Anonyme Adresse führt zu echtem Nutzerkonto
E-Mail-Adresse verbergen: Apple versorgt Ermittler mit Klarnamen
Apples iCloud-Funktion E-Mail-Adresse verbergen soll die eigene Identität im Alltag schützen. Ein aktueller Gerichtsfall aus den USA zeigt nun, dass diese Anonymisierung gegenüber Strafverfolgungsbehörden nicht greift. Demnach hat Apple im Rahmen einer FBI-Ermittlung die echte iCloud-Adresse hinter einer anonymen Absenderadresse offengelegt.
Ausgangspunkt war eine Drohmail, die an eine Person aus dem Umfeld des FBI-Direktors geschickt wurde. Die Nachricht stammte von einer Adresse, die über Apples Funktion zur Verschleierung der eigenen E-Mail erstellt worden war. Diese Funktion ist Teil des kostenpflichtigen iCloud+-Abonnements und erlaubt es Nutzern, zufällig generierte Adressen zu verwenden, die eingehende Nachrichten an das persönliche Postfach weiterleiten.
Anonyme Adresse führt zu echtem Nutzerkonto
Laut Gerichtsdokumenten stellte Apple den Ermittlern Informationen zur Verfügung, die die anonyme Adresse einem konkreten Nutzerkonto zuordneten. Dabei wurde die hinterlegte iCloud-Adresse offengelegt, die auf den Namen eines Mannes registriert war. Das betroffene Konto soll zudem mehr als hundert solcher anonymen Weiterleitungsadressen erzeugt haben.
Die Ermittler konnten den Nutzer anschließend identifizieren und befragen. In der Vernehmung räumte dieser ein, die Drohmail verschickt zu haben. Hintergrund war offenbar ein Medienbericht, der sich mit dem Einsatz von FBI-Ressourcen für private Zwecke befasste.
Funktion schützt im Alltag, nicht vor Ermittlungen
Apple bewirbt die Funktion „E-Mail-Adresse verbergen“ als Möglichkeit, die eigene Adresse bei Formularen, Newsletter-Anmeldungen oder E-Mail-Kontakten nicht preisgeben zu müssen. Technisch wird dabei eine zufällige Adresse erzeugt, die Nachrichten an das eigentliche Postfach weiterleitet.
Der aktuelle Fall zeigt jedoch, dass diese Form der Anonymisierung keine vollständige Abschirmung darstellt. Apple kann die generierten Adressen intern einem konkreten Nutzerkonto zuordnen. Im Rahmen rechtlicher Anfragen werden diese Informationen an Behörden weitergegeben.
Für Nutzer bedeutet dies, dass die Funktion vor allem im Alltag vor Datenweitergabe schützt, etwa gegenüber Webseiten oder unbekannten Kontakten. Gegenüber Strafverfolgungsbehörden bleibt die Verbindung zur echten Identität jedoch bestehen.
Ich kann mir nicht vorstellen, dass jemand so naiv war zu glauben, dass dieser Service vor diversen Behörden und Diensten schützt.
Das war wohl auch nie Sinn der Sache….
+1
Also macht die Funktion das, was sie machen soll.
Keiner hat je gesagt, dass man damit Straftaten begehen darf. Ja, Klarnamen sind immer fraglich, positives und negatives stehen sich wie so oft gegenüber.
Aber Apple macht hier nix falsch.
Sehe ich ganz genauso. Das war keine anhaltlose Recherche einer Behörde, sondern die Ermittlung in einer wiederholten Straftat. Apple hat nie versprochen, dass sie davor schützen.
Im Übrigen schützt das Postgeheimnis auch keine Versender von anonymen Drohbriefen vor Ermittlung und Strafverfolgung.
Hat jemand einen Tipp für eine selbstgehostete OpenSource Lösung, die einfach zu warten und bedienen ist?
Wofür?
Je nachdem, was du unter „einfach“ verstehst, „Mailcow“. Aber erfordert schon etwas Wissen, damit man auch weiß, was man macht und keine Sicherheitslücken aufbaut.
Aber ist relativ einfach zu pflegen und OpenSource.
Wo gibt es ein gutes Tutorial dazu?
https://addy.io/self-hosting/
Für Ermittler ist das auch okay!
Ich denke, mal sollte sowieso davon immer ausgehen, dass E-Mail nie wirklich privat ist und es gar nicht als etwas sehen, was eine vollständige private und sichere Kommunikation ermöglicht. Dann lösen sich viele Probleme.
Das heißt nicht, dass man bei Google und Co. als E-Mail-Anbieter bleiben sollte. Es heißt, man sollte auch bei privaten Diensten immer im Hinterkopf behalten, dass das Medium E-Mail nicht zu 100 % aufgrund des Mediums sicher oder privat ist.
Oder wie der Sicherheitsexperte Bruce Schneier es sagt:
„The things we want out of e-mail, and an e-mail system, are not readily compatible with encryption“
https://www.schneier.com/blog/archives/2015/11/testing_the_usa.html
Die Funktion war ja auch nie da, um heimlich Straftaten zu begehen. Wer das glaubt…
Proton bittet das auch an
Erstellt ihr eigentlich für jede Registrierung eine eigene Emailadresse? Ich mach das so und hab inzwischen 125 Stück.