Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Einfach aber sicher: Wie ein Schweizer Anbieter eure E-Mails schützen will

E-Mail-Anbieter mit Ende-zu-Ende-Verschlüsselung. (Grafik: ProtonMail)

ProtonMail verspricht sichere E-Mail-Kommunikation dank Ende-zu-Ende-Verschlüsselung. Dabei soll die Bedienung des Web-Mail-Dienstes nicht schwieriger sein als bei Gmail.

ProtonMail: E-Mails sollen mittels Ende-zu-Ende-Verschlüsselung geschützt werden. (Screenshot: ProtonMail)
ProtonMail: E-Mails sollen mittels Ende-zu-Ende-Verschlüsselung geschützt werden. (Screenshot: ProtonMail)

ProtonMail: CERN-Forscher wollen E-Mails sicherer machen

Die Tutanota gingen alleine 2014 drei deutsche Anbieter mit dem Versprechen an den Start, sichere E-Mail-Kommunikation anzubieten. Mit ProtonMail gibt es jetzt auch einen Dienst aus der benachbarten Schweiz.

Zwei der drei Gründer sind Mitarbeiter des CERN in Genf. Der Firmensitz wurde aber nicht alleine deshalb gewählt, vielmehr sollen die Schweizer Datenschutzbestimmungen zusätzlich zur Sicherheit des Dienstes beitragen. Immerhin blieb Lavabit, dem E-Mail-Anbieter, den auch Edward Snowden nutzte, nur die Einstellung des Betriebs übrig, nachdem US-Behörden auf die Herausgabe von Kundendaten gedrängt hatten. Sollten die Schweizer Behörden mit ProtonMail ähnlich verfahren, dürften sie allerdings nicht viel von dem Anbieter erfahren können.

Verschlüsselte E-Mails: ProtonMail soll nicht schwieriger in der Handhabung sein als Gmail. (Screenshot: ProtonMail)
Verschlüsselte E-Mails: ProtonMail soll nicht schwieriger in der Handhabung sein als Gmail. (Screenshot: ProtonMail)

ProtonMail will Ende-zu-Ende-Verschlüsselung so einfach wie möglich machen

Alle Nachrichten sollen bei ProtonMail schon auf dem Rechner des Nutzers verschlüsselt werden. So hat der Anbieter selbst gar keine Möglichkeit, die Nachrichten einzusehen. Außerdem will ProtonMail keine Metadaten erfassen. Weder die IP-Adressen noch die genauen Uhrzeiten der Seitenaufrufe sollen erfasst werden. Allerdings setzt der Anbieter zumindest auf seiner Homepage Google Analytics ein. Laut ProtonMail gibt es aber keine Möglichkeit, die erfassten Daten den einzelnen Accounts zuzuordnen.

Damit möglichst viele Menschen den Dienst auch nutzen können, wurde der Web-Mail-Service bewusst einfach gestaltet. Der Versand und der Empfang verschlüsselter Mails soll nicht komplizierter sein als bei regulären Mail-Diensten wie Gmail. Außerdem erlaubt es der Dienst auch, verschlüsselte Nachrichten an Nutzer zu versenden, die ProtonMail nicht einsetzen. Die bekommen dann einen Link zugeschickt, um auf die verschlüsselte Nachricht zuzugreifen.

Darüber hinaus bietet der Schweizer Anbieter auch die Möglichkeit, verschlüsselte Nachrichten mit einem Verfallsdatum zu versehen. Die Mails sollen dann nach einer gewissen Zeit automatisch gelöscht werden. Zur Verschlüsselung setzt ProtonMail auf AES, RSA und OpenPGP. Mit Details zur eingesetzten Verschlüsselung hält sich der Dienst allerdings zurück. Derzeit befindet sich ProtonMail in einer geschlossenen Beta-Phase. Später soll der sichere Web-Mail-Service allen Nutzern offenstehen. Für einen Standard-Account sollen keine Kosten anfallen. Finanziert wird der Dienst durch zusätzliche kostenpflichtige Angebote für Heavy-User.

1 von 6

Finde einen Job, den du liebst

Bitte beachte unsere Community-Richtlinien

4 Reaktionen
Bert

@Luv:
"- Schlüssel ist dem Unternehmen bekannt, sonst ginge es mit einem Web-Mail nicht.".

Quatsch, der Anbieter kann die E-Mail auch im Browser des Kunden chiffrieren und bekommt nie den Klartext. Als Schlüssel wird das Loginpw genommen. Loginpw liegt aber nur in Hashform vor (zB: PBKDF2).

Entschlüsseln für den Kunden geht beim Login mit dem Kundenpw. Wenn auch das im Browser passiert ist das Problem gelöst.

Sicher kann der Anbieter immernoch das Plaintext PW mitlesen. Dagegen Hilft zB EMail mit einem Browser Cert zu ent/verschlüsseln. (Was ja schnell installiert ist)

Also man kann es schon sicher gestalten, sodass der Hersteller die EMails garantiert nicht lesen kann.

Aber es stimmt natürlich, wenn der Betreiber nichtmal das verwendete Sicherheitssystem offenlegt, bestärkt das nicht gerade mein Vertrauen.

Ob so ein Sicherheitssystem dann auch sauber implementiert wurde steht freilich dann noch auf einem anderen Blatt.

Fazit: Wenn man um Datenschutz besorgt ist, sollte man keinen Webmailer benutzen und echtes Ende-zu-Ende verschlüsseln mit PGP bzw. S/MIME (welches sich aber aufgrund des Chain-of-Trust Prinzips schlecht für weite Kreise eignet).

Antworten
Thomas Schneider

Auch wenn die Schweizer mit Threema den #1 Client für verschlüsseltes Messaging gemacht haben, nachdem sie selbst im Bankgeheimnis einknicken mussten würde ich nicht mehr darauf vertrauen dass sie die Schlüssel hierfür nicht auch rausrücken.

Entschlüsselt auf dem Gerät. Verschlüsselt auf dem Server. Und den Schlüssel sollte nur der Nutzer haben. Alles andere wird keinen Anklang finden. Die Verschlüsselungsgemeinde ist ohnehin schon sehr klein. Wer nur die Hälfte abliefert wird nicht angenommen werden.

Antworten
Elv

- Schlüssel ist dem Unternehmen bekannt, sonst ginge es mit einem Web-Mail nicht.

=> S/MIME (Hier sollte das Kaufen von kostenlosten Zertifikaten erleichter werden) und PGP (Anlegen und Verwalten von Schlüsseln vereinfachen, Support direkt im Mail-Client)

Antworten
218120 (abgemeldet)

+ einfache Bedienung
+ kostenlos in der kleinsten Variante

- keine Offenlegung der Verschlüsselungs-Algorithmen (OpenSource)
- man muss eine bestehende eMail-Adresse angeben beim Registrieren
- GoogleAnalytics im Einsatz (Website)

Ein Dienst der voll auf "Sicherheit" und "Verschlüsselung" setzt, sollte sich in diesem Bereich auch keine Schwächen leisten. Dann doch lieber nur OpenPGP.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.