Sehr geehrte Damen und Herren beim BfDI und der Telekom,

im Verlauf meiner Beschwerde 24-193-1 II#4637 hat mir die Telekom eine Nachricht über Ihr E-Mail Encryption Gateway zugesandt. Wie Ich daraufhin an die Telekom antwortete, halte ich es für grundfalsch die Informationen zur Registrierung beim Gateway wie Registrierungsinformationen und das Einmalpasswort über einen Kanal zu senden, der nicht ausreichend gegen eine Downgrade-Attacke und damit Abhören und Manipulation gesichert ist. Ich hätte zwingend erwartet, dass das Einmalpasswort auf einem anderen Kanal übermittelt wird, ggfs. halt per Post – meine Anschrift ist bekannt.

Meine Antwort darauf wurde von der Telekom ignoriert, und da ich erneut eine Benachrichtigung per Email „New mail in E-Mail Encryption Gateway“ erhalten habe, musste ich vermuten, dass alle Emails an mich jetzt wohl über dieses Gateway gesendet werden. Ich habe bei dieser Gelegenheit auch einen Test gemacht, ob das E-Mail Encryption Gateway selbst – wie andere Emailserver der Telekom – einer Downgrade-Attacke zum Opfer fällt und muss feststellen, dass das der Fall ist (entsprechende Protokolle meines Testservers kann ich analog zu 22-243 II#3748 zur Verfügung stellen) und damit die Orientierungshilfe zur Emailverschlüsselung, in der mindestens obligatorische Transportverschlüsselung gefordert wird, ignoriert wird. Noch fataler: jeder Benutzer oder Angreifer kann den Passwort-vergessen-Dialog auf https://www.mysafemail.telekom.de/responsiveUI/login/webmailLogin.xhtml benutzen, um das Passwort einer beliebigen bekannten Emailadresse zurückzusetzen, und ist damit nicht darauf angewiesen, direkt bei der Registrierung die Downgrade-Attacke durchzuführen, sondern jederzeit, und kann damit eine Denial-Of-Service-Attacke durchführen. Einziges Erfordernis ist die Kenntnis einer bereits registrierten Emailadresse.

Ich halte das unsichere Verfahren für einen Verstoß gegen Artikel 32 DSGVO und im Unterschied zu meiner Beschwerde 25-170 II#1143 bin ich diesmal unbestreitbar betroffen. Aufgrund des völlig anderen Inhalts zu meiner Beschwerde 24-193-1 II#4637 wegen unvollständiger Auskunft schlage ich vor, ein neues Geschäftszeichen zu vergeben.

Weiterhin erwartet das Gateway, dass ich AGBs ankreuze, die aber offensichtlich keine sind. Ich halte das für irreführend und intransparent. Schließlich ist es mir gelungen mich zu registrieren, nur leider ist die Anzeige anscheinend kaputt, denn es wird zwar angezeigt es sei eine Nachricht – nicht zwei wie gedacht – vorhanden, sie ist aber nirgends auswählbar und lesbar. Was auch immer die Telekom mir schicken wollte, so kann ich darauf nicht zugreifen – und falls da eine Auskunft enthalten war, die ist mir so nicht zugegangen.

Vielen Dank und viele Grüße

Joachim Lindenberg