E-Mails transportieren oft vertrauliche Daten. Egal, ob sie sich auf Personen oder Firmengeheimnisse beziehen. Dabei vergessen die meisten, dass E-Mails wie Postkarten sind. Jeder kann sie lesen – mit ein bisschen krimineller Energie.
Da E-Mails vor allem für unser Berufsleben wichtig sind, sollten wir darauf achten, sie sicher zu verwenden. Gleiches gilt für das Privatleben. Vor einigen Jahren machten einige E-Mail-Anbieter Werbung mit dem Slogan „E-Mail made in Germany“. Damals hatte Deutschland noch eines der strengsten Datenschutzgesetze der Welt. Inzwischen hat zumindest Europa nachgezogen.
Gemeint war damals damit, dass die Transportwege der E-Mail-Anbieter verschlüsselt waren. Zumindest auf Teilstrecken. Für den gesamten Weg konnten auch diese Anbieter das nicht garantieren. Selbst heute kann das noch niemand. Was sie verschwiegen haben, war, dass die Verschlüsselung auf dem Transportweg zwar nicht unwichtig ist, aber noch lange keine Verschlüsselung der Inhalte der E-Mails darstellt. Das liegt daran, dass die E-Mails auf ihrem Weg von Anton zu Eve sogenannte Middle Boxes passieren. Das sind Geräte, die die Transportverschlüsselung öffnen, die Inhalte der E-Mails lesen, manipulieren oder löschen können. Anschließend verschlüsseln sie die E-Mails wieder und schicken sie weiter. Da eine E-Mail auf ihrem Weg vom Sender zum Empfänger bis zu 40 Zwischenstationen passieren kann, gibt es reichlich Möglichkeiten der Manipulation und Spionage.
E-Mail passiert fast 40 Zwischenstationen
Dieses Problem lässt sich jedoch lösen, indem man eine E2EE (End-to-End Encryption – Ende-zu-Ende Verschlüsselung) einsetzt. Eine E2EE verschlüsselt die Nachricht auf dem Gerät des Absenders, bevor diese das Gerät verlässt. Erst der rechtmäßige Empfänger kann die Nachricht wieder entschlüsseln und lesen. Früher mussten dafür sowohl der Sender als auch der Empfänger die gleiche Verschlüsselungssoftware einsetzen. Das war nicht immer ganz einfach und eher etwas für Kenner. Das ist heute anders, denn es gibt E-Mail-Anbieter, die eine E2EE anbieten, ohne dass dafür Fachkenntnisse notwendig sind und ohne, dass auch nur einer der Beteiligten jemals etwas von Verschlüsselung gehört hat.
Von diesen Anbietern möchte ich Ihnen Tutanota (Deutschland) – tuta.com/de/ – und Protonmail (Schweiz) – proton.me/mail vorstellen. Diese beiden sind nicht die einzigen, die das können, aber ich halte sie für die beiden Anbieter, die das für die Nutzer am einfachsten umsetzen.
Das Prinzip ist bei beiden Anbietern das gleiche. Der Absender entscheidet sich, ob er eine E-Mail verschlüsselt versenden möchte – oder eben nicht. Will er die E-Mail verschlüsselt versenden, klickt er im E-Mail-Formular die entsprechende Funktion an. In beiden Fällen ist dies ein Schlosssymbol. Anschließend trägt der Absender ein sicheres Passwort in das dafür vorgesehene Feld ein und verschickt dann die Nachricht an den Empfänger. Der Empfänger erhält eine E-Mail in der steht, dass er eine verschlüsselte Nachricht vom entsprechenden Absender erhalten hat. Um die Nachricht zu lesen, muss er einen Link in der E-Mail anklicken. Anschließend gelangt er auf eine Website, auf der er das Passwort eintragen muss, das der Absender festgelegt hat.
Dieses Passwort kann der Empfänger in seinem Browser speichern. Hat er das gemacht, kann ab sofort zwischen dem Absender und diesem Empfänger eine ausgesprochen sicher verschlüsselte Kommunikation per E-Mail stattfinden. Beide Seiten müssen das Passwort im weiteren Verlauf nicht mehr eingeben, da es im E-Mail-Konto des Absenders und im Browser des Empfängers gespeichert ist. Die gesamte Kommunikation läuft über sogenannte Webmailer. Das heißt, dass Sie die E-Mails in Ihrem Browser bearbeiten.
Plug-in für Exchange ist vorhanden
Bevor das klappt, muss der Absender dem Empfänger das Passwort mitteilen. Das kann per Telefon, auf einem Zettel, per Post, persönlich oder auf eine andere beliebige Art geschehen. Das könnte auch über einen vertraulichen Messenger oder per Fax erfolgen. Ebenso wie Tutanota bietet auch Protonmail sowohl kostenlose als auch kostenpflichtige E-Mail-Konten an. Bei beiden können Sie auch Ihre eigene Domain verwenden.
Die Unterschiede liegen im Detail. Zum einen sollte einem die grafische Oberfläche gefallen. Tutanota zeigt an, ob das gewählte Passwort sicher ist. Protonmail bietet die Möglichkeit, einen Passworthinweis für den Empfänger einzutragen.
Tutanota bietet ein sogenanntes Plug-in für Microsoft Exchange an. Das ist ein kleines Zusatzprogramm, das in einen E-Mailserver, den Firmen häufig betreiben, einbaubar ist. Dann können diese Kunden aus Outlook heraus ihre E-Mails verschlüsselt versenden. Dazu bedarf es dann nur noch eines Klicks auf das entsprechende Feld. Protonmail hat hingegen eine interessante Funktion, die verhindert, dass Nutzer durch Bilder, die in E-Mails eingebettet sind, ausspioniert werden. Bilder können nur ein einziges Pixel groß sein, um zur Spionage eingesetzt zu werden.
Bei beiden Anbietern kann man diese Spionage-Option verhindern, wenn man das E-Mail-Format von HTML auf „Nur Text“ umschaltet. Dann sehen die E-Mails ganz altmodisch aus und enthalten keinen formatierten Text und keine Bilder mehr. Da die meisten dies vermutlich nicht wollen, ist die Funktion von Protonmail recht interessant, die Spionage per Bild zu verhindern.
Google und Outlook nicht zu empfehlen
Wenn Sie nicht glauben, dass es so etwas gibt oder so etwas Sie betreffen könnte, dann sehen Sie sich mal das Angebot von readnotify.com an. Das ist ein Anbieter, der gegen Geld E-Mails über seine Server leitet. Hier bekommen die E-Mails Programmcode angehängt, den der Empfänger nicht sieht. Der Absender kann jedoch sehen, ob die E-Mail zugestellt wurde sowie wann sie zugestellt und ob sie weitergeleitet wurde. Oder wie oft sie geöffnet wurde, wie lange sie gelesen wurde, welche Anhänge geöffnet, heruntergeladen, weitergeleitet wurden. Und was auch sehr interessant sein kann: wo die E-Mails geöffnet wurden.
Gerade in Homeoffice-Zeiten könnte es den einen oder anderen Chef interessieren, ob sein Mitarbeiter zu Hause „arbeitet“ oder dies auf den Malediven tut. Natürlich sind solche Machenschaften nicht legal, aber das, wogegen wir uns schützen wollen, ist eben auch nicht legal. Anbieter wie readnotify.com gibt es viele mit ganz unterschiedlichen Portfolios.
Wem diese Angebote nicht so ganz zusagen, kann sich gern auch einmal die deutschen Anbieter posteo.de und mailbox.org ansehen. Beide bieten ebenfalls eine sichere Verschlüsselung von E-Mails an und Posteo garantiert sogar, nur Ökostrom zu verwenden. Beide verschlüsseln ihre E-Mails mit dem Programm PGP (Pretty Good Privacy), was auch sehr sicher ist. Es ist hierbei aber notwendig, dass auch die Gegenstelle dieses Programm einsetzt, sonst funktioniert es nicht.
Die Finger lassen sollten Sie auf jeden Fall von Anbietern wie Google mit seinem Gmail.com oder von Outlook.com. Beides sind amerikanische Anbieter, die aufgrund der Rechtslage in den USA keinen Datenschutz bieten können. Google bietet sogar den „Service“ an, die Inhalte Ihrer E-Mails nicht nur statistisch, sondern auch inhaltlich auszuwerten. Ein Bekannter von mir erwartete Besuch aus Buenos Aires. Dies war über sein Gmail-Konto verabredet. Noch bevor der Besuch ihm mitteilen konnte, dass die Maschine Verspätung hat, teilte Google ihm dies mit. Wenn Sie das als „Service“ wünschen, dann sind Sie bei Anbietern wie Google oder Outlook richtig.
Wenn Sie aber auch nur ein wenig Interesse an Privatsphäre oder Datenschutz für Ihre (Firmen)geheimnisse haben, dann sollten Sie entweder auf einen der hier empfohlenen Anbieter zurückgreifen oder zumindest einen anderen deutschen, zumindest europäischen Anbieter auswählen. Privatsphäre ist Gold wert. Daher meine Empfehlung: Bleiben Sie unter sich und verzichten Sie auf ungewollte Mitwisser. Verschlüsseln Sie Ihre E-Mails!