Kann man den Produkten von Proton vertrauen?

Allgemein
,
1

Hallo! Ich beschäftige mich derzeit intensiv mit der Entscheidung über einen neuen E-Mail-Anbieter und habe insbesondere mailbox.org, Tuta und natürlich auch Proton ins Auge gefasst.

An Proton hat mich zunächst die recht professionelle Aufmachung und das Ökosystem insgesamt neugierig gemacht, aber scheinbar scheint der Anbieter, die Proton AG, zu polarisieren.

Erst diese Woche hat sich der CEO von Proton einen politischen und geschäftspolitischen Fauxpas erlaubt:

https://www.reddit.com/r/ProtonMail/comments/1i1zjgn/so_that_happened/
https://www.reddit.com/r/ProtonMail/comments/1i2nz9v/on_politics_and_proton_a_message_from_andy/

Dann habe ich etwas weiter zu Proton recherchiert und einige Artikel gelesen nach denen ich mich nun ob der Vertrauenswürdigkeit frage:

  • Datenschutz und Überwachungspflichten in der Schweiz
  • Heimliche Anpassungen am Transparenzbericht
  • Kooperation mit US-Behörden
  • Echtzeit-Überwachungen für die Schweizer Staatsanwaltschaft
  • Unklare Datenschutzerklärung
  • Sicherheitslücke bei Proton Pass (Kuketz berichtete)
  • Mögliche Verbindungen zur CIA

Quellen:

https://steigerlegal.ch/2021/10/02/protonmail-ip-adressen-auskunft/
https://steigerlegal.ch/2021/10/23/urteil-protonmail-buepf-aakd-fda/
https://steigerlegal.ch/2021/09/15/cia-protonmail-foia/
https://tarnkappe.info/artikel/it-sicherheit/datenschutz/kritik-an-protonmail-neue-datenschutzerklaerung-unklar-176714.html
https://www.borncity.com/blog/2021/08/04/protonmail-und-die-nutzerdatenbermittlung-in-die-usa/

Warum sollte man Proton vertrauen? Ist das alles Schnee von gestern?

Nutzt hier jemand aktiv und mit gutem Gewissen die Produkte der Proton AG?

2

Falls dir sonst niemand antworten sollte, könnte es daran liegen, dass das Thema schon öfters diskutiert wurde.
Vor dem Erstellen eines neuen Themas ist es hilfreich, erst einmal die Forumssuche zu bemühen. Gerade für das Thema Protonmail gibt es einige Ergebnissse auch aus der jüngsten Zeit.

3

Danke für die Belehrung!

Hast du denn selbst schon mal die Forumssuche zum Thema Proton bemüht? Falls ja, hättest du gesehen, dass die Themen die ich anspreche so in dieser Form noch nicht Gegenstand der Diskussionen waren. Insbesondere das was in dieser Woche passiert ist.

4

Ich wollte lediglich freundlich darauf hinweisen, warum eventuell dein Beitrag so wenig Resonanz fand und dir helfen, Antworten auf deine Frage zu finden.
Woher soll ich wissen, dass du andere Beiträge schon gelesen hast (wahrscheinlich dieselben wie ich auch). Ich persönlich hätte mich mit deinen Infos in einen der Beiträge eingeklingt, da ich schon finde, dass sie dazu gepasst hätten.
Dir soll es aber unbenommen bleiben ein neues Thema zu eröffnen, wen du meinst das dies besser wäre. Da habe ich auch überhaupt nichts dagegen.
Nur fand ich es ungewöhnlich, dass keiner darauf geantwortet hat und wollte dir lediglich einen Tip geben, woran es liegen könnte.

5

Ich antworte sehr selten auf Beiträge, deren Inhalt sich nur erschließt, wenn man erst mal x verlinkte Webseiten lesen soll

Sollte man nicht.

7

Bevor das jetzt hier ausartet. Ich bin weder für noch gegen jemanden, sondern wollte einfach nur einen freundlichen Hinweis geben und helfen. Daher bin ich doch ein bisschen befremdet, was inhaltlich da alles hinein interpretiert wird.

8

Warum nicht? Kannst du deine Meinung evtl. näher erläutern?

Ich war Mal Proton Benutzer aber bin gewechselt zu mailbox.org aus technischen Gründen.
Ich würde aber Unternehmen außerhalb der DSGVO weniger vertrauen, zumal man keinem Anbieter blind vertrauen sollte.

Die Schweizer Behörden winken auch alles durch. Man muss hier dem Unternehmen vertrauen, Benutzerdaten ordentlich zu bearbeiten.

Dazu gibt es eine Stellungnahme von Proton auf Reddit.
Cloud Software wie Proton Pass ist aber technisch bedingt schon nicht vertrauenswürdig.

9

Da ich mich mit diesem gleichen Thema zurzeit auch beschäftige, möchte ich ausführlich eine Antwort abgeben.

Die Frage „Kann man den Produkten von Proton vertrauen?“ greift zu kurz, weil sie die unterschiedlichen gesetzlichen Rahmenbedingungen und technischen Konzepte der einzelnen Dienste nicht berücksichtigt. Proton bietet verschiedene Produkte an, darunter Proton Mail und Proton VPN, die unterschiedlichen rechtlichen Anforderungen unterliegen.

1. Proton Mail und der Fall des Aktivisten

Proton Mail unterliegt den Gesetzen der Schweiz, insbesondere dem BÜPF (Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs). Im Jahr 2021 wurde Proton Mail gesetzlich verpflichtet, auf Anfrage der Schweizer Behörden die IP-Adresse eines Aktivisten zu loggen. Diese Anordnung erfolgte im Rahmen eines internationalen Rechtshilfeersuchens (MLAT) von Frankreich. Wichtig zu betonen:

  • Proton Mail speichert standardmäßig keine IP-Adressen. Die Herausgabe war nur möglich, weil Proton Mail gezwungen wurde, ab dem Zeitpunkt der behördlichen Anordnung mit dem Logging zu beginnen. Daten aus der Vergangenheit konnten nicht geliefert werden, da sie schlicht nicht existierten.
  • Proton hat offen kommuniziert, dass sie aufgrund der Schweizer Gesetzgebung in solchen Fällen kooperieren müssen. Es ist kein systematisches Problem von Proton, sondern eine Frage der gesetzlichen Rahmenbedingungen in der Schweiz.

2. Proton VPN: Ein anderer rechtlicher Rahmen

Im Gegensatz zu Proton Mail unterliegt Proton VPN nicht den gleichen Gesetzen. VPN-Dienste fallen in der Schweiz nicht unter das BÜPF. Proton VPN betont klar, dass sie eine No-Log-Policy verfolgen, d. h. sie speichern weder IP-Adressen noch Verbindungsdaten. Selbst wenn eine behördliche Anfrage eingeht, gibt es keine Daten, die herausgegeben werden könnten. Sie können gesetzlich nicht dazu gezwungen werden, Daten zu loggen.

Warum ist das glaubwürdig?

  • Würde Proton VPN entgegen ihrer Policy Daten sammeln, wäre das nicht nur ein massiver Vertrauensbruch, sondern würde den Ruf und das Geschäftsmodell von Proton komplett zerstören. Nutzer von VPN-Diensten wählen Anbieter wie Proton gerade wegen der strengen Datenschutzversprechen. Ein Verstoß gegen diese Prinzipien würde das Ende für Proton VPN bedeuten – ein Risiko, das sie sicher nicht eingehen würden.

3. Vergleich zu deutschen Anbietern wie Posteo

Ein fairer Vergleich zeigt, dass auch andere datenschutzfreundliche Anbieter wie Posteo gesetzlichen Verpflichtungen unterliegen, allerdings in einem anderen rechtlichen Kontext:

  • Posteo betont, dass sie nicht dem Telekommunikationsgesetz (TKG) unterliegen, weil sie kein klassischer Telekommunikationsanbieter sind. Das gibt ihnen mehr Spielraum, keine Verbindungsdaten oder IP-Adressen zu speichern. Das heißt, selbst wenn eine Anfrage kommt, gibt es keine Daten, die herausgegeben werden könnten.
  • Allerdings gilt auch für Posteo: Wenn ein Gerichtsbeschluss sie verpflichten würde, zukünftige Daten zu loggen, könnten sie gezwungen sein, dies zu tun – ähnlich wie bei Proton Mail.

Der entscheidende Punkt ist, dass sowohl Proton als auch Posteo ihre Dienste so gestalten, dass sie standardmäßig keine sensiblen Daten speichern, was die Privatsphäre ihrer Nutzer maximiert.

4. Zusammenfassung

Die Frage, ob man Proton vertrauen kann, ist weniger eine Frage des Willens des Unternehmens, sondern vielmehr der rechtlichen Rahmenbedingungen:

  • Proton Mail: Unterliegt der Schweizer Gesetzgebung und kann gezwungen werden, IP-Adressen ab einem bestimmten Zeitpunkt zu loggen. Daten aus der Vergangenheit werden jedoch nicht gespeichert.
  • Proton VPN: Unterliegt nicht den gleichen Überwachungsgesetzen und speichert keinerlei Verbindungsdaten. Selbst bei behördlichem Druck könnten sie keine Daten herausgeben.
  • Posteo (zum Vergleich): Unterliegt anderen deutschen Gesetzen und speichert ebenfalls keine Verbindungsdaten. Auch sie könnten theoretisch gezwungen werden, zukünftig Daten zu loggen, haben aber keine Vorratsdatenspeicherung.

Die Geschichte um den Aktivisten zeigt, dass kein Anbieter völlig immun gegen staatlichen Druck ist, aber Proton hat bisher transparent gehandelt und ihre Nutzer offen über solche Vorfälle informiert. Gleichzeitig zeigt der Fall, dass Proton VPN von solchen Einschränkungen nicht betroffen ist und ein hohes Maß an Privatsphäre garantiert.

Abschließend: Kein Anbieter ist perfekt, aber Proton hat durch transparente Kommunikation und technische Maßnahmen gezeigt, dass sie Datenschutz und Privatsphäre ihrer Nutzer ernst nehmen. Vertrauen sollte immer auf einer realistischen Einschätzung der technischen und rechtlichen Rahmenbedingungen basieren – und nicht auf einer idealisierten Vorstellung von absoluter Anonymität.

10

Sehe das auch so. Heute ist kein Anbieter mehr „sicher“ nicht gezwungen zu werden Daten über seine Nutzer heruas zu geben. Die Lage kann sich so schnell ändern. Siehe 11. September, Corona oder irgendwelche Terrorristischen Anschläge. Und die Entwicklung geht auch nicht in eine gute Richtung.

12

Ich hab mir jetzt ProtonVPN geholt. Mit Mullvad hatte ich zu große Probleme beim surfen und wirkliche Alternativen gibt es da ja leider nicht. Surfshark, NordVPN, Cyberghost und Konsorten sind ja alle Tracker verseucht was bei einem VPN Anbieter meiner Meinung nach gar nicht geht.

Hatte kurz überlegt ob ich mir einen Unlimited Plan hole, bin aber was Mail angeht, mit Tuta, Startmail und Posteo bestens versorgt.

Was die Frage nach dem Vertrauen angeht…ja, ist schwierig. Proton hat in der Vergangenheit vieles falsch gemacht. Bei den meisten Sachen mussten sie aber koorperieren. Da wäre wahrscheinlich bei Posteo, Mailbox usw. nicht anders. Es betrifft ja auch fast ausschließlich ProtonMail, wenn ich das richtig gelesen habe. ProtonVPN fällt da ja unter eine andere Gesetzgebung.

Insgesamt ist das Vertrauen nicht sonderlich stark, aber ich traue Proton mehr, wie die oben von mir genannten Anbieter. Da Mullvad für mich fast unbenutzbar geworden ist, musste nun leider eine Alternative her.

Die Clients von Proton sind OpenSource, nicht Tracker verseucht und Proton wurde von dritten nun schon mehrmals auseinander genommen. Klar, sie benutzen keine RAM Disks, aber für meine Bedürfnisse reicht das aus. Hab ja nichts kriminelles vor.

13

Ergänzend zu der guten Zusammenfassung weiter oben:
Alle Dienste erhalten Anfragen von Behörden. Und müssen sie ggf. beantworten. Einen Überblick dazu kannst Du Dir in den jeweiligen Transparenzberichten verschaffen. Hier zum Beispiel:
Mailbox.org (https://mailbox.org/de/post/transparenzbericht-2023)
Tuta (https://tuta.com/de/blog/transparency-report)
Proton (https://proton.me/de/legal/transparency)

Also würde ich danach gehen, was die jeweiligen Dienste an Daten haben. Denn was der Dienst nicht hat, kann er auch nicht an Behörden herausgeben. Also prüfen, ob eine anonyme Registrierung und ggf. Zahlung möglich ist. Bei E-Mails natürlich immer und mit allen nur verschlüsselt kommunizieren. Usw….

21

Ich habe die Thematik rund um Geheimdienste aus dem Thema entfernt, da sie a) nicht dem Thema dienlich sind und b) aufgrund der Arbeitsweise von Geheimdiensten es im Grunde reine Spekulationen sind. Und da dies keine Fakten sind, kann man schwer darüber diskutieren. Es sei denn, irgendjemand hat seriöse Quellen zur Thematik Geheimdienste und Proton.

22

Ich habe Proton verwendet, als es neu herauskam. Diverse Ansätze fand ich super.
Inzwischen kann ich aus diversen Gründen (auch den genannten) nur noch davon abraten.
Außerdem sollte man in die Empfehlungsecke schauen und die dort genannten Tipps und auch Ratschläge beachten. Meiner Meinung nach.

23

Wenn einem die Nutzerfreundlichkeit, Features und Einschränkungen bekannt sind und man damit klar kommt, halte ich Proton noch immer für einen der vertrauenswürdigsten Player im Bereich datenschutzfreundliche Services. Ich habe bisher auch noch keine stichhaltigen Gründe gesehen, die dem widersprechen.

24

Ich habe meine historischen Mailaccounts Gmx.de , Web.de und Gmail nach Proton Mail migriert. Apple Mail läuft bei mir seit Anfang nix, außer dass ich mir selber Mails mit Profildateien sende und vereinzelt Werbemails von Apple selber.
War am Anfang ein großer Aufwand überall die Mailadresse auszutauschen oder ganz zu löschen, aber jetzt ist in den Accounts gähnende Leere …

Für mich zählt nur, dass die Mails nicht durch Dritte monetarisiert werden und mit der Zero-Access Verschlüsselung ein gewisser Grundschutz gewährleistet ist. Zu verheimlichen im strafrechtlichen Sinn habe ich nichts und die Mails sind vollkommen uninteressant: Bestell-/Versandbestätigungen, Newsletter, Börseninfos, Orderbestätigungen, Forummails etc. Keine berufliche und keine Privatkorrespondenz.

Dafür finde ich Proton Mail ganz gut mit den Möglichkeiten seine Mails mit Filtern und Kategorien/Ordnern zu strukturieren. Der Spam-Filter ist asugezeichnet und auf gemeldete Pishin-Mails wird reagiert.
SMTP/IMAP brauche und will ich nicht nutzen.

Im Vergleich zu den kostenlosen Mailanbietern und jenseits irgendwelcher Geheimdienstfantasien in jedem Fall die bessere Alternative für normale Bürger, um seine Mails zu schützen, zumal man an Black Friday günstig verlängern kann.

Wie gesagt Schutz gegen Monetarisierung und nicht gegen Strafverfolgung!