Transparenzbericht schon wieder unverständlich / falsch
Hallo mailbox.org,
der Transparenzbericht ist erneut auch dieses Jahr falsch / unverständlich. Es wird erneut von Mails berichtet, die die Behörden unverschlüsselt verschickt haben. Die fehlende Differenzierung zwischen Transport- und E2E-Verschlüsselung ist mindestens missverständlich, meines Erachtens ist die Wortwahl sogar falsch und bewusst reißerisch (clickbaiting) - auf letzteres hat mailbox.org zumindest in der Vergangenheit verzichtet.
Ich kann mir nämlich definitiv nicht vorstellen, dass Behörden Mails noch in Klartext (ohne Transportverschlüsselung) verschicken. Sicherheitsbehörden sind vermutlich anders, aber viele "normale" Behörden verwenden Microsoft, und da werden die Mails definitiv mit Transportverschlüsselung verschickt. Es ist juristisch nicht ganz eindeutig, inwieweit ein Versand mit zwingender Transportverschlüsselung ein Datenschutzverstoß ist. Somit würde ich doch bitten, dass der Transparenzbericht etwas differenzierter ist.
Ich finde diese Idee klasse 
Hi,
wenn es im vergangenen Jahr dazu eine Diskussion gab, so ist sie an mir vorbeigegangen. Ich nehme diese Frage jetzt zum ersten mal wahr und wundere mich darum etwas über das "schon wieder".
Allgemein muss ich aber sagen: Eine Transportverschlüsselung ist nicht ausreichend. Es ist eine Ende-zu-Ende-Verschlüsselung (PGP, S/MIME) notwendig. Insofern kann ich hier am Transparenzbericht nichts falsches und nichts reisserisches feststellen.
Die Bahauptung, wir hätten das "bewusst" gewählt trifft mich und passt ganz sicher nicht zu Mailbox, unserer Arbeitsweise, unseren Werten und auch nicht zu mir. Das möchte ich hiermit - damit das klipp und klar ist - ganz eindeutig zurückweisen.
(Und, nur am Rande: Und ich kenne aber ganz unabhängig davon auch keinen Fall, wo die Transportverschlüsselung von den Behörden dann zwingend eingesetzt wird - insofern bleibt sie opportunistisch und damit wird ggf. eben auch bewusst vollständig ungeschützt kommunizieren. Das kann, darf und müsste man dann aber weiterhin kritisieren.)
Hi,
wenn es im vergangenen Jahr dazu eine Diskussion gab, so ist sie an mir vorbeigegangen. Ich nehme diese Frage jetzt zum ersten mal wahr und wundere mich darum etwas über das "schon wieder".
Allgemein muss ich aber sagen: Eine Transportverschlüsselung ist nicht ausreichend. Es ist eine Ende-zu-Ende-Verschlüsselung (PGP, S/MIME) notwendig. Insofern kann ich hier am Transparenzbericht nichts falsches und nichts reisserisches feststellen.
Die Bahauptung, wir hätten das "bewusst" gewählt trifft mich und passt ganz sicher nicht zu Mailbox, unserer Arbeitsweise, unseren Werten und auch nicht zu mir. Das möchte ich hiermit - damit das klipp und klar ist - ganz eindeutig zurückweisen.
(Und, nur am Rande: Und ich kenne aber ganz unabhängig davon auch keinen Fall, wo die Transportverschlüsselung von den Behörden dann zwingend eingesetzt wird - insofern bleibt sie opportunistisch und damit wird ggf. eben auch bewusst vollständig ungeschützt kommunizieren. Das kann, darf und müsste man dann aber weiterhin kritisieren.)
Danke für die schnelle Reaktion.
Aus technischer Sicht ärgert mich, dass nur ganz wenige Firmen/Behörden "zwingendes TLS" beim Versand einsetzen. So was wie "forced TLS" wäre m.E. ein erster Erfolg für Datensicherheit. Es ärgert mich aber auch, dass so oft in Medien und von Datenschutzbeauftragten von "unverschlüsselt" die Rede ist - auch im Transparenzbericht - und die besagten Mails dann eben doch (wie es in aller Regel passiert) transportverschlüsselt wurden - auch wenn es nur opportunistisch war, und daher letztlich mehr oder weniger Glückssache. Trotzdem waren die Daten beim Versand zwischen den Servern nicht unverschlüsselt. Sie waren eben nur nicht E2E-verschlüsselt, oder sie hatten anders ausgedrückt nicht das Verschlüsselungsniveau, was juristisch notwendig gewesen wäre. Insofern ist meines Erachtens der Transparenzbericht diesbezüglich falsch.
Aus juristischer Sicht (Datenschutz) ist eine Transportverschlüsselung immer verpflichtend bei fremden Daten, eine E2E-Verschlüsselung nur je nach Schutzniveau der Daten verpflichtend. Juristisch kann aus einer Mindermeinung auch schnell die herrschende Meinung werden, inwieweit es zu dem Thema höchstrichterliche Rechtsprechung gibt, weiß ich nicht, meines Wissens aber noch nicht. Ich kenne Notariate, die recht ungeniert lediglich transportverschlüsselt mit Mandanten kommunizieren und dabei ganze Verträge/Testamente/etc. verschicken. Insofern fände ich eine etwas klarere Formulireung des Unterschieds im nächsten Transparenzbericht sinnvoll.
Ich hatte meine Anmerkung schon mal letztes oder vorletztes Jahr angebracht. Daher das "schon wieder". Das Wort "bewusst" möchte ich zurücknehmen. Da habe ich überreagiert. Ich weiß natürlich nicht, was der Autor des Transparenzberichts sich beim Schreiben gedacht hat. Da war ich gerade etwas reißerisch unterwegs. Sorry.
Danke für die schnelle Reaktion.
Aus technischer Sicht ärgert mich, dass nur ganz wenige Firmen/Behörden "zwingendes TLS" beim Versand einsetzen. So was wie "forced TLS" wäre m.E. ein erster Erfolg für Datensicherheit. Es ärgert mich aber auch, dass so oft in Medien und von Datenschutzbeauftragten von "unverschlüsselt" die Rede ist - auch im Transparenzbericht - und die besagten Mails dann eben doch (wie es in aller Regel passiert) transportverschlüsselt wurden - auch wenn es nur opportunistisch war, und daher letztlich mehr oder weniger Glückssache. Trotzdem waren die Daten beim Versand zwischen den Servern nicht unverschlüsselt. Sie waren eben nur nicht E2E-verschlüsselt, oder sie hatten anders ausgedrückt nicht das Verschlüsselungsniveau, was juristisch notwendig gewesen wäre. Insofern ist meines Erachtens der Transparenzbericht diesbezüglich falsch.
Aus juristischer Sicht (Datenschutz) ist eine Transportverschlüsselung immer verpflichtend bei fremden Daten, eine E2E-Verschlüsselung nur je nach Schutzniveau der Daten verpflichtend. Juristisch kann aus einer Mindermeinung auch schnell die herrschende Meinung werden, inwieweit es zu dem Thema höchstrichterliche Rechtsprechung gibt, weiß ich nicht, meines Wissens aber noch nicht. Ich kenne Notariate, die recht ungeniert lediglich transportverschlüsselt mit Mandanten kommunizieren und dabei ganze Verträge/Testamente/etc. verschicken. Insofern fände ich eine etwas klarere Formulireung des Unterschieds im nächsten Transparenzbericht sinnvoll.
Ich hatte meine Anmerkung schon mal letztes oder vorletztes Jahr angebracht. Daher das "schon wieder". Das Wort "bewusst" möchte ich zurücknehmen. Da habe ich überreagiert. Ich weiß natürlich nicht, was der Autor des Transparenzberichts sich beim Schreiben gedacht hat. Da war ich gerade etwas reißerisch unterwegs. Sorry.
Ich finde den Bericht verständlich. Aber eine wesentliche Sache fehlt mir.
"2025 wurden in 15 Fällen unverschlüsselt übertragene Anfragen von den Ermittlungsbehörden korrigiert, sodass wir insgesamt 56 Anfragen beantworteten."
Sind 56 Antworten auch 56 Herausgaben?
Ich finde den Bericht verständlich. Aber eine wesentliche Sache fehlt mir.
"2025 wurden in 15 Fällen unverschlüsselt übertragene Anfragen von den Ermittlungsbehörden korrigiert, sodass wir insgesamt 56 Anfragen beantworteten."
Sind 56 Antworten auch 56 Herausgaben?
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.