Willkommen im User-Forum von mailbox.org
 

TKÜ und Verschlüsseltes Postfach

6370291 hat dies geteilt, 2 Jahren her
unbeantwortet

Hallo,


nach dem schönen Artikel auf golem.de bezüglich dem Stand der Email-Überwachung in Deutschland (http://www.golem.de/news/telekommunikationsueberwachung-wie-e-mail-ueberwachung-in-deutschland-funktioniert-1611-124292.html) hat sich mir die Frage ergeben in wie weit das "Verschlüsselte Postfach" einer TKÜ tatsächlich verbeugen kann.

Ist ein PGP-Key hinterlegt werden die eingehenden Email verschlüsselt abgespeichert, sodass diese aus dem Postfach heraus nicht einfach gelesen werden können. Soweit klar, alles vergangene ist somit quasi unlesbar.


Jedoch habe ich es so verstanden, dass eine TKÜ jedoch auch die Protokollierung des Email->Verkehrs<- bedeutet. Dadurch stellt sich mir die Frage, ob die Emails schon VOR der PGP-Verschlüsselung abgezweigt/gespeichert/weitergeleitet werden, oder ob die Emails direkt beim Eingang auf die Mailserver verschlüsselt werden, sodass beim hießigen Provider die mail nie verwertbar im Klartext vorlag?

Würde durch das verschlüsselte Postfach im Falle einer TKÜ tatsächlich nur PGP-Verschlüsselter Kryptotext bei den Behörden ankommen?


Viele Grüße

Kommentare (5)

Foto
1

hallo,

soweit ich das als Laie verstanden hab gibt es einen Unterschied zwischen einer Postfachbschlagnahmung und einer TKÜ.

Bei der TKÜ wird die Nachricht bevor der Filter sie mit PGP verschlüsselt abgezweigt/gespeichert/weitergeleitet.

Bei einer Beschlagnahmung des Postfaches wird wohl das komplette Postfach aus der Datenbank geclont und der Behörde übergeben. Sollten darunter natürlich Nachrichten mit PGP verschlüsselung sein, so werden die auch verschlüsselt übergeben.

Die Metadaten die für die Behörden noch interessanter sind werden unverschlüsselt mit übermittelt. Da Mailbox.org diese unverschlüsselt in der Datenbank ablegen.

Was mich zu dem Thema auch interessiert. Wird wenn man den Guard verwendet, der persönliche PGP Key mitübergeben? Und kann die Behörde das Mitschneiden des Passwortes verlangen?

Viele Grüße

Foto
3

Das verschlüsselte Postfach schützt nicht bei einer TKÜ nach § 100 a oder § 100 b StPO. Diese Ermittlungsmaßnahme ist nur bei Ermittlungen im Rahmen einer Katalogstraftat zulässig, wobei die Liste der Straftaten definiert ist. Im Rahmen einer TKÜ hat der Mailprovider den Raw-Traffic der berechtigten Behörde zur Verfügung zu stellen. Wenn ein Mailprovider unverschlüsselten Traffic am Eingangsserver entgegen nimmt, dann muss er diese Daten auch den Behörden zur Verfügung stellen.

Die TKÜ ist ein schwerer Eingriff in das Postgeheimnis und sollte vom Richter entsprechend sorgsam geprüft werden. (Ok - kann sein, dass das manchmal eine Wunschvorstellung ist.)

Eine TKÜ ist zeitlich auf max. 3 Monate befristet und kann dann um max. 3 weitere Monate verlängert werden. Alles vor oder nach diesem Zeitraum eintrifft, kann im verschlüsselten Postfach gespeichert und damit dem Zugriff der Ermittlungsbehörden entzogen werden.

Während eine TKÜ nur bei schweren Katalogstraftaten zulässig ist, ist die Beschlagnahme von E-Mail beim Mailprovider nicht durch das Postgeheimnis geschützt, wenn der User die Gelegenheit hatte, die Mails zu löschen. Das BVerfG hat diese Rechts­auffassung 2009 in dem Urteil 2 BvR 902/06 bestätigt.

Für den Zugriff auf die Mails in Ihrer Inbox gelten also wesentlich geringere Hürden als für eine TKÜ. Im Falle des einfachen Zugriffs auf Ihre Inbox schützt das verschlüsselte Postfach.

Außerdem schützt das verschlüsselte Postfach, wenn sie Ihren Computer verlieren oder wenn Ihr Computer im Rahmen einer Hausdurchsuchung beschlagnahmt wird, da dann ALLE Mails nur verschlüsselt auf der Festplatte Ihres Computers liegen (ist auch ein Vorteil).

Foto
3

> Wird wenn man den Guard verwendet, der persönliche PGP Key

mitübergeben?


Nein. Außerdem ist die Key mit einem Passwort verschlüsselt, dass nur Ihnen bekannt ist.

> Und kann die Behörde das Mitschneiden des Passwortes

verlangen?


Meiner Meinung nach wäre es nach deutschem Recht unverhältnismäßig, wenn eine Behörde das verlangen würde und es wurde auch noch nie von einem Provider verlangt. Es gibt meines Wissens nach aber keinen Präzendenzfall, im dem das höchstrichterlich entschieden wurde und auf den man sich berufen könnte.


International ist der Fall "Hushmail" bekannt, als Hushmail auf Druck der DEA (US Drogenbehörde) die eigene Mail-Verschlüsselung kompromittiert hat. Das war technisch Möglich, weil Hushmail den Code selbst entwickelt hat und somit modifizieren konnte. Im Gegensatz zu Hushmail können wir den Code vom Guard nicht modifizieren und irgendwie in den Verschlüsselungs- oder Entschlüsselungsprozess eingreifen. Open-Xchange kann nicht verpflichtet werden, dafür Schnittstellen bereitzustellen.


Zur Verwendung des Guard beachten sie bitte auch unsere Hinweise in den FAQ: der Guard bietet "hinreichende Sicherheit" und ist nicht für Anwendung mit hohen Sicherheitsanforderungen geeignet.


"Hinreichende Sicherheit" schützt gegen allgemeine Überwachung wie z.B. die Spionageprogramme der NSA oder BND. Wenn Sie befürchten, direkt Target eines gezielten Angriffs zur Überwachung Ihrer Kommunikation zu sein (technisch oder juristisch), dann haben Sie "hohe Sicherheitsanforderungen" und müssen die dafür geeignete Maßnahmen nutzen (als kleine Orientierungshilfe).

Foto
1

Kann man das so zusammenfassen?:


  • Gegen die TKÜ hilft nichts, ausser Ende-zu-Ende-Verschlüsselung mit dem Gesprächspartner.
    Metadaten (Datum, Mail-Adressen, Mail-Client, Betreff und andere) sind immer offen.
    Betrifft die TKÜ auch den entschlüsselten Datenverkerhr (IMAPS, HTTPS) mit dem Provider? mailbox.org hat oben geantwortet.
  • Gegen "Beschlagnahme von E-Mail" hilft löschen. Oder der Guard, wenn NUR der public-Schlüssel bei mailbox.org liegt (also selbst, manuell erstellt).
    Ist der private-Key bestandteil der beschlagnamten Mailbox? mailbox.org hat oben geantwortet.
  • Gegen Verlust, Diebstahl und Hausdurchsuchung hilft ein möglichst vollverschlüsseltes System (HDs, SWAP, Smartphone), und zusätzlich vielleicht irgendwie der Guard.

Die bizarre Summe ist


  • manuell und offline erstellte Keys oder externe PGP-Hardware
  • Nur der public-Key im Guard bei mailbox.org
  • Verwenden eines vollverschlüsselten Offline-Systems zum bearbeiten der Daten
  • Ende-zu-Ende-Verschlüsselung mit allen Partnern und 100% sicherstellen, dass diese nach den gleichen Standards arbeiten

Aber ehrlich gesagt, für den Nomalanwender ist das alles eher aufwendig, riskant, hypothetisch und "paranoid". eMails sind auf dem Smartphone nicht mehr lesbar oder private-Schlüssel liegen auf dem Smartphone!? Das Thema Backup der Daten und Schlüssel in geeigneter Weise steht an.

Wer sagt, dass nicht der Gesprächspartner, dessen Provider und der Transport die weit offene Tür darstellen?

Vielleicht kommuniziert man glücklicher in ganz offenen, bald gelöschten eMails innerhalb des hoffentlich vertrauenswürdigen Providers.

Foto
2

Externe PGP-Hardware (ich nutze einen Nitrokey), den Public Key im Guard (um ihn anderen zur Verfügung zu stellen, auch via Keyserver) und das verschlüsselte Postfach bieten zusammen eine gute Sicherheit.


> eMails sind auf dem Smartphone nicht mehr lesbar


Man kann die E-Mails dann auch nicht mehr automatisiert durchsuchen, auch ein Nachteil von Verschlüsselung. Man kann nicht alles haben und muss Prioritäten setzen. ;-)


> Das Thema Backup der Daten und Schlüssel in geeigneter Weise steht an.


Hmmm, wir sagen: "Kein Backup -> kein Mitleid bei Crash", Vorschlag z.B. regelmäßiger Sync auf verschlüsselten USB-Stick.


Das wichtigste ist: Disziplin in der Kommunikation


Die Sicherheit der Verschlüsselung hängt nur zu 10% von der Technik ab, zu 30% vom Wissen des Anwenders, um die zur "Bedrohungslage" passende Verschlüsselung technisch zu beherrschen und zu 60% von der Disziplin, dieses Sicherheitskonzept auch konsequent durchzusetzen (das schließt die Kommunikationspartner ein).


Ein Konzept, das technisch nur 50% der Sicherheit des optimal Möglichen bietet, aber von den Anwendern konsequent umgesetzt wird, ist wesentlich besser, als eine ultra-sichere Lösung, die dadurch aufgeweicht wird, weil jemand seine E-Mails gern auf dem Smartphone in der U-Bahn unter den Augen einer Überwachungskamera lesem will.

Foto