Spam statt Mülleimer: Öfter, als man denkt, landen vertrauliche E-Mails bei den Mitarbeitern von E-Mail-Anbietern

1. Vertraulichkeit aufgehobenVertraulichkeit aufgehoben

Öfter, als man denkt, kommt es offenbar vor, dass vertrauliche Nachrichten als Spam markiert werden, obwohl sie einfach nur gelöscht werden sollten. Darauf hat uns ein Admin eines E-Mail-Anbieters vertraulich hingewiesen. Denn was viele nicht wissen: Spam-Bekämpfung funktioniert immer noch oftmals manuell. Außerdem gibt es häufig sogenannte Feedback-Loops: Wenn ein Empfänger eine E-Mail als Spam markiert, kann sie an den E-Mail-Anbieter des Versenders zurückgeleitet werden, der sie dann möglicherweise manuell überprüfen muss. Was bei echten Spamnachrichten erwünscht ist, kann bei massenhafter Verwechslung mit dem Mülleimer zu einem echten Datenschutzfiasko werden. Und das ist wohl besonders oft bei Microsoft Outlook der Fall. So ist es offenbar vorgekommen, dass hochgradig sensible Aufzeichnungen aus einem psychologischen Gespräch zwischen Arztperson und Patient bei einem Mitarbeiter des E-Mail-Anbieters des Versenders auf dem Bildschirm auftauchten, weil sie versehentlich als Spam markiert wurden. Wir haben versucht, dem genauer auf den Grund zu gehen.

2. Was passiert technisch, wenn man eine E-Mail als Spam markiert?

Spam-Erkennung ist mitunter eine ziemlich komplexe Sache. Wir haben zahlreiche Anbieter kontaktiert, damit sie es uns ein bisschen genauer erklären, aber nur Posteo hat auf unsere Fragen geantwortet. Mailbox.org, Google und Apple haben gar nicht geantwortet, Microsoft hat uns auf seine umfangreiche Administrator-Dokumentation zu dem Thema hingewiesen und GMX hat auf Rückfragen nicht geantwortet, aber besitzt ebenfalls eine gute Anwenderdokumentation. Aus diesen Informationen lässt sich aber bereits eine ziemliche Bandbreite an Maßnahmen erklären. Fangen wir mal mit Posteo an.

2.1 Posteo: Nur Hash-Werte

Posteo Spambutton

Der Spam-Button bei Posteo ist relativ gut gegen Fehlbedienung gesichert, als Pulldown unter dem Löschen-Button. Wenn man so bei Posteo eine E-Mail als Spam markiert, dann wird nach Auskunft des Anbieters lediglich ein Hashwert der E-Mail gespeichert und an Posteo gesendet.

Was ist ein Hash?

Ein Hash ist eine Abbildung, die ähnlich wie eine Quersumme nicht mehr zurückgerechnet werden kann, aber trotzdem (meist) eindeutig ist.

Weder Posteo-Mitarbeiter und schon gar nicht andere E-Mail-Dienste bekommen so jemals Inhalte der Nachricht zu sehen. Von einer einmaligen Spam-Markierung wird auch noch keine Spam-Sperre gegen E-Mails mit diesem Fingerabdruck ausgelöst, aber wenn die gleiche E-Mail häufiger markiert wird, dann werden weitere E-Mails mit diesem Hash vor der Zustellung herausgefischt.

2.2 GMX: Manuelle Kontrolle nur auf ausdrücklichen Wunsch

Bei GMX (und den dazugehörigen Portalen web.de und 1und1.de) gibt es standardmäßig auch einen Basis-Spamschutz. Dieser vergleicht automatisiert, ob die E-Mail verdächtige Schlüsselwörter, Spam-Adressen oder andere Auffälligkeiten im Header enthält. Hier wird also ausschließlich auf bereits zuvor kategorisierte Informationen zurückgegriffen und die E-Mail nicht für das Training des Spamschutzes verwendet. Ein Feedback-Loop, also die Benachrichtigung des E-Mail-Providers des Versenders, kann standardmäßig vorkommen, wenn der Empfänger bei GMX die E-Mail als Spam markiert. Im Standard-Spamschutz werden aber nur folgende Daten an den E-Mail-Anbieter des Absenders geleitet:

  • Der Zeitpunkt der Ankunft der E-Mail im GMX-Postfach
  • Die E-Mail-Adresse des Absenders
  • Relevante Informationen wie der Typ des Inhalts und die Zeichencodierung (zum Beispiel UTF-8)

Eine solche Rückmeldung geschieht auch nur an solche Anbieter, die von GMX als vertrauenswürdig eingestuft wurden. Welche das genau sind, erfährt man aber nicht. Klar ist aber, dass dabei auch die Mitglieder der Certified Senders Alliance dabei sind. Diese Unternehmen aus der Direktmarketingbranche kooperieren mit GMX und wollen sicherstellen, dass trotz ordentlicher Opt-In-Verfahren keine Mailings als Spam markiert werden, weil die Leute sich aus Bequemlichkeit oder fehlendem Vertrauen nicht abmelden wollen.

Neben dem Basis-Spamschutz gibt es bei GMX aber noch weitere Optionen: Wenn ein User ausdrücklich in eine erweiterte Spam-Analyse einwilligt, können die Inhalte von Spam-E-Mails auch für das Trainieren der Spamerkennung verwendet werden. Neben einer automatisierten Analyse kann es dabei auch vorkommen, dass Mitarbeiter manuell in die E-Mail reinschauen. GMX weist nochmals extra darauf hin, dass die Mitarbeiter selbstverständlich einer Verschwiegenheitsvereinbarung unterliegen.

GMX Einstellungen

Hinweis

Bei diesen freiwilligen Einstellungen muss man allerdings aufpassen, denn bei dem zweiten Abschnitt geht es um echte und persönlich adressierte E-Mails, die nur fälschlicherweise als Spam erkannt wurden. Wer hier einwilligt, sollte also zu 100 % einer von diesen Nichts-zu-verbergen-Typen sein.

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

2.3 Microsoft: Sollen sich doch die Absender-Anbieter drum kümmern

Bei Microsoft ist es schließlich kaum möglich, klare Aussagen zu treffen, da die Möglichkeiten der Dienste und ihre Konfiguration kaum zu überblicken ist. Microsoft bietet ja nicht nur Endnutzeradressen unter live.com, sondern auch Exchange-Mailserver und zahlreiche Offline- und Onlinevarianten von Outlook und/oder Office365 an. Bei letzteren kann es auch darauf ankommen, wie ein Administrator die Spam-Erkennung konfiguriert hat. Fest steht allerdings, dass es bei Microsoft auch einen Feedback-Loop gibt, der die komplette, als Spam markierte E-Mail an den Anbieter zurücksendet. Dieser freiwillige Service nennt sich Junk Mail Reporting Program und wendet sich ausschließlich an professionelle E-Mail-Anbieter, die sich nach umfassender Prüfung dort registrieren können. Man kann sich vorstellen, dass für kleinere Diensteanbieter durchaus ein gewisser Zwang besteht, dort teilzunehmen, da Microsoft andernfalls bei häufigem Spamversand gleich alle eingehenden E-Mails von einem Anbieter sperren kann. Offenbar wird das Tool auch relativ großzügig ohne vorherige technische Vorprüfung eingesetzt, sodass die Drittanbieter dann beständig Nachrichten klassifizieren müssen, die eindeutig kein Spam sind. Posteo teilte uns allerdings mit, dass man an dem Programm nicht teilnehme. Möglicherweise hat man als Bezahlanbieter auch ein geringeres Problem mit Spam-Konten als andere kostenlose Anbieter.

3. Irreführende Buttons möglicherweise die Ursache

Outlook Spambutton

Nachdem wir kaum Ansprechpartner zu diesem Thema finden konnten, können wir natürlich kaum einschätzen, ob es bei Outlook wirklich häufiger zu falschen Spam-Markierungen und damit zur unbeabsichtigten Offenlegung ganzer E-Mails gegenüber internen oder externen E-Mail-Anbieter-Mitarbeitern kommt als bei anderen E-Mail-Lösungen. Was wir allerdings nachvollziehen konnten, waren extrem irreführende Buttons bei einer Office365-Installation. Gut vorstellbar, dass viele Anwender statt des Papierkorbs das rote Verbotsschild wählen, wenn sie eine E-Mail löschen wollen.

4. Fazit und Einordnung

Spamfilter sind hilfreich und auf sie aus Datenschutzgründen zu verzichten wäre vermutlich keine gute Idee. Dass Microsoft mit seinen Buttons einen groben Fehler macht, der Hauptursache für zahlreiche falsche Spam-Einordnungen sein könnte, ist für mich offensichtlich. Eine rechtliche Einschätzung des Vorgangs darüber hinaus ist schwierig. Das Problem entsteht ja in dem Moment, in dem eine Person irrtümlich eine Spam-Analyse in Auftrag gibt und möglicherweise sogar erwartet, dass die E-Mail zum zukünftigen Schutz dann manuell gelesen und bearbeitet wird. Ob sie das ohne Einwilligung des Absenders darf, ist schon bei einer echten Spam-E-Mail eine schwierige Frage, bei einem Irrtum noch viel mehr. Ansonsten wäre die juristische Kernfrage, ob und wie weit eine Analyse auch beim Anbieter des Absenders noch von TTDSG §3(3) gedeckt ist. Dieser besagt sinngemäß, dass die E-Mail-Betreiber den Inhalt der E-Mails für den Betrieb und den technischen Schutz des Systems verarbeiten dürfen – aber nicht darüber hinaus. Wenn man das eng fasst, wäre gar kein Spamschutz möglich, sondern nur noch eine Virenanalyse.

Die Frage ist für mich daher eher, ob wir, wenn wir eine E-Mail versenden, uns wirklich darüber im Klaren sind, dass ein Mitarbeiter auf dem Weg dazwischen diese E-Mail lesen kann. Hacker haben immer wieder das Bild von der Postkarte genutzt, weil das System technisch keinen Schutz gegen ein Mitlesen enthält. Wer sich das in der Praxis bisher nicht so recht vorstellen wollte: Die manuelle und irrtümliche Spamfilterung ist wohl das beste Beispiel dafür, dass es eine tägliche Praxis ist, dass sensible E-Mails von Mitarbeitern bei genau den beiden Diensten gelesen werden, denen man eben ohnehin vertrauen muss, wenn man E-Mails versendet. Wirkliche Privatsphäre bietet hingegen nach wie vor nur eine konsequente Ende-zu-Ende-Verschlüsselung.

Bildquellen:

Email: Smashicons from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Eberl

Matthias Eberl

Matthias Eberl ist freiberuflicher Multimedia-Journalist und schreibt außerdem für verschiedene Publikationen über Datenschutz-Themen. Für Journalisten gibt er auch Kurse im Bereich Informantenschutz. Er ist als Datenschutzbeauftragter von der IHK zertifiziert.

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion
HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.