Kuketz-Blog 🛡Mar 7

Proton hat Zahlungsdaten eines Nutzers ans FBI weitergegeben – über den Schweizer Rechtsweg, aber mit demselben Ergebnis.

Die Lehre: Verschlüsselung schützt Inhalte, nicht Identitäten. Wer mit Kreditkarte zahlt, hinterlässt Spuren – egal wie gut das Marketinggeblubber klingt. Anonymität und Kreditkartenzahlung schließen sich aus.

Wer es ernst meint: Bargeld. #Mullvad zeigt, dass es geht. Aber die meisten Dienste bieten diese Option leider nicht an.

Proton ist kein schlechter Dienst. Aber kein Anbieter kann sich internationaler Rechtshilfe entziehen. Wer das erwartet, hat ein falsches Bedrohungsmodell.

Fazit: Erst Bedrohungsmodell definieren, dann Tool wählen – und genau hinschauen, wie man bezahlt.

#Proton #Datenschutz #Anonymität #OpSec

Show threadKuketz-Blog 🛡
Hinweis/Korrektur: Auch bei Proton kann man offenbar mit Bargeld bezahlen.
Mar 8 at 6:17amWeb
Show threadOkunaMar 8
@kuketzblog Und Bitcoin
Show threadKuketz-Blog 🛡Mar 8

@Okuna Ja, sieht man auf dem Screenshot.

Aber: Mit Bitcoin kann man nicht wirklich anonym, sondern nur bedingt privat bezahlen. Mit genug Analyse lassen sich viele Transaktionen Personen zuordnen.

Show threadOkunaMar 8
@kuketzblog danke für den Hinweis. Ich kenne Chanalysis und was die so treiben und ich weiß, dass Bitcoin Pseudonym ist.
Es ist meiner Meinung nach aber immer noch besser als mit Kreditkarte zu bezahlen. Wie zuvor schon geschrieben, ich glaube, wenn die Behörden wirklich wollen, können sie jeden ausfindig machen. Es ist nur eine Frage des Aufwands.
Show threadGTRzilla.ethMar 8

@kuketzblog

auch interessant dazu:

https://www.sambent.com/proton-helped-the-fbi-unmask-a-protester-then-said-they-didnt/

#proton #privacy #mail #datenschutz #protonmail

Proton Helped the FBI Unmask a Protester. Then Said They Didn't.

Proton has handed over user data in response to over 40,000 government orders since 2017. Their own transparency report shows a 94% compliance rate. Here's everything they don't want you to know, sourced from their own documents.

Sam Bent
Show threadDoerkMar 8

@GTRzilla @kuketzblog Möglicherweise ist Email auch einfach das falsche Tool. Allerdings frage ich mich gerade, wie das ausschaut, wenn man regelmäßig an Signal spendet. Macht einen das identifizierbar?

Was ich ebenfalls bedenklich finde, wie einfach es für eine Strafverfolgungsbehörde eines anderen Landes ist, an diese Informationen zu gelangen. Wir reden hier von Aktivisten, das sind weder Terroristen noch Drogenhändler oder Paedokriminelle. Ich frage mich was passiert, wenn „Recht“ vielleicht plötzlich nicht mehr „richtig“ ist, sondern nur noch das, was dem Interesse eines Staates dient.

Show threadckMar 8
@NebulaTide @GTRzilla @kuketzblog Man muss sich von dem Gedanken frei machen, dass kommerzielle Anbieter ein Interesse daran haben, die Rechte einzelner gegenüber der Exekutive zu verteidigen. Du brauchst als Polizist nicht zwingend einen richterlichen Beschluss, um an Daten zu kommen, oft reicht auch eine formlose E-Mail oder ein netter Anruf, weil der Anbieter lieber direkt freiwillig kooperiert.
Show threadDoerkMar 8

@ck @GTRzilla @kuketzblog

Dann stellt sich für mich natürlich die Frage, warum ich für einen Anbieter bezahlen sollte, der meine Daten bei der nächstbesten Gelegenheit freiwillig an die Behörden übergibt.

Show threadckMar 8
@NebulaTide @GTRzilla @kuketzblog Die Frage mag berechtigt sein, scheitert aber in der Regel daran, dass du in der Regel nicht weißt, dass es passiert. Kaum ein Anbieter befasst sich mit dem Thema konkret, niemand schreibt es in die AGB. Du kannst natürlich deine Daten bei aktivistischen Kollektiven hosten, die haben vielleicht die Werte, aber in der Regel nicht die Mittel, um so etwas dauerhaft abzuwehren. Am Ende sitzt ein Staat immer am längeren Hebel.
Show threadtomarschMar 8

@ck @NebulaTide @GTRzilla @kuketzblog Der Gag ist, dass es in den AGB steht. Bei Vorliegen von Straftaten werden (müssen) Daten an die Ermittlungsbehörden weitergegeben werden. Nur denkt niemand dabei an so etwas, wie Klima-Aktivisten.

Ich nutze neuerdings maibox.org, dort kann man auch bar zahlen, allerdings anonym - man wird nicht gezwungen, seine Identität anzugeben. Wenn man das gut durchdenkt, könnte man als John Do agieren. Die Mausl lassen sich Client-seitig verschlüsseln usw.

Show threadtomarschMar 8

@ck @NebulaTide @GTRzilla @kuketzblog Am Ende werden es aber die unverschlüsselten Mails mit mehr oder weniger personenbezogenen Daten sein, die einen doch verraten. Das ist ja, wie Abfall im Hochgeschosser - irgendwo findet sich immer ein Adressaufkleber in der Tüte.

Deshalb sollte man gar nicht online sein, wenn man Aktivist ist, das muss man anders lösen. Irgendwas wird einem immer verraten, sei es die IP-Adr. oder IMEI des Handys. Ich denke, es ist einfacher, sich vor Gaunern zu schützen.

Show threadDoerkMar 8
@tomarsch @ck @GTRzilla @kuketzblog Leider ist dem so. Irgendwann unterläuft einem ein Fehler, der einen verrät. Keine Ahnung, wie Aktivisten dann kommunizieren sollen. Vielleicht wieder tote Briefkästen…
Show threadtomarschMar 8
@NebulaTide @ck @GTRzilla @kuketzblog Ich denke, wenn sie es online tun müssen, dann nur verschlüsselt. Den Schlüssel sollte man persönlich tauschen oder in anderen Medien zusammenhangslos verstecken. Oder Messenger nutzen, die dezentral E2E funzen und die Kontakte per QR-Code verknüpft werden. Aber auch da hinterlässt man genug Datenspuren, auch wenn die Nachrichten selbst sicher sind. Für die Behörden reicht es oft aus, zu wissen, wer mit wem, wann und wo kommuniziert.
Show threadDoerkMar 8

@ck @GTRzilla @kuketzblog Dass man da selbst keinen Einfluss drauf hat, ist mir klar. Erschreckend ist aber, wie schnell sich solche Anbieter dann doch zu willfährigen Gehilfen der Ermittlungsbehörden machen. Zumindest bei einer „freundlichen Anfrage“ darf man davon ausgehen.

Früher galt die Schweiz als Bastion der Neutralität, doch auch das hat sich gewandelt. Nicht zuletzt auf Druck von außen.

Show threadSchneckbert 🐌Mar 8

Man kann hoffen dass die Metadaten, und falls unverschlüsselt auch Inhalte - nicht zu Werbezwecken analysiert werden.
E2E kann man theoretisch ja immer erreichen,
Generell sehe ich email aber nicht als Privatsphäre schützendes Medium.
Es _kann_ sicher sein, aber nicht anonym.
Die Werkzeuge für kommunikation muss man heutzutage leider enorm bedacht wählen.

(Ich verlasse Proton, wegen dem "Debakel" mit Andy Yen und kann mir das ganze für "nur" email auch einfach nicht mehr leisten.)

Show threadjosteglitz 🌱💚Mar 8
@kuketzblog Banküberweisung wäre vermutlich nicht besser gewesen als Kreditkarte?
Show threadBlaufischMar 8
@kuketzblog Welche VPN empfehlen Sie? Dennoch Proton? Mfg
Show threadLCEMar 8
@blaufisch @kuketzblog auf seiner Website findest du dazu Infos
Show threadrcrMar 8
@kuketzblog Ja, mach ich so, klappt gut.
Show threadJörg M.Mar 8
@kuketzblog Guthaben per *Banküberweisung* erwerben ... was soll das bringen?
Show threadT RexMar 8
@kuketzblog mal ganz doof gefragt: ist Bargeld, in seiner aktuellen Verwendung, nicht auch nur pseudonymisierend? Wenn ich einen Geldschein vom Automaten ziehe und mit ihm direkt bei einem solchen Dienst zahle, landet er im Anschluss doch wieder nur bei einer Bank und ließe sich recht einfach nachverfolgen. 🤔
Show threadmartinhewittpiMar 8
@nannut @kuketzblog Meines Wissens werden Banknotenseriennummern noch nicht getrackt. Aber am Besten ist wohl Muenzgeld.
Show threadBypass Blues 🌻 🇪🇺 🇺🇦Mar 8
@nannut @kuketzblog
Diese Geräte tracken deine Geldscheine
https://netzpolitik.org/2025/reise-eines-zwannis-diese-geraete-tracken-deine-geldscheine/
Reise eines Zwannis: Diese Geräte tracken deine Geldscheine

Immer wieder lesen Maschinen die Seriennummern unserer Banknoten aus. Für diese Recherche begleiten wir einen Zwanzig-Euro-Schein durch den Bargeldkreislauf und sehen, wie das Tracking zunehmend anonyme Zahlungen gefährdet.

netzpolitik.org