Mitlesen unerwünscht – ein Erfahrungsbericht zum E-Mail-Anbieter Posteo

Lieber NSA-Mitarbeiter, bitte jetzt nicht mehr weiterlesen!

Ein Versuch war es wert, unerwünschte Leser ausschließen wird es wohl kaum… Wie schütze ich mich aber effektiv vor Mitlesern und Spionageattacken? Seit der Enthüllung der NSA-Überwachungspraktiken erfahren alternative E-Mail-Anbieter starken Zulauf. Wer seine Privatsphäre schützen möchte muss sein Verhalten im Internet ändern. Auf ein sicheres E-Mail-Postfach umzusteigen ist nur ein Schritt von vielen. Doch wie viel Sicherheit bieten alternative E-Mail-Provider wirklich?

Abhörsichere Email
Welche Verschlüsselungsmöglichkeiten gibt es für die Email-Kommunikation?

Abhörsichere E-Mail-Postfächer

Mittlerweile ist bekannt, dass die Spähprogramme Prism und Tempora nur die Spitze des Berges sind. Das Programm XKeyscore ist dem Whistleblower Edward Snowden zufolge weitaus mächtiger. Es wertet gesammelte Daten aus und erstellt Verhaltensprofile. Einzig und allein eine E-Mail-Adresse braucht der NSA-Mitarbeiter in seine Suchmaske eingeben, um eine Übersicht aller Internetaktivitäten zu erhalten: Mit welcher E-Mail-Adresse schreibe ich wem, auf welchen Internetseiten bleibe ich meist hängen, wie sieht mein Kaufverhalten aus und was kürzlich heruntergeladen. Wer nicht alles von sich preis geben möchte, wechselt zu einem Internet-Dienstleister, der auf Datenschutz Wert legen. Meist sind es noch kleine Anbieter, die mit Diensten werben, bei denen der Nutzer anonym bleibt.

Startmail

Startmail LogoDie Betreiber von Ixquick kündigen in den USA einen E-Mail-Dienst an, der die PGP-Verschlüsselung integriert. Ixquick ist eine der sicheren Google-Alternativen, deren Nutzerzahlen ebenfalls mit der Snowden-Enthüllung deutlich anstieg. PGP, kurz „pretty good privacy“, ist eine Ende-zu-Ende-Verschlüsselung, die es mir seit 1995 ermöglicht, den Inhalt meiner E-Mail vor Schnüfflern zu sichern – vorausgesetzt ich nutze einen E-Mail-Client wie beispielsweise Mozilla Thunderbird oder Microsoft Outlook. Das Neue beim Webmail-Dienst Startmail: Ich kann nun auch E-Mails verschlüsseln, die ich über den Webbrowser verschicke.

Startmail verschlüsselt zusätzlich auch die Postfächer – als Vorsichtsmaßnahme, falls die Server beschlagnahmt werden sollten. Um das Patriot-Act-Gesetzt zu umgehen, baut der US-amerikanische E-Mail-Anbieter die Server in Europa auf. Das Unternehmen ist so nicht gesetzlich verpflichtet, den US-Behörden Zugriff auf die Server zu gewähren.

Noch ist Startmail in der Testphase. In Deutschland, Österreich und der Schweiz soll der Dienst erst im Winter online gehen. Beim US-Nachbarn Kanada gibt es bereits seit 1999 einen Anbieter, der einen sicheren und anonymen elektronischen Schriftverkehr gewährleistet.

Hushmail

Hushmail LogoHushmail hat sich seit der Gründung im Jahre 1999 vor allem am amerikanischem Markt etabliert und bietet wie Startmail eine PGP-Verschlüsselung der Emails an. Das Besondere an Hushmail ist zum Einen die Gratis-Version der Verschlüsselungsdienstleistung – diese erfordert jedoch die aktive (Browser-)Nutzung des hush.com-Accounts, d.h. man muss sich spätestens alle drei Wochen einmal an der Weboberfläche angemeldet haben um den kostenfreien Betrieb aufrecht zu erhalten. Verpasst man die Frist wird das Konto gesperrt und nur gegen Abschluss eines Premium-Mitgliedschaft wieder zugänglich gemacht.

Andererseits bietet Hushmail zusätzlich zur PGP-Verschlüsselung auch die Option, Empfängern ohne passendes Schlüsselpaar eine geschütze Nachricht zukommen zu lassen. Dafür wird der Mail-Inhalt vor Versand mit einem Passwort verschlüsselt und bei Hushmail hinterlegt. Der Empfänger kann dann über die korrekte Passwort-Eingabe die Nachricht wieder entschlüsseln. Dies ist natürlich nur ein ‚workaround‘ und keine valide Email-Kommunikation – die gleiche Funktionalität gibt es auch bei Anbietern wie Privnote.

Kritik an Hushmail kam im Zuge von mehreren US-Gerichtsverfahren auf. Auf Drängen der strafverfolgenden Behörden griff der Anbieter auf die Kommunikation der betroffenen Nutzer zu und war in der Lage, die Nachrichten trotz Codierung dem Gricht entschlüsselt zu übergeben (vgl. dazu diesen Bericht auf CyberCrimeReview). Inwiefern dann noch von einer sinnhaften Verschlüsselung gesprochen werden kann ist offen.

Posteo

Posteo LogoIn Deutschland muss sich Startmail erst gegenüber etablierten Anbietern beweisen. Das Berliner Unternehmen Posteo, bietet seit 2009 sichere E-Mail-Postfächer an. Was so ein Postfach kann, haben wir nachfolgend etwas genauer untersucht.

Erfahrungsbericht zum sicheren Emailverkehr mit Posteo

Datenverschlüsselung ist das eine – genauso wichtig ist es, dass eine reale Person nicht mit ihren E-Mails in Verbindung gebracht werden kann. Eine Verschlüsselung verhindert zwar das Mitlesen, zapfen Daten-Schnüffler die Leitungen an, wissen sie aber dennoch, von wem und an wen eine E-Mail gesendet wird. Wer sich hinter Absender und Empfänger verbirgt, bleibt nur mit einem anonymen E-Mail-Account verborgen. Posteo bietet anonyme Postfächer an. Wie das Berliner Unternehmen sicher stellt, dass ich mit meiner E-Mail-Adresse nicht in Verbindung gebracht werde, zeigt schon das Anmeldeverfahren.

Anmeldung in drei Schritten

Erster Schritt: Ich suche mir eine E-Mail-Adresse aus, die auf @posteo.de endet – sie sollte natürlich nicht meinen Vor- und Zunamen enthalten. Nach Personendaten wird nicht gefragt. Dann sichere ich den Account mit einem Passwort. Optional kann ich auch eine Handynummer angeben, falls ich mal mein Passwort vergessen haben sollte. Wer anonym bleiben möchte, muss sich das Passwort aufschreiben, denn anhand der Handynummer lassen sich via Handyvertrag Rückschlüsse auf die reale Person ziehen.

Großer Vorteil: Das E-Mail-Postfach kommt gänzlich ohne Werbung aus. Posteo finanziert sich über einen kleinen Obolus von einem Euro pro Monat.

Deshalb zweiter Schritt: Ich wähle die Zahlungsart. Die Gebühr muss ich ein Jahr im Voraus bezahlen – einfach per Überweisung oder Paypal. Wer anonym bleiben will, schickt das Geld per Post – dann aber nur 15 oder 20 Euro, also 15 oder 20 Monate im Voraus. Kleiner Tipp: Wer ein Postfach ausprobieren möchte, wählt Barzahlung. Erst nach zehn E-Mails wird die Zahlung fällig – bis dahin sind alle Funktionen des Postfaches frei.

Dritter Schritt: Ich setze ein Häkchen bei den AGB, Datenschutzrichtlinien und beim Widerrufsrecht. Fertig.

Posteo - Inbox
Screenshot der Inbox-Ansicht bei Posteo

Weitere Postfach-Features bzgl. Sicherheit und Performance

Um auch den Inhalt der E-Mails zu sichern, verschlüsselt Posteo alles, was auf ihren Servern liegt. Wer die Server beschlagnahmt, erhält also nur Datenmüll. Mit einem Klick in den Postfach-Einstellung kann ich auch meinen Kalender und das Adressbuch verschlüsseln.

Egal ob ich den Webclient oder ein eigenes E-Mail-Programm verwende – Posteo löscht alle IP-Adressen, die auf ihre Server zugreifen. Auch die IP-Adresse aus dem E-Mail-Header tilgt der Dienstleister. Damit ist meine E-Mail nicht mehr bis zu mir nach Hause zurückverfolgbar. Die Verbindungen per POP3 und IMAP sind mit SSL, TLS oder STARTTLS verschlüsselt.

Funktionen wie das Sammeln von E-Mails und Spam-Filter ist bei Posteo natürlich auch dabei. Der Spam-Filter ist etwas konsequenter als üblich: Eine E-Mail mit Spam-Verdacht kommt gar nicht erst an. Sind bestimmte Spam-Kriterien erfüllt, geht die Mail mit entsprechender Notiz direkt an den Absender zurück.

Noch zu erwähnen ist, dass die Server zu 100 Prozent Ökostrom von Greenpeace beziehen. Auch sonst ist das Unternehmen grün: Die Mitarbeiter fahren ausschließlich mit dem Fahrrad oder mit öffentlichen Verkehrsmitteln zur Arbeit, Büromöbel sind aus Recyclingmaterial oder FSC-zertifiziertem Holz und das Firmenkonto liegt bei der sozial-ökologischen GLS Bank, die das Geld nur für die Finanzierung sozialer und ökologischer Projekte einsetzt.

Mehr Offenheit statt Sicherheit

Wer nun aber glaubt, mit einem verschlüsselten E-Mail-Postfach lebe er sicherer, sollte Folgendes bedenken:

Alle Maßnahmen, unsere Kommunikation zu schützen, engen ein. Wollen wir nicht lieber in Freiheit leben und kommunizieren, ohne uns ständig selbst einschränken zu müssen? Statt für Sicherheit, lasst uns für mehr Offenheit plädieren – auch bei den Geheimdiensten! Marina Weisband (Piraten) hat ganz recht: Wenn wir nicht unbelauscht reden können, wenn wir uns selbst zensieren, dann hat der Terror gewonnen. Unüberwachte Kommunikation erwirken wir nicht durch Verschlüsselungstechniken, sondern nur durch Gesetze, also parlamentarisch.

Weiterführende Links zur Email-Verschlüsselung

  • Email-Anbieter Posteo (DE)
  • Email-Anbieter Startmail (EN, zum VÖ-Datum noch nicht verfügbar)
  • Email-Anbieter Hushmail (EN)