Verschlüsselung gilt als beste Selbstverteidigung gegen die anlasslose Massenüberwachung im Netz durch die NSA, ihre Verbündeten – und natürlich auch ihre Gegner. E-Mail-Programme wie Thunderbird oder Outlook mit Verschlüsselungssoftware zu erweitern, kostet zwar kein Geld, fordert vom Nutzer aber ein Mindestmaß an technischem Verständnis und eine gewisse Frustrationstoleranz. Diese Hürde wollen neue E-Mail-Dienste überbrücken. Die Ende-zu-Ende-Verschlüsselung, dank der nur Sender und Empfänger eine Mail lesen können, soll komfortabler werden. Sogar Google versucht sich daran.

Was Google noch testet, bietet  Tutanota bereits an. Die Unternehmen ProtonMail und Lavaboom wollen im Laufe des Jahres dazustoßen. ProtonMail will zudem Mails mit Verfallsdatum anbieten. Der Anbieter mailbox.org wiederum bietet seinen Nutzern zwar keine eigene Verschlüsselung im Browser an, versucht jedoch, die E-Mail mit nützlichen Funktionen zu erweitern. Die neuen Anbieter setzen hauptsächlich auf Web-Anwendungen, die in Browsern wie Firefox oder Safari laufen. Das ist komfortabel für die Nutzer, aber auch anfällig für Angriffe. Denn Browser sind komplexe Programme, deren Lücken regelmäßig mit Updates geschlossen werden müssen.

Tutanota

Die Firma Tutanota aus Hannover bietet zwei Lösungen an: einen kostenlosen Dienst und einen kostenpflichtigen für Geschäftskunden. Die Anmeldung bei der kostenlosen Variante dauert nicht länger als eine Minute, Nutzer müssen keine personenbezogenen Daten wie Namen oder die Anschrift angeben. Da Tutanota komplett im Browser läuft, ist auch keine Installation nötig. Das Senden und Empfangen von E-Mail ist selbsterklärend.

Wo findet die Verschlüsselung statt?

Geschäftskunden können E-Mails auch auf dem eigenen Rechner verschlüsseln, dazu benötigen sie das E-Mail-Programm Outlook sowie eine Art Erweiterung von Tutanota. Eine Unterstützung für die offene E-Mail-Software Thunderbird bietet das Unternehmen nicht an. Bei der kostenpflichtigen Variante fordert Tutanota die Eingabe des Nutzernamens. Laut Datenschutzerklärung werden diese Angaben verschlüsselt und nicht an Dritte weitergegeben.

Technisch funktioniert Tutanota so: Der Nutzer gibt bei seiner Anmeldung ein ganz normales Passwort für den Zugang zu seinem Tutanota-Konto ein. Aus diesem Passwort generiert Tutanota mit dem Programm Bcrypt einen Schlüssel, der wiederum den geheimen E-Mail-Schlüssel verschlüsselt. Am Ende liegt der geheime E-Mail-Schlüssel, selbst verschlüsselt mit dem Verschlüsselungsstandard AES-128, auf den Servern von Tutanota. Damit soll sichergestellt sein, dass auch Tutanota selbst die Mails seiner Nutzer nicht lesen kann. Bcrypt ist ein anerkanntes Verfahren, das aus einem Passwort einen sogenannten Hash-Wert ermittelt. Nur dieser Wert liegt auf den Servern von Tutanota, nicht das Passwort an sich.

Auch Nicht-Nutzer können verschlüsselte Mails bekommen

Das verschlüsselte Senden von E-Mails funktioniert dann prinzipiell wie mit der bekannten, aber eben komplexen Open-Source-Software Pretty Good Privacy (PGP). Dabei hat jeder Nutzer einen geheimen und einen öffentlichen Schlüssel. Der Sender verschlüsselt seine Mail mit dem öffentlichen Schlüssel des Empfängers. Die so verschüsselte Mail kann wiederum nur der Empfänger mit seinem geheimen Schlüssel öffnen. Von diesen Vorgängen bekommen Tutanota-Nutzer nichts mit. Sie sollen nur sicher sein können, dass alle Mails, die sich untereinander schreiben, im Hintergrund verschlüsselt werden.

Verschlüsselte Nachrichten können sie auch Empfänger schicken, die  Tutanota nicht nutzen. Dazu müssen sie sich mit dem Empfänger vorher auf ein gemeinsames Passwort einigen. Schicken sie dann eine vertrauliche Nachricht ab, bekommt der Empfänger eine Mail mit einem Link. Folgt er dem Link, kommt er auf eine Seite, die ihn zur Eingabe des vereinbarten Passworts auffordert. Anschließend ist die Mail lesbar. Offen und problematisch bleibt dabei, auf welchen Wege sich die Sender und Empfänger auf ein Passwort einigen.

Schlüssel auf dem Server der Firma: bequem, aber gefährlich

Drei prinzipielle Nachteile hat Tutanota: Erstens müssen Nutzer dem Anbieter vertrauen, weil vieles auf dessen Servern geschieht. Tutanota hat immerhin den Code hinter der Anwendung veröffentlicht und einem Stresstest unterzogen. Was bei Tutanota also geschehen soll, lässt sich überprüfen. Ob es so geschieht, dagegen nicht. Einer Open-Source-Lizenz unterliegt der Code nicht, das heißt, andere können ihn nicht verwenden.

Zweitens liegen irgendwann viele geheime Schlüssel auf den Tutanota-Servern, das macht sie zu einem lohnenden Ziel für Angreifer.

Drittens braucht ein Angreifer nur Nutzernamen und das Zugangspasswort zum Tutanoto-Webdienst, um alle Mails eines Nutzers unverschlüsselt sehen zu können. Ist dieses Passwort schwach, nützt die ganze Verschlüsselung wenig. Eine Lösung böte die Zwei-Faktor-Authentifizierung. Dabei bekommt der Nutzer beim Einloggen zusätzlich ein zweites, einmaliges Passwort per SMS zugesandt oder ein solches wird per App generiert. Selbst wenn das erste Passwort auf einer Passwortliste steht oder auf einem infizierten Rechner im Internetcafé ausgelesen wird, können sich Angreifer nicht Zugang zum Konto verschaffen. Ihnen fehlt schlicht der zweite Teil des Passworts. Leider bietet Tutanota keine Zwei-Faktor-Authentifizierung an.

Mailbox

Mailbox.org geht das Problem der Verschlüsselung anders an. Das Unternehmen empfiehlt seinen Nutzern, weiterhin die PGP-Lösung auf dem eigenen Rechner zu verwenden. Um ein E-Mail-Programm wie Outlook oder Thunderbird sowie das Einrichten von PGP kommen Nutzer von mailbox.org also nicht herum. Mailbox.org bietet als einziger E-Mail-Dienst im Testfeld die Zwei-Faktor-Authentifizierung an. Damit können sich Nutzer bei mailbox.org im Browser anmelden und ihre Mails abrufen. Zugriff haben sie dann jedoch nur auf unverschlüsselte Mails. Denn der geheime Schlüssel des Nutzers wird bei mailbox.org weder im Browser noch auf den Servern gespeichert.

Das Unternehmen bietet jedoch einige Neuerungen an: So können Nutzer von mailbox.org ihre Mails mit dem Zusatz secure versehen, etwa max.mustermann@secure.mailbox.org. Mails werden dann nur verschickt, wenn sämtliche Transportwege verschlüsselt sind. Das funktioniert so: Server handeln bei jedem Versand einer Mail aus, wie es um die Verschlüsselung auf dem Weg zwischen ihnen steht. Die einen können diesen Transportweg zum Beispiel mit dem Standard TLS verschlüsseln, die anderen nicht. Mit dem Anhängsel secure forciert mailbox.org, dass die Mail nur noch auf verschlüsseltem Weg versendet wird. Spielt einer der Server unterwegs nicht mit, wird die Mail nicht weiter versandt und der Sender bekommt sie zurück. Diese Funktion könnte längst Standard sein. Mail-Anbieter wie Hotmail unterstützen jedoch keine verschlüsselten Transportwege. Empfänger mit einer Hotmail-Adresse würden in diesem Fall also keine Mail erhalten.

Mit mailbox.org kann der Nutzer außerdem eingehende Mails nachträglich verschlüsseln. Das ist deshalb sinnvoll, weil nicht jeder Bekannte seine Mails an den Nutzer verschlüsselt. Die Mails liegen dann unverschlüsselt auf den Servern des E-Mail-Dienstes. Wird das Konto des Nutzers angegriffen, könnten die unverschlüsselten Mails des Bekannten ausgelesen werden. Das soll mit der nachträglichen Verschlüsselung vermieden werden. Die Mails verschlüsselt mailbox.org mit dem öffentlichen PGP-Schlüssel des Nutzers. Einen ähnlichen Service wird auch bald der E-Mail-Dienst Posteo anbieten.

ProtonMail – Die Mail mit Verfallsdatum

Auch das Schweizer Unternehmen ProtonMail werkelt an einer sichereren Webmail. Dafür hat es per Crowdfounding Geld gesammelt. Entwickelt wird ProtonMail von ehemaligen Mitarbeitern des Kernforschungszentrums Cern in Genf.

Ähnlich wie bei Tutanota sollen Nutzer mit möglichst wenig Aufwand untereinander verschlüsselte Mails senden können. Der Zugang zum Postfach erfolgt über den Browser. Das Schlüsselpaar liegt deshalb auf den Servern von ProtonMail – mit all den Nachteilen, die auch Tutanota hat. Immerhin versprechen die Entwickler, dass sie keine Chance haben werden, die Mails ihrer Kunden zu entziffern. Und der Code der Software soll, wenn er ausgereift ist, veröffentlicht werden.

Daneben will ProtonMail eine Mail anbieten, die sich selbst löscht. Das soll auch zwischen ProtonMail-Nutzern und Nutzern anderer Dienste funktionieren. Der Dienst soll in einigen Monaten die Testphase verlassen.

Lavaboom geht in die Testphase

Noch etwas länger wird die Entwicklung von Lavaboom dauern. Dort bereitet man die Testphase gerade erst vor. Auch Lavaboom versucht sich an einer komfortableren PGP-Lösung für Webmail. Anders als bei Tutanota oder ProtonMail liegt der geheime Schlüssel aber nicht auf dem Server des E-Mail-Dienstes. Bei Lavaboom wird er im sogenannten lokalen Speicher des Browsers abgelegt. Von dort bezieht ihn der Web-Dienst des Unternehmens. Nach einer Sitzung muss der Nutzer den geheimen Schlüssel aus dem Speicher löschen.

Das Problem der Metadaten bleibt

Jörg Schwenk ist Professor für Netz- und Datensicherheit an der Ruhr-Universität Bochum. Er hält die neuen Konzepte grundsätzlich für interessant und zumindest potenziell besser als die De-Mail. Deren Anbieter werben ebenfalls mit einer Verschlüsselung, die sie allerdings selbst aufheben: De-Mails werden auf den Servern der Anbieter kurz entschlüsselt und auf Viren und Spam geprüft, so jedenfalls heißt es offiziell.

Trotzdem sieht Schwenk auch bei den neuen Anbietern viele Probleme: "Es bleibt eine Herausforderung, sichere Web-Anwendungen zu programmieren. Die Angriffe sind vielfältig und werden immer komplexer", sagt Schwenk. Den Browsern fehle zudem noch eine Schnittstelle, um sensible Inhalte wie Schlüssel wirksam vor Angreifern zu schützen. Wird ein geheimer Schlüssel im Browser geladen, könnte er dort von Angreifern abgefangen werden.

Und noch ein weiteres Problem gibt es: Die Verschlüsselung einer Mail kann noch so mächtig sein – Metadaten wie Sender, Empfänger und Betreff einer Nachricht lassen sich nicht verschleiern. Verschlüsselt wird immer nur der Nachrichtentext einer Mail. Die Server benötigen die Metadaten, um die Mail richtig zustellen zu können.

Darkmail soll die Mail anonym machen

Lösungen gibt es dafür bisher kaum. Bitmessage ist ein Konzept, bei dem alle Nutzer in einem Netzwerk jede Mail empfangen. Aus dem Wust an Mails kann der richtige Empfänger seine Mails mithilfe seines öffentlichen Schlüssels erkennen. Das System krankt jedoch an dem hohen Datenaufkommen und hat bisher nur wenige Anwender.

Darkmail ist das Projekt einiger renommierter IT-Sicherheitsexperten. Sie wollen einen neuen und einfacheren Standard für Mail-Verschlüsselung entwickeln, bei dem keine Metadaten anfallen. Bislang ist über das Projekt und dessen Fortschritte nur wenig an die Öffentlichkeit gelangt. Immerhin: Mit dabei ist auch Phil Zimmermann, der Vater von PGP. Er weiß, dass seine Erfindung nicht das letzte Wort zur E-Mail-Sicherheit sein kann.