Sehr geehrter ***************,

es irritiert mich schon, dass die DSK seit über drei Jahren eine Orientierungshilfe veröffentlicht hat, die BSI TR 03108 aka SMTP-DANE erwartet, aber die Aufsichten das weder an die TK-Anbieter kommunizieren noch die Angriffswege beschreiben können – oder war das eine Empfehlung des BSIs und das könnte Ihnen dabei Amtshilfe leisten?

Eine (leider unvollständige) Liste der Angriffswege und Sicherheitsgesichtspunkte findet sich in RFC 7672 Abschnitt 1.3 und Abschnitt 10. Unvollständig, weil zumindest IP-Spoofing und BGP-Hijacking nicht aufgeführt werden, und wie Sie aus „Bullshit made in Germany” wissen läuft sowieso ein Teil des innerdeutschen Verkehrs direkt bei der NSA vorbei, was deren Angriffe stark vereinfacht. Deswegen kann die Übertragung auch nur sicher sein, wenn eine geeignete Verschlüsselung verwendet wird und beide Kommunikationspartner authentifiziert werden. Auf mein eigenes Video habe ich Sie glaube ich auch schon hingewiesen.

Ihr Angriffsszenario ist richtig, aber es kann solange nicht beide Seiten SMTP-DANE verwenden in beiden Richtungen auftreten (also auch Vodafone-Kunde B sendet an A), und MitM ist wie oben beschrieben bei weitem nicht der einzige Angriffsweg und T muss sich für MitM nicht unbedingt – wie Sie schreiben – im Netzwerkverkehr zwischen A und B befinden, mit BGP-Hijacking kann er irgendwo sein. Mit DNS-Poisoning braucht der Angreifer kein MitM, er kann bei fehlendem DNSSEC einfach seinen eigenen Server benennen. Deswegen wäre eine klare Forderung an alle Anbieter oder Teilnehmer, SMTP-DANE sowie DKIM und DMARC zu verwenden, am sinnvollsten. Warum können die Niederlande das, aber Deutschland nicht?  Weil wir das schon beschriebene Zuständigkeitswirrwarr zwischen BSI, BfDI und Bundesnetzagentur haben?

Kennen Sie die konträren Urteile LG Mosbach 1 O 271/21 vom 24.05.2022 und OLG Karlsruhe 19 U 83/22 vom 27.07.2023? Da ging es um einen Gebrauchtwagen, zusammen mit den Verfahrenskosten wahrscheinlich ein mittlerer fünfstelliger Betrag. Genau wie in 24-193 II#6079 frage ich mich daher, wie Vodafone oder die Telekom zu einem geringen Risiko oder geringen Eintrittswahrscheinlichkeit kommen, und ich darf Sie bitten, diese Frage an beide weiterzureichen, denn nach Artikel 5 sind diese für eine angemessene Sicherheit und damit auch die Risikoabwägung rechenschaftspflichtig.

Dass Email-Made-In-Germany das Problem nicht löst ist doch offensichtlich. Oder erwarten Sie, dass Google, Microsoft, ITZ-Bund und der wohl separate Server vom BMI für bund.id da Mitglied werden, um sicher mit der Telekom mailen zu können?

Vielen Dank und viele Grüße

Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: *********************@bfdi.bund.de <*********************@bfdi.bund.de>
Gesendet: Donnerstag, 25. Januar 2024 18:25
An: 'Joachim Lindenberg' <****************@lindenberg.one>
Betreff: Datenschutz in der Telekommunikation, Az. 24-193 II#6195

Sehr geehrter Herr Lindenberg,

ich komme zurück auf Ihr Anliegen vom 27.07.2023 zum Thema Datenschutz in der Telekommunikation. Darin hatten Sie sich über mangelnden Einsatz von DANE bei der Telekom und Vodafone beschwert.

Kurz gesagt konnte Vodafone die Beschwerde zu DANE nicht nachvollziehen und beruft sich darauf, dass Art. 32 DSGVO keine konkreten Maßnahmen, sondern nur die Verpflichtung zur Risikoabwägung zu entnehmen ist. Ich habe Vodafone außerdem mit zweiwöchiger Frist die Gelegenheit gegeben, Einwände gegen eine Einsichtnahme in die bisherige Stellungnahme vorzubringen.

Wenn ich Ihre Beschwerde richtig verstanden habe, geht es Ihnen um den Schutz der Vertraulichkeit beim Empfang von E-Mails. Ist eine Authentifizierung des Vodafone-Empfangsservers für den sendenden Server nicht möglich, so besteht das Risiko, dass in Vodafone-Mailkonten zuzustellende E-Mails durch MitM-Attacken abgefangen werden, worin eine Verletzung der Vertraulichkeit der Nachrichten läge. Das Szenario sähe im Einzelnen so aus:

1. Sender A möchte eine E-Mail mit personenbezogenen Inhalten an die Mailadresse eines Vodafon-Kunden B senden. Hierzu baut der Server von A eine TLS-Verbindung zum Server von B auf 2. Angreifer T befindet sich im Netzwerkverkehr zwischen A und B. Er gibt dem Server von A vor, der Server von B zu sein und präsentiert zum Verbindungsaufbau ein eigenes Zertifikat 3. Dem Server von A ist es (auch aufgrund des von Ihnen bemängelten, nicht vorhandenen DANE-Eintrages der Vodafone) nicht möglich das präsentierte Zertifikat auf seine Legitimität zu überprüfen. Ohne Möglichkeit zur Zertifikatsprüfung muss er daher den Verbindungsaufbau mit jedem Zertifikat akzeptieren, wenn er die E-Mail zustellen möchte.

4. Die Mail von A wird an T zugestellt, worin eine Verletzung der Vertraulichkeit läge

Falls ich das Ihrer Beschwerde zugrundeliegende Risikoszenario richtig verstanden habe, so würde ich die Vodafone um eine Stellungnahme zur Bewertung dieses Risikos und den dazu getroffenen Maßnahmen bitten. Analog dazu würde ich mit der Telekom verfahren und dabei auch um eine Beschreibung für den nicht von Email made in Germany erfassten Mailversand bitten. Trifft das Ihr Szenario?

Mit freundlichen Grüßen

Im Auftrag

**********

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit -Referat 24-

Graurheindorfer Straße 153, 53117 Bonn

Fon:         0228-997799-0

E-Mail:    Referat24@bfdi.bund.de

Internet: https://www.bfdi.bund.de

********************************************************************************

Datenschutzerklärung des BfDI:

Informationen zur Verarbeitung Ihrer personenbezogenen Daten finden Sie unter https://www.bfdi.bund.de/datenschutz.

Vertraulichkeitshinweis:

Dies ist eine vertrauliche Nachricht und nur für den Adressaten bestimmt. Sollten Sie diese Nachricht irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und löschen Sie diese E-Mail.