Bild: Shutterstock | Zanna Pesnina | Bearbeitung: Motherboard

Hacker erklärt, welcher E-Mail-Anbieter der sicherste ist

Am besten sollte man gar keine E-Mails mehr verschicken, sagt ein Hacker im Gespräch mit Motherboard. Aber wenn du es doch tun musst, solltest du zumindest ein paar Dinge beachten.

|
14 Februar 2019, 12:40pm

Bild: Shutterstock | Zanna Pesnina | Bearbeitung: Motherboard

Deine kostenlose E-Mail-Adresse bekommst du nicht aus Nächstenliebe. Immer, wenn du deine E-Mails auf dem Smartphone abrufst oder Mutti Urlaubsfotos schickst, erfährt dein E-Mailanbieter etwas mehr über dich. Bei 290 Milliarden E-Mails am Tag, die wir laut Schätzung eines Marktforschungunternehmens verschicken, ist das eine ganze Menge an Information.

Motherboard hat mit MacLemon darüber gesprochen, was einen vertrauenswürdigen E-Mail-Anbieter ausmacht. Der Wiener Systemadministrator, den eigentlich alle nur unter seinem Pseudonym kennen, ist auf Apple-Systeme spezialisiert. Und er kann E-Mails überhaupt nicht ausstehen.

Motherboard: Bei welchem E-Mail-Anbieter bist du?
MacLemon: Ich bin mein eigener E-Mail-Anbieter. Das heißt, ich betreibe meine eigenen Server und meine eigene Infrastruktur, damit bin ich nicht von anderen Anbietern abhängig.

Wenn ich eine E-Mail-Adresse bei dir hätte, was könntest du über mich rauskriegen?
Ich sehe, mit welchen E-Mail-Adressen du wann und wie oft in Kontakt bist und wie der Betreff der E-Mail ist. Wenn die E-Mail – wie die meisten E-Mails auf dem Planeten – nicht extra Ende-zu-Ende-verschlüsselt ist, kann ich auch den gesamten Inhalt mitlesen und sogar manipulieren.

Ich sehe auch jede Verbindung, die ein E-Mail-Programm wie Thunderbird oder Apple Mail zu meinem Server aufbaut. Heutzutage verbinden sich die Programme im Hintergrund oft im Minutentakt, um zu schauen, ob neue Nachrichten eingetroffen sind. Ich kann sehen, von welcher IP-Adresse die Abfrage kommt. Daraus kann ich Rückschlüsse ziehen, bei welchem Anbieter und in welchem Land du dich befindest. Manchmal geht das auch noch genauer, ich kann herausfinden, in welcher Stadt du bist. So könnte ich sogar ein Bewegungsprofil erstellen.

Zusammengefasst: Technisch könnte ich deine gesamte Kommunikation, deine Bewegungen und dein soziales Netzwerk ablesen.

Werten die E-Mail-Anbieter alle diese Informationen über mich aus?
Rein technisch ist das möglich. Es gibt Anbieter, die sehr viele Daten auswerten, weil das ihr Geschäftsmodell ist. Deutlich besser sieht es bei Anbietern wie Posteo.de oder Mailbox.org aus, die sich nicht über Werbung und Tracking finanzieren. Dort bezahlst Du monatlich einen geringen Geldbetrag für das Hosting.

Du kannst dir die Datenschutzbedingungen durchlesen und schauen, wie viel ein Anbieter angeblich protokolliert. Eine Möglichkeit, das wirklich zu überprüfen, hast du aber nicht.

Bei Anbietern aus der EU oder aus einem Staat mit einem ähnlichen Datenschutzniveau sieht es generell besser aus. Hier gilt die Datenschutzgrundverordnung (DSGVO), aber gleichzeitig gibt es EU-Länder, in denen die Vorratsdatenspeicherung für E-Mail-Anbieter gilt. Dort sind sie sogar gezwungen, zu speichern, wer mit wem wann wie und wo mailt.

"Wenn du kein Geld einwirfst, bezahlst du mit deinen Daten"

Sollte ich lieber für meine E-Mails einen Anbieter aus der EU wählen statt zum Beispiel Google aus den USA?
Wenn es um Datenschutz geht, sind wir in Europa deutlich besser unterwegs als in den USA. In den USA sind die Datenschutzgesetze sehr rudimentär. Da denken Unternehmen oft rein kapitalistisch: Was mit den Daten zum Geldverdienen möglich ist, wird auch gemacht.

Und es gibt noch ein Problem mit den US-Anbietern. In den USA gilt der sogenannte Patriot Act. Demnach müssen Anbieter deine Daten im Zweifelsfall immer an US-Behörden wie FBI oder NSA weitergeben, auch wenn das nach europäischem Recht gar nicht erlaubt wäre.

Um an Daten von Anbietern in der EU zu kommen, müssen die US-Behörden einen viel größeren bürokratischen Aufwand treiben.

Wie verdienen kostenlose E-Mail-Anbieter eigentlich ihr Geld?
Server zu betreiben ist im Internet nicht gratis. Der Strom kostet, die Hardware kostet und die Datenübertragung auch. Kostenlose Anbieter schalten üblicherweise Werbung und tracken dich auf ihren Seiten. Wenn du kein Geld einwirfst, bezahlst du mit deinen Daten – und die hinterlässt du immer massenhaft, wenn du das Webmail-Interface des Anbieters benutzt. Aus denen kann ein Profil über dich erstellt werden, damit du zielgerichtet Werbung erhältst. So verdienen die Anbieter einen gewissen Teil ihres Geldes. Manche haben auch noch zusätzlich Bezahlangebote, zum Beispiel extra Speicherplatz oder eine werbefreie Web-Oberfläche.

Welche Voraussetzungen sollte ein vertrauenswürdiger E-Mail-Anbieter erfüllen?
Es kommt darauf an, wovor du dich schützen willst – oder ob du deine Daten überhaupt vor irgendwas schützen willst. Generell musst du immer davon ausgehen, dass E-Mail kein sicheres Kommunikationsmedium ist und auch niemals werden kann, schon technisch bedingt.

E-Mail-Anbieter im Vergleich
Fünf große E-Mail-Anbieter im Vergleich. Da web.de und GMX in der kostenpflichtigen Version auf Werbeeinblendungen verzichten, haben wir graue Smileys verwendet | Smileys: Shutterstock | Farbai || Grafik: Motherboard

Es ist gut, wenn ein Anbieter Transportverschlüsselung unterstützt, damit eine Nachricht nicht unverschlüsselt durch die Leitung geht. Das hilft aber gar nichts, wenn der Anbieter des Empfängers deiner E-Mail das nicht auch tut, denn dann werden deine Nachrichten meist trotzdem im Klartext übertragen. Außerdem könnten Angreifer sich beim E-Mail-Verkehr dazwischenschalten und vortäuschen, ein vertrauensvoller Server zu sein. Dadurch lassen sich Nachrichten abfangen oder sogar verändern. Am Ende kannst du bei E-Mails für nichts garantieren. Sobald du sie verschickst und sie auf dem E-Mail-Server deines Anbieters ankommt, hast du die Übertragung nicht mehr unter Kontrolle.

Wenn ich meine E-Mails Ende-zu-Ende-verschlüssele, zum Beispiel mit PGP – können mir dann nicht die Sicherheitsrisiken egal sein?
Es ist ein Irrglaube, dass mit PGP oder S/MIME verschlüsselte Mail sicher sind. Im Jahr 2018 haben Forscher mit einer EFAIL genannten Sicherheitslücke gezeigt, dass der S/MIME-Standard komplett kaputt ist und auch nicht ohne weiteres repariert werden kann. Bei PGP gab es auch Probleme, aber die lassen sich zumindest beseitigen, wenn dein System topaktuell ist.

PGP ist aber fast nirgends vorinstalliert und braucht Plugins, von denen es manche nur kommerziell gibt. Meistens sind die dann noch schrecklich zu bedienen und man macht leicht Fehler. Außerdem reicht es nicht, wenn du PGP verstehst – auch deine Empfänger müssen es installieren und anwenden können. Und selbst wenn ich wirklich alles richtig mache: Ich kann dann nur den Inhalt der Nachricht verschlüsseln, aber nicht verbergen, wer an wen zu welchem Zeitpunkt eine Nachricht schickt. Sonst wäre es keine E-Mail mehr.

Manche E-Mail-Anbieter geben dir die Möglichkeit, Nachrichten im Browser Ende-zu-Ende zu verschlüsseln. Was hältst du davon?
Nichts, ich halte das für einen Marketing-Gag. Irgendwo müssen die geheimen Schlüssel sein, zum Beispiel auf dem Server der Anbieter – oder der Browser bekommt Zugriff darauf. In beiden Fällen wären sie nicht unter meiner Kontrolle und ich kann mir das Verschlüsseln genauso gut sparen.

Echte Ende-zu-Ende-Verschlüsselung heißt: Ein Ende der Kommunikation liegt allein bei mir. Die E-Mail muss bei mir verschlüsselt werden, bevor sie auf den Weg geht. Das geht nur in einem lokalen E-Mail-Client. Wenn ich eine E-Mail im Browser schreibe, landen sie schon beim Anbieter, und das ist nicht mehr sicher.

Ein anderes Feature, das manche E-Mail-Anbieter bewerben, heißt Perfect Forward Secrecy. Ist das sinnvoll?
Ja, das ist es. Das bedeutet, dass ein Anbieter E-Mails verschlüsselt überträgt, aber bei jeder Sitzung einen neuen Schlüssel erzeugt. Das heißt, dass die Daten nachträglich nicht mehr entschlüsselt werden könnten, selbst wenn ein Staat oder ein Geheimdienst die übertragenen Daten mitschneidet. Ohne Perfect Forward Secrecy könnte ein Staat versuchen, die Verschlüsselungskeys vom E-Mail-Anbieter zu bekommen, um mitgeschnittenen Datenverkehr zu lesen.

"E-Mail ist ein fürchterliches Frankenstein-Monster geworden"

Manche E-Mail-Anbieter wie posteo.de oder Gmail ermöglichen Zwei-Faktor-Authentifizierung (2FA). Lohnt sich das?
Zwei-Faktor-Authentifizierung ist immer eine gute Idee, weil ich dann nicht nur ein Passwort brauche, um mich mit dem Browser in den Account einzuloggen. Stattdessen brauche ich noch einen zweiten Schlüssel, zum Beispiel einen per Handy-App generierten Zahlencode oder einen physischen Schlüssel mit USB-Schnittstelle. Manche Anbieter nutzen auch SMS, um einen Zahlencode zu verschicken, aber es ist seit mehreren Jahren nachgewiesen, dass SMS ein unsicheres Kommunikationsmedium ist.


Ebenfalls auf Motherboard: So fühlt es sich an, eine Atombombenexplosion hautnah zu erleben


Du hast ja für dich entschieden, deine E-Mails selbst auf einem eigenen Server zu verschicken und zu empfangen. Sollte das jeder tun?
Das ist kompliziert. Wenn es nur darum geht, E-Mails zu verschicken und du ein bisschen Admin-Fähigkeiten hast und bereit bist, dich in die Sachen einzulesen: Kannst du machen.

Das eigene E-Mail-System gegen die üblichen Angriffe aus dem Internet absichern, ist aber schon aufwändiger. Das kriegt man nur noch hin, wenn man sich tiefgreifend damit befasst. Wenn man sich damit nicht so viel beschäftigen will oder keine Admin-Erfahrung hat, wird man mit einem selbst aufgesetzten System vermutlich nicht glücklich.

Jetzt bin ich verunsichert. Zu welchem E-Mail-Anbieter sollte ich nun gehen?
Meiner Meinung nach ist es sinnvoll, E-Mails soweit wie möglich zu meiden und auf andere Kommunikationsmittel umzusteigen. E-Mail ist aufgrund des Alters ein fürchterliches Frankenstein-Monster geworden. An der ursprünglichen Technologie wurden mit der Zeit Zigtausend Dinge angeschraubt, um Probleme in den Griff zu kriegen. Zum Beispiel, um Spam zu bekämpfen. Die meisten E-Mails auf der Welt sind Spam, also unerwünschte Nachrichten. Wenn mein E-Mail-Server hauptsächlich damit beschäftigt ist, E-Mails nicht zuzustellen, muss man das Konzept von E-Mails mal in Frage stellen.

Mit Messengern wie Signal oder dem Chat-Client Riot kann ich sehr viel machen, was auch E-Mails können. Das ist die beste Methode und gerade junge Nutzer verwenden Messenger und Chatgruppen viel häufiger als E-Mails. Der beste Weg ist meiner Meinung nach: Weg von E-Mail, wann immer es möglich ist. Ich hasse sie, aufrichtigst und zutiefst.

Folgt Anna auf Twitter und Motherboard auf Facebook, Instagram, Snapchat und Twitter