Eigentlich sollte es im Jahr 2016 zur Allgemeinbildung gehören, dass normale E-Mail-Nachrichten de facto keine Sicherheit bieten - und trotzdem setzen sich Verschlüsselungstechniken für E-Mail-Nachrichten nach wie vor nur langsam durch. Erst im Januar dieses Jahrs zog der Digitalverband Bitcom aufgrund einer repräsentativen Umfrage den pessimistischen Schluss, dass die Verschlüsselung von E-Mails nur langsam vorankommt. Während IT-Profis sich durchaus für den Einsatz von Lösungen wie PGP auch in der Form der Freeware GPG4win erwärmen können, ist das den meisten Anwendern zu aufwändig oder zu kompliziert.
Wir erläutern in diesem Artikel zunächst die Hintergründe dieser Problematik und stellen dann einige Online-Lösungen vor: Provider, die sichere E-Mail "as a Service" direkt aus der Cloud zur Verfügung stellen.
Sicherheitsprobleme
Die Unsicherheit der mit SMTP (Simple Mail Protocol) versendeten Nachrichten liegt nicht zuletzt daran, dass dieses Protokoll bereits vor über 30 Jahren im Jahr 1982 mittels eines RFCs (Request for Comments) zum Standard wurde - zu einer Zeit, als sich Entwickler und Nutzer noch wenig Gedanken über Sicherheit und Verschlüsselung machten.
1995 wurde das Protokoll dann durch Extended SMTP (ESMTP) im RFC 1869 erweitert und die Entwickler konnten eine Verschlüsselung über SSL/TLS (Secure Sockets Layer/Transport Layer Security) einarbeiten. Dank dieser Erweiterung ist die Vertraulichkeit der Nachricht beim Transfer während der Übertragung zum Mail-Server gesichert. Alle bekannten großen und in der Regel auch kleinen Provider in Deutschland nutzen heute diese Protokolle.
Wer sich allerdings die Mühe macht, den Netzwerkverkehr daheim oder auch im Netzwerk der Firma mit einem Sniffer-Programm wie beispielsweise WireShark zu durchleuchten, wird noch mehr als genug Übertragungen finden, bei denen es möglich ist E-Mail-Nachrichten bequem im Klartext mitzulesen. Das liegt häufig daran, dass immer noch das POP-Protokoll (Post Office Protocol) in der (immer noch gültigen!) Version 3 zum Abholen der Nachrichten vom Mail-Server verwendet wird. Standardmäßig rufen Clients, die dieses Protokoll einsetzen, die Nachrichten völlig unverschlüsselt ab. Dadurch, dass die meisten Provider in Deutschland inzwischen auch bei POP3-Accounts SSL/TLS verwenden, hat sich dieses Problem verringert. Trotzdem in diesem Zusammenhang der Tipp: Verwenden Sie nach Möglichkeit das IMAP-Protokoll (Internet Messaging Access Protocol), das in der aktuellen Version schon standardmäßig einen Verschlüsselungsalgorithmus verwendet.
Verräterische Metadaten
Schließlich empfehlen Experten häufig die händische Verschlüsselung der Daten mittels einer Lösung wie VeraCrypt oder ArchiCrypt Live gefolgt von anschließender Übersendung der verschlüsselten Container-Dateien. Damit rückt jedoch ein weiteres Problem, das erst durch die Enthüllungen von Edward Snowden und die NSA-Affäre so richtig publik wurde, ins Scheinwerferlicht. Die Kommunikation via E-Mail hinterlässt noch ganz andere Spuren: die sogenannten Metadaten. Keine der Verschlüsselungsmöglichkeiten kümmert sich darum, dass die Daten aus dem E-Mail-Header - also beispielsweise wer hat wann eine Nachricht an wen geschickt, wie oft hat er diesen Nutzer per Mail kontaktiert und so weiter -ebenfalls entsprechend geschützt sind. Wer nun meint, die Daten der Felder Absender, Empfänger, CC sowie der Zeitstempel der Nachrichten seien nicht interessant, sollte mal einen Blick auf die Seite des MIT (Massachusetts Institute of Technology) werfen. Dort wird unter der URL: https://immersion.media.mit.edu eine Web-Anwendung mit dem Namen "immersion" online zur Verfügung gestellt. Wer ein E-Mail-Konto von Google oder Yahoo beziehungsweise einen Exchange-Server verwendet, kann dann direkt sehen, was seine Metadaten so zeigen. Es stehen auch Demodaten bereit, für die Nutzer, die kein solches Konto besitzen oder ihre Daten dort nicht eingeben möchten. Die Ergebnisse sind beeindruckend und zeigen in der Übersicht recht genau, mit wem der Anwender kommuniziert hat und in welcher Verbindung er zu seinen Kontakten steht.
Cloud als Alternative
Welche Alternativen bleiben dem "normalen" Anwender, einer Bürogemeinschaft oder dem "Einzelkämpfer" in seinem Büro, wenn er sicher via E-Mail kommunizieren möchte? Auf dem Markt tauchen immer mehr Anbieter auf, die E-Mail als SaaS-Lösung (Software as a Service) direkt aus der Cloud anbieten. Im Gegensatz zu den gewöhnlichen Angeboten dieser Art liegt ihr Schwerpunkt auf Sicherheit und Anonymität. Wir stellen einige davon vor. Allerdings erhebt unsere Übersicht keinen Anspruch auf Vollständigkeit. Zudem haben wir uns auf Angebote aus Deutschland beschränkt, umsicherzustellen, dass "die Daten im Lande bleiben".
Die Lösung Tutanota aus Hannover trägt schon in ihrem lateinischen Namen, der sinngemäß übersetzt für "sichere Nachricht" steht, den Zweck dieser Open-Source-Software in sich. Der Anbieter hat es sich nach eigenen Aussagen auf die Fahne geschrieben, eine möglichst einfach einzusetzende Lösung zur Verfügung zu stellen. Das beweist er bereits bei der Anmeldung: Wer eine kostenlose, verschlüsselte Mailbox bei Tutanota nutzen will, muss nur seine Wunschadresse sowie ein Passwort angeben und anschließend das Wissen um die allgemeinen Geschäftsbedingungen und die Datenschutzerklärung bestätigen. Danach richtet ihm das System sofort eine Mailbox ein. Die Software weist dabei auf die Wichtigkeit des Passworts hin und warnt den Nutzer, dass eine Wiederherstellung bei Verlust oder Vergessen durch die Ende-zu-Ende-Verschlüsselung, die hier zum Einsatz kommt, schlichtweg nicht möglich ist.
Dieses Prinzip der Ende-zu-Ende-Verschlüsselung hält Tutanota über die ganze Software hinweg bei: So kann der Nutzer auch alle E-Mail-Nachrichten nach diesem Prinzip beim Absenden verschlüsseln. Er kann dabei direkt beim Senden ein Passwort für den Empfänger vergeben, dass der diesem dann auf einem anderen Weg mitteilen kann. Empfänger, die keine Tutanota-Mailbox besitzen können eine solche Nachricht mit Hilfe eines Browsers öffnen.
Laut Anbieter findet die gesamte Schlüsselgenerierung sowie auch das Ver- und Entschlüsseln lokal im Browser statt. Die Profi-Variante der Lösung verschlüsselt auch im Outlook-Addin. Somit begeben sich die Daten immer verschlüsselt auf ihren Weg durch das Netz. Die Software verschlüsselt dabei automatisch den Inhalt und die Anhänge der Nachrichten sowie die jeweilige Betreffzeile. Der Anbieter gibt an, dass seine Mitarbeiter aktuell noch dazu in der Lage sind, Daten wie Sender, Empfänger und Datum der E-Mails auszulesen, versichert aber, dass er diese Daten grundsätzlich unbeachtet lasse. Zudem versichert die Firma auf ihrer FAQ-Seite, dass ihre Entwickler bereits daran arbeiten, auch diese Metadaten zu verschleiern.
Als Verschlüsselung kommen AES (Advanced Encryption Standard) mit einer Schlüssellänge von 128 Bit und RSA (Rivest, Shamir und Adleman) mit 2048 Bit zu Einsatz, wobei der Anbieter ein hybrides Verfahren verwendet, das aus einem symmetrischen und einen asymmetrischen Algorithmus zusammensetzt. Werden E-Mails an externe Empfänger versendet, so verschlüsselt Tutanota diese rein symmetrisch mit AES 128 Bit.
Für private Nutzer steht die Lösung kostenlos mit 1 GByte Speicher und einer Adresse auf der Tutanota-Domäne zur Verfügung. Wer einen Euro pro Monat (bei jährlicher Zahlung) für einen Premium-Account zahlt, kann dann unter anderem auch Posteingangsregeln sowie eine eigene Domäne nutzen. Für professionelle Anwender steht zudem ein Outlook-Addin bereit, das dann die Ende-zu-Ende-Verschlüsselung regeln kann.
Auch der Anbieter aikQ setzt auf sichere Web-Mail und bietet eine Lösung im Browser. Alle Mails werden hier ebenfalls ne dass der Nutzer etwas dazu tun muss, mittels SSL/TSL-Verschlüsselung übertragen. Die Firma legt ganz besonderen Wert darauf, dass die Nutzer diesen Dienst nutzen können, ohne dass sie dabei zu viele Daten von sich preisgeben müssen: So ist es problemlos möglich sich anonym anzumelden. Das gelingt auch dann, wenn sich der Anwender nach der 30-tägigen Testphase für ein kostenpflichtiges Konto anmelden möchte, das hier ebenfalls ab einem Euro pro Monat zu haben ist. So können Anwender per Brief zahlen, wobei die Firma nach eigenen Aussagen nur die Auftragsnummer benötigt, alle anderen Daten wie Name, Adresse und so weiter können entsprechend anonymisiert sein.
Für einen Euro monatlich bekommt der Nutzer unter anderem die Möglichkeit, seine aikQ-Mailbox via POP3/IMAP auch mit seinem bevorzugten E-Mail-Client zu nutzen. 10 GByte Online-Speicher sind ebenfalls Teil dieses Angebots. Die von aikQ im Browser angebotene Oberfläche konnte uns im Test durch ihre Übersichtlichkeit und gute Benutzerführung überzeugen. Wer verschlüsselte Nachrichten absetzen möchte, kann direkt im Bereich "Schlüsselbund" ein solches für seinen E-Mail-Konto beantragen. Das funktionierte aber leider wegen eines "unbekannten Fehlers" in unserem Test-Account nicht. Ansonsten muss der Nutzer hier selbst die entsprechenden öffentlichen Zertifikate anderer Nutzer importieren und verwalten, mit denen er verschlüsselte Nachrichten austauschen will. Damit ist es nicht ganz so einfach wie bei Tutanota, eine verschlüsselte Botschaft zu übermitteln.
Abgerundet werden unsere Beispiele durch die Lösung des Anbieters Posteo aus Berlin. Seine Mission macht der Provider gleich auf der Eingangsseite klar, indem er seine Lösung als "Grün, sicher, werbefrei" bezeichnet. Für einen Euro pro Monat erhält der Nutzer bei Posteo ein Postfach in der Größe von 2 GByte, kann Anhänge in einer Größe von bis zu 50 MByte versenden und empfangen. Der Nachrichtenzugriff erfolgt via POP3/IMAP oder per Web-Frontend auf seine Nachrichten zugreifen. Einen etwas eingeschränkten Test für ein neues Kontos stellt Posteo für 14 Tage bereit.
Posteo erhebt keine persönlichen Daten, so dass Anmeldung und Betrieb der Mailbox komplett anonym möglich sind. Da Posteo nach eigenen Angaben grundsätzlich keine Bestandsdaten der Kunden erhebt und nach eigenem Bekunden aus Gründen der Datensparsamkeit auch nicht erheben will, verzichtet die Firma darauf, ihren Kunden eine Möglichkeit zu bieten, die Lösung mit einer eigenen Mail-Domäne zu verknüpfen.
Bei der Übertragung werden alle Zugriffe via POP3/IMAP ausschließlich verschlüsselt via TSL (Transport Security Layer) unterstützt durch PFS (Perfect Forward Secrecy.
Fazit: Viele Möglichkeiten direkt aus Deutschland
Wer seine E-Mail-Nachrichten sicher, verschlüsselt und vielleicht sogar anonym versenden will, der findet im Internet eine ganze Reihe von Anbietern auch aus Deutschland, die sich auf diese Thema spezialisiert haben. Uns ist positiv aufgefallen, dass sich die Anbieter dem Thema sichere E-Mail und Verschlüsselung widmen und versuchen, den Anwendern eine einfach einzusetzende Lösung für ein möglichst sicheres E-Mail-Konto an die Hand zu geben. Ebenfalls positiv: Fast alle Anbieter stellen ihre Software für eine kostenlose Testphase zur Verfügung. Nur wer eine dieser Lösungen in seine eigene Domäne integrieren will, muss etwas länger suchen, da damit natürlich Einschränkungen in Bezug auf die Anonymisierung einhergehen.