E-Mail hat seit einigen Jahren den Ruf, ein veraltetes System zu sein, dessen systembedingte Nachteile nicht behoben werden können. Dennoch hat die E-Mail die technischen Herausforderungen der letzten Jahre überlebt und wird heute wesentlich vielfältiger genutzt als noch vor einigen Jahren.
Wurden E-Mails früher über das POP3-Protokoll auf einen Rechner heruntergeladen, so bleiben sie heute häufig beim Mail-Provider gespeichert und werden über IMAP oder Exchange ActiveSync (EAS) auf mobile oder stationäre Geräte synchronisiert. Zudem werden über den Mailanbieter nicht nur Nachrichten verschickt, sondern spätestens seit dem Siegeszug des Smartphones auch häufig die Kontakte mit allen Telefonnummern und Adressen sowie die anstehenden Termine synchronisiert. Sie werden damit immer mehr zu Personal Information Managern (PIM) Eine Offline-Synchronisation zwischen PC und Smartphone ist schlicht nicht mehr vorgesehen.
Das E-Mail-Konto ist zudem ein “Generalschlüssel” für alle Accounts. Nahezu überall lassen sich Passwörter über die Mailadresse zurücksetzen, weshalb die Kontrolle des E-Mail-Postfachs Zugriff auf alle anderen Accounts ermöglicht.
Überwachung und Datenschutz
Die Bedeutung des E-Mail-Providers als zentrale Kommunikations- und Organisationsplattform bringt es zwangsläufig mit sich, dass der Nutzer seinem Dienstleister ein hohes Maß an Vertrauen entgegenbringen muss. Denn das relativ abstrakte Gefühl der Überwachung in der digitalen Gegenwart wird an dieser Stelle sehr konkret. Über die geschriebenen und empfangenen Mails, die Kontakte und Termine lässt sich sehr viel über eine Person herausfinden.
Wie bei vielen Datenschutzfragen hat auch dieser Aspekt zwei Dimensionen: Erstens die staatliche Überwachung und zweitens die Datenauswertung durch Unternehmen. Insbesondere letztere lässt sich durch die bewusste Wahl eines datenschutzsensiblen E-Mail-Dienstleisters minimieren.
Manche glauben, das Vertrauensproblem durch eine konsequente Ende-zu-Ende-Verschlüsselung von E-Mails, also vor allem mit OpenPGP oder S/MIME, lösen zu können. Dies ist jedoch ein Trugschluss. Zum einen, weil Verschlüsselung im Alltag schlichtweg nicht verbreitet ist und daher immer eine gewisse Anzahl unverschlüsselter Mails versendet werden muss, zum anderen, weil die dennoch anfallenden Metadaten (Absender, Empfänger, Datum, Uhrzeit, Betreff etc.) nicht ohne Weiteres von den Empfängern eingesehen werden können.
Renationalisierung der E-Mail
In der Diskussion um die Sicherheit von E-Mails zeigte sich auf dem Höhepunkt der Debatte nach 2013 eine erstaunliche Tendenz zur Renationalisierung des Internets. Es wurden – ähnlich wie z.B. im Finanzsektor – die vermeintlich sicheren Häfen Schweiz oder Island ins Feld geführt. Letztlich handelt es sich dabei wohl um trügerische Behauptungen, die auf einer für den juristischen Laien nahezu undurchschaubaren Rechtslage in den meisten Ländern beruhen. 2021 wurde dieses Missverhältnis von Versprechen und Rechtslage am Beispiel von ProtonMail deutlich. Sehr viele Staaten der Welt haben die Möglichkeit, auf dem Rechtsweg Einblick in die Postfächer zu erhalten und wer fährt schon nach Island, um die Sicherheitsvorkehrungen des neuen E-Mail-Dienstleisters zu überprüfen.
Kein Anwender kann sich im E-Mail-Bereich absolut sicher sein, aber es gibt einige Aspekte, die man beachten kann, um die Risiken zu minimieren. Diese Aspekte sind teilweise so offensichtlich, dass es immer wieder irritiert, wie sie jahrelang ignoriert wurden.
- Der Anbieter muss ein tragfähiges Geschäftsmodell haben, sonst ist davon auszugehen, dass er die Daten verwendet. Kostenlose und sichere E-Mail-Anbieter gibt es nicht.
- Der Anbieter muss alle derzeit verfügbaren Sicherheitsmechanismen (z.B. DANE) unterstützen. Wie wenig selbstverständlich dies ist, zeigt die jahrelange Vernachlässigung von E-Mail.
- Ein Anbieter kann nur die Daten über seine Kunden preisgeben, die er hat. Das heißt, je weniger Daten für ein E-Mail-Konto hinterlegt werden müssen, desto besser.
Wenn man das berücksichtigt ist die Standortwahl eher nebensächlich. Die USA bieten sich als Standort trotzdem eher weniger an, da in der Vergangenheit einige Möglichkeiten des Staates publik wurden. Als Beispiel sei hier der Druck auf Lavabit im Zuge der NSA-Affäre genannt. Ein Firmensitz in Deutschland hat den Vorzug, dass der Rechtsweg mehr als nur eine theoretische Option bei Problemen ist.
Empfehlungen
Die E-Mail made in Germany Kampagne war höchst zweifelhaft. Die beteiligten Unternehmen haben im Zuge der Kampagne ihre unzureichende Verschlüsselung gerade mal auf das Konkurrenzniveau angehoben oder undurchsichtige Konkurrenzverfahren implementiert. Zudem scheint der hier organisierte Zusammenschluss von einigen wenigen Dienstleistern kaum bereit zu sein, andere E-Mail Anbieter aufzunehmen. Der Transparenzbericht der Telekom offenbart zudem das volle Ausmaß der Datenweitergabe und verschleiert zudem wohl einiges.
Schließt man also die Telekom und United Internet als Anbieter aus, bleiben nur wenige mittelgroße Anbieter übrig. Sehr kleine Anbieter müssen leider bei diesem Vergleich außen vor bleiben, da ein Wechsel des E-Mail-Accounts nicht alltäglich ist und auch nicht beliebig oft durchgeführt werden sollte. Es muss also eine gewisse Bestandswahrscheinlichkeit für den Anbieter bestehen. Je nachdem, wie offensiv die neue E-Mail-Adresse beworben wird, kann es bis zu einem Jahr dauern, bis eine neue E-Mail-Adresse so zuverlässig eingeführt ist, dass keine nennenswerte Anzahl von Mails mehr über die alte Adresse läuft.
Im folgenden soll eine knappe Übersicht der Vor- und Nachteile dreier bekannter Anbieter mit Datenschutz-Fokus gegeben werden. Die Liste erhebt keinen Anspruch auf Vollständigkeit!
Mailbox.org
Mailbox.org ist ein Anbieter aus Berlin hinter dem die Firma Heinlein Support GmbH steht. Diese ist seit vielen Jahren im Geschäft und bietet hierdurch ein hohes Maß an Stabilität.
Vorteile:
- Serverstandort Deutschland
- Alle gängigen Sicherheitsmaßnahmen (SSL/TLS, DANE, DNSsec) sind unterstützt
- OTP/2FA-Sicherung
- Cloudspeicher
- Cal/CardDAV & Exchange ActiveSync (EAS)
- Cloudspeicher für Dokumente & Co
- Nutzung einer eigenen Domain
Nachteile:
- Einbindung von Google-Diensten (reCaptcha) bei Registrierung.
- Mit 3€ pro Monat als Standardtarif etwas teurer als Posteo.
Posteo
Posteo ist ein Anbieter aus Berlin, der seit 2009 existiert. Posteo gilt vielen als Vorreiter für datenschutzfreundliche E-Mail-Angebote in Deutschland.
Vorteile:
- Serverstandort Deutschand
- Alle gängigen Sicherheitsmaßnahmen (SSL/TLS, DANE, DNSsec) sind unterstützt
- Unterstützung von Autocrypt
- Cal/CardDAV
- Transparenzberichte für jedes Jahr
- Durch Trennung von Bezahl- und Accountinformationen keine Erhebung von Stammdaten
Nachteile:
- Keine eigene Domain
- OTP/2FA-Sicherung nur für Webmail
- Kein Exchange ActiveSync (EAS)
- Kein Cloudspeicher
- Kein konfigurierbarer Spamfilter
Zusammengefasst
Ist man bei diesen beiden Mailanbieterns deshalb sicher vor Überwachung? Nein, sicherlich nicht! Wer nicht möchte, dass seine Mails mitgelesen werden muss diese verschlüsseln (S/MIME / OpenPGP) oder besser noch keine schreiben. Bei der Wahl des Anbieters geht es primär um Vertrauen und das haben alle drei Unternehmen vermutlich mehr verdient, als ein großer, auf Werbeeinnahmen gegründeter, (oft amerikanischer) IT-Gigant.