Schlagwort-Archive: Secure E-Mail

ProtonMail revisited

Vor einigen Monaten hatte ich über ProtonMail berichtet. Seinerzeit hatte man über eine CrowdFunding-Kampagne Geld eingesammelt, insgesamt war aber noch nicht viel zu sehen.

Inzwischen kann man ProtonMail nutzen. Kostenlos. Theoretisch. Praktisch erhielt ich gerade auf der ProtonMail-Website die Meldung, ich könne mich für einen Account bewerben. Man würde mich dann kontaktieren, wenn alles vorbereitet wäre.

Der Source-Code von ProtonMail 2.0 wurde offengelegt und steht als Open Source zur Verfügung. Man bemüht sich seitens ProtonMail um Transparenz.

Der Sitz der eigentlichen Gesellschaft ist in der Schweiz, das Datacenter, das die Anwendung hostet, ist ebenfalls in der Schweiz angesiedelt. Damit unterliegt die gesamte Verarbeitung ausschliesslich Schweizer Gesetzgebung und man kann nach heutigem Stand der Dinge davon ausgehen, dass die Schweiz die Vertraulichkeit der Daten nicht angreift, sondern schützt. Man hat in den letzten 10 Jahren unter großem Druck das Bankgeheimnis , das den Ruf der Schweiz als Hort der Vertraulichkeit mit begründet hat, sehr aufweichen müssen. Es ist zwar nicht auszuschliessen, das dies eines Tages auch in Bezug auf Datensicherheit und Datenschutz versucht wird, aber man muss kein großer Prophet sein, um vorherzusagen, dass das nur mit großem Kampf möglich wäre.

ProtonMail speichert Mails auf dem Server grundsätzlich mit starker Verschlüsselung. Der Zugang zum Mail-Account ist doppelt gesichert. Das erste Passwort bringt einen auf den Server und ermöglicht den Abruf der verschlüsselten Mail. Entschlüsseln kann man nur mit dem 2. Passwort, das ProtonMail zu keiner Zeit mitgeteilt wird. ProtonMail selbst kann die E-Mails nicht entschlüsseln, d.h. es kann auch kein Administrator die Mails lesen. Zero-Knowledge-Privacy ist der Begriff für solchermaßen gestaltete Systeme.

ProtonMail - Posteingang (Web)
ProtonMail – Posteingang (Web)

Für den Zugriff auf ProtonMail stehen verschiedene Optionen zur Verfügung. Ein Web-Interface, eine iOS-App für iPhone und iPad, und eine Android-App für die Google-Betriebssystemwelt. Alle Varianten befinden sich noch im Beta-Stadium.

ProtonMail Maileditor (Web)
ProtonMail Maileditor (Web)

ProtonMail ist kein geschlossenes E-Mail-System, sondern kann grundsätzlich mit allen anderen Diensten auch E-Mails austauschen. Das macht den Umgang mit dem Account zu einer bequemen Angelegenheit.

Der Absender einer Mail hat die Möglichkeit, die Gültigkeitsdauer der Mail einzuschränken. Wenn die Mail an einen anderen ProtonMail-Empfänger geht, gibt es sogar eine „Selbstzerstörungsoption“. Das wirkt auf den ersten Blick ein wenig wie James Bond oder Mission Impossible, ist aber eine Funktionalität die es selbst bei ganz einfachen SMS gibt. Auch dort läßt sich – wenn es das Telefon und der Provider unterstützen – eine maximale Gültigkeitsdauer angeben.

Paypal legte Crowd-Funding-Kampagne von ProtonMail die Fesseln an

ProtonMail ist ein Unternehmen, das sichere, verschlüsselte E-Mails als transparenten Dienst anbieten will.

Geld ist knapp, so setzt man auf Crowd-Funding als Finanzierungsquelle. Crowd-Funding ist so etwas wie ein virtueller Klingelbeutel, man setzt auf freiwillige Spenden. Als Gegenleistung bietet man, gestaffelt nach den gespendeten Beträgen, eine schnellere Einrichtung des Accounts, T-Shirts, Business-Accounts oder andere Dinge.

Diese Finanzierungsmethode hat den Vorteil, dass die Abhängigkeit von einzelnen Investoren erheblich reduziert wird und damit eine Unabhängigkeit hergestellt wird, die man sonst schwerlich erreichen kann.

ProtonMail hat es in nur 2 Wochen geschafft, mehr als 250.000 US$ über Kreditkarten, Bitcoins und Paypal einzunehmen.

Vorgestern hat Paypal den Account der ProtonMail-Crowd-Funding-Kampagne gesperrt, es wurden weder Ein- noch Auszahlungen zugelassen.

So groß die Aufregung bei den Machern und Geldgebern von ProtonMail auch war, so sehr habe ich durchaus auch Verständnis für Paypal. Man versetze sich in die Situation dieses Dienstleisters. Ein Konto einer jungen Firma wächst innerhalb weniger Tage um einen stattlichen Betrag an, nachdem vorher Monate lang Ruhe war. Die Steigerungsrate ist statistisch ungewöhnlich und es gibt einen reichen Erfahrungsschatz mit Kunden, die es mit der Ehrlichkeit weniger genau nehmen.

Ich finde es durchaus ehrenwert von Paypal, dass man in einem solchen Falle schon genau hinsieht, ob man nicht ungewollt zum Handlanger von Cyberkriminellen wird.

Das Konto wurde heute wieder freigeschaltet, es war also für ca. 3 Tage gesperrt. Das wird man irgendwann in der Geschichte der Firma ProtonMail erwähnen, aber mehr als eine Fußnote wird es dann kaum wert sein.

Sichere Kommunikation mit der Sparkasse mit PGP oder S/MIME

Mit durchaus anerkennendem Staunen habe auch ich inzwischen mitbekommen, dass die Sparkassen flächendeckend die Verwendung verschlüsselter E-Mails aktiv unterstützen. Einige Sparkassen bieten diese Art der Kommunikation den Kunden aktiv an, andere verhalten sich da noch etwas vorsichtiger.

Ich würde zumindest nicht ausschließen, dass es hie und da Mitarbeiter gibt, die beim Empfang einer verschlüsselten E-Mail zunächst nach ihren Herztropfen suchen und dann einen kurzen Moment hyperventilieren, ehe sie sich daran machen, die notwendigen Schritte zu gehen, um die Mail zu beantworten. Das ist sicher für einige noch hochexperimentell, während andere das nutzen, als hätten sie in ihrem Leben niemals anders kommuniziert.

Unterstützt wird ein Browser-basiertes Interface, aber es ist auch möglich, mit dem eigenen E-Mail-Client und einem S/Mime-Zertifikat oder PGP Nachrichten zu übermitteln.

Ich glaube zwar nicht, dass die Kunden der Sparkassen jetzt in Scharen ihre E-Mail-Clients mit Zertifikaten aufrüsten werden, andererseits ist jede Gegenstelle, die eine solche E-Mail-Kommunikation ermöglicht und unterstützt, ein Fortschritt gegenüber der unverschlüsselten E-Mail-Kommunikation und wird dazu beitragen, dass sichere E-Mail-Kommunikation Schritt für Schritt real wird.

Sprechen Sie Ihre Sparkasse an. Erzeugen Sie Nachfrage.