Immer mehr E-Mails landen immer häufiger auf den Mailservern von Google in den USA. Warum? Weil immer mehr Firmen die Mail-Infratruktur von Google nutzen.
Schreibt man eine E-Mail und klickt auf senden macht man sich in der Regel kaum Gedanken darum, was genau da jetzt mit eben geschriebenen Text passiert. Immer öfter landen E-Mail direkt bei Google bzw Postini (was auch wieder google zu sein scheint), weil die Empfänger vermutlich keine Lust oder Interesse haben einen eigenen Mailserver zu betreiben.
Ich frage mich nun folgendes: Ab und zu habe ich mit Firmen zu tun, die ein NDA von mir abverlangen. Sie wollen außerdem sicher sein, dass ich keine Daten an dritte weitergebe. Ob man mit Google eine Auftragsdatenvereinbarung aushandeln kann? Vermutlich nicht. Wenn ich also eine E-Mail verschicke; woran kann ich erkennen wie und wo die E-Mail verarbeitet wird? An der TLD (Topleveldomain) vielleicht ? Nein. Da muss man schon http://mxtoolbox.com/ zu befragen und dann auch noch verstehen können, wie E-Mail überhaupt funktioniert.
Hier nun ein Beispiel für die Auswertung einer Domain. Bei MXtoolbox.com braucht man nur den Domainnamen eingeben und erhält dann eine Übersicht der Mailserver, die letztlich die finale Verarbeitung der E-Mail übernehmen.
Der Server mit der niedrigsten Präferenz (lowest MX) wird die E-Mail in einer Mailbox kopieren und für den User zum abholen bereithalten.
An den den Hostnamen erkennt man dann auch sehr schön, wer da für die E-Mail Verarbeitung seine Finger im Spiel hat. Hier psmtp.com AKA postini.com AKA google.com. Somit gehen E-Mails für diese Domain direkt in die USA und werden ganz sicher gescannt. Ob man das nun möchte oder nicht.
Wie kann ich als Firma nun ein Zusagen darüber abgeben, dass die Daten nicht an Dritte weitergegeben werden, wenn ich als Google-Apps User eigentlich genau weiß: Alles was ich per E-Mail durch die Gegend schicke wird in den USA vermutlich untersucht/gescannt (zu Werbungszwecken) und kann nach 180 Tagen von der Polizei in den USA mit einer einfachen schriftlichen Anfrage komplett gelesen für Ermittlungen jeder Art herangezogen werden. Es braucht dafür nicht mal einen Richter! Eine einfache schriftliche Anfrage reicht.
Genau. Richtig gelesen. Nach 180 Tagen gelten E-Mails in den USA als ‚verlassen‘: Electronic Communications Privacy Act.
Ein Grund mehr langsam aber sicher mit PGP/GnuPG anzufangen, sich damit auseinander zu setzen bzw diese Technik direkt anzuwenden. Und vor allen dingen: Als Firma einen eigenen Mailserver zu betreiben. Es lohnt sich. Wirklich.
Links: http://www.gnupg.org/download/, http://www.enigmail.net/
Zuletzt bearbeitet am 17.07.2013