Software & Infrastruktur

Einfach aber sicher: Wie ein Schweizer Anbieter eure E-Mails schützen will

E-Mail-Anbieter mit Ende-zu-Ende-Verschlüsselung. (Grafik: ProtonMail)

ProtonMail verspricht sichere E-Mail-Kommunikation dank Ende-zu-Ende-Verschlüsselung. Dabei soll die Bedienung des Web-Mail-Dienstes nicht schwieriger sein als bei Gmail.

ProtonMail: E-Mails sollen mittels Ende-zu-Ende-Verschlüsselung geschützt werden. (Screenshot: ProtonMail)

ProtonMail: E-Mails sollen mittels Ende-zu-Ende-Verschlüsselung geschützt werden. (Screenshot: ProtonMail)

ProtonMail: CERN-Forscher wollen E-Mails sicherer machen

Die Tutanota gingen alleine 2014 drei deutsche Anbieter mit dem Versprechen an den Start, sichere E-Mail-Kommunikation anzubieten. Mit ProtonMail gibt es jetzt auch einen Dienst aus der benachbarten Schweiz.

Zwei der drei Gründer sind Mitarbeiter des CERN in Genf. Der Firmensitz wurde aber nicht alleine deshalb gewählt, vielmehr sollen die Schweizer Datenschutzbestimmungen zusätzlich zur Sicherheit des Dienstes beitragen. Immerhin blieb Lavabit, dem E-Mail-Anbieter, den auch Edward Snowden nutzte, nur die Einstellung des Betriebs übrig, nachdem US-Behörden auf die Herausgabe von Kundendaten gedrängt hatten. Sollten die Schweizer Behörden mit ProtonMail ähnlich verfahren, dürften sie allerdings nicht viel von dem Anbieter erfahren können.

Verschlüsselte E-Mails: ProtonMail soll nicht schwieriger in der Handhabung sein als Gmail. (Screenshot: ProtonMail)

Verschlüsselte E-Mails: ProtonMail soll nicht schwieriger in der Handhabung sein als Gmail. (Screenshot: ProtonMail)

ProtonMail will Ende-zu-Ende-Verschlüsselung so einfach wie möglich machen

Alle Nachrichten sollen bei ProtonMail schon auf dem Rechner des Nutzers verschlüsselt werden. So hat der Anbieter selbst gar keine Möglichkeit, die Nachrichten einzusehen. Außerdem will ProtonMail keine Metadaten erfassen. Weder die IP-Adressen noch die genauen Uhrzeiten der Seitenaufrufe sollen erfasst werden. Allerdings setzt der Anbieter zumindest auf seiner Homepage Google Analytics ein. Laut ProtonMail gibt es aber keine Möglichkeit, die erfassten Daten den einzelnen Accounts zuzuordnen.

Damit möglichst viele Menschen den Dienst auch nutzen können, wurde der Web-Mail-Service bewusst einfach gestaltet. Der Versand und der Empfang verschlüsselter Mails soll nicht komplizierter sein als bei regulären Mail-Diensten wie Gmail. Außerdem erlaubt es der Dienst auch, verschlüsselte Nachrichten an Nutzer zu versenden, die ProtonMail nicht einsetzen. Die bekommen dann einen Link zugeschickt, um auf die verschlüsselte Nachricht zuzugreifen.

Darüber hinaus bietet der Schweizer Anbieter auch die Möglichkeit, verschlüsselte Nachrichten mit einem Verfallsdatum zu versehen. Die Mails sollen dann nach einer gewissen Zeit automatisch gelöscht werden. Zur Verschlüsselung setzt ProtonMail auf AES, RSA und OpenPGP. Mit Details zur eingesetzten Verschlüsselung hält sich der Dienst allerdings zurück. Derzeit befindet sich ProtonMail in einer geschlossenen Beta-Phase. Später soll der sichere Web-Mail-Service allen Nutzern offenstehen. Für einen Standard-Account sollen keine Kosten anfallen. Finanziert wird der Dienst durch zusätzliche kostenpflichtige Angebote für Heavy-User.

1 von 6

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

5 Kommentare
218120 (abgemeldet)
218120 (abgemeldet)

+ einfache Bedienung
+ kostenlos in der kleinsten Variante

– keine Offenlegung der Verschlüsselungs-Algorithmen (OpenSource)
– man muss eine bestehende eMail-Adresse angeben beim Registrieren
– GoogleAnalytics im Einsatz (Website)

Ein Dienst der voll auf „Sicherheit“ und „Verschlüsselung“ setzt, sollte sich in diesem Bereich auch keine Schwächen leisten. Dann doch lieber nur OpenPGP.

Antworten
Elv
Elv

– Schlüssel ist dem Unternehmen bekannt, sonst ginge es mit einem Web-Mail nicht.

=> S/MIME (Hier sollte das Kaufen von kostenlosten Zertifikaten erleichter werden) und PGP (Anlegen und Verwalten von Schlüsseln vereinfachen, Support direkt im Mail-Client)

Antworten
Thomas Schneider

Auch wenn die Schweizer mit Threema den #1 Client für verschlüsseltes Messaging gemacht haben, nachdem sie selbst im Bankgeheimnis einknicken mussten würde ich nicht mehr darauf vertrauen dass sie die Schlüssel hierfür nicht auch rausrücken.

Entschlüsselt auf dem Gerät. Verschlüsselt auf dem Server. Und den Schlüssel sollte nur der Nutzer haben. Alles andere wird keinen Anklang finden. Die Verschlüsselungsgemeinde ist ohnehin schon sehr klein. Wer nur die Hälfte abliefert wird nicht angenommen werden.

Antworten
Bert
Bert

@Luv:
„- Schlüssel ist dem Unternehmen bekannt, sonst ginge es mit einem Web-Mail nicht.“.

Quatsch, der Anbieter kann die E-Mail auch im Browser des Kunden chiffrieren und bekommt nie den Klartext. Als Schlüssel wird das Loginpw genommen. Loginpw liegt aber nur in Hashform vor (zB: PBKDF2).

Entschlüsseln für den Kunden geht beim Login mit dem Kundenpw. Wenn auch das im Browser passiert ist das Problem gelöst.

Sicher kann der Anbieter immernoch das Plaintext PW mitlesen. Dagegen Hilft zB EMail mit einem Browser Cert zu ent/verschlüsseln. (Was ja schnell installiert ist)

Also man kann es schon sicher gestalten, sodass der Hersteller die EMails garantiert nicht lesen kann.

Aber es stimmt natürlich, wenn der Betreiber nichtmal das verwendete Sicherheitssystem offenlegt, bestärkt das nicht gerade mein Vertrauen.

Ob so ein Sicherheitssystem dann auch sauber implementiert wurde steht freilich dann noch auf einem anderen Blatt.

Fazit: Wenn man um Datenschutz besorgt ist, sollte man keinen Webmailer benutzen und echtes Ende-zu-Ende verschlüsseln mit PGP bzw. S/MIME (welches sich aber aufgrund des Chain-of-Trust Prinzips schlecht für weite Kreise eignet).

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.