Die letzten Widerstandkämpfer sind gefallen. Der alternative E-Mail Anbieter Lavabit hat sich dem massiven Druck der Behörden gebeugt und seinen verschlüsselten E-Mail-Dienst vom Netz genommen. Silent-Circle hat zum Schutz der Daten seiner Nutzer ohne Vorwarnung sämtliche Server abgestellt.
Der Inhalt im Überblick
Letztes gallisches Dorf – Berlin
Der ganze E-Mail-Verkehr wird abgehört. Alle E-Mails? Nein, ein Anbieter aus Berlin leistet heftigen Widerstand. Posteo verspricht grüne, sichere und werbefrei E-Mail. Dank PRISM, Tempora und XKeyscore, erfreut sich der Dienst über viele neue Nutzer.
Verschlüsselung – under construction
Wir haben bereits über das Projekt E-Mail Made in Germany mit einem eher kritischen Fazit berichtet. Wie die teilnehmenden Dienste setzt auch Posteo auf eine SSL-Verbindung beim Zugriff auf ihre Server und bei der Kommunikation mit anderen Mailanbietern, sofern diese eine verschlüsselte Serverkommunikation unterstützen. Ein Wehrmutstropfen bleibt auch bei Posteo, die E-Mails liegen zwar auf vollverschlüsselten Festplatten und Servern, aber sind selbst nicht verschlüsselt. An einer Verschlüsselung der E-Mails wird allerdings mit Hochtouren gearbeitet. Ein weiteres Groß-Projekt des kleinen Entwicklerteams ist die Ende-zu-Ende Verschlüsselung.
Bereits jetzt positiv zu erwähnen ist die Verschlüsselung der Adressdatenbanken und Terminplaner mit dem Passwort des Nutzers.
Argumente für einen Wechsel
Auch schon jetzt lohnt sich ein Wechsel aus mehreren Gründen. Der Dienst punktet in Sachen Datenschutz. Es werden keine Bestandsdaten erhoben: zur Anmeldung müssen keine personenbezogenen Daten angegeben werden. Selbst eine anonyme Bezahlung des Dienstes kann bar per Brief erfolgen. Wird per Überweisung oder Paypal bezahlt, verspricht das Unternehmen in seiner Datenschutzerklärung, personenbezogene Daten nicht mit dem E-Mail-Konto zu verbinden. Zusätzlich wird auf das Weiterleiten der persönlichen IP-Adresse des Absenders beim Verschicken einer E-Mail verzichtet.
Fazit
Posteo ist noch keine 1 zu 1 Alternative zu den geschlossenen Diensten von Lavabit und Silent-Circle, allerdings zur Zeit wohl einer der sichersten deutschen E-Mail-Anbieter. Es bleibt zu hoffen, dass eine Ende-zu-Ende Verschlüsselung bzw. eine Verschlüsselung der E-Mails auf dem Server technisch in naher Zukunft umgesetzt wird.
Außer Posteo arbeitet auch ixquick mit Hochtouren an seiner E-Mail-Plattform Startmail. Die Plattform soll automatisch eine PGP-Verschlüsselung der E-Mails beim Transfer bereitstellen.
Auch gut – ebenfalls aus Berlin:
https://www.aikq.de
Was mich bei Startmail jedoch stutzig macht, ist die Tatsache, dass deren Server nicht in Deutschland stehen, sondern europaweit verteilt sind und sie auch Server in den USA haben. Dennoch habe ich mich für den Newsletter zu Startmail eingetragen, weil ich das Angebot im Augenblick sehr überzeugend finde.
Vor ein paar Monaten – da kannte ich Posteo noch gar nicht – bin ich erst zu Goneo gewechselt. Darum möchte ich derzeit nicht „schon wieder“ wechseln. Bei Posteo und Startmail habe ich allerdings ein besseres Sicherheitsgefühl als bei Goneo. Hoffentlich gibt es schon sehr bald nähere Informationen zu Startmail.
LAVABIT = USA = NSA
Alleine aus diesen Gründen fällt dieser Dienst schon weg. Alles aus Amiland wird soweit wie möglich gemieden.Ich unterstütze gerne ein deutsches kleines Unternehmen. Und Rom ist auch nicht an einem Tag erbaut worden.
Außerdem sind alle Informationen auf der Seite von Posteo veröffentlicht so das sich jeder ein Bild machen kann wie es um das Unternehmen steht und was geplant ist. Und die Sicherheitsstandards sind hoch und werden kontinuirlich verbessert.
Berlin hat (noch) mehr zu bieten. Es gibt auch noch http://www.jpberlin.de — ein deutscher Provider, der schon seit 1992 läuft und ebenfalls sichere, werbefreie Mails anbietet. Auch mit Ökostrom ;-)
jpberlin.de behauptet Perfect Forward Secrecy zu nutzen.
http://www.jpberlin.de/blog/perfect-forward-secrecy-pfs-in-der-jpberlin/
Macht es aber derzeit nicht.
http://www.ssllabs.com/ssltest/analyze.html?d=https%3A%2F%2Fwww.jpberlin.de
Kommentar von Peer Heinlein (Betreiber von jpberlin.de):
„Der zitierte Test von ssllabs.com testet eine WEBseite, keine Maildienste. Unsere Webseite ist noch nicht auf PFS umgestellt, weil verschiedene Browser (namentlich IE) hier umfangreiche Schwierigkeiten machen und das nicht-trivial ist, will man alte Browser nicht aussperren. Wir arbeiten daran. Unsere Aussage bezog sich auf die Maildienste und ist richtig. „
Auch so36.de ist ein alternativer E-Mail-Anbieter aus Berlin. Wer mehr über Posteo und alternative E-Mail-Postfächer erfahren möchte, hier mal ein Erfahrungsbericht: http://www.e-vance.net/blog/posteo-email-verschluesselung.
Zur Zeit arbeite ich mit Posteo, weil ich bei diesem Anbieter das beste Gefühl in Sachen Sicherheit habe.
Bei Startmail habe ich mich vormerken lassen und werde mir das Angebot auch ansehen, denke aber schon heute, dass ich bei Posteo bleiben werde – die Thematik Verschlüsselung ist mir zu komplex, um einen annehmbaren Vergleich von Posteo und Startmail vollziehen zu können.
Wenn es auch mal ein E-Maildienst ausserhalb von Berlin sein darf: https://www.eclipso.de. Gibts in zwei Varianten: kostenlos (mit Werbung) aber auch werbefrei (kostenpflichtig). Bieten auch noch viele Zusatzfunktionen an (Onlinespeicher, Fax, SMS, Postdienste).
Bin seit über einm Jahr bei posteo.de und mit gutem Gefühl auch im Alltag rundum zufrieden.
Neben dem prima Webmail-Interface, Mails unterwegs per IMAP, Kalender und Kontakte via cardDAV bzw. calDAV an Blackberry Q10 angebunden. Funktioniert wie ein gefühlter Exchange. ;)
Die Leute hinter der JPBerlin haben im Februar 2014 eine neuen Service an den Start gebracht: https://mailbox.org. Neben einem modernen Webmailer sowie Kalender, Kontakte, Handysynchronisation, Filesharing und Online-Dokumentenbearbeitung, legen die Macher großen Wert auf Verschlüsselung. Ein Stiftfilm erklärt PGP-Verschlüsselung mal leicht verständlich (https://mailbox.org/stiftfilm-wie-funktioniert-e-mail-verschluesselung-mit-pgp/) und auf Wunsch werden dort alle eingehenden E-Mails automatisch mit dem eigenen öffentlichen PGP-Schlüssel verschlüsselt. — Das finde ich einen ordentlichen Schritt in Richtung Datenschutz.
Bei mir hat posteo nicht so funktioniert, wie ich mir das vorgestellt hatte. Darum habe ich meinen Acc nach zwei Monaten gekündigt. Mittlerweile laufe ich ein halbes Jahr hinter dem Geld her, das ich von posteo zurück bekommen sollte. Negativ, nie wieder!