Sehr geehrter ****************,

vielleicht sollte ich erst einmal darauf hinweisen, dass ich seit einiger Zeit einen Emailsicherheitstest betreibe, zu dem Sie mehr Informationen auf https://blog.lindenberg.one/EmailSicherheitsTest finden. In den letzten Wochen habe ich diesen Test daraufhin erweitert, dass der Dienst auch auf meiner Domäne lindenberg.one ergänzend zum regulären Emailserver laufen kann und dabei die gleiche Downgrade-Attacke macht, wie er das auf den Testdomänen ut.lindenberg.one und et.lindenberg.one macht, mit einem Unterschied, er bricht die Übertragung vor der Übertragung der eigentlichen Email ab. Die Umschaltung auf diesen Testserver erfolgt aktuell nur temporär durch Änderung der Priorität des MX-Records, aber aufgrund von Graylisting finden sich auch sporadisch andere Zustellversuche dort. Dabei ist die Konfiguration so, dass ein Emailserver der MTA-STS (RFC 8461) oder SMTP-DANE (RFC 7672) aka BSI TR 03108 aka qualifizierte Transportverschlüsselung unterstützt, keine Email ausliefern würde. Insgesamt ist die Funktionalität noch sehr neu, so dass beim ersten Test mit der Telekom am Freitag zwar ein Protokoll, aber keine zusammenfassende Auswertung entstanden ist - das Protokoll vom Freitag habe ich beigefügt, ebenso die Auswertung von einem weiteren Test heute.

Dabei nutze ich natürlich auch aus, dass das Formular auf https://www.mysafemail.telekom.de/responsiveUI/login/webmailLoginxhtml - dort Passwort vergessen - beliebig oft mit einer bereits registrierten Emailadresse verwendet werden kann. Bei jedem Ausfüllen wird ein neues, relativ schlechtes weil nur aus acht Kleinbuchstaben bestehendes Passwort per Email verschickt (eine ältere Email beigefügt). Wenn einem Angreifer also eine Downgrade-Attacke gelingt, kann er aktiv ein neues Passwort setzen und auf alle gespeicherten Emails zugreifen.

Das könnte die Telekom natürlich verhindern in dem Sie qualifizierte Transportverschlüsselung einsetzen würde - wie das die angesprochene Orientierungshilfe bei hohem Risiko erwarten lässt, nur ist auch die nicht umgesetzt, noch nicht einmal obligatorische Transportverschlüsselung. Bei qualifizierter Transportverschlüsselung könnte man meiner Meinung nach die Email auch gleich ohne Ende-zu-Ende-Verschlüsselung übermitteln, denn wie ich auf https://blog.lindenberg.one/VergleichRfc7672PgpSmime ausführe, kaum jemand setzt Ende-zu-Ende-Verschlüsselung sinnvoll ein, und insbesondere normale Bürger sind damit in aller Regel überfordert. Oder man macht die Registrierung von Schlüsselmaterial oder Passwörtern auf einem anderen Transportweg, beispielsweise per Post oder – wie qualifizierte Transportverschlüsselung das vorsieht – über DNSSEC. Jedenfalls ist es eine Bad-Practice, Passwörter oder Schlüsselinformationen und Inhalte auf dem gleichen nicht authentifizierten und potentiell nicht verschlüsselten Transportweg zu übermitteln.

Was die AGB angeht: das ist zwar in der Oberfläche so beschriftet, aber erkennbar weder Vertrag noch eine Einwilligung im Sinne von Artikel 7 und trotzdem muss ich zustimmen - wieso? Für mich ist das unsinnig. Und da die Telekom diese Kommunikation zur Erfüllung eines Auskunftsersuchens einsetzt meiner Meinung nach auch unzulässig.

Vielen Dank und viele Grüße

Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: *********************@bfdi.bund.de <*********************@bfdi.bund.de> Im Auftrag von REFERAT24@bfdi.bund.de
Gesendet: Montag, 20. März 2023 15:22
An: '**************@lindenberg.one' <**************@lindenberg.one>
Betreff: Datenschutz in der Telekomunikation, Az. 24-193-2 II#1721

Sehr geehrter Herr Lindenberg,

vielen Dank für Ihr Schreiben vom 17.03.2023. Darin beschweren Sie sich über den Registrierungsmechanismus beim Telekom E-Mail Encryption Gateway, konkret über die Möglichkeit eines Downgrade-Angriffs, der in Verbindung mit dem Versand des Einmalpasswortes per E-Mail zu einem Zugriff auf die hinterlegten Nachrichten führen könnte. Außerdem weisen Sie auf den Passwort-Vergessen-Dialog des Dienstes hin, durch den der Downgrade-Angriff auch nach der Registrierung ausgeführt werden könne. Sie sehen das aktuelle Verfahren der Telekom als Verstoß gegen Art. 32 DSGVO.

Weiterhin wenden Sie sich gegen die AGB des Dienstes, die Sie für irreführend und intransparent halten.

Hiermit bestätige ich zunächst den Eingang Ihres Anliegens. Dieses wird unter dem neuen, oben rechts genannten Geschäftszeichen geführt. Bitte beziehen Sie sich im nachfolgenden Schriftverkehr zu dieser Angelegenheit immer auf dieses Geschäftszeichen.

Bitte senden Sie mir die von Ihnen angesprochenen Testprotokolle zu, aus denen hervorgeht, dass der von Ihnen geprüfte Server per Downgrade angreifbar ist.

Außerdem möchte ich Sie bitten mir näher zu erläutern, worin Sie einen Datenschutzverstoß bei den AGB sehen.

Im Zuge der Bearbeitung Ihres Schreibens bei dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) werden personenbezogene Daten von Ihnen bei uns verarbeitet. Die Einzelheiten dazu können Sie der Datenschutzerklärung des BfDI entnehmen. Diese finden Sie unter https://www.bfdi.bund.de/DE/Meta/Datenschutz/datenschutz_node.html.

Mit freundlichen Grüßen

Im Auftrag

**********

********************************************************************************

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

- Referat 24 - Telekommunikation

Graurheindorfer Straße 153, 53117 Bonn

Fon:          0228-997799-0

E-Mail:    referat24@bfdi.bund.de

Internet: https://www.bfdi.bund.de

********************************************************************************

Datenschutzrechtliche Erklärung des BfDI für den E-Mail-Verkehr und die Erfüllung seiner öffentlichen Aufgaben insgesamt: (nachstehender Link führt auf den Internetauftritt des BfDI unter www.bfdi.bund.de)

https://www.bfdi.bund.de/DE/Service/Datenschutzerklaerung/datenschutzerklaerung-node.html

Kein Zugang für elektronisch signierte Dokumente

********************************************************************************

Hinweis:

Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Es ist nicht erlaubt, diese Nachricht zu kopieren oder Dritten zugänglich zu machen. Sollten Sie irrtümlich diese Nachricht erhalten haben, informieren Sie bitte sofort den Absender und vernichten diese E-Mail.