ProtonMail

Aus Metapedia
Wechseln zu: Navigation, Suche
Unternehmenszeichen (seit Mai 2022)

ProtonMail bzw. Proton (Proton AG) ist ein E-Post- und VPN-Anbieter, dessen Hauptgründer der Jude Jason Stockman war. Der Standort des Unternehmens befindet sich in der Schweiz. Im Frühjahr 2022 gab Proton an, über 50 Millionen Nutzerkonten seien registriert. Proton – mit Sitz außerhalb der Europäischen Union – beantragte und erhielt 2019 von dieser als überwachungsfanatisch bekannten NWO-Einheit Fördermittel in Millionenhöhe.[1]

Die Nutzung ist in der Basisvariante jeweils kostenfrei und kann bei Bedarf erweitert werden. Die Angebote werden quelloffen entwickelt. Es wird außerdem jeweils eine mobile Anwendung für Android und iPhone/iPad angeboten. Die Sicherheitsversprechen von ProtonMail sind überzogen und unglaubwürdig, da der Anbieter nachgewiesenermaßen freiwillig mit der Staatsanwaltschaft zwecks Echtzeit-Überwachung seiner Nutzer kooperiert.[2] 2021 ermittelte ProtonMail auf Behördenanforderung die IP-Adresse eines Nutzers und gab sie mitsamt weiteren Kontoinformationen heraus, so daß dieser verhaftet werden konnte.[3]

Sicherheitsstandard laut Firmenangaben

Die Sicherheitsvorkehrungen von ProtonMail[4] präsentieren sich als mehrschichtig und den Sicherheitswünschen des Nutzers anpaßbar. ProtonMail verlangt vom Nutzer der Basisversion keine persönlichen Angaben.

Doppeltes Kennwort

Der Zugriff auf das eigene Benutzerkonto ist standardmäßig mit einem doppelten Kennwort gesichert. Dies kann bei Bedarf auf ein einziges Kennwort abgeändert werden. Im Normalfall werden zunächst der Benutzername und das normale Kennwort abgefragt, dann das Mailbox-Kennwort – denn alle Nachrichten liegen vollverschlüsselt auf den Servern (angeblich) in der Schweiz. Erst wenn das Mailbox-Kennwort richtig eingeben wurde, werden die gespeicherten Nachrichten entschlüsselt. Wenn das Mailbox-Kennwort vergessen wurde, läßt sich dieses zurücksetzen, hat aber aufgrund der Vollverschlüsselung den Verlust aller Nachrichten zur Folge.

Protokollierung der IP-Adresse

Optional kann in den Sicherheitseinstellungen die Protokollierung der IP-Adresse in drei Stärkegraden aktiviert werden. Dadurch können Nutzer mit hohen Sicherheitsansprüchen kontrollieren, wann der letzte Login durch welche IP-Adresse stattgefunden hat, ob dieser erfolgreich war oder nicht und ob vielleicht ein fremder Zugriff auf das Benutzerkonto erfolgte. Dies ist ungeeignet für Nutzer des Tor-Netzwerks.

Zwei-Faktor-Authentifizierung

Mehr Sicherheit soll die Aktivierung der Zwei-Faktor-Authentifizierung in den Sicherheitseinstellungen bieten. Dadurch wird nach der Abfrage der beiden unabhängigen Zugangskennwörter noch ein alle 30 Sekunden neu generierter PIN-Code abgefragt, welcher nur in der 2FA-Anwendung auf dem Mobiltelefon des Kontoinhabers erscheinen kann. Ein Zugriff durch andere Personen ist somit unmöglich. PIN-Code auf das Mobiltelefon bedeutet jedoch wesentlich Preisgabe der wirklichen Identität durch Offenlegung der Mobilnummer. De facto ist die Forderung nach Preisgabe der Mobilnummer zwecks „Sicherheit“ stets Ausschnüffelung mit Speicherung der so erhaltenen privaten Daten.

Ende-zu-Ende-Verschlüsselung

Es heißt, da die Unterhaltung zwischen ProtonMail-Nutzern automatisch mittels Ende-zu-Ende-Verschlüsselung konstant verschlüsselt werde und nie im Klartext auf die Server gelange, sollten möglichst alle Kommunikationspartner ProtonMail verwenden. Nur dadurch sei eine sichere Unterhaltung von Anfang an gewährleistet. Wenn ein ProtonMail-Nutzer jedoch mit einem durch Behörden überwachbaren (d. h. üblichen) E-Post-Anbieter (z. B. GMX, Yahoo, GMail usw.) kommuniziert, ist diese Unterhaltung unverschlüsselt und auswertbar (siehe dazu auch E-Post).

Kommunikation mit anderen Anbietern

Sollte eine Unterhaltung mit Nutzern eines durch Behörden überwachbaren E-Post-Anbieters unumgänglich sein, wird die manuelle Verschlüsselung der Nachricht mittels eines Kennwortes empfohlen. Dieses kann dann dem Gesprächspartner im privaten Gespräch (also nicht am Telefon) mitgeteilt werden. Wenn die mit dem Kennwort verschlüsselte Nachricht an den unsicheren E-Post-Anbieter verschickt wurde, erhält das Gegenüber eine Nachricht mit einem Verweis zu einer sicheren Seite, wo das vorher vereinbarte Kennwort eingegeben werden kann. Bei korrekter Eingabe wird die Nachricht daraufhin wie erwartet entschlüsselt.

Kein Zugriff auf Nutzerdaten

Weder die Entwickler noch staatliche Dienste haben angeblich Zugriff auf die zu jeder Zeit verschlüsselt gespeicherten Nachrichten von ProtonMail-Nutzern. Alle Daten würden bereits im Weltnetzerkunder des Nutzers mit einem Schlüssel verschlüsselt, auf welchen die Entwickler von ProtonMail keinen Zugriff haben. Das bedeutet, daß ProtonMail zu keinem Zeitpunkt Zugriff auf die Daten der Nutzer habe und somit auch keine Daten an Behörden weitergeben könne. Deshalb sei es unmöglich, Daten bei verlorengegangenen Kennwörtern wieder herzustellen.

Sich selbst zerstörende Nachrichten

Nachrichten, welche zwischen ProtonMail-Nutzern ausgetauscht werden, können bei Bedarf mit einem „Verfallsdatum“ versehen werden. Wenn der festgelegte Zeitpunkt erreicht wurde, wird nach Betreiberangaben die Nachricht automatisch unwiederbringlich gelöscht.

Anbindung an das Tor-Netzwerk

Am 19. Januar 2017 veröffentlichte ProtonMail eine eigene versteckte Seite im Tor-Netzwerk, um es Nutzern zu ermöglichen, staatlichen Überwachungsmaßnahmen und Sperrungen des ProtonMail-Dienstes zu entkommen.[5] Die versteckte Seite ist ausschließlich über das Tor-Netzwerk oder über Tails (welches das Tor-Netzwerk nutzt) erreichbar.

Transparenzbericht

Um Nutzer verdeckt über den Erhalt eines National Security Letter (NSL, zu deutsch: Brief zur Nationalen Sicherheit) – welcher meist von US-amerikanischen Behörden wie dem FBI verwendet wird, um die Herausgabe von Daten zu erpressen – zu informieren, veröffentlicht ProtonMail regelmäßig einen Transparenzbericht, in welchem auch über die Anzahl von Anfragen durch Behörden aufgeklärt wird.[6] Aufmerksame Analysen brachten jedoch zutage, daß ProtonMail seinen Transparenzbericht vorsätzlich heimlich fälscht.

Geschäftsgründer Jason Stockman (Jude)

Auffälligkeiten

  • Hauptgründer des Unternehmens ist der jüdische Geschäftsmann und IT-Spezialist Jason Stockman, er fungierte zugleich lange Zeit als technischer Leiter.
  • Stockmans Firma liebt das Englisch der Globalisten. Konsequent ignorierte sie seit Gründung 2013 bis 2017 die größte Zielgruppe in Mitteleuropa, die etwa 100 Millionen Deutschsprachigen, die de facto diskriminiert wurden.
  • Es arbeitete Mitte 2017 kein Schweizer oder Deutschsprachiger an verantwortlicher Stelle in dieser „Schweizer“ Firma.[7] Dies deutet auf eine schlichte Rufausbeutung in bezug auf das in mancher Hinsicht noch verbliebene Soliditätsprestige der Schweiz.
  • Die Firma bekennt sich auf ihrer Netzseite offensiv und plakativ zu Globohomo-Zielen:
Inklusion und Vielfalt sind innerste Werte des Unternehmens.“[8]
  • Am 18. März 2015 bekam ProtonMail zwei Millionen Fed-Dollar von Charles River Ventures, einem internationalen Investor, dem auch das global verbreitete Nutzerüberwachungs- und Nachrichtenübermittlungsunternehmen Twitter gehörte.
  • Die EU spendierte dem Unternehmen ProtonMail, das in einem Nicht-EU-Land sitzt, im Jahr 2019 einen Millionenbetrag.[9]
  • Protonmail erzwingt Herausgabe privater Daten: Bei der Neuanmeldung eines Zugangs fragt Protonmail nach einer anderweitigen E-Mail-Adresse des Anmelders. Dies kann übergangen werden, jedoch bringt Protonmail dann eine willkürliche Fehlermeldung, die Anmeldung wird verhindert. Der Interessent, der soeben den erfolglosen Versuch einer Anmeldung gemacht hat, soll sich wegen des „Fehlers“ mit einer Nachricht an den Support von Protonmail wenden.[10] Hierzu muß er die anderweitige E-Mail-Adresse, die er im Anmeldeprozeß nicht preisgeben wollte, nunmehr angeben, damit der Support ihm antworten kann. Nur der Wunsch, Nutzer auszuspähen, kann der Grund für dieses Vorgehen des Anbieters sein, denn eine anderweitige E-Mail-Adresse ist technisch zum Betrieb eines E-Mail-Postfachs bei ProtonMail nicht erforderlich.

Sicherheitsaspekt

Proton, ein Unternehmen mit Millionen Nutzern und außerhalb der Europäischen Union gelegen, beantragte 2019 eine Millionenzuwendung der EU und erhielt sie[11]
Auch 2022 hielt es Proton für günstig, auf der eigenen Netzpräsenz mit dem Fördermittelgeber EU zu werben

Gründer hat sich zurückgezogen

Programmierung

Der Begriff Sicherheit hat mehrere Facetten. Mit ihm kann einerseits die Art der Programmierung angesprochen werden: Ein offener Quellcode, wie er für ProtonMail angegeben wird, ist allgemein einsehbar und ermöglicht keine geheimen Schnittstellen („Hintertüren“) zu Nachrichtendiensten, anderen Behörden oder Institutionen.

Verschlüsselung

Andererseits kann „sicher“ auch oder zusätzlich den Stand der Technik hinsichtlich der Übertragung elektronischer Nachrichten kennzeichnen, wobei Ende-zu-Ende-Verschlüsselung einen sehr hohen Standard darstellt. Der Benutzer kann allerdings niemals das zuverlässige Gegebensein von Ende-zu-Ende-Verschlüsselung überprüfen, sondern muß vertrauen. Es bestehen Zweifel an der behaupteten zuverlässigen Verschlüsselung bei ProtonMail.[12]

Die soeben angeführten Zweifel bestätigte Ende 2017 das im Weltnetz aktuell gehaltene „Privacy-Handbuch“:

„ProtonMail speichert alle Nachrichten und Kontakte auf dem Server, ein Abruf via POP3 und lokale Speicherung, wie von uns empfohlen, ist nicht möglich. Außerdem bietet ProtonMail ein Key Recovery via externer Mailadresse, wenn man sein Passwort vergessen hat. Das bedeutet, dass ProtonMail sich Zugriff auf die Kryptoschlüssel verschaffen kann, um sie mit einem neuen Passwort zu schützen. (Wahrscheinlich gibt es ein Masterpasswort?) Damit könnte ProtonMail auch alle Daten ohne Zutun des Nutzers entschlüsseln. Böswillig könnte man das als ‚Krypto-Backdoor‘ bezeichnen. Für hohe Sicherheitsanforderungen ist ProtonMail somit nicht geeignet.“[13]

Möglichkeit getarnter Nachrichtensammlung

Des weiteren kann sich Sicherheit auf den Gesichtspunkt beziehen, ob der die Nachrichten übermittelnde Dienstleister eine absolut pannensichere Weiterbeförderung gewährleisten kann, die es auch ihm selbst vollständig unmöglich macht, in irgendeiner Phase des Übermittlungsgeschehens selbst Einblick in den Klartext der entsprechenden Nachricht zu nehmen.

Anderenfalls – was wiederum kein Benutzer feststellen oder dementieren kann – wäre der Dienstleister in der Lage, trotz geräuschlosen Weiterleitens elektronischer Post sämtliche Nachrichten aufzuzeichnen, zu speichern, womöglich auszuwerten oder fehlzuleiten, beispielsweise an interessierte Empfänger in Israel oder in den USA, zumal Internetverkehr von ProtonMail im Falle von behaupteten Angriffen auf die Netzseite über Frankfurt am Main geroutet wird,[14] einem bekannten Hauptpunkt der Netzspionage der USA in Europa.

Geschäftliche Zusammenarbeit mit Google-Konzern

ProtonMail arbeitet eng mit dem weltumspannenden Spionage-, Überwachungs-, Zensur- und Informationslenkungskonzern Google zusammen. Die Google-Einheit Google PlayStore, über welche ProtonMail seine Smartphone-Anwendung vertreibt, hat ausnahmslos die mobile Telefonnummer des Nutzers gespeichert sowie Zugriff auf eine Vielzahl von weiteren Geräte- und Nutzerdaten des Verwenders und registriert über die zugeordnete Mobilfunknummer personenbezogen den Einsatz von ProtonMail auf dem Smartphone. Allein dieser Einzelaspekt, die Zusammenarbeit mit Google, dem vielfach überführten Feind der Privatheit, widerlegt jegliches Sicherheitsversprechen seitens ProtonMail.

Schweizer Vorschriften zur Vorratsdatenspeichung

Schließlich ist ein weiterer Hauptaspekt, daß für den Benutzer die Sicherheit besteht, daß alle seine Kommunikationsdaten (IP-Adresse, mit welcher er bei ProtonMail jeweils angemeldet war, Verbindungsdaten und -zeiten usw.) vor dem Zugriff von Behörden sicher sind. Letzteres ist beispielsweise nicht der Fall, wenn im Land, in dem der Dienstleister sitzt oder Server betreibt, eine Pflicht zur Vorratsdatenspeicherung besteht.

Das ist wie z. B. in der EU und in den USA auch in der Schweiz, wo die ProtonMail-Server stehen sollen, der Fall. Am 1. Januar 2002 traten Bundesgesetz (BÜPF) und Verordnung (VÜPF) betreffend Überwachung des Post- und Fernmeldeverkehrs in Kraft.[15] Jedes Telekommunikationsunternehmen muß den Behörden auf Verlangen (oder nach Vereinbarungen, die vor den Bürgern geheimgehalten werden: routinemäßig laufend) verwertbare Verbindungsdaten bereitstellen. Verschärft wurde die Überwachung durch eine weitere Verordnung im Jahr 2017.[16]

E-Post

Alle Internet-Service-Provider müssen gemäß VÜPF bei E-Post sechs Monate aufbewahren: 1. Art des Anschlusses oder der Verbindung (Telefon, xDSL, Cable, Standleitung etc.) und soweit bekannt Login-Daten, Adressierungselemente des Ursprungs (MAC-Adressen, Telefon-Nummern), Name, Adresse und Beruf des Teilnehmers und Zeitpunkt von Beginn und Ende der Verbindung 2. Zeitpunkt von Versand oder Empfang einer E-Post, die Umschlaginformationen gemäß SMTP-Protokoll und die IP-Adressen von sendenden und empfangenden E-Post-Einrichtungen.[17]

Mobiltelefonie

Auch über Mobiltelefonie ist ProtonMail nutzbar. In der Schweiz müssen alle Mobilfunkbetreiber gemäß BÜPF und VÜPF folgende Daten während sechs Monaten speichern und dem Dienst ÜPF zur Verfügung stellen:

1. Rufnummern der abgehenden und ankommenden Kommunikationen,

2. SIM- (Subscriber Identity Module), IMSI und IMEI-Nummer,

3. Den Standort und die Hauptstrahlrichtung der Antenne der Mobiltelefonie, mit der die Fernmeldeanlage der überwachten Person zum Zeitpunkt der Kommunikation verbunden ist,

4. Datum, Zeit und Dauer der Verbindung.

Damit werden sowohl die Telefonnummer des Mobiltelefons als auch die Gerätenummer auf Vorrat gespeichert.

Sicherheit bei smartphonebasierter E-Post-Anwendung bleibt somit bereits aus diesem Blickwinkel ein reines Firmenversprechen, das nicht gehalten werden kann.

Verbindung zu Israel

Wie Systemmedien meldeten, wurde ProtonMail im November 2015 mit DDoS-Angriffen lahmgelegt und erpreßt.[18] Das Unternehmen soll Lösegeld gezahlt haben, um weiterarbeiten zu können. Möglicherweise kam es zu Datenspionage bzw. -diebstahl. Danach fanden angeblich weitere Angriffe aus anderer Richtung statt. Diese sollen laut dem elektronischen „Privacy Handbuch“ eingestellt worden sein, nachdem ProtonMail den Schutz durch die israelische Firma Bynet Data Communications angenommen hatte.[19]

Der Datenverkehr von Protonmail wurde seit Ende 2015 für einen längeren Zeitraum über das genannte israelische Datenzentrum geleitet.[20] Protonmail ließ 2021 wissen, das sei nicht mehr der Fall.[21]

VPN

Der VPN-Dienst Protonvpn nutzt Server u. a. in Schweden, einem Überwachungsstaat, welcher dem internationalen Überwachungszusammenschluß „14 eyes“ angehört, was Protonvpn zugeben mußte.[22] Es stehen laut Protonvpn auch Server in den USA. Protonmail bietet nach eigener Aussage als „Menschenrecht“ auch freies VPN an – was als rote Flagge aufgefaßt werden kann. Zur Zwei-Faktor-Authentifizierung (2FA) verlangt Protonmail die Bekanntgabe der Mobilfunknummer, eine weitere rote Flagge. Authentifizierungs-Hardware wie Nitrokey (Hersteller in der BRD) oder Yubikey (Hersteller in den USA), wird – obwohl ungleich sicherer – nicht zugelassen bzw. unterstützt.

Siehe auch

Verweise

Englischsprachig

Filmbeiträge

Fußnoten

  1. We have been awarded €2 million from the EU to further develop the Proton ecosystem, Mitteilung von Protonmail vom 8. März 2019 (archiviert)
  2. ProtonMail führt Echtzeit-Überwachungen durch, SfN
  3. Nicht anonym – Protonmail unter starker Kritik: Klimaaktivist nach Herausgabe von IP-Adresse verhaftet, Der Standard, 7. September 2021
  4. Sicherheitsdetails von ProtonMail
  5. ProtonMail veröffentlicht versteckte Seite im Tor-Netzwerk
  6. Transparency Report [Transparenzbericht von ProtonMail]
  7. Nach den Angaben auf der damaligen Firmenseite unter Team
  8. Im Original: „Inclusion and diversity are core company values.“, Über Protonmail, Netzseite ProtonMail (Stand: 15. April 2017)
  9. We have been awarded €2 million from the EU to further develop the Proton ecosystem, Mitteilung von ProtonMail vom 8. März 2019 (archiviert; engl.) ProtonMail wirbt auf der eigenen Netzpräsenz damit, Subventionsempfänger der EU zu sein.
  10. Stand: September 2021
  11. We have been awarded €2 million from the EU to further develop the Proton ecosystem, Mitteilung von Protonmail vom 8. März 2019 (archiviert; engl.)
  12. Protonmail: Die halbe Verschlüsselung, golem.de, undatiert (etwa Februar 2017)
  13. Privacy-Handbuch, 8. Dezember 2017“ [aktuelle Meldungen dort ohne Unterseite]
  14. ProtonMail, Israel, and Radware relationship
  15. Ergänzend hat im April 2002 der Dienst für Besondere Aufgaben (DBA) des Eidgenössischen Departements für Umwelt, Verkehr, Energie und Kommunikation (UVEK) technische Vorschriften zur Überwachung des Fernmeldeverkehrs erlassen.
  16. Sommarugas neue Verordnung etabliert Dauerüberwachung im Internet, ExpressZeitung, 13. April 2017
  17. Unter den E-Post-Einrichtungen sind SMTP-, POP3-, IMAP4, Webmail- und Remail-Server und unter den Zugangseinrichtungen Dialup-, RAS-, DHCP-Dienste etc. zu verstehen. Der reine SMTP- oder POP3-Verkehr muß dabei nicht aufgezeichnet werden.
  18. ProtonMail zahlt Erpressern 5.800 Franken, Neue Zürcher Zeitung, 6. November 2015
  19. Privacy Handbuch unter Berufung auf Cryptome.org
  20. Privacy Handbuch unter Berufung auf Cryptome.org
  21. Man habe keine Verbindung nach Israel, [1]
  22. What countries are in the 5 Eyes, 9 Eyes, and 14 Eyes agreements?, protonvpn.com, 30. August 2018