutzers gespeichert.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.