Datenschutz im digitalen Alltag

Damit Privates privat bleibt

© pico / Fotolia.com

E-Mail Dienstleister mit Fokus auf Datenschutz

© pico / Fotolia.com

E-Mails haben bereits seit einigen Jahren den Ruf ein veraltetes System zu sein, deren systembedingte Nachteile irreparabel seien. Dennoch hat die E-Mail die technischen Herausforderungen der vergangenen Jahre überlebt, weshalb sie wesentlich vielfältiger genutzt wird, als noch vor einigen Jahren. Wurden die E-Mails früher über das POP3-Protokoll auf einen Rechner heruntergeladen, bleiben sie nun oft beim Mailanbieter gespeichert und werden über IMAP oder Exchange ActiveSync (EAS) auf die Geräte - seien sie mobil oder stationär - synchronisiert. Weiterhin verschickt man über den Mailanbieter nicht nur Nachrichten, spätestens seit dem Siegeszug des Smartphones synchronisiert man über diesen oft auch seine Kontakte mit allen Rufnummern und Adressen, sowie die anstehenden Termine. Sie werden dadurch immer mehr zu Personal Information Managern (PIM) Eine Offline-Synchronisation zwischen PC und Smartphone ist vielen Mobilbetriebssystemen schlicht nicht mehr vorgesehen.

Überwachung und Datenschutz

Die gewachsene Bedeutung des Mailanbieters als zentralem Kommunikations- und Organisationsspeicher bedeutet zwangsläufig, dass der Anwender seinem Dienstleister ein großes Maß an Vertrauen entgegen bringen muss. Denn das relativ abstrakte Überwachungsgefühl der digitalen Gegenwart wird in diesem Punkt sehr konkret. Über die geschriebenen und empfangenen Mails, die Kontakte und die Termine lässt sich sehr viel über eine Person herausfinden.

Wie bei vielen Datenschutzthemen hat dieser Aspekt zwei Dimensionen: Erstens staatliche Überwachung und zweitens Datenauswertung durch Unternehmen. Insbesondere letzteres lässt sich durch eine bewusste Entscheidung für einen datenschutzsensiblen E-Mail-Dienstleister minimieren.

In diesem Zusammenhang sei auf zwei kleine Vorfälle der vergangenen Jahre verwiesen, die das Ausmaß des Problems verdeutlichen. Im März 2014 wurde bekannt, dass Microsoft auf der Suche nach einer undichten Stelle im Unternehmen die Mails nach dem Urheber der Leaks durchforstete. Im Sommer des gleichen Jahres führten Scans in GMail nach Kinderpornografie zu einer Verhaftung. So ehrenwert letzteres auch sein mag, das umfangreiche durchsuchen der Mails nach Schlagworten kann man deshalb nicht gutheißen. Das Kernproblem besteht darin, dass man für diese Dienste in der Regel nicht direkt bezahlt. Vielmehr bezahlt man mit seinen Daten bzw. ermöglicht dem Anbieter durch z.B. die Anzeige personalisierter Werbung auf Basis dieser erhobenen Daten Geld zu verdienen.

Einige glauben diesem Problem durch eine konsequente Ende-zu-Ende Verschlüsselung der Mails begegnen zu können, d.h. vor allem mittels (Open)PGP oder S/MIME. Das ist allerdings ein Trugschluss. Einerseits weil Verschlüsselung im Alltag einfach nicht verbreitet ist und somit immer eine gewisse Anzahl unverschlüsselte Mails verschickt werden müssen und andererseits durch die trotzdem anfallenden Metadaten (Absender, Empfänger, Datum, Uhrzeit, Betreff usw.).

Einige Möglichkeit besteht darin selbst einen Mailserver zu betreiben. Golem hat dazu eine kleine Anleitung erstellt, aber wie bereits dort im Kommentarbereich angemerkt wurde, muss man sich hierfür sehr viel Wissen in diesem Bereich aneignen, damit nicht der gegenteilige Effekt erreicht wird und man eine gefährliche Spamschleuder betreibt.

Renationalisierung der E-Mail

In der Debatte um die sichere E-Mail finden sich eine erstaunliche Tendenz zur Renationalisierung des Internets. Da werden - ähnlich wie z.B. im Finanzsektor - die vermeintlich sicheren Häfen in der Schweiz oder in Island hervorgehoben. Letztlich sind das wohl trügerische Behauptungen, die auf einer für juristische Laien fast undurchschaubaren Gesetzeslage der meisten Länder beruht. Sehr viele Staaten der Welt haben die Möglichkeit auf dem Rechtsweg sich Einblick in die Postfächer zu verschaffen und wer fährt schon nach Island und überprüft die Sicherheitsmaßnahmen des neuen E-Mail Dienstleisters.

Absolut sicher kann sich kein Anwender im Bereich der E-Mail sein, aber man kann einige Aspekte beachten um die Risiken zu minimieren. Diese Aspekte sind teilweise so naheliegend, dass es immer wieder irritiert wie sie über Jahre hinweg ignoriert wurden.

  • Der Anbieter muss ein tragfähiges Geschäftsmodell haben, denn ansonsten muss man davon ausgehen, dass er die Daten verwerten wird. Eine kostenlose, sichere Mail gibt es nicht.
  • Der Anbieter muss alle gegenwärtig verfügbaren Sicherheitsmechanismen (z.B. DANE) unterstützen. Wie wenig selbstverständlich dieser Aspekt ist, zeigt die Fahrlässigkeit mit der über Jahre die E-Mail behandelt wurde.
  • Ein Anbieter kann über seine Kunden nur Daten preisgeben, die ihm vorliegen. Das bedeutet, je weniger Daten man für ein Mailkonto hinterlegen muss, umso besser.

Wenn man das berücksichtigt ist die Standortwahl eher nebensächlich. Die USA bieten sich als Standort trotzdem eher weniger an, da in der Vergangenheit einige Möglichkeiten des Staates publik wurden. Als Beispiel sei hier der Druck auf Lavabit im Zuge der NSA-Affäre genannt. Ob nun aber Deutschland, die Schweiz oder Island als Standort gewählt wird ist dagegen von nachrangiger Bedeutung.

Empfehlungen

Die E-Mail made in Germany Kampagne war höchst zweifelhaft. Die beteiligten Unternehmen haben im Zuge der Kampagne ihre unzureichende Verschlüsselung gerade mal auf das Konkurrenzniveau angehoben oder undurchsichtige Konkurrenzverfahren implementiert. Zudem scheint der hier organisierte Zusammenschluss von einigen wenigen Dienstleistern kaum bereit zu sein, andere E-Mail Anbieter aufzunehmen. Der Transparenzbericht der Telekom offenbart zudem das volle Ausmaß der Datenweitergabe und verschleiert zudem wohl einiges.

Wenn man also Telekom und United Internet als Anbieter ausschließt, bleiben nur einige mittelgroße Anbieter übrig. Sehr kleine Anbieter muss man leider ausschließen, da ein Mailkontowechsel keine alltägliche Sache ist und auch nicht beliebig oft durchgeführt werden sollte. Es muss deshalb eine gewisse Bestandswahrscheinlichkeit für den Anbieter bestehen. Je nachdem wie offensiv man die neuen E-Mail Adresse propagiert, kann es bis zu einem Jahr brauchen um eine neue E-Mail-Adresse so zuverlässig einzuführen, dass keine nennenswerte Anzahl an Mails mehr über die alte Adresse läuft.

Mailbox.org

Mailbox.org ist ein Anbieter aus Berlin hinter dem die Firma Heinlein Support GmbH steht. Diese ist seit vielen Jahren im Geschäft und bietet hierdurch ein hohes Maß an Stabilität.

Vorteile:

  • Serverstandort Deutschland
  • Alle gängigen Sicherheitsmaßnahmen (SSL/TLS, DANE, DNSsec) sind unterstützt
  • OTP/2FA-Sicherung
  • Cloudspeicher
  • Cal/CardDAV & Exchange ActiveSync (EAS)
  • Cloudspeicher für Dokumente & Co
  • Nutzung einer eigenen Domain

Nachteile:

  • Kein Transparenzbericht für 2016 und 2017
  • Einbindung von Google-Diensten (reCaptcha) bei Registrierung

Posteo

Posteo ist ein Anbieter aus Berlin, der seit 2009 existiert. Posteo gilt vielen als Vorreiter für datenschutzfreundliche E-Mail-Angebote in Deutschland.

Vorteile:

  • Serverstandort Deutschand
  • Alle gängigen Sicherheitsmaßnahmen (SSL/TLS, DANE, DNSsec) sind unterstützt
  • Unterstützung von Autocrypt
  • Cal/CardDAV
  • Transparenzberichte für jedes Jahr
  • Durch Trennung von Bezahl- und Accountinformationen keine Erhebung von Stammdaten

Nachteile:

  • Keine eigene Domain
  • OTP/2FA-Sicherung nur für Webmail
  • Kein Exchange ActiveSync (EAS)
  • Kein Cloudspeicher
  • Kein konfigurierbarer Spamfilter

KolabNow

KolabNow ist der PIM-Dienstleister der Kolab Systems AG. Diese entwickelt federführend die bekannte Groupware Suite Kolab und trägt maßgeblich zu weiteren Open Source-Projekten bei.

Vorteile:

  • Serverstandort Schweiz
  • Enge Verbindung zur Open Source-Community
  • Kontact als Referenzclient
  • Cloudspeicher
  • Cal/CardDAV & Exchange ActiveSync (EAS)

Nachteile:

  • Keine Transparenzberichte
  • Oberfläche nur in Englisch verfügbar
  • Teurer als konkurrierende Angebote

Zusammengefasst

Ist man bei diesen drei Mailanbieterns deshalb sicher vor Überwachung? Nein, sicherlich nicht! Wer nicht möchte, dass seine Mails mitgelesen werden muss diese verschlüsseln (S/MIME / OpenPGP) oder besser noch keine schreiben. Bei der Wahl des Anbieters geht es primär um Vertrauen und das haben alle drei Unternehmen vermutlich mehr verdient, als ein großer, auf Werbeeinnahmen gegründeter, (oft amerikanischer) IT-Gigant.

Tags: E-Mail, Überwachung, Datenschutz, Posteo, mailbox.org, KolabNow

  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1