Beschwerde 1&1 De-Mail

Deutschland ist rückständig was Sicherheit angeht. Und dann haben wir auch noch ein Zuständigkeitschaos, in dem sich sogar der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) manchmal für unzuständig erklärt. So im Falle meiner Beschwerde über 1&1 DE-Mail. Die habe ich dann erneut beim Bundesamt für Sicherheit in der Informationstechnik eingereicht, aber die sehen keinen Verstoß gegen Ihre Regeln – das habe ich ja gar nicht behauptet, sondern einen Verstoss gegen Artikel 32 und 5 DSGVO.

Jeder der sich mit Verwaltungsrecht auseinandersetzt weiß, das die Zuständigkeit am Anfang einer Prüfung steht, und jeder Behördenmitarbeiter versucht, nicht zuständig zu sein. Das erspart nicht nur Arbeit sondern – abgesehen von dieser ersten – auch weitere Entscheidungen fällen zu müssen, die später angegriffen werden könnten. Hier haben sich also beide Behörden aus der Zuständigkeit herausgemogelt. Nur ist damit leider auch die Chance vertan, dass unsere Behörden sich mal mit der Sicherheit von mTAN/smsTAN und des Telefonnetzes auseinandersetzen.

Eine Klage deswegen lohnt nicht. DE-Mail ist sowieso auf dem absteigenden Ast, die Telekom hat sich schon verabschiedet, der Elektronische Rechtsverkehr wird das endgültig beerdigen – nur leider ist die Infrastruktur der Verwaltungsportale auch unsicher. Auch auf Wikipedia findet sich deutliche Kritik.

mTAN/smsTAN

Dieser Abschnitt wird demnächst nach Sicherheit? Nein Unsinn! verschoben und dann verlinkt.

Unter mTAN oder smsTAN versteht man Transaktionscodes die per SMS meist an ein Mobiltelefon verschickt werden. Dabei muss man sich klar machen, dass Mobiltelefone nicht unbedingt nur von einer Person genutzt werden, verloren gehen können, man seine Mobilnummer beim Anbieterwechsel ändert, und Telefonnummern auch irgendwann wiederverwendet werden können. Genau wie bei IP-Adressen: Telefonnummern können personenbezogene Daten sein, aber man kann nicht unterstellen, dass sie eine Person identifizieren oder eindeutig nur einer Person zugeordnet sind. Mann sollte wissen, dass man sich in Funklöchern aufhalten kann und dann keine SMS empfangen kann. Dass es meistens (Ausnahme: Geräte mit eSIM) nicht wirklich der Besitz eines Mobiltelefons ist, sondern der Besitz einer SIM-Karte, und heute viele SIM-Karten ohne aktive PIN (bzw. PIN 0000) geliefert werden – also kann man die SIM-Karte auch leicht in ein anderes Telefon einsetzen.

Bei mTAN/smsTAN gibt es im wesentlichen vier Angriffsvektoren und zu allen gibt es Veröffentlichungen im Internet (in Klammern Veröffentlicher und das Jahr der Veröffentlichung):

Auch das BSI stuft mTAN/smsTAN als unsicher ein und schreibt Zwar ist die smsTAN nutzerfreundlich und praktisch in der Anwendung, jedoch können SMS mit entsprechendem technischen Vorwissen abgefangen werden – nur erlaubt es mTAN/smsTAN immer noch bei De-Mail.

Kommunikation (Auszug)

Datum/ZeitSenderEmpfängerThema
04.11.2022 17:49Joachim Lindenberg1&1 De-MailMobilnummer bei DE-MAIL
14.11.2022 16:301&1 De-MailJoachim LindenbergReferenz #1003297457 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice
14.11.2022 17:25Joachim Lindenberg1&1 De-MailRe Referenz #1003297457 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice
15.11.2022 13:59Joachim Lindenberg1&1 De-MailRe Referenz #1003301243 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice
16.11.2022 11:501&1 De-MailJoachim LindenbergReferenz #1003307048 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice
16.11.2022 17:04Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Referenz #1003307048 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice
02.12.2022 10:55Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergRe Referenz #1003307048 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice
02.12.2022 11:45Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Referenz #1003307048 – Ihre Anfrage an den WEB.DE De-Mail Kundenservice
09.12.2022 10:57Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim LindenbergDatenschutz in der Telekommunikation, Geschäftszeichen 24-193-2 II#1673
09.12.2022 11:50Joachim LindenbergBundesamt für Sicherheit in der InformationstechnikBeschwerde DE-Mail...
09.12.2022 11:51Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergAutomatische Antwort Beschwerde DE-Mail ...
22.12.2022 11:17Bundesamt für Sicherheit in der InformationstechnikJoachim LindenbergRe Beschwerde DE-Mail...
22.12.2022 14:14Joachim LindenbergBundesamt für Sicherheit in der Informationstechnik,
Bundesbeauftragter für den Datenschutz und die Informationsfreiheit
Re Beschwerde DE-Mail... – 24-193-2 II#1673
02.01.2023 +6Bundesbeauftragter für den Datenschutz und die InformationsfreiheitJoachim Lindenberg Datenschutzaufsichtsbehördliches Verfahren
02.02.2023 12:29Joachim LindenbergBundesbeauftragter für den Datenschutz und die InformationsfreiheitRe Beschwerde DE-Mail bei web.de_1&1 – 24-193-2 II#1673

Zuletzt geändert am 02.02.2023.

© 2023 Joachim Lindenberg. Diese Seite spiegelt meine persönliche Meinung wieder. Sie stellt keine Rechtsberatung dar. Fragen Sie doch einen Anwalt der sich damit auskennt.