Cloud als Alternative
Welche Alternativen bleiben dem "normalen" Anwender, einer Bürogemeinschaft oder dem "Einzelkämpfer" in seinem Büro, wenn er sicher via E-Mail kommunizieren möchte? Auf dem Markt tauchen immer mehr Anbieter auf, die E-Mail als SaaS-Lösung (Software as a Service) direkt aus der Cloud anbieten. Im Gegensatz zu den gewöhnlichen Angeboten dieser Art liegt ihr Schwerpunkt auf Sicherheit und Anonymität. Wir stellen einige davon vor. Allerdings erhebt unsere Übersicht keinen Anspruch auf Vollständigkeit. Zudem haben wir uns auf Angebote aus Deutschland beschränkt, umsicherzustellen, dass "die Daten im Lande bleiben".
Die Lösung Tutanota aus Hannover trägt schon in ihrem lateinischen Namen, der sinngemäß übersetzt für "sichere Nachricht" steht, den Zweck dieser Open-Source-Software in sich. Der Anbieter hat es sich nach eigenen Aussagen auf die Fahne geschrieben, eine möglichst einfach einzusetzende Lösung zur Verfügung zu stellen. Das beweist er bereits bei der Anmeldung: Wer eine kostenlose, verschlüsselte Mailbox bei Tutanota nutzen will, muss nur seine Wunschadresse sowie ein Passwort angeben und anschließend das Wissen um die allgemeinen Geschäftsbedingungen und die Datenschutzerklärung bestätigen. Danach richtet ihm das System sofort eine Mailbox ein. Die Software weist dabei auf die Wichtigkeit des Passworts hin und warnt den Nutzer, dass eine Wiederherstellung bei Verlust oder Vergessen durch die Ende-zu-Ende-Verschlüsselung, die hier zum Einsatz kommt, schlichtweg nicht möglich ist.
Dieses Prinzip der Ende-zu-Ende-Verschlüsselung hält Tutanota über die ganze Software hinweg bei: So kann der Nutzer auch alle E-Mail-Nachrichten nach diesem Prinzip beim Absenden verschlüsseln. Er kann dabei direkt beim Senden ein Passwort für den Empfänger vergeben, dass der diesem dann auf einem anderen Weg mitteilen kann. Empfänger, die keine Tutanota-Mailbox besitzen können eine solche Nachricht mit Hilfe eines Browsers öffnen.
Laut Anbieter findet die gesamte Schlüsselgenerierung sowie auch das Ver- und Entschlüsseln lokal im Browser statt. Die Profi-Variante der Lösung verschlüsselt auch im Outlook-Addin. Somit begeben sich die Daten immer verschlüsselt auf ihren Weg durch das Netz. Die Software verschlüsselt dabei automatisch den Inhalt und die Anhänge der Nachrichten sowie die jeweilige Betreffzeile. Der Anbieter gibt an, dass seine Mitarbeiter aktuell noch dazu in der Lage sind, Daten wie Sender, Empfänger und Datum der E-Mails auszulesen, versichert aber, dass er diese Daten grundsätzlich unbeachtet lasse. Zudem versichert die Firma auf ihrer FAQ-Seite, dass ihre Entwickler bereits daran arbeiten, auch diese Metadaten zu verschleiern.
Als Verschlüsselung kommen AES (Advanced Encryption Standard) mit einer Schlüssellänge von 128 Bit und RSA (Rivest, Shamir und Adleman) mit 2048 Bit zu Einsatz, wobei der Anbieter ein hybrides Verfahren verwendet, das aus einem symmetrischen und einen asymmetrischen Algorithmus zusammensetzt. Werden E-Mails an externe Empfänger versendet, so verschlüsselt Tutanota diese rein symmetrisch mit AES 128 Bit.
Für private Nutzer steht die Lösung kostenlos mit 1 GByte Speicher und einer Adresse auf der Tutanota-Domäne zur Verfügung. Wer einen Euro pro Monat (bei jährlicher Zahlung) für einen Premium-Account zahlt, kann dann unter anderem auch Posteingangsregeln sowie eine eigene Domäne nutzen. Für professionelle Anwender steht zudem ein Outlook-Addin bereit, das dann die Ende-zu-Ende-Verschlüsselung regeln kann.
Auch der Anbieter aikQ setzt auf sichere Web-Mail und bietet eine Lösung im Browser. Alle Mails werden hier ebenfalls ne dass der Nutzer etwas dazu tun muss, mittels SSL/TSL-Verschlüsselung übertragen. Die Firma legt ganz besonderen Wert darauf, dass die Nutzer diesen Dienst nutzen können, ohne dass sie dabei zu viele Daten von sich preisgeben müssen: So ist es problemlos möglich sich anonym anzumelden. Das gelingt auch dann, wenn sich der Anwender nach der 30-tägigen Testphase für ein kostenpflichtiges Konto anmelden möchte, das hier ebenfalls ab einem Euro pro Monat zu haben ist. So können Anwender per Brief zahlen, wobei die Firma nach eigenen Aussagen nur die Auftragsnummer benötigt, alle anderen Daten wie Name, Adresse und so weiter können entsprechend anonymisiert sein.
Für einen Euro monatlich bekommt der Nutzer unter anderem die Möglichkeit, seine aikQ-Mailbox via POP3/IMAP auch mit seinem bevorzugten E-Mail-Client zu nutzen. 10 GByte Online-Speicher sind ebenfalls Teil dieses Angebots. Die von aikQ im Browser angebotene Oberfläche konnte uns im Test durch ihre Übersichtlichkeit und gute Benutzerführung überzeugen. Wer verschlüsselte Nachrichten absetzen möchte, kann direkt im Bereich "Schlüsselbund" ein solches für seinen E-Mail-Konto beantragen. Das funktionierte aber leider wegen eines "unbekannten Fehlers" in unserem Test-Account nicht. Ansonsten muss der Nutzer hier selbst die entsprechenden öffentlichen Zertifikate anderer Nutzer importieren und verwalten, mit denen er verschlüsselte Nachrichten austauschen will. Damit ist es nicht ganz so einfach wie bei Tutanota, eine verschlüsselte Botschaft zu übermitteln.
Abgerundet werden unsere Beispiele durch die Lösung des Anbieters Posteo aus Berlin. Seine Mission macht der Provider gleich auf der Eingangsseite klar, indem er seine Lösung als "Grün, sicher, werbefrei" bezeichnet. Für einen Euro pro Monat erhält der Nutzer bei Posteo ein Postfach in der Größe von 2 GByte, kann Anhänge in einer Größe von bis zu 50 MByte versenden und empfangen. Der Nachrichtenzugriff erfolgt via POP3/IMAP oder per Web-Frontend auf seine Nachrichten zugreifen. Einen etwas eingeschränkten Test für ein neues Kontos stellt Posteo für 14 Tage bereit.
Posteo erhebt keine persönlichen Daten, so dass Anmeldung und Betrieb der Mailbox komplett anonym möglich sind. Da Posteo nach eigenen Angaben grundsätzlich keine Bestandsdaten der Kunden erhebt und nach eigenem Bekunden aus Gründen der Datensparsamkeit auch nicht erheben will, verzichtet die Firma darauf, ihren Kunden eine Möglichkeit zu bieten, die Lösung mit einer eigenen Mail-Domäne zu verknüpfen.
Bei der Übertragung werden alle Zugriffe via POP3/IMAP ausschließlich verschlüsselt via TSL (Transport Security Layer) unterstützt durch PFS (Perfect Forward Secrecy.
Fazit: Viele Möglichkeiten direkt aus Deutschland
Wer seine E-Mail-Nachrichten sicher, verschlüsselt und vielleicht sogar anonym versenden will, der findet im Internet eine ganze Reihe von Anbietern auch aus Deutschland, die sich auf diese Thema spezialisiert haben. Uns ist positiv aufgefallen, dass sich die Anbieter dem Thema sichere E-Mail und Verschlüsselung widmen und versuchen, den Anwendern eine einfach einzusetzende Lösung für ein möglichst sicheres E-Mail-Konto an die Hand zu geben. Ebenfalls positiv: Fast alle Anbieter stellen ihre Software für eine kostenlose Testphase zur Verfügung. Nur wer eine dieser Lösungen in seine eigene Domäne integrieren will, muss etwas länger suchen, da damit natürlich Einschränkungen in Bezug auf die Anonymisierung einhergehen.