Serverstandort: Deutschland, und: Verschlüsselung – das sind die gefragten Attribute bei der Suche nach einem sichereren und vertrauenswürdigen E-Mail-Dienst. Wir vergleichen vier Anbieter, die versprechen, Ihre Privatsphäre zu schützen.
Es ist eine Binsenweisheit, dass es bei den allermeisten Freemailern, die uns kostenlose E-Mail-Weiterleitung und einen Webmail-Client bieten, nichts wirklich kostenlos gibt: Die meist werbefinanzierten Dienste sammeln unsere Daten, um sie auszuwerten und weiterzuverkaufen. Jedes Dokument, das aus Edward Snowdens Fundus veröffentlicht wird, macht die Situation bedrohlicher – in welchem Ausmaß die Geheimdienste Metadaten und E-Mails zur Auswertung speichern, ist kaum noch zu glauben.
Als dann noch der US-amerikanische Maildienst Lavabit [1] – bei dem Snowden Kunde war – vom FBI in die Knie gezwungen wurde, weil sich der Inhaber weigerte, die SSH-Schlüssel seiner Server und damit die Metadaten seiner Kunden preiszugeben, war für viele europäische Nutzer klar: Ein lokaler Anbieter, der möglichst sichere E-Mails unter Wahrung der Privatsphäre bietet, ist die bessere Wahl – selbst, wenn er monatlich einen kleinen Betrag kostet.
Vertrauen ist wichtig
Dabei geht es neben den gebotenen Leistungen primär auch darum, wo die Daten liegen. Viele Menschen vertrauen nach dem NSA-Skandal besonders Dienstleistern aus den USA und deren Servern nicht mehr. Deutschland oder der deutschsprachige Raum als Standort eines Dienstleisters garantiert zwar nicht zwingend mehr Datensicherheit oder Privatsphäre, jedoch geben die Datenschutzbestimmungen hierzulande eher Anlass zu einem Vertrauensvorschuss als in vielen anderen Ländern. Aus diesem Grund werfen wir einen genaueren Blick auf vier E-Mail-Dienstleister aus dem deutschsprachigen Raum.
Wir legten dabei besonderen Wert auf die Kriterien Sicherheit, Datenschutz, Datensparsamkeit, Spamschutz, Transparenz, Nachhaltigkeit und Werbefreiheit. Daneben nahmen wir bei allen Anbietern auch den als Basisdienst angebotenen Funktionsumfang unter die Lupe. Hierbei legen wir Wert darauf, dass der Mail-Provider die fünf Standards für sichere E-Mail erfüllt, wie sie die amerikanische Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) aufgestellt hat. Dabei geht es um die Verschlüsselung der Kommunikation im Datencenter sowie zwischen E-Mail-Servern, den Einsatz von HTTPS und HSTS [2] sowie Perfect Forward Secrecy (PFS) [3].
Posteo
Der seit sechs Jahren bestehende und damit älteste der getesteten E-Mail-Anbieter ist Posteo [4] aus Berlin. Der in Kreuzberg – nicht weit von dem Ort entfernt, wo Konrad Zuse seine Z3 [5] erstmals in Betrieb nahm – ansässige Dienstleister, existiert seit 2009 und wirbt mit dem Slogan “Grün, Sicher, Werbefrei”.
Bei den Berlinern gibt es für 1 Euro im Monat E-Mail sowie synchronisierbare Kalender und Adressbücher, die sich auch verschlüsseln lassen. Das Postfach bietet 2 GByte Speicherplatz, der Abruf der E-Mails erfolgt per POP3 oder IMAP. Zusätzlichen Speicherplatz oder mehr als die zwei enthaltenen Alias-Adressen buchen Sie für monatliche Cent-Beträge hinzu. Der Speicher lässt sich bis auf 20 GByte erweitern, jedes weitere GByte über das Basisangebot hinaus kostet 25 Cent pro Monat. Bei 20 Gigabyte kommen Sie somit auf 5,50 Euro monatlich.
Eigene Apps für mobile Geräte bietet Posteo nicht an, die Einbindung in den mobilen K9-Client funktioniert allerdings problemlos. Die im Webfrontend (Abbildung 1) verwalteten Adressen und Termine (Abbildung 2) synchronisieren Sie mithilfe der Protokolle CardDAV und CalDAV zwischen mehreren Rechnern oder mobilen Geräten.
Abbildung 1: Posteo bietet lediglich eine vertikal geteilte Ansicht, sodass der Webmailer bei einem Breitbild-Display viel Platz verschwendet.
Abbildung 2: Termine und Adressen gleichen Sie bei Posteo mithilfe von CardDAV und CalDAV zwischen Ihren Rechnern und mobilen Geräten ab.
Posteo bietet einen intuitiv zu bedienenden Web-Client (Abbildung 3), lässt sich aber auch ohne großen Aufwand in Kmail, Thunderbird und andere gängige E-Mail-Clients einbinden. Die Registrierung ist simpel: Sie müssen lediglich die gewünschte Mailadresse sowie ein Passwort angeben. Der Kunde bleibt sowohl hier als auch beim Bezahlvorgang völlig anonym – falls er das wünscht. Die Bezahlung kann per Bankeinzug oder PayPal, per Briefpost oder direkt in den Briefkasten der Firma erfolgen. Der Kunde bestimmt die gewünschte Anonymität selbst.
In jedem Fall verspricht Posteo, keine Verbindung zwischen der Mailadresse und dem eventuell übermittelten Klarnamen zu ziehen. Das garantiert, dass der Provider im Falle von Begehrlichkeiten von Behördenseite keine Mails einem Rechnungskonto zuordnen kann. Dass Posteo es mit dem Schutz der Privatsphäre ernst meint, bewies der kleine Anbieter nach einem Besuch der Staatsmacht mit einer Dienstaufsichtsbeschwerde und Strafanzeige gegen die Beamten [6]. Das Verfahren ist derzeit noch in der Schwebe.
Abbildung 3: Der Webmail-Client von Posteo bietet die wichtigsten Funktionen, optional gestalten Sie Ihre E-Mails auch im HTML-Format.
Ein wichtiger Aspekt im Konzept von Posteo gilt der Nachhaltigkeit [7]. So treibt nicht nur nachweislich Ökostrom die Posteo-Server an, auch bei der Auswahl der Büromöbel berücksichtigt man in Berlin ökologische Aspekte. Zudem leistet sich das kleine Unternehmen für sein derzeit zwölfköpfiges Team in seiner Kantine einen eigenen Koch, der jeden Tag einen kostenfreien bio-vegetarischen Mittagstisch anbietet. Auf der technischen Seite kommt durch die Bank Open-Source-Software zum Einsatz. Eigenentwicklungen veröffentlicht Posteo wiederum ebenfalls als freie Software auf Github [8].
Die Festplatten in den Linux-Servern des Unternehmens, die in einem Rechenzentrum in Frankfurt stehen, sind mit Dm-crypt/LUKS verschlüsselt. Die Kommunikation zwischen den Servern geschieht ebenfalls verschlüsselt. Im Browser kümmert sich Mailvelope [9] um OpenPGP-Verschlüsselung (Abbildung 4), auf dem Transportweg sorgt TLS für Sicherheit. Seit Mai 2014 kommt zusätzlich DNS-based Authentication of Named Entities (kurz: DANE/TLSA) zum Einsatz, um Schwachstellen im TLS-Protokoll aufzufangen. Zusätzlich sorgt Perfect Forward Secrecy (kurz PFS) dafür, dass sich eventuell abgefangene E-Mails nicht entschlüsseln lassen, selbst wenn – wie bei Lavabit geschehen – die privaten SSH-Schlüssel des Betreibers kompromittiert wurden.
Abbildung 4: Um im Webmail-Frontend von Posteo verschlüsselte Mails lesen oder schreiben zu können, müssen Sie die Browser-Erweiterung Mailvelope installieren.
Seit November 2014 bietet Posteo im Web-Client zusätzlich sichere 2-Faktor-Authentifizierung [10] an. Zudem arbeitet der Dienst zur Zeit an einer Ende-zu-Ende-Verschlüsselung [11], die nach ihrer Fertigstellung für alle Nutzer der derzeit rund 100?000 Postfächer ohne Aufpreis ausgerollt werden soll. Eine optionale Eingangsverschlüsselung gibt es seit Januar 2015.
Hilfe zu den vielen Funktionen von Posteo finden Sie in der recht ausführlichen Dokumentation des Webmailers. Problemstellungen, die wir im Test per E-Mail an das Team herantrugen, wurden zügig bearbeitet; in einem Fall dauerte dies allerdings drei Arbeitstage. Posteo möchte den Service in Zukunft stärker ausbauen. Interessenten dürfen den E-Mail-Dienst von Posteo 14 Tage kostenlos testen, danach beträgt die Mindestaufladung 12 Euro.
Mailbox.org
Der Anbieter Mailbox.org [12] gehört zur Peer Heinlein Support GmbH, die neben Webhosting und E-Mail-Dienst auch Linux-Schulungen anbietet. Die Server des im Februar 2014 gestarteten Mailbox.org (Abbildung 5) stehen in Berlin, wo sich auch der Firmensitz befindet. Auch wenn Mailbox.org seine Dienstleistung erst seit Kurzem in der jetzigen Form anbietet, haben Heinlein und seine Mitstreiter bereits seit rund 20 Jahren Erfahrung als Service-Provider für E-Mail-Anbieter.
Abbildung 5: Das zentrale Portal von Mailbox.org informiert Sie über anstehende Termine, die zuletzt bearbeiteten Dokumente und die neusten Mails im Posteingang.
Der Basisdienst kostet bei Mailbox.org wie bei Posteo 1 Euro pro Monat. Darin enthalten sind 2 GByte Speicherplatz, drei Alias-Adressen sowie 100 MByte Speicher für die seit Ende letzten Jahres hinzugekommene Office-Lösung auf der Basis der deutschen Groupware Open-Xchange [13]. Diese bietet zusätzlich Aufgabenplanung, Textverarbeitung und Datenaustausch im Stile von Google Docs oder Dropbox an (Abbildung 6). Für den Datenabgleich unter Linux greifen Sie auf das von vielen Dateimanagern von Haus aus unterstützte WebDAV-Protokoll zurück. Für mobile Geräte gibt es Apps wie OX Drive für Android [14], über die sich der Online-Speicher auch unterwegs komfortabel nutzen lässt (Abbildung 7). Die Office-Lösung platziert Mailbox.org als Alternative zu Google Apps oder Office 365.
Abbildung 6: Mailbox.org beinhaltet neben seiner E-Mail-Funktion auch ein vollständiges Office-Paket mit Textverarbeitung, Tabellenkalkulation und Online-Speicher wie bei Dropbox.
Abbildung 7: Mit Drive übernimmt Mailbox.org auch die Funktionen von Google Drive oder Dropbox. Open-Xchange-Apps wie hier OX Drive gibt es auch für mobile Betriebssysteme.
Zudem arbeitet der Dienst zusammen mit den Entwicklern von Open-Exchange an der Mail- und Dateiverschlüsselung OX Guard, die derzeit im Testbetrieb läuft. Zwei weitere Tarife erhöhen die Mailquota auf 5 beziehungsweise 25 GByte, die 100 MByte Speicherplatz für Office bleiben gleich. Hier bieten erst die Office-Tarife mehr Speicher. Preislich liegt Heinlein mit seinem Angebot bei einem Account mit 20 GByte Speicherplatz 1 Euro pro Monat günstiger als Posteo und bietet dazu noch grundlegende Office-Funktionalität. Der teuerste Tarif OfficeXXL bietet 50 GByte Speicherplatz für E-Mails und 500 GByte für das Office und schlägt mit monatlich 25 Euro zu Buche, ist aber vom Format her bereits firmentauglich [15].
Bei der Anmeldung zu Mailbox.org müssen Sie im Gegensatz zu Posteo Vor- und Nachnamen angeben, die allerdings nicht Ihrem tatsächlichen Klarnamen zu entsprechen brauchen. Heinlein nimmt es mit dem Passwort sehr genau: Der Dienst bemängelt es so lange, bis es der strengen Vorgabe entspricht. Seit Juni 2014 bietet Mailbox.org eine 2-Faktor-Authentifizierung über YubiKeys mit sicheren One-Time-Passwords. Der Webmail-Client von Mailbox.org wirkt sehr aufgeräumt (Abbildung 8), bietet eine gute Auswahl an Einstellungen und erlaubt das schnelle Einbinden von weiteren E-Mail-Adressen anderer Anbieter. Den Umzug der E-Mails von diesen Mail-Providern zu Mailbox.org hat Heinlein an einen externen Anbieter ausgelagert, der dafür 3 Euro pro Umzug berechnet.
Abbildung 8: Mit seiner in der Vertikale dreigeteilten Ansicht funktioniert Mailbox.org auch sehr gut auf Rechnern mit einem Bildschirm im Breitbildformat.
Bei Posteo gibt es den Sammeldienst von beliebig vielen Anbietern umsonst, zudem schaltet Posteo die Weiterleitungen nach jeweils sechs Monaten ab, um die Kunden daran zu erinnern, unsichere Anbieter aufzugeben – Verlängerungen sind allerdings möglich. Der Umzugsservice funktionierte bei Heinlein wie bei Posteo mit rund 10?000 Mails jeweils problemlos und angemessen zügig. Webmail.org bietet ebenfalls keine eigenen Apps, arbeitet aber mit den Entwicklern von K9 unter anderem an der Entwicklung eines PGP-Keyrings auf Android-Geräten und einer weitergehenden PGP-Unterstützung in K9. Für das Synchronisieren von Kalendern und Kontakten kooperiert Mailbox.org mit den Entwicklern von CalDavSync und CardDavSync.
Die Verschlüsselung bei Mailbox.org setzt auf SSL/TLS und PGP (Abbildung 9). Mit Letzterem klappt eine Eingangsverschlüsselung, die mit den Apps K9Mail und APG auch unter Android funktioniert. SSL/TLS kommt bei Heinlein immer dann zum Einsatz, wenn die Gegenseite dies ebenfalls unterstützt. Der verschlüsselte Versand lässt sich mittels der Mailadresse ich@secure.mailbox.org fest vorschreiben – beherrscht die Gegenseite kein SSL/TLS, so wird die E-Mail nicht versendet. Diese Adresse dürfen Sie auch an Dritte geben, um darüber Mails zu empfangen.
Mailbox.org unterstützt wie auch Posteo DANE als zusätzliches Sicherheitsmerkmal. Im Gegensatz zum Berliner Mitbewerber beherrscht der Dienst von Heinlein das Verschlüsseln von Adressbuch und Kalender derzeit noch nicht, kündigt dieses Feature – allerdings noch ohne Termin – jedoch bereits an. Auch bei Ökologie und Nachhaltigkeit zieht Mailbox.org mit, wenn auch nicht ganz so konsequent wie Posteo. Ökostrom von Lichtblick und weiteren Anbietern, eine faire Bank und faire Arbeitsbedingungen ohne Leiharbeiter und Praktikanten beruhigen jedoch das ökologisch-soziale Gewissen der Kunden.
Abbildung 9: In den Einstellungen von Mailbox.org laden Sie den für verschlüsselten E-Mail-Verkehr benötigten PGP-Key hoch, den Sie zuvor auf Ihrem Rechner erstellt haben.
Tutanota
Hinter dem E-Mail-Dienst Tutanota [16] steckt die Tutao GmbH aus Hannover (Abbildung 10). Ein direkter Vergleich mit den anderen Anbietern ist nicht sinnvoll, da Tutanota einerseits derzeit noch wenig Funktionen bietet, anderseits aber mit seiner Ende-zu-Ende-Verschlüsselung und der Offenlegung des gesamten Quellcodes [17] über die Leistung der Mitbewerber hinausgeht. Zudem fallen für den Basistarif bei Tutanota, dessen Name aus dem Lateinischen kommt und für “sichere Nachricht” steht, keine Gebühren an – daran soll sich auch in Zukunft nichts ändern.
Das Angebot von Tutanota beschränkt sich derzeit auf einen Webmailer. Der E-Mail-Dienst lässt sich nicht mit Mailclients wie Thunderbird nutzen, da sich in diesen die genutzte Ende-zu-Ende-Verschlüsselung nicht ohne Weiteres implementieren lässt. Das kostenfreie Angebot umfasst 1 GByte Speicherplatz und bietet außer den Grundfunktionen derzeit keinen zusätzlichen Komfort. So fehlt etwa ein Migrationswerkzeug, mit dem der Kunde seinen E-Mail-Bestand vom bisherigen Provider übertragen könnte. Dafür funktioniert die Vollverschlüsselung, die auch den Betreff und sämtlicher Anhänge umfasst, umso einfacher. Die Server von Tutao stehen in Deutschland und lagern alle Mails verschlüsselt, auch wenn der Nutzer unverschlüsselt sendet.
Abbildung 10: Tutanota macht verschlüsselte Kommunikation besonders einfach, der Funktionsumfang beschränkt sich allerdings auf das Nötigste.
E-Mails an eine weitere Tutanota-Adresse verschlüsselt der Dienst automatisch. Der Empfänger kann sie im Webclient ohne weiteres Zutun öffnen und ebenso automatisch verschlüsselt antworten. Aber auch mit Empfängern, die kein Tutanota-Konto haben, lassen sich ohne viel Aufwand verschlüsselte Mails austauschen. Dazu müssen sich beide Seiten auf ein Passwort einigen, das die üblichen Sicherheitsmerkmale aufweisen sollte. Der Absender schreibt seine Nachricht und trägt das Passwort in seinen Webclient ein (Abbildung 11).
Abbildung 11: Tutanota erlaubt den Austausch verschlüsselter E-Mails, ohne dass Sie vorher aufwendige kryptografische Schlüssel erzeugen oder austauschen müssten.
Der Empfänger, der beispielsweise Gmail einsetzt, erhält von dort eine E-Mail, die ihn über den Eingang einer verschlüsselten Mail informiert. Ein Link leitet ihn zum Webmailer von Tutanota, wo die Eingabe des vorher vereinbarten Passworts die Mail entschlüsselt (Abbildung 12). Danach lässt sich die Notwendigkeit der Passworteingabe für zukünftige Schriftwechsel abschalten. Die Antwort erreicht das Tutanota-Konto ebenfalls verschlüsselt, das Entschlüsseln klappt aber ohne Passworteingabe, da das Passwort dort bereits eingegeben und mit der Adresse des Absenders verknüpft wurde.
Abbildung 12: Der Empfänger einer verschlüsselten Tutanota-E-Mail erhält nur einen Link zur Tutanota-Webseite. Dort entschlüsselt er die Nachricht über ein zuvor abgesprochenes Passwort.
Für zahlende Anwender bietet Tutao die nahtlose Integration der Vollverschlüsselung in Outlook an [18]. Anders als beim kostenlosen Angebot kann man bei Outlook das benötige Passwort zum Entschlüsseln per SMS versenden.
Das gesamte Angebot von Tutao wurde von der Syss GmbH einem Penetrationstest unterzogen, bei dem es nicht gelang, das System zu hacken und auf vertrauliche Daten zuzugreifen. Apps für Android und iOS stehen in den entsprechenden App-Stores, an Erweiterungen des Webmailers arbeitet man bei Tutao zurzeit. Demnächst soll ein verschlüsselbarer Kalender hinzukommen. Für die Zukunft denken die Entwickler Office-Funktionen für kollaboratives Arbeiten an. Diese und andere Funktionen, wie erweiterbarer Speicherplatz, will das Unternehmen teilweise auch gegen Entgelt anbieten.
Künftig möchte Tutanote auch die Möglichkeit offerieren, eine eigene Domain mit dem Dienst zu nutzen, wie man es jetzt schon bei Mailbox.org hinzubuchen kann. Dies hebelt dann aber zwangsweise die Anonymität des Anwenders aus.
ProtonMail
Der vierte Anbieter im Bunde, ProtonMail [19], stammt aus der Schweiz. Die Idee zu diesem Dienst entwickelten 2013 eine Reihe von Studenten am Kernforschungszentrum CERN und dem MIT. Die Anschubfinanzierung erfolgt über ein Crowdfunding-Projekt bei Indiegogo [20]. Anstatt der anvisierten 100?000 US-Dollar erhielten die Entwickler gleich über 550?000 Dollar – damals ein Rekord bei Indiegogo.
Derzeit befindet sich der kostenlose Dienst noch in der Betaphase. Daher müssen Sie bei der Registrierung Ihres Accounts auch bis zu ein paar Wochen darauf warten, dass ProtonMail Ihr Konto aktiviert. Der Webmailer ist einfach gehalten (Abbildung 13), bietet kostenlos 500 MByte Speicher und den Versand von 1000 E-Mails per Monat sowie ein Adressbuch. Künftig sollen kostenpflichtige Erweiterungen hinzukommen. Als Besonderheit hat ProtonMail Nachrichten mit festlegbarem Verfallsdatum im Programm.
Abbildung 13: Die Server von ProtonMail stehen in der Schweiz. Nutzer des Dienstes profitieren daher von der Offenlegungspflicht der Staatsmacht.
ProtonMail bietet mehrere Modelle der Verschlüsselung. E-Mails zwischen Anwendern von ProtonMail schickt das System von Haus aus durch einen sicheren Tunnel. Diese Ende-zu-Ende-Verschlüsselung lässt sich auch von ProtonMail zu anderen Mailprovidern einsetzen – allerdings nicht wie bei Tutanota von dort wieder zurück.
Im Gegensatz zu den drei Mitbewerbern unterliegt ProtonMail den Datenschutzgesetzen der Schweiz. Das hat den Vorteil, dass Behörden und Geheimdienste, die besonders schützenswerte Personendaten sammeln, die Betroffenen darüber in Kenntnis setzen müssen. Zu diesen Daten gehören per Definition solche, die eine Profilbildung erlauben.
Welchen Anbieter wählen?
Den größten Funktionsumfang bieten derzeit zweifellos Posteo und Webmail.org. Bei Posteo steht die größtmögliche Anonymität der Nutzer im Vordergrund, zudem fährt das Unternehmen ein sympathisches Geschäftsmodell für Kunden, die Wert auf Nachhaltigkeit und ökologisch korrektes Verhalten legen.
Der Funktionsumfang aller Anbieter reicht im Alltag völlig aus, wenn sich auch die Schwerpunkte etwas unterscheiden. Die Webclients kämpfen noch mit kleineren Problemchen, vor allem, wenn die jeweiligen Fenster im Browser über mehrere Tage offenbleiben. Im Test schnitt der Webmail-Client von Mailbox.org in der Wertung etwas besser ab. Der Dienst nutzt eine schlicht gehaltene Oberfläche, die aufgrund ihrer optional vertikal geteilten Ansicht auch gut auf Breitbild-Displays funktioniert. Wer Wert auf völlige Anonymität legt, wird daher bei Posteo landen, Mailbox.org punktet mit den zusätzlichen Office-Funktionen für kollaboratives Arbeiten und mit über 20 Jahren Erfahrung.
Tutanota bietet zwar einen kostenlosen Basistarif – doch Geld sollte bei Ihrer Entscheidung nicht den entscheidenden Faktor ausmachen. Ein kostenloses Konto setzt allerdings die Hemmschwelle etwas herab und macht den Dienst für jedermann zugänglich. Die Ende-zu-Ende-Verschlüsselung, auch zu Anwendern ohne Konto bei Tutao, lässt sich hinsichtlich ihrer Einfachheit kaum überbieten und schafft erstmals die Möglichkeit, unkompliziert und trotzdem sicher zu verschlüsseln. Allerdings fehlen dem Dienst noch einige Funktionen, sodass Tutanota eher nur bei zu verschlüsselnden E-Mails zum Einsatz kommen wird. Das funktioniert allerdings auch mit Android und iOS. Wohin der Weg von Tutanota führt, bleibt abzuwarten. Auf Anfrage erklärte der Pressesprecher, man werde weitere Funktionen hinzufügen, der anfängliche Schwerpunkt habe auf der Vollverschlüsselung gelegen.
Der jüngste Anbieter aus unserer Auswahl, ProtonMail, ist seit weniger als einem Jahr im Geschäft. Der Dienst steckt noch in der Betaphase, aufgrund der durch die Schwarmfinanzierung gut gefüllten Kasse mausert sich der Dienst allerdings zu einer ernstzunehmenden Konkurrenz für Posteo und Webmail.org.
Wie aus Presseberichten zu Gmail [21] und Yahoo Mail [22] in den letzten Monaten zu entnehmen war, arbeiten aber auch die großen Anbieter an einfach einsetzbarer Vollverschlüsselung. Es ist immer wieder schön, festzustellen, wie kleine Anbieter die großen Unternehmen animieren, Entwicklungen zu übernehmen. So auch bei Posteo: Kaum hatten die Berliner als erster deutscher E-Mail-Anbieter im Mai 2014 einen Transparenzbericht vorgelegt [23], zog noch am gleichen Tag die Telekom nach. Diese hatte erst wenige Monate zuvor erklärt, es sei Sache des Gesetzgebers, diese Daten offenzulegen.
Fazit
Absolute Sicherheit in der IT gibt es nicht und wird es vermutlich nie geben – auf jeden Fall, solange Regierungen und ihre Dienste unsere Daten zu kontrollieren versuchen. Erst kürzlich sprach sich US-Präsident Obama für Hintertüren in Verschlüsselungssoftware aus.
Die hier vorgestellten Anbieter verbessern die Sicherheit und Anonymität gegenüber den großen Freemailern erheblich, ohne dabei zu viel Detailwissen zu erfordern. Sollten Sie jedoch der nächste Edward Snowden sein, wird dies nicht ausreichen: In diesem Fall sollten Sie sich den wesentlich komplizierter zu handhabenden Anwendungen wie i2P Bote [24] oder Pond [25] widmen.
Mailanbieter im Vergleich
| Posteo | Mailbox.org | Tutanota | ProtonMail | |
|---|---|---|---|---|
| Postfach ab 1 Euro | ja / 2 GByte | ja / 2 GByte | kostenlos / 1 GByte | kostenlos / 500 MByte |
| Speicherplatzausbau | ja | ja | ja | derzeit nein |
| Kostenloser Test | 14 Tage | 30 Tage | entfällt | entfällt |
| Webmailer | ja | ja | ja | ja |
| Adressbuch | ja | ja | ja | ja |
| Kalender | ja | ja | nein | nein |
| Handy-Synchronisation | ja | ja | nein | nein |
| Apps für Smartphones | nein | nein | Android/iOS | in Vorbereitung |
| Werbefrei | ja | ja | ja | ja |
| Nutzung eigener Domain | nein | ja | in Vorbereitung | in Vorbereitung |
| Serverstandort | DE | DE | DE | CH |
| Mailverschlüsselung im Browser | ja | ja | ja | ja |
| Anonyme Anmeldung/Zahlung | ja/ja | nein/ja | nein | ja |
| Passwörter verschlüsselt gespeichert | ja | ja | ja | ja |
| Verschlüsselung mit SSL/TLS | ja | ja | ja | ja |
| Vollverschlüsseltes Postfach | ja | ja | nein | ja |
| Penetrationstest | Qualys SSL-Test A+ | Qualys SSL-Test A | Syss GmbH1 | Audits2 |
| TLS 1.2 | ja | ja | ja | ja |
| HTTPS/HSTS | ja | ja | ja | ja |
| DANE/DNSsec | ja | ja | ja | ja |
| Perfect Forward Secrecy | ja | ja | ja | ja |
| One-Time-Passwords (OTP) | ja | ja | nein | nein |
| 2-Faktor-Authentifizierung | ja | ja | nein | ja |
| Groupware-Funktionen | nein | ja | in Vorbereitung | in Planung |
| 1https://tutanota.de/files/syss.pdf, 2https://blog.protonmail.ch/protonmail-security-contributors | ||||
Infos
[1] Lavabit: https://www.computerbase.de/2013-10/lavabit-gruender-sollte-private-ssl-schluessel-aushaendigen
[2] HSTS: http://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure#HSTS
[3] PFS: http://de.wikipedia.org/wiki/Perfect_Forward_Secrecy
[4] Posteo: https://posteo.de/de
[5] Z3: http://de.wikipedia.org/wiki/Zuse_Z3
[6] Posteo-Strafanzeige: https://posteo.de/Dienstaufsichtsbeschwerde_Strafanzeige.pdf
[7] Nachhaltigkeit bei Posteo: https://posteo.de/site/nachhaltigkeit
[8] Github: https://github.com/posteo
[9] Mailvelope: https://posteo.de/blog/e-mail-verschlüsselung-im-browser-mit-mailvelope
[10] 2-Faktor-Authentifizierung: https://posteo.de/hilfe/was-ist-die-zwei-faktor-authentifizierung-und-wie-richte-ich-sie-ein
[11] Vollverschlüsselung: http://de.wikipedia.org/wiki/Ende-zu-Ende-Verschlüsselung
[12] Mailbox.org: https://mailbox.org
[13] Mailbox.org Office: https://mailbox.org/ihr-office/
[14] OX Drive für Android: https://play.google.com/store/apps/details?id=com.openexchange.drive.vanilla
[15] Tarife bei Mailbox.org: https://mailbox.org/tarife-und-konditionen/
[16] Tutanota: https://tutanota.de
[17] Tutao auf Github: https://github.com/tutao/tutanota
[18] Outlook https://tutanota.de/#!manual
[19] ProtonMail: https://protonmail.ch
[20] Funding von ProtonMail: https://www.indiegogo.com/projects/protonmail
[21] Gmail: http://www.computerbase.de/2014-06/gmails-ende-zu-ende-verschluesselung-rueckt-naeher
[22] Yahoo: http://www.golem.de/news/e-mail-ende-zu-ende-verschluesselung-fuer-yahoo-mail-1408-108427.html
[23] Transparenzbericht: https://posteo.de/site/transparenzbericht_2013
[24] i2P-Bote: https://www.privacy-handbuch.de/handbuch_55.htm
Fehler: Zwei Mal wurde “webmail.org” anstelle von “mailbox.org” geschrieben.