Sichere Web-Mail-Lösungen

E-Mail: Aus der Cloud und sicher

21.03.2016
Von  und
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.

Cloud als Alternative

Welche Alternativen bleiben dem "normalen" Anwender, einer Bürogemeinschaft oder dem "Einzelkämpfer" in seinem Büro, wenn er sicher via E-Mail kommunizieren möchte? Auf dem Markt tauchen immer mehr Anbieter auf, die E-Mail als SaaS-Lösung (Software as a Service) direkt aus der Cloud anbieten. Im Gegensatz zu den gewöhnlichen Angeboten dieser Art liegt ihr Schwerpunkt auf Sicherheit und Anonymität. Wir stellen einige davon vor. Allerdings erhebt unsere Übersicht keinen Anspruch auf Vollständigkeit. Zudem haben wir uns auf Angebote aus Deutschland beschränkt, umsicherzustellen, dass "die Daten im Lande bleiben".

Die Lösung Tutanota aus Hannover trägt schon in ihrem lateinischen Namen, der sinngemäß übersetzt für "sichere Nachricht" steht, den Zweck dieser Open-Source-Software in sich. Der Anbieter hat es sich nach eigenen Aussagen auf die Fahne geschrieben, eine möglichst einfach einzusetzende Lösung zur Verfügung zu stellen. Das beweist er bereits bei der Anmeldung: Wer eine kostenlose, verschlüsselte Mailbox bei Tutanota nutzen will, muss nur seine Wunschadresse sowie ein Passwort angeben und anschließend das Wissen um die allgemeinen Geschäftsbedingungen und die Datenschutzerklärung bestätigen. Danach richtet ihm das System sofort eine Mailbox ein. Die Software weist dabei auf die Wichtigkeit des Passworts hin und warnt den Nutzer, dass eine Wiederherstellung bei Verlust oder Vergessen durch die Ende-zu-Ende-Verschlüsselung, die hier zum Einsatz kommt, schlichtweg nicht möglich ist.

Verschlüsseln der Nachricht ganz einfach: Nutzer können bei Tutanota direkt im Web-Browser festlegen, dass sie eine Mail verschlüsselt senden wollen und dabei auch gleich das Passwort für den Empfänger angeben.
Verschlüsseln der Nachricht ganz einfach: Nutzer können bei Tutanota direkt im Web-Browser festlegen, dass sie eine Mail verschlüsselt senden wollen und dabei auch gleich das Passwort für den Empfänger angeben.

Dieses Prinzip der Ende-zu-Ende-Verschlüsselung hält Tutanota über die ganze Software hinweg bei: So kann der Nutzer auch alle E-Mail-Nachrichten nach diesem Prinzip beim Absenden verschlüsseln. Er kann dabei direkt beim Senden ein Passwort für den Empfänger vergeben, dass der diesem dann auf einem anderen Weg mitteilen kann. Empfänger, die keine Tutanota-Mailbox besitzen können eine solche Nachricht mit Hilfe eines Browsers öffnen.

Laut Anbieter findet die gesamte Schlüsselgenerierung sowie auch das Ver- und Entschlüsseln lokal im Browser statt. Die Profi-Variante der Lösung verschlüsselt auch im Outlook-Addin. Somit begeben sich die Daten immer verschlüsselt auf ihren Weg durch das Netz. Die Software verschlüsselt dabei automatisch den Inhalt und die Anhänge der Nachrichten sowie die jeweilige Betreffzeile. Der Anbieter gibt an, dass seine Mitarbeiter aktuell noch dazu in der Lage sind, Daten wie Sender, Empfänger und Datum der E-Mails auszulesen, versichert aber, dass er diese Daten grundsätzlich unbeachtet lasse. Zudem versichert die Firma auf ihrer FAQ-Seite, dass ihre Entwickler bereits daran arbeiten, auch diese Metadaten zu verschleiern.

Als Verschlüsselung kommen AES (Advanced Encryption Standard) mit einer Schlüssellänge von 128 Bit und RSA (Rivest, Shamir und Adleman) mit 2048 Bit zu Einsatz, wobei der Anbieter ein hybrides Verfahren verwendet, das aus einem symmetrischen und einen asymmetrischen Algorithmus zusammensetzt. Werden E-Mails an externe Empfänger versendet, so verschlüsselt Tutanota diese rein symmetrisch mit AES 128 Bit.

Für private Nutzer steht die Lösung kostenlos mit 1 GByte Speicher und einer Adresse auf der Tutanota-Domäne zur Verfügung. Wer einen Euro pro Monat (bei jährlicher Zahlung) für einen Premium-Account zahlt, kann dann unter anderem auch Posteingangsregeln sowie eine eigene Domäne nutzen. Für professionelle Anwender steht zudem ein Outlook-Addin bereit, das dann die Ende-zu-Ende-Verschlüsselung regeln kann.

Auch der Anbieter aikQ setzt auf sichere Web-Mail und bietet eine Lösung im Browser. Alle Mails werden hier ebenfalls ne dass der Nutzer etwas dazu tun muss, mittels SSL/TSL-Verschlüsselung übertragen. Die Firma legt ganz besonderen Wert darauf, dass die Nutzer diesen Dienst nutzen können, ohne dass sie dabei zu viele Daten von sich preisgeben müssen: So ist es problemlos möglich sich anonym anzumelden. Das gelingt auch dann, wenn sich der Anwender nach der 30-tägigen Testphase für ein kostenpflichtiges Konto anmelden möchte, das hier ebenfalls ab einem Euro pro Monat zu haben ist. So können Anwender per Brief zahlen, wobei die Firma nach eigenen Aussagen nur die Auftragsnummer benötigt, alle anderen Daten wie Name, Adresse und so weiter können entsprechend anonymisiert sein.

Aufgeräumte, übersichtliche Oberfläche: Die Mail-Lösung von aikQ lässt sich im Browser sehr gut bedienen, da alle Element logisch und übersichtlich angeordnet sind. Sie funktionierte im Test problemlos mit allen von uns getesteten Browsern.
Aufgeräumte, übersichtliche Oberfläche: Die Mail-Lösung von aikQ lässt sich im Browser sehr gut bedienen, da alle Element logisch und übersichtlich angeordnet sind. Sie funktionierte im Test problemlos mit allen von uns getesteten Browsern.

Für einen Euro monatlich bekommt der Nutzer unter anderem die Möglichkeit, seine aikQ-Mailbox via POP3/IMAP auch mit seinem bevorzugten E-Mail-Client zu nutzen. 10 GByte Online-Speicher sind ebenfalls Teil dieses Angebots. Die von aikQ im Browser angebotene Oberfläche konnte uns im Test durch ihre Übersichtlichkeit und gute Benutzerführung überzeugen. Wer verschlüsselte Nachrichten absetzen möchte, kann direkt im Bereich "Schlüsselbund" ein solches für seinen E-Mail-Konto beantragen. Das funktionierte aber leider wegen eines "unbekannten Fehlers" in unserem Test-Account nicht. Ansonsten muss der Nutzer hier selbst die entsprechenden öffentlichen Zertifikate anderer Nutzer importieren und verwalten, mit denen er verschlüsselte Nachrichten austauschen will. Damit ist es nicht ganz so einfach wie bei Tutanota, eine verschlüsselte Botschaft zu übermitteln.

Abgerundet werden unsere Beispiele durch die Lösung des Anbieters Posteo aus Berlin. Seine Mission macht der Provider gleich auf der Eingangsseite klar, indem er seine Lösung als "Grün, sicher, werbefrei" bezeichnet. Für einen Euro pro Monat erhält der Nutzer bei Posteo ein Postfach in der Größe von 2 GByte, kann Anhänge in einer Größe von bis zu 50 MByte versenden und empfangen. Der Nachrichtenzugriff erfolgt via POP3/IMAP oder per Web-Frontend auf seine Nachrichten zugreifen. Einen etwas eingeschränkten Test für ein neues Kontos stellt Posteo für 14 Tage bereit.

Posteo erhebt keine persönlichen Daten, so dass Anmeldung und Betrieb der Mailbox komplett anonym möglich sind. Da Posteo nach eigenen Angaben grundsätzlich keine Bestandsdaten der Kunden erhebt und nach eigenem Bekunden aus Gründen der Datensparsamkeit auch nicht erheben will, verzichtet die Firma darauf, ihren Kunden eine Möglichkeit zu bieten, die Lösung mit einer eigenen Mail-Domäne zu verknüpfen.

Deutliche Mission: Der Berliner Provider Posteo legt nicht nur Wert auf sichere und anonyme Mails, sondern hat auch einen hohen Anspruch, was die Umweltstandards betrifft.
Deutliche Mission: Der Berliner Provider Posteo legt nicht nur Wert auf sichere und anonyme Mails, sondern hat auch einen hohen Anspruch, was die Umweltstandards betrifft.

Bei der Übertragung werden alle Zugriffe via POP3/IMAP ausschließlich verschlüsselt via TSL (Transport Security Layer) unterstützt durch PFS (Perfect Forward Secrecy.

Fazit: Viele Möglichkeiten direkt aus Deutschland

Wer seine E-Mail-Nachrichten sicher, verschlüsselt und vielleicht sogar anonym versenden will, der findet im Internet eine ganze Reihe von Anbietern auch aus Deutschland, die sich auf diese Thema spezialisiert haben. Uns ist positiv aufgefallen, dass sich die Anbieter dem Thema sichere E-Mail und Verschlüsselung widmen und versuchen, den Anwendern eine einfach einzusetzende Lösung für ein möglichst sicheres E-Mail-Konto an die Hand zu geben. Ebenfalls positiv: Fast alle Anbieter stellen ihre Software für eine kostenlose Testphase zur Verfügung. Nur wer eine dieser Lösungen in seine eigene Domäne integrieren will, muss etwas länger suchen, da damit natürlich Einschränkungen in Bezug auf die Anonymisierung einhergehen.