Durch die Veröffentlichungen von Snowden/Greenwald sind viele hochmotivierte IT-Aktivisten angefeuert, neue Ideen und Konzepte für Privacy-freundliche Dienste zu entwickeln. Die E-Mail Dienste ProtonMail (Schweiz), unseen.is (Island) Lavaboom (Deutschland) und Tutanota (Deutschland), als einziger der vier vorgestellten Anbieter mit quelloffenen Code, möchte ich kurz vorstellen.
Diese E-Mail Dienste stellen einfache Benutzbarkeit von Verschlüsselung (“DAU-kompatibel” im Nerd-Slang) sowie Kompatibilität mit den gängigen E-Mail Protokollen in den Vordergrund und bemühen sich, im Rahmen der Möglichkeiten, um maximalen Schutz gegen staatlichen Zugriff.
Das Schreiben und Lesen von E-Mails erfolgt ausschließlich im Webinterface im Browser. Das ermöglicht eine einfach nutzbare Verschlüsselung der Inhalte der Kommunikation mit einer Krypto-Implementierung in Javascript im Webinterface des Browsers.
Die Daten werden verschlüsselt auf den Servern abgelegt. die Betreiber werben damit, dass sie keinen Zugriff auf den Klartext der Kommunikation haben. Die Kommunikation mit Partnern innerhalb des Dienstes ist automatisch Ende-zu-Ende verschlüsselt. Bei der Kommunikation mit Nutzern anderer E-Mail Provider ist Verschlüsselung möglich, aber nicht immer automatisch.
Konzeptionell bedingt haben diese E-Mail Dienste einige Schwächen, die man kennen sollte:
Es gibt Lösungen für asynchrone Kommunikation mit Text-Nachrichten (sozusagen: E-Mail ähnlich), die wirklich “zero knowledge privacy” bieten. State-of-the-Art auf diesem Gebiet sind z.B. I2P-Bote oder POND. Die Nutzung dieser Dienste ist aber wesentlich komplizierter.
ProtonMail, unseen.is, Lavaboom und Tutanota bieten viele Vorteile für Normalanwender, die Ihre E-Mails bisher im Webinterface von GMail, Yahoo! oder Hotmail bearbeiten. Sie sind allerdings nicht State-of-Art im Bereich anonyme, unbeobachtete Kommunikation und die Verschlüsselung bietet nicht die gleiche Sicherheit lokal installierter Tools wie z.B. GnuPG. Man sollte die Grenzen kennen und diese Dienste entsprechend nutzen. ProtonMail, unseen.is, Lavaboom und Tutanota kann man nicht als Snake Oil bezeichnen, aber an dieser Stelle soll vor übertriebenen Erwartungen gewarnt werden, wie sie in der Werbung als universelle Heilversprechen suggeriert werden.