Wie so oft im Netz gibt es auch bei den E-Mails einen Konflikt zwischen Sicherheit und Datenschutz auf der einen Seite und der Benutzerfreundlichkeit. Absolut sichere E-Mails gibt es nicht. Am besten ist es aber natürlich, einen eigenen E-Mail-Service zu hosten. So werden schon mal keine Daten beim Verfassen und Versenden von E-Mails gespeichert. Jedoch gibt es dabei immer noch das Problem der Verschlüsselung. End-to-End-Verschlüsselung ist dafür die ideale Lösung. Nicht jeder hat aber das technische Wissen, die Zeit oder Lust, eigene E-Mails zu hosten.
Am besten wäre es natürlich, einen völlig neuen Standard zu schaffen, der standardmäßig verschlüsselt ist, einfach zu benutzen und dennoch kompatibel mit E-Mails ist. Es gibt tatsächlich einen Versuch, ein solches Projekt auf die Beine zu stellen. Da sich ein solcher Standard sich aber nicht bald durchsetzen wird, stelle ich euch hier E-Mail-Provider vor, die das Empfangen und Versenden von E-Mails sicher gestalten. Da die Provider ein ganzes Arsenal an Security-Featuren bieten, die sich relativ schnell auch verändern, beschränke ich mich bei diesem Artikel auf die Vorstellung der Unternehmen. Ich werde aber verlinken, wo ihr die Features genau nachlesen könnt. Eine gute Anlaufstelle ist auch dieser Vergleich der Provider auf Wikipedia.
Lavabit
Lavabit hat einen sehr guten Ruf, was sichere E-Mails angeht. Wer den NSA-Skandal um Edward Snowden vor rund 7 Jahren verfolgt hat, wird Lavabit kennen. Denn Snowden war ein Kunde von Lavabit. Es wurde öffentlich, dass die NSA nach den Leaks die Freigabe von Snowdens Account forderte. Die NSA hatte also keinen Zugriff auf die Daten – ein starkes Zeichen. Manko war jedoch, dass Lavabit selbst Zugriff auf den Account hatte.
Es wurde damals nie bekannt, worin der Druck bestand, den die NSA auf Lavabit ausübte, aber das Unternehmen gab den Forderungen nach und setzte sein Geschäft aus Protest auf Eis. 2017 nahm Lavabit seinen Service jedoch wieder auf. Es unterstützt POP3, aber auch IMAP sowie eine Webversion, die SSL bzw. TLS verschlüsselt ist. Je nachdem wie ihr Lavabit also nutzt, könnte die NSA theoretisch durch die gleiche Methode an eure E-Mails gelangen. Wenn ihr aber keine Staatsgeheimnisse leaken wollt, dürftet ihr mit Lavabit auf der sicheren Seite sein.
Die genauen Datenschutz-Regelungen könnt ihr bei Lavabit selbst nachlesen. Zurzeit gibt es keine kostenlose Version von Lavabit mehr. Es sei denn ihr habt einen Gutscheincode. Ansonsten kostet der Service 30$ – 60$ Dollar pro Jahr und ist damit im oberen Preissegment. Zur Verfügung habt ihr End-to-End-Verschlüsselung, 5/20 GB Speicherplatz und 64/128 MB große Nachrichten. Lavabit unterstützt keine Rich-Text- und Bild-Formate.
Countermail
CounterMail hat seinen Sitz in Schweden, wo es 2010 gegründet worden ist. Das Unternehmen speichert keine Logdaten und IP-Adressen. Bei der Verschlüsselung wird auf OpenPGP gesetzt. Im Vergleich ist CounterMail im höheren Preissegment. Den etwas höheren Preis erklärt das Unternehmen durch qualitativ hohe Server.
Die Preise werden in Dollar aufgeführt. Es gibt nur einen Service, für Speicherplatz muss nur einmal gezahlt werden. Das 6-Monatsmodell kostet 29 Dollar, 12 Monate 49 Dollar und 24 Monate kosten 79 Dollar.
Ein ins Auge fallendes Manko dürfte das Interface sein, dass selbst in 2010 schon etwas aus der Zeit gefallen erscheinen dürfte. Dafür schützt Countermail vor Man-in-the-Middle Attacken, da es auf RSA und andere Verschlüsselungsmethoden setzt. Die Leistungen von Countermail sind hier nachzulesen.
Protonmail
Protonmail ist gefühlt der letzte Schrei bei sicheren E-Mails. Gegründet wurde das Unternehmen von CERN-Wissenschaftlern, die die Vision von einem sicheren Internet und sicherer Kommunikation teilten. Gründungsjahr 2013 – auch hier ist der Whistleblower entscheidend für die Schaffung von Protonmail gewesen, wie ihr auch in einem Blogpost nachlesen könnt.
Schon der Gründung von Protonmail wurden viele Steine in den Weg gelegt. 2014 startete das Projekt eine Indiegogo-Kampagne, bei der 550.377 Dollar eingesammelt worden. Nach Abzug von etwa der Hälfte des Geldes fror Paypal das Konto ein. Mit der Angabe, dass die Verschlüsselungspraktik von Protonmail illegal sei.
2015 gab es größere DDOS-Attacken von unbekannter Adresse. 2019 wurde der Service in Weißrussland und dieses Jahr in Russland geblockt. Die Regierung Russlands erklärte dies mit der Angabe, dass mithilfe von Protonmail Terror-Netzwerke kommunizieren würden und dass Protonmail nicht auf Anfragen reagiert hätte. Protonmail verneinte, dass die russische Administration jemals Kontakt aufgenommen hat. Das Unternehmen empfiehlt TOR-Verbindungen oder VPNs in Russland zu nutzen.
Protonmail könnt ihr kostenlos nutzen. Die kostenpflichtigen Modelle kosten 10 – 90 Euro, wenn ihr monatlich zahlt. Für das jährliche Zahlungsmodell gibt es einen 20% Rabatt. Hinzu buchen könnt ihr ein VPN für 8 Euro pro Monat. Die kostenlose Version von Protonmail bietet euch bereits End-to-End-Verschlüsselung für andere Protonmail-User. Eure Kommunikation mit Nicht-Protonmail-Usern könnt ihr aber ebenfalls verschlüsseln lassen. Die Kryptographie von Protonmail ist Open-Source. Eine Vorstellung der kompletten Security-Features von Protonmail findet ihr hier.
Tutanota
Tutanota ist ein Kompositum der lateinischen Wörter tuta (verschlüsselt) und nota (Brief). Seinen Sitz hat die Tutanota GmbH in Hannover. Zu großen Teilen ist das Projekt Open-Source. Zum Selfhosten fehlt jedoch der Server-Teil der Software, der privat ist. Aus der Kostenperspektive gibt es jedoch wenig Gründe für das Selfhosten. Es gibt eine kostenlose Version von Tutanota, die sich an private Nutzer richtet.
Die Premium-Version kostet 12 Euro im Jahr bzw. 1,20 Euro im Monat, bietet euch Support und die Einbindung anderer Domains an. Speicherplatz, zusätzliche Adressenslots sowie Zusatzfunktionen (sicherer Kalender, Whitelabel) können hinzugebucht werden. Ab 48 Euro im Jahr gibt es eine Team-Version von Tutanota. Auf der Website könnt ihr die genauen Features nachlesen.
Oft wird Tutanota nachgetragen, dass es nicht auf PGP bei der Verschlüsselung von Mails an andere E-Mail-Provider setzt. Was dabei aber ausgelassen wird, ist, dass Tutanota dafür einen eigenen Verschlüsselungsstandard entwickelt hat.
Posteo
Posteo ist ein weiterer E-Mail-Provider mit hohen Sicherheitsstandards aus Deutschland. Anders als Tutanota setzt Posteo aber auf PGP. Es gibt keinen kostenlosen Account bei Posteo, dafür kostet aber auch hier der Service nur wenig – einen Euro im Monat. IP-Adressen und Logdaten werden nicht gespeichert. Bei der Bezahlung ermöglicht Posteo es euch sogar, Geld mit der Post zu senden, um keine Spuren zu hinterlassen.
Posteo wirbt außerdem damit, grün zu sein. Seine Finanzen hält es bei der GLS und der Umweltbank, es setzt auf nachhaltige Ausstattung sowohl bei Software und Hardware, bezieht Ökostrom von Greenpeace Energy und spendet regelmäßig an gemeinnützige Projekte, worunter sich – oft aber nicht nur – Umweltschutz-Projekte befinden.
Posteo ist zu 100% Open-Source und nicht werbefinanziert. Auch Posteo kostet nur einen Euro pro Monat. Datensicherheit und alle weiteren Leistungen von Posteo gibt es hier zum Nachlesen.
—
Dies ist der zweite Artikel in einer Reihe, in der ich Alternativen für Google-Produkte suche. Im ersten Artikel habe ich mir Suchmaschinen angeschaut. Natürlich sind die E-Mail-Provider hier auch gute Alternativen für Web.de, GMX, etc.