Von: Joachim Lindenberg <****************@lindenberg.one>
Gesendet: 24.10.2023 13:04
An: <*********************@bfdi.bund.de>
Betreff: AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6195
Anlagen: Mail delivery failed: returning message to sender
Sehr geehrter ***************,
nach mehr als vier Tagen kam diesmal dann doch noch eine
Nichtzustellbarkeitsbenachrichtigung.
Vielen Dank und viele Grüße
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg <****************@lindenberg.one>
Gesendet: Montag, 23. Oktober 2023 18:50
An: *********************@bfdi.bund.de
Betreff: AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6195
Sehr geehrter ***************,
die Software ist in C# auf .NET geschrieben, die Dokumentation dazu finden
Sie auf https://blog.lindenberg.one/EmailSicherheitsTest#Wie bzw. den
Massendatentest für eingehende Emails auf
https://blog.lindenberg.one/AufsichtEmail#Tests. Die früher verwendeten
Skripte haben sich nicht als robust genug herausgestellt.
web.de/gmx hat Probleme nicht bei eingehenden sondern bei abgehenden
STMP-DANE Verbindungen, und - nach meinen Beobachtungen - nur dann, wenn der
empfangende Server kein ohne TLSA-Record vertrauenswürdiges Zertifikat hat.
Das ist in meinen Tests bei mx04.et.lindenberg.one der Fall, eine Nachricht
von web.de/gmx an ka@mx04.et.lindenberg.one scheitert daher reproduzierbar,
und ich erhalte noch nicht einmal eine Nichtzustellbarkeitsnachricht.
Eine Beschwerde müsste ich tatsächlich konstruieren, indem ich von meiner
web.de Adresse aus eine Email an die bayrischen Kollegen von Ihnen schicke -
wenn mein Verdacht richtig ist, wird die nicht übertragen und ich merke das
auch gar nicht (keine Nichtzustellbarkeitsnachricht). Das kann man dann als
Verstoß gegen Artikel 5 Abs. 1 a oder f auffassen. Aber sinnvoller erscheint
es mir, wenn Sie die Information einfach so weitergeben.
Vielen Dank und viele Grüße
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: *********************@bfdi.bund.de <*********************@bfdi.bund.de>
Gesendet: Montag, 23. Oktober 2023 15:55
An: 'Joachim Lindenberg' <****************@lindenberg.one>
Betreff: Datenschutz in der Telekommunikation, Az. 24-193 II#6195
Sehr geehrter Herr Lindenberg,
vielen Dank für Ihre Rückmeldung und das Unterstützungsangebot.
Inhaltlich habe ich Sie so verstanden, dass bei dem Mailangebot web.de der
1&1 Mail & Media GmbH eingehende E-Mails auf DANE-konforme
Zertifikatseinträge im DNS geprüft werden. Ist ein Zertifikat vorhanden,
aber das Zertifikat dabei von keiner der als vertrauenswürdigen anerkannten
CAs signiert, so kommt die Verbindung nicht zustande. Wenn ich die
Ergebnisse Ihres Testes richtig verstehe, dann wird der
TLS-Verbindungsaufbau nach dem initialen Aufbauversuch mit Übermittlung der
SNI (Server Name Indication), aber vor dem Abschluss des TLS-Handshakes vom
sendenden Server abgebrochen. Ursache könnte z.B. sein, dass der Server nur
als vertrauenswürdig zu verifizierende Zertifikate akzeptiert.
Ob Sie eine Beschwerde einreichen möchten ist ganz Ihnen überlassen. Wenn
ich Sie richtig verstanden habe und der Verbindungsaufbau lediglich
abgebrochen wird, also keine unverschlüsselte Übertragung der E-Mails
stattfindet, dann ist mir allerdings noch nicht klar, worin eine Verletzung
datenschutzrechtlicher Vorschriften liegen könnte.
Eine Frage zur Interpretation der Testergebnisse: Haben Sie hierzu ein
selbst entwickeltes Skript verwendet, oder auf ein Werkzeug zurückgegriffen,
zu dem es eine Dokumentation oder Quellcode der einzelnen Prüfschritte gibt?
Mit freundlichen Grüßen
Im Auftrag
**********
Der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit -Referat 24-
Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: mailto:Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.
Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte
sofort den Absender und löschen Sie diese E-Mail.
-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg <mailto:****************@lindenberg.one>
Gesendet: Sonntag, 22. Oktober 2023 22:13
An: ********************* <mailto:*********************@bfdi.bund.de>
Betreff: AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6195
Sehr geehrter ***************,
vielen Dank für diese Ausführungen. Dass Sie mich nicht warten lassen wollen
ehrt Sie! Bei der Bundesnetzagentur warte ich schon fast zwei Jahre darauf,
dass sie
https://fragdenstaat.de/anfrage/schutzmanahmen-und-sicherheitsanforderungen-in-tkg-165ff/
und https://fragdenstaat.de/anfrage/fernmeldegeheimnis-und-email-anbieter/
nachgeht. Dabei war für mich eigentlich klar, dass SMTP-DANE (RFC 7672) die
sinnvollste Lösung ist, hätte mir aber auch verbindliches SPF, DKIM und
DMARC gewünscht.
Ihre Anfrage wird eigentlich erst relevant, wenn Vodafone und Telekom
ablehnend reagieren. Interessanter ist vielleicht, dass auch die anderen
Platzhirsche Probleme haben, wie folgende Darstellung aus einer meiner
neuesten Präsentationen zeigt:
United Internet hat seit einigen Monaten Probleme mit Zertifikaten, die nach
RFC 7672 einen korrekten TLSA-Record haben, aber nicht von einer der
üblichen vertrauenswürdigen Zertifizierungsstellen ausgestellt wurden.
Inzwischen weiß ich, dass es nicht mit MTA-STS zusammenhängt, aber United
Internet hat auf meine beigefügte Anfrage nicht reagiert. Vielleicht haben
Sie einen besseren Draht? Soll ich formal Beschwerde einreichen? Und
spannend ist für mich, ob SMTP-DANE dann auch für Gmail und Outlook
verpflichtend wird. Microsoft scheint auf dem Weg dorthin zu sein, Google
wohl nicht.
Da ich Ihren Hintergrund – eher technisch oder vielleicht juristisch - nicht
kenne: sollten Sie nicht nachvollziehen können, was ich da schreibe, lassen
Sie es mich bitte wissen.
Vielen Dank und viele Grüße
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: mailto:*********************@bfdi.bund.de
<mailto:*********************@bfdi.bund.de>
Gesendet: Donnerstag, 5. Oktober 2023 08:56
An: 'Joachim Lindenberg' <mailto:****************@lindenberg.one>
Betreff: AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6195
Sehr geehrter Herr Lindenberg,
es handelte sich um mündliche Termine. Die Federführung zum Katalog liegt
bei der Bundesnetzagentur. Mit Fragen zum Katalog müssten sie sich daher
bitte dorthin wenden. Der Katalog befindet sich nach meiner Kenntnis
weiterhin in der Entwicklung, ein klares Ergebnis zu Ihrer Frage habe ich
daher noch nicht. Nach dem aktuellen Stand der Gespräche stand aber
zumindest einer Anfrage bei der Telekom und Vodafone nichts entgegen und ich
wollte Sie auch ungerne noch länger warten lassen. Daher jetzt die Anfrage
an die Diensteanbieter.
Inhaltlich habe ich beide Anbieter über Ihre Beschwerde informiert, dass zum
E-Mail-Empfang auf den von Ihnen angegebenen Domänen keine DNS-based
Authentication of Named Entities (DANE, IETF RfC 7672) zum Einsatz kommt.
Außerdem habe ich die jeweiligen Testergebnisse mitgesendet und Ihren
Hinweis auf das Orientierungspapier und die BSI TR 03108-1. Dazu habe ich um
Stellungnahme innerhalb von vier Wochen gebeten.
Wenn Sie die Anfragen als PDF Dokument benötigen, lassen Sie es mich bitte
wissen.
Mit freundlichen Grüßen
Im Auftrag
**********
Der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit -Referat 24-
Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: mailto:Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.
Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte
sofort den Absender und löschen Sie diese E-Mail.
-----Ursprüngliche Nachricht-----
Von: Joachim Lindenberg <mailto:****************@lindenberg.one>
Gesendet: Mittwoch, 4. Oktober 2023 21:09
An: ********************* <mailto:*********************@bfdi.bund.de>
Betreff: AW: Datenschutz in der Telekommunikation, Az. 24-193 II#6195
Sehr geehrter ***************,
vielen Dank für diese Mitteilung. Die Kommunikation mit der
Bundesnetzagentur findet sich leider nicht in meiner letzten Auskunft vom
Stand 21.09.2023. Da ich die Bundesnetzagentur schon kurz nach Inkrafttreten
des neuen TKGs in
https://fragdenstaat.de/anfrage/schutzmanahmen-und-sicherheitsanforderungen-in-tkg-165ff/
nach dem Schutzkatalog gefragt habe wäre ich sehr neugierig, ob da ein
anderes Ergebnis als BSI TR03108 herauskam. Muss ich eine IFG- oder
Presseanfrage dazu stellen, oder können Sie mir das mit der
Bundesnetzagentur besprochene auch so zukommen lassen? Und natürlich
interessiert mich sehr, was Sie der Telekom und Vodafone geschrieben haben.
Müsste das dann nicht an alle öffentlichen Anbieter von Email gehen?
Vielen Dank und viele Grüße
Joachim Lindenberg
-----Ursprüngliche Nachricht-----
Von: mailto:*********************@bfdi.bund.de
<mailto:*********************@bfdi.bund.de>
Gesendet: Mittwoch, 4. Oktober 2023 18:57
An: '****************@lindenberg.one'
<mailto:****************@lindenberg.one>
Betreff: Datenschutz in der Telekommunikation, Az. 24-193 II#6195
Sehr geehrter Herr Lindenberg,
ich komme zurück auf Ihr Anliegen vom 27.07.2023 zum Thema Datenschutz in
der Telekommunikation. Darin hatten Sie sich über mangelnden Einsatz von
DANE bei der Telekom und Vodafone beschwert.
Ich habe die beiden Diensteanbieter heute mit einer vierwöchigen Frist um
Stellungnahme gebeten. Hintergrund der Verzögerung waren mehrere Termine
zwischen BfDI und Bundesnetzagentur zur Abstimmung des Kataloges von
Sicherheitsanforderungen. Dadurch soll ein Gleichklang der Anforderungen
sichergestellt werden.
Sobald die Stellungnahmen hier eingegangen und bewertet sind, werde ich mich
wieder unaufgefordert bei Ihnen melden.
Mit freundlichen Grüßen
Im Auftrag
**********
Der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit -Referat 24-
Graurheindorfer Straße 153, 53117 Bonn
Fon: 0228-997799-0
E-Mail: mailto:Referat24@bfdi.bund.de
Internet: https://www.bfdi.bund.de
********************************************************************************
Datenschutzerklärung des BfDI:
Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie
unter https://www.bfdi.bund.de/datenschutz.
Vertraulichkeitshinweis:
Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt.
Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte
sofort den Absender und löschen Sie diese E-Mail.