Facepalm: Proton Mail wird erneut vorgeworfen, Benutzerdaten an Strafverfolgungsbehörden weitergegeben zu haben. Das Schweizer Unternehmen bietet einen sicheren E-Mail-Dienst mit Ende-zu-Ende-Verschlüsselung an, angeblich um die Identität seiner Kunden vor neugierigen Blicken zu schützen. Die jüngsten Ereignisse deuten jedoch auf etwas anderes hin.
Proton Mail geriet kürzlich in die Kritik, weil es den spanischen Behörden genügend Daten zur Verfügung gestellt hatte, um ein Mitglied der katalanischen Unabhängigkeitsorganisation Democratic Tsunami zu identifizieren und zu verhaften. Das Unternehmen behauptete, es sei aufgrund der Schweizer Gesetze zur Zusammenarbeit mit den Strafverfolgungsbehörden verpflichtet. Sie behaupteten, dass der Erfolg der spanischen Polizei bei der Festnahme der Person teilweise darauf zurückzuführen sei, dass die Person keine ordnungsgemäße Betriebssicherheitsrichtlinie (OpSec) habe.
Der Hauptdienst von Proton Mail ist eine 2013 eingerichtete Ende-zu-Ende-verschlüsselte E-Mail-Plattform. Ziel der Plattform ist es, sicherzustellen, dass E-Mail-Inhalte sowohl für Dritte als auch für das Unternehmen selbst unlesbar bleiben. Während Proton Mail behauptet, dass es keinen Zugriff auf Nachrichteninhalte hat, könnten einige benutzerbezogene Daten, die über seine Server übertragen werden, möglicherweise zur Identifizierung von Personen verwendet werden.
In einem separaten Vorfall im Jahr 2021 musste Proton Mail den Schweizer Behörden die IP-Adresse und Gerätedaten eines französischen Klimaaktivisten mitteilen. Diese Informationen wurden anschließend von den französischen Behörden genutzt, um den Aktivisten festzunehmen. Proton Mail stellte klar, dass E-Mail-Inhalte zwar verschlüsselt werden, das Unternehmen jedoch verpflichtet ist, in Strafverfolgungsfällen rechtmäßigen Zugriffsanfragen für alle Daten nachzukommen, die über seine Server übertragen werden.
Im jüngsten Fall der spanischen Polizei war Proton offenbar gezwungen, die Apple-Wiederherstellungs-E-Mail-Adresse anzugeben, die von einem Kunden namens „Xuxo Rondinaire“ verwendet wurde. Der Kunde wurde verdächtigt, mit der katalanischen Polizei, den Mossos d’Esquadra, zusammenzuarbeiten und gleichzeitig heimlich die Unabhängigkeitsbewegung in der Region zu unterstützen.
Die Behörden forderten von Apple zusätzliche Daten an, um die Person hinter dem Pseudonym identifizieren zu können. Andy Yen, CEO von Proton, bestätigte, dass die persönlichen Daten, die zur Festnahme des mutmaßlichen „Terroristen“ verwendet wurden, von Apple und nicht von Proton bereitgestellt wurden. Yen betonte, dass Proton keine Daten entschlüsseln könne, Schweizer Gerichte jedoch in „Terrorfällen“ die Weitergabe von Wiederherstellungs-E-Mail-Adressen anordnen könnten.
In einer schriftlichen Stellungnahme stellte die Proton AG klar, dass ihr E-Mail-Dienst „nur minimale Benutzerinformationen“ speichert und keine vollständige Anonymität gewährleistet. Kunden, die eine erhöhte Sicherheit wünschen, sollten geeignete OpSec-Maßnahmen (Operational Security) ergreifen und beispielsweise darauf verzichten, ihr echtes Apple-Konto als optionale Wiederherstellungsmethode zu verwenden. Während die Angabe einer Wiederherstellungsadresse für die Nutzung von Proton Mail nicht zwingend erforderlich ist, könnte das Unternehmen aufgrund eines Schweizer Gerichtsbeschlusses gezwungen sein, solche Informationen offenzulegen.
