Die auf Datenschutz spezialisierten Mailanbieter Mailbox.org und Posteo haben laut ihren Transparenzberichten für 2025 zahlreiche Behördenanfragen abgewiesen, die nicht formal korrekt gestellt wurden. Mailbox.org hatte demnach fast 25 Prozent der Anfragen abgewiesen, meist, weil diese unverschlüsselt übertragen wurden. „Auch bei Auskunftsanfragen durch Behörden halten wir uns an die strengen Vorgaben der Bundesnetzagentur, die besagen, dass die Anfragen verschlüsselt vorgenommen werden müssen“, erklärte Balint Gyemant, Chief Product Officer von mailbox.

Insgesamt erreichten Mailbox.org im Jahr 2025 74 Auskunftsanfragen, davon 63 per Mail und davon wiederum 27 unverschlüsselt. Weitere sechs waren aus sonstigen Gründen unrechtmäßig. „Erfreulich ist, dass uns 2025 erstmals keine Anfragen mehr per Fax erreichten. Dies war noch bis 2024 der Fall, obwohl Auskunftsanfragen per Fax eigentlich schon seit 2021 untersagt sind“, sagte Gyemant.

Der Großteil der Auskunftsanfragen an Mailbox.org kam von deutschen Behörden, nur drei stammten von anderen EU-Staaten und eine Anfrage kam von außerhalb der EU. 72 Anfragen wurden im Rahmen der Strafverfolgung gestellt, zwei durch Nachrichtendienste. Nur zwei bezogen sich auf eine Postfachbeschlagnahmung, bei allen anderen ging es um Bestandsdatenabfragen.

Immerhin scheint es bei manchen Behörden einen gewissen Lerneffekt zu geben: In 15 Fällen hätten Ermittlungsbehörden unverschlüsselt übertragene Anfragen nachträglich korrigiert, sodass mailbox.org insgesamt 56 Anfragen beantwortete. 18 Anfragen wurden aber nicht korrigiert und daher abgewiesen. Der Großteil der Anfragen sei 2025 wie im Vorjahr per E-Mail mit PGP verschlüsselt eingegangen. Im Vorjahr wies der Mailanbieter noch eine Quote der Abweisungen von 30 Prozent aus.

Posteo: 27 Beschwerden bei Datenschutzbeauftragten

Posteo zählt für das Jahr 2025 insgesamt 85 Ersuchen, bei denen man nach Prüfung durch die eigenen Anwälte 35 als nicht korrekt einstufte. Das entspricht einer Quote von rund 41 Prozent. Auch hier scheint die Verschlüsselung ihrer Anfragen ein Hindernis für viele Behörden darzustellen: Posteo gibt nämlich an, 2025 27 Beschwerden bei Landesdatenschutzbeauftragten oder Behörden wegen rechtswidrigem, unverschlüsseltem Übermitteln der Behördenersuchen eingereicht zu haben. Ebenfalls sind Beschwerden wegen rechtswidriger Ersuchen nach Verkehrsdaten wie IP-Adressen geplant.

Wie bei mailbox.org richtete sich auch bei Posteo die Mehrzahl der Anfragen, nämlich 72, auf Herausgabe von Bestandsdaten. In vier Fällen ging es um Postfachbeschlagnahmungen, bei zweien um TKÜ, also die Überwachung eines Postfachs für einen bestimmten Zeitraum. In sieben Fällen blieb unklar, was das Anliegen der Behörden war. Auch bei Posteo kamen mit 81 Ersuchen die deutliche Mehrheit von Strafverfolgungsbehörden, vier von Nachrichtendiensten. Mit 79 Anfragen stammte die Mehrzahl von deutschen Behörden.

Anders als Mailbox.org nennt Posteo auch die Zahl der Fälle, in denen Daten herausgegeben wurden: 2025 waren es nur zwei, und zwar jeweils die Herausgabe von Inhaltsdaten im Rahmen einer TKÜ, die nach richterlichem Beschluss erfolgte. Herausgabe von Bestands- und Bezahldaten gab es keine, da die abgefragten Accounts offenbar anonym eingerichtet worden sind, was bei Posteo gegen Bargeldzahlung per Post möglich ist.

Posteo veröffentlicht seit 2014 seine Transparenzberichte und beklagt seitdem auch die Missstände bei Anfragen durch die Behörden, etwa weil darin sensible Daten unverschlüsselt übertragen wurden, die Ersuchen an den Kundensupport gingen und Ähnliches. Einige Fälle finden sich auf der Seite des Transparenzberichts dokumentiert.

Behörden nutzen selber Tuta-Accounts

Anders ist die Lage beim ebenfalls auf Datenschutz ausgerichteten Hannoveraner Mail-Anbieter Tuta (ehemals Tutanota). Der aktualisiert seinen Transparenzbericht halbjährlich und hat laut Zahlen von Anfang Januar insgesamt 75 Prozent aller Behördenersuchen abgewiesen. Die meisten Anfragen gehen auch hier auf Bestandsdaten, im zweiten Halbjahr 2025 waren es 165 Anfragen, bei denen in 19 Fällen Bestandsdaten freigegeben wurden.

Allerdings erfasst Tuta die Gründe für die Ablehnung nicht systematisch, erklärte eine Sprecherin des Unternehmens. Überwiegend würden keine Daten ausgeliefert, weil der angefragte Account nicht oder nicht mehr existiere oder weil die Anfrage fehlerhaft beziehungsweise ungerechtfertigt sei. Das Problem mit unverschlüsselten Anfragen komme allerdings fast gar nicht vor, da die Behörden sich selbst einen Tuta-Account erstellen. Damit könnten sowohl die Anfrage als auch die Auslieferung von Daten Ende-zu-Ende-verschlüsselt per Tuta Mail stattfinden.

(axk)

Admins, die PCs in Firmen mit BeyondTrust Remote Support oder Privileged Remote Access verwalten, sollten die Fernwartungssoftware umgehend auf den aktuellen Stand bringen. Derzeit nutzen Angreifer eine Schwachstelle aus, über die Schadcode auf Systeme gelangt.

Hintergründe

Vor den Attacken warnt ein Sicherheitsforscher von watchTowr auf X. Er weist darauf hin, dass, wenn Systeme nicht gepatcht sind, sie mit hoher Wahrscheinlichkeit kompromittiert sind. Entdeckt haben die „kritische“ Lücke (CVE-2026-1731) Sicherheitsforscher von Hacktron.

Die gegen die derzeit laufenden Attacken abgesicherten Versionen Remote Support 25.3.2 und Privileged Remote Access 25.1.1 sind seit wenigen Tagen verfügbar, aber offensichtlich noch nicht flächendeckend installiert. Weil der Support für Versionen vor 21.3 und 22.1 eingestellt wurde, gibt es keine Sicherheitspatches mehr. Erst nach einem Upgrade auf eine aktuelle Version stehen die Updates zum Download bereit.

Bei SaaS-Kunden wurden die Patches seitens des Softwareherstellers installiert. Admins von On-Prem-Instanzen müssen jetzt handeln. Die Sicherheitsforscher von Hacktron geben an, dass rund 8500 potenziell verwundbare On-Prem-Instanzen öffentlich erreichbar sind.

Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Im Anschluss können Angreifer die volle Kontrolle über Computer erlangen. Dabei sollen Angreifer get_portal_info auslesen, um Zugriff auf X-Ns-Company-Identifier zu bekommen. Im Anschluss richten sie einen WebSocket ein. Danach können sie Schadcode ausführen. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Unklar ist auch, an welchen konkreten Parametern Admins bereits attackierte Instanzen erkennen können.

(des)

Stell dir vor, du wirst von deinem Ex-Partner verfolgt. Er lauert dir immer wieder auf, fängt dich vor dem Kino ab oder setzt sich im Zug neben dich, um dir Gespräche aufzuzwingen. Über ein Browser-Interface sieht er, wo du bist, und erfährt intimste Details aus deinem Leben.

Für viele Frauen ist das Realität. Jede 100. Frau in Deutschland ist in den vergangenen fünf Jahren mit digitalen Tools gestalkt worden, das zeigt eine aktuelle Studie des Bundeskriminalamtes.

Spionage-Apps, AirTags, GPS-Tracker und andere technische Hilfsmittel gehören heute zum Standardrepertoire von Stalkern. Dabei sind die Spionage-Apps besonders heimtückisch. Mit ihnen braucht man keine Ortungsgeräte und keine Wanzen, um eine Person zu überwachen. Sie machen das Mobiltelefon zu einem multimedialen Kontrollinstrument. Zu einem, das die Betroffenen ganz freiwillig mit sich tragen.

Betroffene, die zur Polizei gehen, bekommen dort oft nur Unverständnis entgegengebracht. Das Wissen darum, dass derartige Spionage-Programme leicht zugänglich sind, ist noch viel zu wenig verbreitet. Expert*innen fordern Schulungen für Ermittler*innen, sowie Protokolle, die sie darauf verpflichten, bei der Erfassung häuslicher Gewalt immer auch eine mögliche digitale Ebene mitzudenken. Eigentlich müsste jede Stelle, die mit gewaltbetroffenen Personen in Kontakt kommt, eine Vorstellung davon haben, was digitale Gewalt bedeutet und was zum Schutz der Betroffenen zu tun ist.

Und wieso sind Programme, die es ermöglichen, andere heimlich über ihr eigenes Telefon auszuspionieren, in Deutschland überhaupt legal erhältlich? Die Nutzung von Spionage-Apps ist mit sechs Monaten bis fünf Jahren Haft hinreichend strafbewehrt. Aber um sie wirklich eindämmen zu können, muss die Bundesregierung auch die Hersteller*innen der Tools ins Visier nehmen. Spielzeug beispielsweise, das heimlich Audio- oder Videoaufnahmen machen kann, ist illegal. Das gleiche sollte für Apps gelten, die ein Smartphone zu einer solchen Abhöranlage machen.

Gesetzeslücken schließen, Unterstützung ausbauen

Die schwarz-rote Regierungskoalition hat in ihrem Koalitionsvertrag versprochen, diese Gesetzeslücke zu schließen. Die Überwachungs-Tools sollen demnach regelmäßig das Einverständnis der Besitzer*innen der betroffenen Telefone abfragen müssen. So könnten Eltern, wenn es denn unbedingt sein muss, ihre Kinder weiter überwachen. Es wäre aber sehr viel schwerer, eine Partnerin oder Ex-Partnerin heimlich und illegal auszuspionieren. Bisher sind es nur Versprechen und Pläne, passiert ist noch nichts.

Mindestens ebenso wichtig wie die Regulierung und Strafverfolgung wäre aber noch eine dritte Ebene im Kampf gegen digitale Gewalt, eine, die noch früher ansetzt: die Unterstützung der Betroffenen. Derzeit gilt: Wer fürchtet, digital ausgespäht und gestalkt zu werden, braucht IT-affine Freunde und Glück. Es gibt nach wie vor zu wenige Beratungsstellen für digitale Gewalt. Solche Anlaufstellen zu schaffen und diese mit genug Geld und kompetentem Personal auszustatten, das sollte jetzt höchste Priorität bekommen.

Das kostet viel Geld. Aber es ist nicht verhandelbar. Deutschland hat die Istanbul-Konvention unterzeichnet und sich damit dazu verpflichtet, alles dafür zu tun, um geschlechtsspezifische Gewalt zu bekämpfen, Betroffenen Schutz und Unterstützung zu bieten und Gewalt zu verhindern. Jetzt muss es diese Verpflichtung auch umsetzen.