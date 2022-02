Sichere E-Mail-Dienste in der Über­sicht

Die klas­sische E-Mail ist unge­fähr so sicher wie eine Post­karte - viele Internet-Nutzer wissen das seit Jahren, doch kaum jemand kümmert sich um mehr Sicher­heit bei der E-Mail-Kommu­nika­tion. Vielen Internet-Nutzern reicht eine Adresse bei einem kosten­losen Free­mail-Anbieter. Doch eine wirk­lich vertrau­liche Kommu­nika­tion ist darüber mit den Stan­dard­einstel­lungen in der Regel nicht möglich.

In unserer Über­sicht präsen­tieren wir daher einmal eine Auswahl von E-Mail-Provi­dern, die aus einem oder mehreren Gründen sicherer sind als die Free­mail-Dienste. Und weil es Sicher­heit nicht zum Null­tarif gibt, sind auch so gut wie alle diese Dienste kosten­pflichtig. Mehr E-Mail-Sicher­heit gibts aber schon ab 1 Euro pro Monat.

Wer braucht einen sicheren Mail­dienst und warum?

Kosten­lose E-Mail-Post­fächer bieten oft viel Spei­cher­platz und äußer­lich betrachtet einen guten Service - doch all das ist in der Regel teuer erkauft. Der Free­mail-Nutzer muss entweder Werbung im Post­fach, oft auch in den Mails in Kauf nehmen. Oft hat der Provider hierfür die E-Mails auto­matisch gescannt. Verschlüs­selungs-Funk­tionen fehlen oder müssen aufwändig selbst imple­mentiert werden. Der Server steht oft in den USA oder anderen Ländern, in denen sich die Politik über­wachungs­tech­nisch und oft anlasslos Zugriff auf die Kommu­nika­tion der Bürger gesi­chert hat.

Die Zeiten, in denen ausschließ­lich Poli­tiker, Busi­ness-Kunden, Mili­tärs und Akti­visten über sichere Platt­formen kommu­nizieren mussten, sind vorbei - heut­zutage sollte jeder Inter­esse daran haben, dass nicht jeder Provider, Geheim­dienst oder Internet-Gigant anlasslos die Kommu­nika­tion mitver­folgen und daraus unheil­volle Schlüsse ziehen kann.

Was macht einen sicheren E-Mail-Dienst aus?

"Sichere E-Mail" ist zunächst einmal ein wenig spezi­fiziertes Schlag­wort. Wer sich die Frage stellt, was einen sicheren Mail-Provider ausmacht, landet immer wieder bei den folgenden Kompo­nenten. Es ist möglich, dass kein Provider welt­weit alle diese Vorgaben erfüllt - manche kommen dem Ideal aber recht nahe. Es lohnt sich also, vor einer kosten­pflich­tigen Regis­trie­rung auf den Webseiten nach­zulesen, ob die gewünschte Sicher­heits­funk­tion über­haupt ange­boten wird. Den einen perfekten Anbieter gibt es nicht - es kommt auch immer darauf an, wie man den Dienst korrekt bedient.

Server­standort: Der Server­standort des Mail-Dienstes entscheidet über das anwend­bare Recht. Ein sicherer Mail­server sollte nicht in einem Land stehen, das sich per Gesetz eine anlass­lose Über­wachung aller Bürger gesi­chert hat. In euro­päischen Staaten werden meist anlass­bezo­gene Auskünfte von den Provi­dern erhoben, aber es gibt auch Orte auf der Welt ganz ohne Über­wachung.

Anony­mität, Daten­spar­samkeit: Wenn der Nutzer bei der Regis­trie­rung erst gar keine persön­lichen Daten angeben muss, können diese auch nicht heraus­gegeben oder per Gerichts­urteil abge­fragt werden. Daten­spar­samkeit bedeutet, dass der Provider im Prinzip gar keine Vorgänge wie Login, Mail-Empfang, Mail-Versand, verwen­dete IP o. ä. proto­kolliert und (für längere Zeit) spei­chert.

Trans­port­verschlüs­selung: Wer heut­zutage bei einem Web-Login keine SSL-Verschlüs­selung bietet, hat sich als Provider bereits disqua­lifi­ziert. Ein TLS-verschlüs­selter Zugriff ist bei IMAP- und POP3-Abruf Pflicht. Einige Provider bieten zusätz­lich auf Wunsch auch eine garan­tierte Zustel­lung der Mails ausschließ­lich an TLS-kompa­tible Empfänger.

Mail-Verschlüs­selung: Die Ende-zu-Ende-Verschlüs­selung von Mails per OpenPGP und S/MIME bieten mehrere Anbieter, aller­dings nicht immer über jeden Zugangsweg. Wichtig ist die PGP-Verschlüs­selungs­möglich­keit beispiels­weise auch in der Webober­fläche.

IP-Strip­ping: In den E-Mail-Headern sind immer die Quell-IP-Adresse und die Ziel-IP-Adresse enthalten. Damit sind Absender und Empfänger der E-Mail für Außen­stehende iden­tifi­zierbar, Ermitt­lungs­behörden fordern diese Daten mitunter vom Provider an. Mittels IP-Strip­ping werden diese Infor­mationen bei einigen Provi­dern daher aus dem Header der E-Mails entfernt.

Bezahl­möglich­keiten: Die schönsten tech­nischen Anony­misie­rungs­maßnahmen sind wirkungslos, wenn jemand aufgrund seiner Bezahlart beispiels­weise über die IBAN oder Kredit­karten­nummer eindeutig iden­tifi­zierbar ist. Anonymer sind beispiels­weise Bezahl­services mit Kryp­towäh­rungen, einige Dienste nehmen sogar anonym Bargeld per Brief an.

Spam- und Viren­schutz, Werbe­frei­heit: Einen wirk­samen Spam- und Viren­schutz sollte eigent­lich jeder E-Mail-Provider haben. Wer keine Werbung einblendet, muss die Nutzer auch nicht tracken und nicht deren Surf­verhalten mitpro­tokol­lieren. Bei einem Bezahl­service ist Werbe­frei­heit Pflicht.

Zwei-Faktor-Authen­tifi­zierung: Alle Sicher­heits­maßnahmen nützen nichts, wenn jemand Benut­zername und Pass­wort erbeutet und dann in den "sicheren" Dienst rein­spazieren kann. Eine Zwei-Faktor-Authen­tifi­zierung, ggf. mit einem zweiten Gerät, sorgt für mehr Sicher­heit.

Open Source: Nur wenn die Soft­ware aller Server-Kompo­nenten und der Mail­dienst-Ober­fläche quell­offen sind, lässt sich zwei­fels­frei nach­weisen, dass dort keine Hinter­türen für Geheim­dienste oder Werbe­partner einge­baut sind

Im Folgenden stellen wir nun ausge­wählte Anbieter in alpha­beti­scher Reihen­folge vor - weiter gehts jeweils mit einem Klick aufs Bild!

