Der Anbieter von verschlüsselten E-Mails ProtonMail steht erneut in der Kritik, weil er Nutzerdaten an Behörden weitergegeben hat. Das Schweizer Unternehmen wirbt mit Datenschutzfunktionen, die den Nutzern die Kontrolle über ihre persönlichen Daten ermöglichen.
Laut Proton stellen “End-zu-End-Verschlüsselung und “Zero Access”-Verschlüsselung sicher, dass nur du deine E-Mails sehen kannst und “nicht einmal Proton kann den Inhalt deiner E-Mails und Anhänge sehen”. Der Nachrichtendienst VilaWeb berichtet jedoch, dass der E-Mail-Dienst der spanischen Polizei die Daten eines Kontos übergeben habe, um die E-Mail-Adresse eines Verdächtigen zu rekonstruieren, der die katalanische Unabhängigkeitsorganisation Democratic Tsunami unterstützt haben soll.
Apple sei daraufhin in der Lage gewesen, Informationen über die wiederhergestellte E-Mail-Adresse, den Namen, die Adresse und die Telefonnummer des Verdächtigen zu liefern. Unter Berufung auf die nationale Sicherheit übermittelte ProtonMail die Details eines Kontos, das einer Person mit dem Pseudonym “Xuxo Rondinaire” gehört.
Diese Person wird verdächtigt, Mitglied der katalanischen Polizei, auch bekannt als Mossos d’Esquadra, zu sein und ihr Insiderwissen zur Unterstützung der demokratischen Tsunami-Bewegung genutzt zu haben.
Die Ersuchen wurden unter Berufung auf Antiterrorgesetze gestellt, obwohl die Hauptaktivitäten des Democratic Tsunami Proteste und Straßenblockaden waren, was Zweifel an der Verhältnismäßigkeit und Rechtfertigung solcher Maßnahmen aufkommen ließ.
Nutzerinnen und Nutzer sozialer Medien kritisierten die Maßnahme und erklärten, dass verschlüsselte Nachrichten dadurch praktisch nutzlos würden, wie ein Sicherheitsexperte sagte: “Alles, was nicht End-to-End verschlüsselt ist, ist im Endeffekt für Fremde zugänglich”.
This is your regular reminder that metadata matters.
In this case, the activist was deanonymized via the backup email for the Protonmail account that he used to set up Wire, which was an iCloud account linked to his real identity. https://t.co/sxGfCaAwIy
— Eva (@evacide) May 8, 2024
Climate activist exposed by protonmail.
– Sure, your email is secure, but whatever we know about you that isn't encrypted end-to-end is fair game when the government hands us a subpoena https://t.co/mYqVWf9A9H— Christoffer Jerkeby (@Kuggofficial) May 13, 2024
Im Jahr 2021 geriet ProtonMail in die Kritik, weil es einer gerichtlichen Aufforderung nachkam, die zur Verhaftung eines französischen Klimaaktivisten führte. Nach Schweizer Recht war ProtonMail verpflichtet, die IP-Adresse des Betroffenen an die Schweizer Behörden herauszugeben, die diese an die französische Polizei weitergaben. Die Befolgung solcher Ersuchen durch ProtonMail unterliegt dem Schweizer Recht, das die Zusammenarbeit mit internationalen Strafverfolgungsbehörden vorschreibt, wenn diese ordnungsgemäß über das Schweizer Rechtssystem abgewickelt werden.
Aus welchen Gründen hat ProtonMail angeblich Nutzerdaten weitergegeben?
Gegenüber der Interessengruppe Restore Privacy erklärte der Messaging-Dienstleister: “Wir sind uns des spanischen Terrorismus-Falls bewusst, bei dem es um angebliche Drohungen gegen den spanischen König geht, aber wir äußern uns generell nicht zu konkreten Fällen”.
Ein Sprecher erklärte, dass Proton “nur minimale Informationen über seine Nutzer” habe und wies darauf hin, dass die Daten über den Verdächtigen von Apple stammten. Er fügte hinzu: “Proton bietet standardmäßig Datenschutz und nicht standardmäßig Anonymität, da Anonymität bestimmte Benutzeraktionen erfordert, um eine ordnungsgemäße OpSec zu gewährleisten, wie z.B. das Nicht-Hinzufügen des Apple-Kontos als optionale Wiederherstellungsmethode”.
“Proton erfordert nicht, dass du eine Wiederherstellungsadresse angibst, da diese Information theoretisch auf Anordnung eines Schweizer Gerichts herausgegeben werden könnte, nachdem Terrorismus in der Schweiz strafbar ist”.
Auf der Website von Proton heißt es: “Nach Schweizer Recht sind wir verpflichtet, mit den Strafverfolgungsbehörden bei strafrechtlichen Ermittlungen im Rahmen der Schweizer Gesetze und Datenschutzbestimmungen zusammenzuarbeiten”.
ReadWrite hat Proton um eine Stellungnahme gebeten.
Abbildung: Canva / Proton