Verschlüsselte E-Mails für alle: ProtonMail soll einfach, aber sicher sein
Seit den Edward Snowden ist auch abseits von Nerd-Kreisen ein Interesse an verschlüsselten Kommunikationsmöglichkeiten entstanden. Das Problem bei bestehenden Lösungen ist allerdings, dass sie von unbedarften Anwendern oft als zu kompliziert wahrgenommen werden. Der durchschnittliche Internetnutzer scheint seine E-Mails zwar auch gerne vor der NSA, anderen Geheimdiensten oder Kriminellen schützen zu wollen, auf den Komfort von Diensten wie Gmail will er dann aber doch nicht verzichten.
Eine Lösung dafür will ProtonMail liefern. Dabei handelt es sich um einen Web-Mail-Dienst, der den Versand verschlüsselter E-Mails erlaubt. Das Interesse ist offenkundig groß: Über die Crowdfunding-Seite IndieGoGo konnten die Macher zwischen dem 17. Juni und dem 31. Juli 2014 mehr als eine halbe Million US-Dollar einsammeln. Das Geld soll neben der Server-Infrastruktur auch in Smartphone-Apps für Android und iOS investiert werden. Zwar befindet sich ProtonMail noch in einer geschlossenen Beta-Phase und längst nicht alle der geplanten Features sind verfügbar, aber wir haben trotzdem vorab einen Blick auf die sichere Gmail-Alternative geworfen.
ProtonMail: Sicherheit muss nicht unbedingt kompliziert sein
Zunächst sei erwähnt, dass die Nutzung von ProtonMail kostenlos ist und es keine Werbung gibt. Das wollen die Macher auch nach Beendigung der Beta-Phase beibehalten. Geld will das Team aus ehemaligen CERN-Mitarbeitern über kostenpflichtige Zusatzdienste für Heavy-User einnehmen. Zuvor soll aber der eigentliche Dienst fertiggestellt werden. Bisher fehlt beispielsweise noch die Möglichkeit, Dateianhänge verschlüsseln zu können.
Der Service macht trotz Beta-Version schon einen guten Eindruck. Die Einrichtung eines Kontos, eine Einladung zur Beta vorausgesetzt, ist nicht komplizierter als bei Gmail oder vergleichbaren Diensten. Der einzige merkliche Unterschied ist der, dass ihr zwei Passwörter beim Anlegen des Accounts festlegen müsst. Bei dem Ersten handelt es sich um das Login-Passwort. Damit authentifiziert ihr euch gegenüber dem Anbieter, wenn ihr euch anmeldet. Dieses wird auch auf den Servern von ProtonMail gespeichert und kann bei Verlust zurückgesetzt werden. Das Zweite ist das Mailbox-Passwort. Das wird zur Ver- und Entschlüsselung von Nachrichten verwendet. Der gesamte Prozess findet direkt im Browser statt. ProtonMail speichert dieses Passwort nicht Server-seitig ab. Vergesst ihr also euer Mailbox-Passwort, könnt ihr auch euren Mail-Account vergessen.
Bei der Kommunikation zwischen ProtonMail-Nutzern werden eure Nachrichten automatisch verschlüsselt. Nur der jeweilige Empfänger kann eure Mail mit seinem privaten Passwort entschlüsseln und lesen. Zur Ver- und Entschlüsselung setzt der Anbieter nach eigenen Angaben auf AES, RSA und OpenPGP. Leider ist die ProtonMail-Software selbst aber nicht Open-Source. Immerhin ermutigen die Macher aber Sicherheitsexperten dazu, etwaige Fehler ausfindig zu machen und den Betreibern offenzulegen. Am zweiten August 2014 veranstalteten sie beispielsweise einen Security-Hackathon auf dem MIT-Campus und verteilten kleinere Geldpreise an Teilnehmer, die Sicherheitslücken entdeckten.
ProtonMail: Auch verschlüsselte Mails an Nutzer anderer Anbieter sind möglich
Mit ProtonMail lassen sich auch an Nutzer anderer Mail-Anbieter verschlüsselte Nachrichten versenden. Dazu müsst ihr lediglich vor dem Versenden ein entsprechendes Häkchen setzen und ein Passwort für die Nachricht festlegen. Bei dieser Variante müsst ihr dann allerdings noch eine Möglichkeit finden, dem Empfänger das Passwort zukommen zu lassen. Wenn ihr wollt, könnt ihr dem Empfänger auch einen Tipp geben, durch den er oder sie auf das Passwort schließen kann. Bei eurem besten Freund sollte sich leicht etwas finden lassen, dass nur er wissen kann. Bei Menschen, die ihr im Grunde nicht kennt, dürfte es schwieriger sein, aus dem Feature einen Nutzen zu ziehen.
ProtonMail ist nicht der einzige Web-Mail-Anbieter, der sichere Kommunikation über seine Plattform verspricht. Leider kochen die meisten Anbieter genau wie ProtonMail dabei ihr eigenes Süppchen. Sinnvoller wäre aber ein gemeinsamer Standard für sichere E-Mails. Daran versuchen sich derzeit unter anderem der PGP-Erfinder Phil Zimmermann und DarkMail genannte Initiative will einen quelloffenen Standard für die verschlüsselte E-Mail-Kommunikation schaffen.
Bis es so weit ist, dürfte ProtonMail nicht die schlechteste Wahl für sicherheitsbewusste Mail-Schreiber sein. Wer einem geschlossenen Service aber partout nicht vertrauen will, und lieber auf offene Standards setzt, der sollte sich unsere Artikel „E-Mail-Verschlüsselung leicht gemacht: So setzt du PGP und GPG richtig ein“ und „Mails verschlüsseln: Was ist eigentlich S/MIME und wie richte ich es ein?“ anschauen. Beide liefern euch neben einer Erklärung der jeweiligen Verschlüsselungsmethoden auch eine Schritt-für-Schritt-Anleitung.
Der Großteil der halben Million US-Dollar wurde wohl am 32. Juli eingesammelt, so sagt man.
Ne, Scherz beiseite: Ihr wolltet wahrscheinlich eher 23. Juli schreiben?
Oh, danke für den Hinweis. Der Fehler wurde korrigiert.
Die Idee von ProtonMail ist nett. Designtechnisch sicherlich schick.
Aber sie suggeriert auch wieder Sicherheit die keiner überprüfen kann. Mit dem ganzen Geld wäre es sicher besser gewesen, einen gemeinsamen Standard auszuarbeiten.
Ich persönlich hoffe auf Qabel, auch wenn es da momentan etwas ruhig geworden ist.
Für diejenigen die ihre Mails doch lieber selbst unter Kontrolle haben könnte Mailpile interessant sein (https://www.mailpile.is). Aktuelle gibt es davon allerdings noch keine stabile Version.
Na dann viel Spaß dabei, deinen eigenen Server absolut sicher zu bekommen. Wenn du Serversicherheit nicht professionell machst, solltest du die Hände von selbstgehosteten Sachen aus Sicherheitsgründen lassen.
Du wärst nicht der erste, der sein Raspberry mit Owncloud offen zugänglich ins Netz hängt. Ich überlasse sowas gerne den Spezialisten, die den ganzen Tag nichts anderes machen.
Das ist doch nichts Neues, man sollte schon wissen was man tut.
Dank eures tollen S/MIME-Artikels habe ich vor ein paar Wochen alles umgestellt. Leider blieb’s bisher dabei. Ohne S/MIME gegenüber kann man nicht verschlüsseln. Und das ist das Hauptproblem bei Verschlüsselung: nicht die Komplexität, sondern die Faulheit der Leute. Meinen Freundeskreis zu Threema zu bekommen war noch relativ schnell und einfach hinzubekommen. Aber bei S/MIME rede ich mir den Mund fusselig.
Bei PGP, ProtonMail, Darkmail und dieser neuen Box ist es ähnlich: Sie alle gehen das falsche Problem an. Und am Ende steht man alleine mit seinen verschlüsselten E-Mails da.
Ich denke aber mittlerweile, dass Krypto-Parties ein ganz guter Weg wären. Nur bin ich wiederum dazu zu faul :-)
Und hier gibt es das aktuelle whiteSands (v1.2.0) theme für Protonmail: http://bit.ly/whiteSands_v120_protronmail