Verschlüsselt

mailbox.org: Sicherer Messaging-Dienst aus Deutschland im ersten Praxis-Test

Einen sicheren Messenger-Service, der auf deutschen Servern beheimatet ist, kündigte mailbox.org vor wenigen Tagen an. Doch wie praktikabel sind Einrichtung und Nutzung? Wir haben den Dienst getestet.
Von / Hans-Georg Kluge

Kontaktliste in IMplus Kontaktliste in IM+
Screenshot: teltarif.de / Alexander Kuch
"mailbox.org startet [...] einen eigenen Instant-Messaging-Service und baut damit sein Portfolio an sicheren Kommuni­kations­diensten weiter aus", verkündete der vor gut einem Jahr gestartete kostenpflichtige deutsche E-Mail-Dienst mailbox.org. Unter dem Motto "damit Privates privat bleibt" will der Service nicht nur mit dem deutschen Datenschutzrecht, sondern auch mit einer starken Verschlüsselung punkten.

Zuallererst muss klargestellt werden: mailbox.org hat weder ein neues (proprietäres) Messaging-Protokoll kreiert noch eine Messenger-Software programmiert. Das Berliner Unternehmen hat in technischer Hinsicht schlicht und ergreifend einen Jabber-Server aufgesetzt, über den alle Nutzer eines Postfachs von mailbox.org ohne zusätzliche Freischaltung und auch ohne weitere Kosten verschlüsselte Nachrichten versenden können. Wir haben den neuen Messaging-Dienst über mehrere Tage getestet.

Noch kein webbasierter Chat und die Suche nach der Messenger-Software

Kontaktliste in IMplus Kontaktliste in IM+
Screenshot: teltarif.de / Alexander Kuch
mailbox.org weist in seiner ersten Mitteilung und auch auf der Webseite darauf hin, dass der Messenger-Dienst momentan noch nicht webbasiert im Browser genutzt werden kann. "Die Unterstützung für Jabber in unserer mailbox.org-Office-Oberfläche ist in Vorbereitung. Derzeit wird Jabber hier leider noch nicht unterstützt", schreibt das Unternehmen hierzu. Ein Konkurrent, der einen sicheren und webbasierten Messenger anbietet, ist beispielsweise Kim Dotcom auf seiner Plattform Mega - der Dienst nennt sich MegaChat. Dieser Dienst ist allerdings nicht in Deutschland beheimatet und die Services von Kim Dotcom sind nicht unumstritten.

Da es kein kostenfreies E-Mail-Konto von mailbox.org gibt, ist auch der sichere Messaging-Service nicht gratis zu bekommen. Der günstigste Account kostet 1 Euro monatlich und beinhaltet drei E-Mail-Aliasse, 2 GB Mail-Speicherplatz und 100 MB Office-Speicherplatz. ActiveSync wird erst ab dem XL-Account unterstützt, der 2,50 Euro monatlich kostet. Der Messaging-Service ist allerdings auch mit dem Mail-Account für 1 Euro nutzbar.

Um die Auswahl und Installation eines geeigneten Chat-Programms muss der Nutzer sich selbst bemühen. In unserem Test des Messaging-Dienstes von mailbox.org haben wir bewusst auf mobile Clients gesetzt, weil wir herausfinden wollten, wie praktikabel der Dienst auf mobilen Geräten einzurichten und zu nutzen ist. Mit Desktop-Messaging-Clients funktioniert dies aber analog.

mailbox.org spricht sich nicht für die Benutzung einer speziellen Messaging-Software aus, sondern überlässt die Wahl dem Nutzer und verlinkt auf eine Übersichtsseite der XMPP Standards Foundation. Dort ist eine Fülle von Clients für alle Plattformen aufgelistet.

Software-Auswahl und Ersteinrichtung

Aktivierung der OTR-Verschlüsselung im Profil Aktivierung der OTR-Verschlüsselung im Profil
Screenshot: teltarif.de / Alexander Kuch
Für unseren Test hat uns mailbox.org zwei Accounts eingerichtet und wir entschieden uns dazu, den Dienst mit zwei Android-Smartphones auszuprobieren. Ein erster Versuch führte uns zur bekannten Android-App Xabber. Diese erwies sich allerdings als unbrauchbar, da nach der korrekten Eingabe unserer Zugangsdaten kein Kontakt mit dem Jabber-Server von mailbox.org zustande kam. Schließlich fiel die Wahl auf IM+, den wir auf dem einen Smartphone in der kostenfreien und werbefinanzierten Version und auf dem anderen Smartphone in der Bezahlversion nutzten.

Der Service ist innerhalb von wenigen Minuten einzurichten: Nach dem ersten Start von IM+ fragte uns das Messenger-Programm nach den Zugangsdaten und wir gaben unsere Mailadresse und das E-Mail-Passwort ein. Anschließend nahm die Software sofort mit dem Server Kontakt auf. Nun ging es als nächstes darum, den Chatpartner zu finden, was über die Kontaktsuche möglich war. Hier gaben wir einfach die mailbox.org-Adresse unseres zweiten Accounts ein.

Hinweis für die OTR-Verschlüsselung Hinweis für die OTR-Verschlüsselung
Screenshot: teltarif.de / Alexander Kuch
Anschließend mussten wir die Kontaktaufnahme bestätigen und der Aufnahme des Chatpartners auf die Kontaktliste zustimmen. Dies funktionierte dann interessanterweise nur bei der Gratis-Version von IM+, aber nicht bei der Bezahlversion. Hierbei dürfte es sich vermutlich um ein Software-Problem handeln, das nicht mailbox.org anzulasten ist.

Im Regelbetrieb kamen über mailbox.org versandte Nachrichten in unserem Test zuverlässig und ohne Verzögerung an. Einen Verlust oder eine bis zu mehrtägige Verzögerung bei der Nachrichtenauslieferung, über die Nutzer von Threema mitunter klagen, konnten wir bei mailbox.org nicht feststellen.

Verschlüsselung im Praxistest und aufgetretene Probleme

Hinweis auf Start und Ende der OTR-Verschlüsselung Hinweis auf Start und Ende der OTR-Verschlüsselung
Screenshot: teltarif.de / Alexander Kuch
Der Messaging-Service von mailbox.org erlaubt eine verschlüsselte Kommunikation per OTR. Bei OTR (Off-the-Record Messaging) handelt es sich um ein Protokoll zur Nachrichten-Verschlüsselung von Instant Messaging auf Basis von Ende-zu-Ende-Verschlüsselung. In IM+ muss dazu bei den Nutzerinformationen des Chatpartners das Häkchen gesetzt werden bei "Auto OTR". In der Erklärung von IM+ heißt es, dass beim Öffnen eines Chats automatisch eine OTR-Sitzung mit diesem Chatpartner "gestartet" wird.

Hierbei konnten wir schon ein erstes Problem feststellen, da das Starten dieser Sitzung in unserem Test meist nicht vor, sondern nach dem Absetzen der ersten Textnachricht passierte. IM+ signalisierte jedes Mal mit einem kurzen Hinweis, dass die OTR-Sitzung gestartet wurde. Während des verschlüsselten Textaustauschs wird neben dem Zeitstempel der Nachricht ein Schlüssel-Symbol eingeblendet. Legte einer der Chatpartner das Smartphone weg, wurde auf dem anderen Smartphone das Ende der OTR-Sitzung angezeigt.

Ein Kennzeichen von Messaging über OTR ist, dass alte OTR-Messages nicht mehr verfügbar sind, wenn die Sitzung beendet wurde. Nach dem Ende einer OTR-Sitzung verschwinden die Nachrichten, was ein höheres Maß an Privatsphäre bieten soll als bei anderen Messengern. Die nicht verschlüsselten Chat-Nachrichten bleiben allerdings auch bei mailbox.org erhalten.

Bei einer schnellen Kontaktaufnahme ist das natürlich ein Nachteil, wenn die Nutzer zuerst einmal eine belanglose, unverschlüsselte "Hallo"-Nachricht senden müssen, damit der Chatpartner sein Smartphone zur Hand nimmt und den Messenger öffnet. Eine wirkliche Sicherheit erfordert hier also das Mitdenken der Nutzer.

Weitere Probleme, die auf das XMPP-Protokoll zurückzuführen sind

Endlosschleife bei OTR-Verschlüsselung Endlosschleife bei OTR-Verschlüsselung
Screenshot: teltarif.de / Alexander Kuch
Dieser Nachteil ist allerdings ebensowenig mailbox.org anzulasten als vielmehr dem zugrundeliegenden XMPP-Protokoll, das nicht gerade für die Nutzung auf mobilen Geräten optimiert ist. Ein weiterer entscheidender Nachteil von XMPP ist das bekannte Push-Problem: Das XMPP-Protokoll, das im Hinblick auf Desktop-Messenger entwickelt wurde, kommt nur schwer damit zurecht, dass Smartphones beispielsweise einen Energiesparmodus haben, bei dem das Display und - auf Wunsch - auch die Netzwerkverbindungen abgeschaltet werden. In diesem Fall erhält der Nutzer eine neue Nachricht erst dann, wenn er wieder das Smartphone in die Hand nimmt und den Bildschirm entsperrt. Andere beliebte Messenger wie WhatsApp, Threema, Textsecure und andere signalisieren das Eintreffen einer Nachricht per Push auch dann, wenn sich das Smartphone im Standby befindet. IM+ hat zwar einen eigenen Push-Modus, denkbar ist aber, dass XMPP und OTR damit nicht gut zurecht kommen.

Das Team von Mailbox_org als unverhoffter Kontakt Das Team von Mailbox.org als unverhoffter Kontakt
Screenshot: teltarif.de / Alexander Kuch
Diese Gewohnheit werden Nutzer des mailbox.org-Messaging-Services auf Dauer sicherlich vermissen, doch den Machern ging es wohl darum, ein quelloffenes System zu verwenden, das maximalen Abhörschutz bietet. In der Welt der mobilen Messenger besteht grundsätzlich das Problem, dass zuverlässige Push-Nachrichten momentan nur bei proprietären Messaging-Protokollen wirklich zuverlässig funktionieren. Mit IM+ und anderen Jabber-Messengern kann man sich aber darüber benachrichtigen lassen, wenn der Chatpartner online geht.

Beispiel für eine nicht von uns versendete Datenmüll-Nachricht Beispiel für eine nicht von uns versendete Datenmüll-Nachricht
Screenshot: teltarif.de / Hans-Georg Kluge
mailbox.org weist darauf hin, dass sich der Jabber-Server derzeit im Probebetrieb befindet. Außerdem schreibt der Provider: "Es kann sein, dass es in einigen Wochen noch nötig wird, auf eine andere Server-Software zu setzen, dies könnte einmalig zum Verlust Ihrer Jabber-Kontaktliste führen. Einen solchen Wechsel würden wir rechtzeitig ankündigen." Interessanterweise haben wir in unserer mehrtägigen Testperiode eine solche Wartung miterlebt. Auf einmal fanden wir in unserer Kontaktliste den Nutzer "mailbox.org", der sich dort ohne weitere Nachfrage einfach eingenistet hatte. Dieser teilte uns dann mit "Wir starten kurz unseren Jabber-Dienst neu und danken Ihnen für Ihr Verständnis". Während der Testperiode müssen Nutzer mit solchen kurzzeitigen Ausfällen - und mit einem ungefragten Chatpartner - rechnen.

Ein weiteres Phänomen, das wir beobachteten, waren automatisch versandte Nachrichten mit unleserlichem Code an den Chatpartner. Dies geschah, obwohl gerade keiner oder nur einer der Chat-Teilnehmer das Smartphone in der Hand hatte. Auch eine Endlosschleife mit dem Text "OTR-Sitzung wird gestartet..." begegnete uns einmal.

Erstes Fazit: Sicher, aber für Einsteiger noch wenig praktikabel

In einem ersten Fazit lässt sich sagen, dass der sichere Messaging-Dienst von mailbox.org recht einfach einzurichten und zu nutzen ist, wenn man sich einmal für eine funktionierende Software entschieden hat. Allerdings ist die technische Beschaffenheit des XMPP-Protokolls eher darauf ausgerichtet, den Service auf Desktop-Clients zu nutzen, da auf Smartphones die bekannten Probleme mit Push-Benachrichtigungen bestehen. Hat man sich zu einem Chat "verabredet", ist aber auch per Smartphone eine sichere Kommunikation gewährleistet.

In technischer Hinsicht ist zu spüren, dass mailbox.org momentan noch an dem Service bastelt, die Weiterentwicklung und Verbesserung des Dienstes steht also in den nächsten Wochen und Monaten an. Die für Mitte April geplante webbasierte Nutzung dürfte ein weiterer Meilenstein werden.

mailbox.org war übrigens der Gewinner des umstrittenen Tests von E-Mail-Diensten bei der Stiftung Warentest - über die Probleme dieses Testberichts hatten wir kürzlich ausführlich berichtet.

Mehr zum Thema Instant Messenger Smartphones/Tablets