EU-Kommission: E-Mail-Sicherheitscheck speichert IP-Adressen zwei Jahre

Die Gemeinsame Forschungsstelle der EU-Kommission (JRC) hat mit "My Email Communications Security Assessment" (MECSA) im Herbst einen Online-Dienst verfügbar gemacht, mit dem Nutzer die Sicherheit der E-Mail-Kommunikation zwischen Providern bewerten lassen können. Anhand einer E-Mail-Adresse überprüft das Online-Werkzeug automatisch, inwiefern der dahinterstehende Anbieter Standards einsetzt, die den Datenschutz und die Sicherheit der Übertragung zwischen Mailservern stärken sollen. Selbst nehmen es die Betreiber mit dem Datenschutz aber nicht so genau.

Dienst vergleicht Sicherheit bei Mail-Anbietern

Anhand der technischen Verschlüsselungskenngrößen StartTLS, x509-Zertifikatsvalidierung, SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), DMARC (Domain-based Message Authentication, Reporting and Conformance), DANE (DNS-based Authentication of Named Entities) und DNSSEC (Domain Name System Security Extensions) spuckt die Maschine Kennzahlen für die Vertraulichkeit der Nachrichtenübertragung, den Schutz vor Phishing und Identitätsbetrug sowie die Vertrauenswürdigkeit der Nachricht aus. Der mögliche Höchstwert liegt jeweils bei 5.

Laut den Ergebnissen von Nutzertests erreichen Anbieter wie mailbox.org, Mail.de oder dismail.de in allen drei Bereichen die volle Punktzahl, auch Posteo.de und gmail.com erzielen zumindest einmal die 5 und schlagen sich auch sonst recht wacker. T-Online kommt auf die Werte "4 / 0 / 2", 1&1 auf "4 / 3 / 2" und GMX auf "5 / 3,5 / 2", während web.de bei sonst gleichen Punkten wie GMX beim Schutz vor Phishing und Identitätsbetrug laut der Analyse mit null Zählern versagt.

[Update 1.3.2018, 17.01: "Ein Sprecher von web.de legt Wert auf den Hinweis, dass bei weiteren Tests das Ergebnis für diesen Dienst in allen Bereichen genauso ausfiel wie für das Schwesterangebot von GMX."]

IP-Adressen bleiben gespeichert

Die MECSA-Betreiber selbst tun sich gleichzeitig mit dem Datenschutz schwer. Im "Privacy Statement" der Plattform versichern sie zwar, die personenbezogenen Informationen nur solange aufbewahrt würden, wie dies für den Zweck des Providertests erforderlich sei. Vor allem E-Mail-Adressen und Nachrichten würden sofort nach der Auswertung gelöscht, die in der Regel nicht länger als fünf Minuten dauere. Überraschend schreibt die Forschungsstelle aber weiter, dass "vom Webserver gesammelte IP-Adressen für eine Periode von bis zu zwei Jahren vorgehalten werden".

Patrick Breyer vom Arbeitskreis Vorratsdatenspeicherung hält diese Praxis für völlig unnötig und wittert darin einen "schweren Verstoß gegen das Datenschutzrecht" sowie die EU-Grundrechtecharta. Das Wissen darüber, wer welche Webseiten besucht habe, erlaube tiefe Einblicke in das Privatleben der Nutzer, gibt der Jurist in einer heise online vorliegenden Mail an die EU-Kommission zu bedenken. Zugleich erinnert er daran, dass laut der Rechtsprechung des Europäischen Gerichtshofs IP-Adressen persönliche Daten darstellten und eine anlasslose Vorratsdatenspeicherung unvereinbar mit den europäischen Grundfreiheiten sei.

Eine pauschale Aufbewahrung von Internetkennungen und Logfiles ist laut Breyer nicht erforderlich, um einen Online-Dienst sicher zu betreiben. Dies zeigten viele Webseiten-Betreiber, die IP-Adressen anonymisierten. Es seien ausreichende technische Mittel vorhanden, um ohne eine solche Vorratsdatenspeicherung auszukommen. Der Aktivist hat die Forschungsstelle daher aufgefordert, die verdachtsunabhängige Datensammlung einzustellen und vollständige IP-Adressen allenfalls in Notfällen wie einer laufenden Internetattacke zu speichern. (mho)