Wer ein kostenloses Hushmail-Konto anlegt, muss sich mindestens alle drei Wochen einmal einloggen, andernfalls wird das Konto gelöscht. Es muss aber auch nicht Hushmail sein. Letztlich eignet sich jeder Dienst, der Daten speichert, also zum Beispiel auch Dropbox. Die Daten von EU-Bürgern sind aber bei US-Dienstleistern nicht vor staatlichen Überwachungsmaßnahmen sicher, weshalb ein kanadischer Anbieter möglicherweise die bessere Wahl ist.

Die Experten von JonDos raten allerdings auch von Hushmail ab, weil Hushmail unter anderem eine Reihe von Daten über die Aktivitäten auf der Webmail-Seite 18 Monate lang speichert.

Hushmail bietet zudem keine vollständige End-to-end-Verschlüsselung. Das bedeutet: Den verschlüsselten Inhalt einer versendeten Mail kann und muss Hushmail bei einem entsprechenden richterlichen Beschluss entschlüsseln und an die Behörden übergeben, ebenso wie gespeicherte Metadaten wie etwa den genauen Zeitpunkt des Ein- und Ausloggens. Die EFF weist darauf hin, dass dies in der Vergangenheit schon vorgekommen ist. Zwar brauchen Strafverfolger überhaupt erst einen Verdacht, aber ich möchte diesen Extremfall zumindest nicht unerwähnt lassen.

Disziplin ist notwendig

Grundsätzlich ist die Lösung der EFF nicht weiter kompliziert. Das Problematische daran ist, dass keiner der Beteiligten unachtsam sein darf. Verzichtet ein Teilnehmer auch nur einmal auf den Einsatz von Tor, taucht seine echte IP-Adresse in den Log-Dateien von Hushmail auf. Das kann schon zur Identifizierung genügen, wenn staatliche Stellen denn einen Grund für derart aufwendige Ermittlungen haben. Auch der Inhalt der einzelnen Botschaften sollte keine Klarnamen und sonstigen Hinweise auf die wahre Identität beinhalten – was von den Kommunikationspartnern viel Disziplin erfordert.

Für jemanden, dessen E-Mail-Korrespondenz überaus brisant sein könnte, heißt das alles: Eine End-to-End-Verschlüsselung von E-Mails, die höchstens noch auszuhebeln ist, wenn jemand Zugang zum Computer des Senders oder Empfängers hat, erfordert eine andere Lösung. Und die ist technisch anspruchsvoller. Sie wird im nächsten Kapitel der Serie beschrieben, in dem es um die Verschlüsselung von E-Mails mit OpenPGP geht.