mailbox.org: Maildienst mit webbasierter PGP-Verschlüsselung
Webbasiertes PGP bei mailbox.org
Bild: mailbox.org
Um den E-Mail-Verkehr vor staatlicher Überwachung oder vor dem Ausspähen durch Hacker zu schützen, ist eine sichere Verschlüsselung unerlässlich. In einem großen Ratgeber haben wir erläutert, wie die E-Mail-Verschlüsselung funktioniert - doch ein Problem bleibt: Für viele Nutzer sind die Verfahren zu komplex und wenig verständlich. Die Folge: Der Großteil der Internet-Nutzer sendet und empfängt Mails weiterhin unverschlüsselt.
Ein Problem ist auch, dass viele Nutzer ihren Maildienst ausschließlich webbasiert verwenden. Provider wie Web.de und GMX bieten beispielsweise eine Ende-zu-Ende-Verschlüsselung für den De-Mail-Dienst an, dazu muss allerdings ein Browser-Plugin installiert werden. Eine webbasierte Lösung ganz ohne Softwareinstallation will nun der Berliner Mail-Provider mailbox.org entwickelt haben. Der kostenpflichtige deutsche E-Mail-Dienst wirbt mit dem Motto "damit Privates privat bleibt" sowie mit seiner strengen Beachtung des deutschen Datenschutzrechts, was bei vielen US-Mail-Providern nicht immer gegeben ist.
"One-Klick-Lösung" für webbasierte PGP-Verschlüsselung
Webbasiertes PGP bei mailbox.org
Bild: mailbox.org
mailbox.og will eine sichere Kommunikation ab sofort auch mit Nutzern ohne installiertes PGP ermöglichen, die browserbasierte Verschlüsselung soll schnell und ohne Fachkenntnisse einsetzbar sein. Der Provider bezeichnet sein System als kompatible "One-Klick-Lösung" zur Verschlüsselung von E-Mails und Dateianhängen.
Sicherheitsexperten würden laut mailbox.org seit jeher bezweifeln, dass Browserplugins überhaupt sichere Kryptographie ermöglichen können. Auch mobile Endgeräte mit Android oder iPhones würden nicht als "sicheres Umfeld" gelten, denen man einen privaten PGP-Schlüssel anvertrauen dürfe. Die Lösung von mailbox.org funktioniert ganz ohne Plugin-Installation. Grundsätzlich werden bei mailbox.org alle eintreffenden Mails schon seit dem Start im Jahr 2014 nachträglich verschlüsselt und so im Postfach abgelegt.
Nun können auch Nutzer "ohne Fachkenntnisse" ihre Schlüssel mit einem Klick auf ein Icon erzeugen lassen. "Fortgeschrittene Nutzer können bereits vorhandene PGP-Schlüssel exportieren oder importieren und das Web-Modul so parallel zu einer lokalen PGP-Installation verwenden, um auch an fremden Computern jederzeit verschlüsselt kommunizieren zu können", schreibt der Provider. Öffentliche PGP-Schlüssel anderer Nutzer sollen per Klick importiert werden können, PGP-Schlüssel anderer mailbox.org-Nutzer seien sofort für alle abgesichert verfügbar.
Familien- und Geschäftskunden mit mehreren Mailadressen sollen so eine gemeinsame Schlüsselverwaltung bekommen. Da die Verschlüsselung serverseitig stattfinde, befinde sich der "Private Key" des Nutzers niemals in der angreifbaren Browser-Umgebung. So beschreibt mailbox.org die Absicherung seines Dienstes.
Verschlüsselter Mail-Empfang über temporäres Postfach
mailbox.org Guard: Temporäres Postfach - externer Login
Bild: mailbox.org
Die Frage ist nur: Was passiert, wenn ein mailbox.org-Anwender eine verschlüsselte Mail an den Nutzer eines anderen Postfachs versendet und dieser gar keine Verschlüsselung einsetzt? Auch darüber hat sich der Provider Gedanken gemacht. Die Funktion "Guard" richtet dazu nach Angaben des Providers auf Wunsch temporäre Postfächer auf
dem mailbox.org-Server ein, über die via DANE und https-gesichert korrespondiert und Dateien ausgetauscht
werden können. mailbox.org empfiehlt dies beispielsweise für Anwälte oder Steuerberater, da dies eine datenschutzkonforme Kommunikationslösung mit wechselnden Mandaten darstelle.
Die neuen Verschlüsselungs-Services stehen allen Kunden ohne Aufpreis zur Verfügung. Nach einer einmonatigen Testperiode wird mailbox.org kostenpflichtig, die entsprechenden Preismodelle sind unter Tarife und Konditionen einsehbar.
Vor nicht allzu langer Zeit hat mailbox.org einen verschlüsselten Messenger-Dienst gestartet - diesen haben wir hier getestet.