Anonyme Adresse führt zu echtem Nutzerkonto
E-Mail-Adresse verbergen: Apple versorgt Ermittler mit Klarnamen
Apples iCloud-Funktion E-Mail-Adresse verbergen soll die eigene Identität im Alltag schützen. Ein aktueller Gerichtsfall aus den USA zeigt nun, dass diese Anonymisierung gegenüber Strafverfolgungsbehörden nicht greift. Demnach hat Apple im Rahmen einer FBI-Ermittlung die echte iCloud-Adresse hinter einer anonymen Absenderadresse offengelegt.
Ausgangspunkt war eine Drohmail, die an eine Person aus dem Umfeld des FBI-Direktors geschickt wurde. Die Nachricht stammte von einer Adresse, die über Apples Funktion zur Verschleierung der eigenen E-Mail erstellt worden war. Diese Funktion ist Teil des kostenpflichtigen iCloud+-Abonnements und erlaubt es Nutzern, zufällig generierte Adressen zu verwenden, die eingehende Nachrichten an das persönliche Postfach weiterleiten.
Anonyme Adresse führt zu echtem Nutzerkonto
Laut Gerichtsdokumenten stellte Apple den Ermittlern Informationen zur Verfügung, die die anonyme Adresse einem konkreten Nutzerkonto zuordneten. Dabei wurde die hinterlegte iCloud-Adresse offengelegt, die auf den Namen eines Mannes registriert war. Das betroffene Konto soll zudem mehr als hundert solcher anonymen Weiterleitungsadressen erzeugt haben.
Die Ermittler konnten den Nutzer anschließend identifizieren und befragen. In der Vernehmung räumte dieser ein, die Drohmail verschickt zu haben. Hintergrund war offenbar ein Medienbericht, der sich mit dem Einsatz von FBI-Ressourcen für private Zwecke befasste.
Funktion schützt im Alltag, nicht vor Ermittlungen
Apple bewirbt die Funktion „E-Mail-Adresse verbergen“ als Möglichkeit, die eigene Adresse bei Formularen, Newsletter-Anmeldungen oder E-Mail-Kontakten nicht preisgeben zu müssen. Technisch wird dabei eine zufällige Adresse erzeugt, die Nachrichten an das eigentliche Postfach weiterleitet.
Der aktuelle Fall zeigt jedoch, dass diese Form der Anonymisierung keine vollständige Abschirmung darstellt. Apple kann die generierten Adressen intern einem konkreten Nutzerkonto zuordnen. Im Rahmen rechtlicher Anfragen werden diese Informationen an Behörden weitergegeben.
Für Nutzer bedeutet dies, dass die Funktion vor allem im Alltag vor Datenweitergabe schützt, etwa gegenüber Webseiten oder unbekannten Kontakten. Gegenüber Strafverfolgungsbehörden bleibt die Verbindung zur echten Identität jedoch bestehen.
Ich kann mir nicht vorstellen, dass jemand so naiv war zu glauben, dass dieser Service vor diversen Behörden und Diensten schützt.
Das war wohl auch nie Sinn der Sache….
+1
1++
+1
Ich kann mir das sehr gut vorstellen.
„Zwei Dinge sind unendlich: das Universum und die menschliche Dummheit.
Aber beim Universum bin ich mir noch nicht ganz sicher.“
– Albert Einstein zugeschriebenes Zitat
Wie viele Menschen nutzen die Funktion?
Wie wahrscheinlich ist es dass es bei 100.000 Nutzern kein Idiot darunter ist?
Naja, viele erinnern sich wahrscheinlich noch an den Medienhype vor ein paar Jahren, als Apple sich angeblich gegen das FBI stellte, um die Daten seiner Fanboys und -girls zu schützen. Der Irrglaube, Daten seien sicher bei Apple, ist weiter verbreitet, als es für manche (oder alle) gut ist.
Genau so, was ist das für eine unsinnige News? Es soll das Spam aufkommen in meinem Postfach verringern.
Sehe ich genauso. Und dann diese Sätze:
„Der aktuelle Fall zeigt jedoch, dass diese Form der Anonymisierung keine vollständige Abschirmung darstellt. Apple kann die generierten Adressen intern einem konkreten Nutzerkonto zuordnen.“
Wie soll technisch eine Weiterleitung der Mails funktionieren, wenn keine Zuordnung vorhanden ist?!?
+1
Wer erinnert sich nicht an die alte Apple Kampagne, „what happens on your iPhone, stays on your iPhone“.
Angelehnt an what happens in Las Vegas, stays in Las Vegas.
Stimmt doch. Die Umleitung erfolgt ja bei Apple… tja. Und E-Mail passiert nun mal per Definition außerhalb des iPhones.
Also macht die Funktion das, was sie machen soll.
Keiner hat je gesagt, dass man damit Straftaten begehen darf. Ja, Klarnamen sind immer fraglich, positives und negatives stehen sich wie so oft gegenüber.
Aber Apple macht hier nix falsch.
Sehe ich ganz genauso. Das war keine anhaltlose Recherche einer Behörde, sondern die Ermittlung in einer wiederholten Straftat. Apple hat nie versprochen, dass sie davor schützen.
Im Übrigen schützt das Postgeheimnis auch keine Versender von anonymen Drohbriefen vor Ermittlung und Strafverfolgung.
Hat jemand einen Tipp für eine selbstgehostete OpenSource Lösung, die einfach zu warten und bedienen ist?
Wofür?
Je nachdem, was du unter „einfach“ verstehst, „Mailcow“. Aber erfordert schon etwas Wissen, damit man auch weiß, was man macht und keine Sicherheitslücken aufbaut.
Aber ist relativ einfach zu pflegen und OpenSource.
Wo gibt es ein gutes Tutorial dazu?
https://addy.io/self-hosting/
Meistens werden die Adressen ja nicht zum Versand, sondern nur zum Empfang genutzt, oder?
Bei guten Providern lässt sich eine Catch-All-Adresse einrichten. Dann kannst du vor das @deinedomain.de setzen, was auch immer du willst und alles wird an dein Postfach weitergeleitet.
Vorteil: Kommt die echt aussehende Phishing-Mail von deiner Bank gar nicht an namedeinerbank@deinedomain.de, enttarnt man es leicht.
Lässt sich der nervige Newsletter nicht abbestellen, setzt du die Empfängeradresse einfach auf den Spam-Filter.
Für Ermittler ist das auch okay!
Ich denke, mal sollte sowieso davon immer ausgehen, dass E-Mail nie wirklich privat ist und es gar nicht als etwas sehen, was eine vollständige private und sichere Kommunikation ermöglicht. Dann lösen sich viele Probleme.
Das heißt nicht, dass man bei Google und Co. als E-Mail-Anbieter bleiben sollte. Es heißt, man sollte auch bei privaten Diensten immer im Hinterkopf behalten, dass das Medium E-Mail nicht zu 100 % aufgrund des Mediums sicher oder privat ist.
Oder wie der Sicherheitsexperte Bruce Schneier es sagt:
„The things we want out of e-mail, and an e-mail system, are not readily compatible with encryption“
https://www.schneier.com/blog/archives/2015/11/testing_the_usa.html
Die Funktion war ja auch nie da, um heimlich Straftaten zu begehen. Wer das glaubt…
Proton bittet das auch an
Biete was?
Aber dann solltest du nicht mit Kreditkarte zahlen ;)
Erstellt ihr eigentlich für jede Registrierung eine eigene Emailadresse? Ich mach das so und hab inzwischen 125 Stück.
Glaub das macht er automatisch das er immer eine neue erstellt, glaube ich zumindest
Hast aber Glück, bis vor Kurzem lag das Maximum bei 100.
Ich sammle so ein wenig und lege nicht für jeden Account eine neue Mail an. Aber 40 sind es auch schon.
Das stimmt nicht… ich habe schon ewig über 150 Einträge… aktuell 174
Ich nutze die Funktion vom ersten Tag an und liebe sie. Aktueller Stand 346 Adressen :)
Ich verwende es seit dem ersten Tag und bin mittlerweile bei über 400. Von einer Limitation ist mir nicht bewusst, aber ich hatte auch mal 100 vernommen. Hatte aber mit dem Einführen sofort alle Logins umgestellt und war zu beginn bei 120. Ich führe alles akribisch im Passwortmanager.
Mach ich genauso. Beste Funktion. Und wenn eine Bestellung o.ä. abgeschlossen ist wird die Mail gekillt. Keine lästigen Werbemails mehr danach oder andere ungebetene Kontaktaufnahmen.
181
Ich habe eigene Domain und habe viele alias für Kontakte wie Liferanten. Beispielsweise siemens12@eigdomain.com.
Sollte hier mal Spam kommen, ändere ich es z.B. aus siemensxy@eigdomaon.com.
Kann dadurch auch mit diese alias senden.
Wie ist es bei Apple, kann ich darüber auch senden? Oder sind die nur für empfangen?
Dachte ausserdem, man kan nur 5 erstellen?
Text im alten Artikel gelesen: Senden auch möglich.
Bei eigen Domain kann man nur die Alias selber erstellen, bei Apple sind es zufällige und man muss eine Liste machen für welcher Alias für wen.
Nicht für jede, ich habe Gruppen, Glücksspiele, Newsletter, Städtereisen, etc. Einfach nen Tag dran. Aber ich mache das nicht konsequent. Hab knapp70 Stück.
Tatsächlich ist das Erstellen super einfach („mit Apple anmelden“) und wenn es schnell gehen soll, dann gibt es halt eine Neue.
Kann man zb für das abonnieren von Newslettern immer die gleiche Adresse nutzen? Also zum Beispiel „321news@icloud.com?“
@Oliwa
ja klar, kannst ja die Adresse immer wieder kopieren und einfügen bei der Anmeldung von Newslettern etc. die eMail-Adressen sind ja in deinem Account hinterlegt
Aus meiner Sicht machst du alles richtig. Ich verwende überall wo ich meine Email-Adresse neu angebe ein neues Alias. Genau dafür ist die Funktion da. Lückenlos ist klar, wer meine Daten verkauft oder eine undichte IT hat.
Aktuelles Beispiel: Ich war mit Freunden in Afrika und habe ein Fahrzeug gemietet. Geschmunzelt haben sie bei der Angabe meiner komischen Email. Nicht mal eine Stunde später kamen die ersten Emails mit „Bestätigen sie ihre Apple ID“ und sonstige Werbung. Da ich keine Telefonnummer angeben wollte, beim Verleiher, nannte er mich paranoid.
Ich kann nur sagen, dass ich nach Jahren des Reisen viel erlebt habe, nirgendwo gebe ich mehr meine Email oder Telefonnummer an – persönliche Daten nur das absolute Minimum. Das ist gleichzeitig als Appell zu verstehen.
Ich bin Apple sehr dankbar für die Funktion, auch wenn man damit noch mehr im Golden Käfig sitzt.
181
Datenschutz sollte kein Täterschutz sein. Period.
Das Ding schützt vor Spam und Leaks – mehr nicht
Schaut euch mal DuckDuckGo Email Protection an.
DuckDuckGo Email Protection is a free email forwarding service that removes multiple types of hidden email trackers and lets you create unlimited unique private email addresses on the fly.
Die Anonymisierung ist ja auch nur als Schutz vor Spam, Scam und ähnlichen gedacht. Wie kommt man auf die Idee, das man die Adresse nicht an Strafverfolgungsbehörden weitergibt?
Nutzt die DuckDuckGo Email Protection mit dem Private Duck Address Generator. Top Dienst!
Eine Drohmail im Umfeld eines FBI Mitarbeiters und schon ist es ein Klacks…
Schreibt einer einem 0815 Bürger so eine Mail…