Volltextsuche in verschlüsselter Mail
Zunächst ein kleiner Kontext. Tutanota ist einer der wenigen E-Mail-Dienste, die eingehende E-Mails standardmäßig verschlüsseln, wie Protonmail, Posteo.de und Mailbox.org. Das heißt, E-Mails werden verschlüsselt auf Servern gespeichert. Der Anbieter kann es nicht entschlüsseln, auch wenn er möchte.
Ein Urteil des Landgerichts Köln erforderte jedoch die Implementierung einer "Funktion, mit der einzelne Postfächer verfolgt und E-Mails im Klartext gelesen werden können".
Dies ist kein guter Präzedenzfall für das europäische Rechtssystem.
Tutanota möchte eine Beschwerde gegen diese Entscheidung einreichen , hat jedoch keine aufschiebende Wirkung, dh die Tatsache, dass eine Beschwerde eingereicht wird, setzt die Wirkung der vorherigen Entscheidung, die befolgt werden muss, nicht aus.
"Also mussten wir mit der Entwicklung einer Überwachungsfunktion beginnen", sagte eine Unternehmenssprecherin in einem Kommentar für das c't-Magazin. Wenn die Beschwerde erfolgreich ist, wird die Funktion entfernt.
Die Entscheidung des Landgerichts Köln ist ein gefährlicher Präzedenzfall für das europäische Rechtssystem. Diese Entscheidung unterscheidet sich von Entscheidungen anderer Gerichte. Zum Beispiel im Sommer, das Amtsgericht Hannover entschieden ,dass Tutanota keine "Telekommunikationsdienste" im rechtlichen Sinne anbietet oder daran teilnimmt und daher nicht verpflichtet werden kann, die Telekommunikation zu überwachen. Die Hannoveraner Richter verwiesen auf die berühmte Google Mail-Entscheidung des Europäischen Gerichtshofs vom 13. Juni 2019 (Rechtssache C-193/18). E-Mail-Dienste seien keine Kommunikationsdienste. Folglich ist Google nicht verpflichtet, eine Telekommunikationskennung für Google Mail zu registrieren und Abhörschnittstellen einzurichten.
Ein Kölner Gericht bezeichnete Tutanota jedoch als "Teilnehmer" an Telekommunikationsdiensten, obwohl das Unternehmen das Urteil für absurd hält und darum kämpfen wird, es aufzuheben.
Tutanota Arbeitsteam
Wie auch immer, Tutanota ist verpflichtet, bis zum 31. Dezember 2020 eine Funktion zu programmieren, die dem Staatlichen Kriminalpolizeiamt Nordrhein-Westfalen Zugang zu den Postfächern der Benutzer gewährt, einschließlich des Benutzers, der diese Geschichte begonnen hat.
Wir sprechen über die Untersuchung eines Strafverfahrens, in dem ein Verdächtiger einen Drohbrief an einen Autohändler gesendet hat, der die Dienste eines sicheren Postdienstes in Anspruch genommen hat.
Tutanota versichert, dass dieser Vorfall nichts für andere Benutzer ändert. Ihre E-Mails werden weiterhin standardmäßig verschlüsselt, wenn sie auf dem Server ankommen. Das Unternehmen betrachtet die einmalige Umgehung der Verschlüsselung jedoch als Datenschutz- und Sicherheitsbedrohung für alle Kunden.
Hier ist ein Diagramm, wie Nachrichten verschlüsselt und auf dem Server gespeichert werden, wenn eine End-to-End-Verschlüsselung verwendet wird (links) und ohne diese (rechts):
Im Gegensatz zu PGP werden einige Metadaten auch verschlüsselt, nicht nur der Nachrichtentext.
Das Unternehmen betont, dass die Hintertür nur das Anzeigen des Inhalts neuer eingehender unverschlüsselter E-Mails ermöglicht . Es kann keine zuvor verschlüsselten Daten sowie andere durchgängig verschlüsselte E-Mails in Tutanota entschlüsseln. Relativ gesehen ist die "Hintertür" der folgende Algorithmus:
def encrypt_mail(email): if email.user=="badperson": store(email) else: store(encrypt(email))
Vielleicht bedauert das hannoversche Tutanota jetzt, dass es keine andere Gerichtsbarkeit gewählt hat. Andererseits kann diese Geschichte als eine Art PR für ein Unternehmen angesehen werden, das versucht, alles in seiner Macht Stehende zu tun. In einem Interview sagen sie , dass sie möglicherweise in Betracht ziehen, in ein anderes Land (die Schweiz) zu ziehen, aber dies ist unwahrscheinlich: „Die rechtliche Situation und die deutsche Verfassung sind im Allgemeinen sehr gut und schützen die Privatsphäre der Menschen. Community-Aktivismus hilft uns auch, problematische Gesetze zu verhindern oder zu schwächen (Überwachung). “
Das Unternehmen veröffentlicht regelmäßig einen Transparenzbericht und eine kanarische Zertifizierungfür Ihren Service. Ein kanarisches Zertifikat ist die einzige Möglichkeit, Informationen, die nicht weitergegeben werden dürfen, legal weiterzugeben.
Die Verschlüsselung ist der einzige Grund, warum die Polizei das rechtliche Verfahren überhaupt angewendet hat. Einige glauben, dass sie auf offenen Kanälen das Abhören in größerem Umfang nutzen würden, ohne sich die Mühe zu machen, Genehmigungen einzuholen. Und nur die Kryptographie schützt die Gesellschaft vor der Willkür der Strafverfolgungsbehörden.
