Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
ProtonMail

Screenshot: protonmail.ch

ProtonMail ist (fast) da

Dieser neue Schweizer E-Mail-Dienst ist abhörsicher und trotzdem kinderleicht zu bedienen

ProtonMail aus Genf verspricht Schutz vor Massenüberwachung und ist werbefrei. Zum Angebot gehören angeblich auch Mails, die sich automatisch selber «zerstören». Der Schweizer Sicherheitsexperte Marc Ruef ist skeptisch.



Wir alle wissen es, doch die wenigsten tun etwas dagegen: E-Mails sind unsicher. Unglaublich unsicher. E-Mails sind schlimmer als die traditionelle Postkarte, die gern als Vergleich aus der analogen Welt hinzugezogen wird, um zu zeigen, dass fremde Augen mitlesen.

Unverschlüsselte Mails sind für staatliche Schnüffler perfekt. Nie war Massenüberwachung einfacher. Hier kommt ProtonMail ins Spiel. Der abhörsichere Schweizer Mail-Dienst ist am Wochenende in die öffentliche Testphase gestartet.

Wegen des grossen Ansturms mussten die Betreiber kurz darauf die Notbremse ziehen, wie «PC Welt» berichtete. «Wir dachten, wir hätten genügend Ressourcen, um neue Anmeldungen während einem Monat entgegenzunehmen», informiert das Startup in seinem Firmenblog. Und weiter heisst es: «Wir hätten uns niemals vorgestellt, dass wir dieses Limit bereits nach 60 Stunden erreichen würden.»

Benutzername reservieren!

Wer ProtonMail ausprobieren will, muss sich nun gedulden. Die Betreiber sagen, sie arbeiteten mit Hochdruck an einer Erweiterung der Server-Kapazitäten und an weiteren Verbesserungen bezüglich Sicherheit. Vorläufig gibt es nur die Möglichkeit, sich auf der ProtonMail-Website zu registrieren. So kann man schon mal den gewünschten Nutzernamen bzw. die Mailadresse reservieren und wird zu einem späteren Zeitpunkt benachrichtigt, sobald der Service verfügbar ist.

ProtonMail ist im Sommer 2013 von den Wissenschaftlern und Software-Entwicklern Andy Yen, Wei Sun und Jason Stockmann gegründet worden. Sie verfolgen die Mission, das Internet sicherer zu machen und die Privatsphäre der Nutzer zu schützen. Auslöser waren die Enthüllungen von Edward Snowden im letzten Jahr. Als Snowdens sicherer Mail-Provider Lavabit wegen US-Druckversuchen den Dienst einstellte, wollten dies die schlauen Köpfe nicht hinnehmen.

Als weitere Motivation nennen sie die Bedrohung der Menschenrechte durch Bespitzelung. Für politische Aktivisten sei die abhörsichere Kommunikation eine Frage von Leben oder Tod.

«Neutrales Land»

Als Standort für die eigenen Server haben die Betreiber bewusst die Schweiz gewählt. Das Land habe eine lange Geschichte der Neutralität und gewichte den Schutz der Privatsphäre hoch. So können sie sich dem direkten Zugriff der US-Geheimdienste entziehen. Das zentrale Element für das abhörsichere Mailen ist aber die Ende-zu-Ende-Verschlüsselung. So können nur die Absender und Empfänger der Mails deren Inhalt lesen. 

ProtonMail Screenshot

Screenshot: cryptocoinsnews.com

Zum Einloggen sind zwei Passwörter erforderlich, wobei eines davon nicht in den Besitz der System-Administratoren gelangt. Die ProtonMail-Betreiber erklären, dass sie dadurch keinen Zugriff auf die Inhalte haben. «Wenn wir sie nicht lesen können, ist es logisch, dass wir sie auch nicht an staatliche Stellen weitergeben können.»

Das Killerkriterium

Kommt hinzu, dass der Programm-Code von ProtonMail frei einsehbar ist. Dadurch können unabhängige Experten überprüfen, dass keine Hintertüren eingebaut sind. Zu einem späteren Zeitpunkt sollen Programm-Teile als Open Source allgemein zugänglich gemacht werden.  

Das eigentliche Killerkriterium ist die hohe Benutzerfreundlichkeit. «Wer Gmail bedienen kann, kann auch ProtonMail nutzen», sagt Yen, der wie sein Kollege Wei Sun für das CERN tätig ist und mit Forschern vom Massachusetts Institute of Technology (MIT) und der Universität Harvard zusammenarbeitet. Erste Versionen der Software haben sie im Restaurant programmiert, das zur Europäischen Organisation für Kernforschung bei Meyrin im Kanton Genf gehört. Die CERN-Fachleute haben ProtonMail auf Herz und Nieren geprüft.

Das Verschlüsseln und Entschlüsseln läuft für die Nutzer unsichtbar im Hintergrund ab. Im Gegensatz zu bestehenden Diensten wie zum Beispiel Pretty Good Privacy sind keine technischen Vorkenntnisse erforderlich. Dies könnte dem Service zum Durchbruch verhelfen.

ProtonMail Gründer

Die Gründer von ProtonMail sind Wissenschaftler und Software-Entwickler. Screenshot: protonmail.ch

Schweizer Sicherheitsexperte ist skeptisch

Ein weiterer Pluspunkt: Mit ProtonMail lassen sich auch verschlüsselte Nachrichten an die Nutzer herkömmlicher und populärer Mail-Dienste wie Gmail, Outlook oder Yahoo senden. Wie das im Detail funktioniert, konnte watson am Dienstag nicht ausprobieren. Dem Vernehmen nach braucht es dazu ein zusätzliches Passwort, das der Absender dem Empfänger über einen sicheren Kanal zustellen muss.

Der Schweizer Computer-Sicherheitsexperte Marc Ruef ist skeptisch. «Die verschlüsselte Kommunikation mit anderen Anbietern basiert auf einem symmetrischen System. Dies führt die klassischen Schwächen mit, wie zum Beispiel, dass eine Kompromittierung des Schlüssels – in diesem Fall das geheime Passwort – sofort die gesamte Kommunikation kompromittiert.» Man könnte in diesem Fall auch gleich ein passwortverschlüsseltes Archiv verschicken.

Asymmetrische Verfahren wären gemäss Ruef definitiv zu bevorzugen (z.B. PGP), diese «können sich aber aufgrund ihrer erhöhten Komplexität nach wie vor breitflächig nicht durchsetzen.»

Selbstzerstörende Mails?

Interessant klingt auch die automatische «Selbstzerstörungs»-Funktion für heikle Nachrichten. So können die Nutzer offenbar ein Verfallsdatum für verschickte Inhalte festlegen. Die Nachrichten verschwinden daraufhin automatisch aus dem Posteingang. Dazu Marc Ruef: «Dass derlei Mechanismen nicht funktionieren, habe wir vor einiger Zeit am Beispiel des hochgelobten X-Pire! illustriert.» Auch bei ProtonMail würden sich ähnliche Angriffsszenarien auftun.

Generell kranke das System an seiner «Zentralisierung», meint Ruef. «Obwohl festgehalten wird, dass man auf Tracking und Logging verzichtet, erschliessen sich die Betreiber damit genau die Möglichkeit sogenannter Side-Channel-Attacken.» Sie könnten zum Beispiel ermitteln, wer mit wem und zu welcher Zeit kommuniziert. «Diese Information allein kann genug sein, um eine Kompromittierung der vermeintlich sicheren Kommunikation anzustreben. Es läuft also darauf hinaus, dass man den Betreibern vollständig vertrauen muss.»

Bezahlen mit Bitcoins

ProtonMail wird laut Ankündigung in einer Grundversion als «Free For Life» angeboten. Für Power-User dürfte eine kleine monatliche Gebühr um die 5 US-Dollar fällig werden. Dafür erhält man mehr Speicherplatz in der Cloud. In einem Interview kündigten die Betreiber an, dass die Beta-Phase voraussichtlich bis August dauere.

Das Bezahlen soll unter anderem mit Bitcoins möglich sein, was bei richtigem Vorgehen eine nahezu 100-prozentige Anonymität gewährleistet. Weiter versichern die Betreiber, dass keine Nutzerdaten gespeichert werden.

Und das Smartphone?

Was laut einem anderen unabhängigen Sicherheitsexperten zurzeit noch fehlt, ist die sogenannte Zwei-Faktor-Authentifizierung. Also ein zusätzlicher Sicherheitsmechanismus beim Einloggen, wie ihn Google und Facebook mithilfe des Smartphones anbieten. Auch dies soll laut den ProtonMail-Betreibern in den nächsten Monaten implementiert werden.

In einer ersten Phase steht ProtonMail über den Webbrowser zur Verfügung, eine mobile Version sei bereits in Arbeit. Die Entwickler lassen verlauten, dass sie bezüglich sogenannter «Native Apps» Sicherheitsbedenken hätten. Die App Stores für das iPhone (iOS) und für Android würden durch Apple und Google kontrolliert: «Wir können nicht sicher sein, ob die NSA nicht Apple und Google zwingt, heimlich Hintertüren in die Apps einzubauen.» Um sich vor der drohenden Unterwanderung zu schützen, soll die ProtonMail-App mithilfe einer digitalen Signatur überprüft werden können. 

Konkurrenz unter Zugzwang

Fazit: Wenn die Betreiber Wort halten, das Design optimieren und die Verschlüsselungs-Funktionen der Überprüfung durch unabhängige Sicherheitsexperten standhalten, muss sich die Konkurrenz warm anziehen. Oder besser: Grosse Webmail-Anbieter wie Google sollten endlich – wie erwartet – reagieren und das unkomplizierte Versenden von verschlüsselten Nachrichten anbieten.

Bleibt die Frage nach der Finanzierbarkeit: Damit ProtonMail gut funktioniert, muss tüchtig in die Server-Infrastruktur investiert werden. Dies wiederum dürfte erfordern, dass genügend Kunden für die Premium-Funktionen zahlen. Ansonsten müsste das noch sehr junge Unternehmen finanzstarke Partner an Bord holen und im Gegenzug die Unabhängigkeit aufgeben.

Das könnte dich auch interessieren:

CVP fährt grosse Negativ-Kampagne gegen andere Parteien – die Reaktionen sind heftig

Link zum Artikel

Wo du in dieser Saison Champions League und Europa League sehen kannst

Link zum Artikel

Migros Aare baut rund 300 Arbeitsplätze ab

Link zum Artikel

Eine Untergrund-Industrie plündert Banking-Apps wie Revolut – so gehen die Betrüger vor

Link zum Artikel

YB droht Bickel mit Gericht, nachdem er als Sportchef 40 Mio. verlochte

Link zum Artikel

Warum wir bald wieder über den Schweizer Pass reden werden

Link zum Artikel

«Ich hatte Sex mit dem Ex meiner besten Freundin…»

Link zum Artikel

Die amerikanische Agentin, die Frankreichs Résistance aufbaute

Link zum Artikel

Matheproblem um die Zahl 42 geknackt

Link zum Artikel

Wie gut kennst du dich in der Schweiz aus? Diese 11 Rätsel zeigen es dir

Link zum Artikel

«In der Schweiz gibt es zu viel Old Money und zu wenig Smart Money»

Link zum Artikel

So schneiden die Politiker im Franz-Test ab – wärst du besser?

Link zum Artikel

Röstigraben im Bundeshaus: «Sobald ich auf Deutsch wechsle, sinkt der Lärm um 10 Dezibel»

Link zum Artikel

So erklärt das OK der Hockey-WM in der Schweiz die Ähnlichkeit zum Tim-Hortons-Spot

Link zum Artikel

Die Geschichte von «Ausbrecherkönig» Walter Stürm und seinem traurigen Ende

Link zum Artikel

«Informiert euch!»: Greta liest den Amerikanern bei Trevor Noah die Leviten

Link zum Artikel

Keine Angst vor Freitag, dem 13.! Diese 13 Menschen haben bereits alles Pech aufgebraucht

Link zum Artikel

Der Kampf einer indonesischen Insel gegen den Plastik

Link zum Artikel

«Ich bin … wie soll ich es sagen … so ein bisschen ein Arschloch-Spieler»

Link zum Artikel

Alles, was du über die neuen iPhones und den «Netflix-Killer» von Apple wissen musst

Link zum Artikel

15 Bilder, die zeigen, wie wunderschön und gleichzeitig brutal die Natur ist

Link zum Artikel

Shaqiri? Xhaka? Von wegen! Zwei Torhüter sind die besten Schweizer bei «FIFA 20»

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

6
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
6Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • kt75 25.06.2015 10:41
    Highlight Highlight Und hier gibt es das neueste Theme für Protonmail: http://bit.ly/whiteSands_v031_protonmail - mehr unter http://wolframscharnhorst.blogspot.ch
  • Sagitarius 20.05.2014 16:14
    Highlight Highlight Auch wenn dieser Ansatz nicht zu 100% sicher ist....
    besser als unsere herkömmliche Kommunikation per email ist dieser Informationsaustausch allemal!!
  • Alnothur 20.05.2014 14:23
    Highlight Highlight Auch für PGP braucht man keine Technikkenntnisse mehr, längst gibt es super Tools, die einem die Handarbeit abnehmen.
  • n=k 20.05.2014 14:23
    Highlight Highlight Na das hört sich doch mal gut an. Einen grossen Hacken hat die Sache jedoch. Gemäss Artikel kann ich verschlüsselte E-Mails an jemanden ohne ProtonMail versenden. Es kann mir aber niemand eine verschlüsselte E-Mail zurück senden. Es sei denn sie integrieren PGP oder S/MIME, was kaum der Fall sein wird. Einen zusätzlichen kleinen Hacken hat auch das versenden des PIN. Liest der Empfänger seine Mail auf dem Smartphone ist es eine schlechte Idee diesen per SMS oder Messanger des Vertrauens zu senden. Grund? Das ist dann der gleiche Kanal. Der Sender kann dies aber zum Zeitpunkt des versendens gar nicht wissen.

    Fazit: Hört sich cool an. Wird auch cool sein. Das Problem löst es nur Teilweise (ProtonMail zu ProtonMail, ProtonMail zu irgend einem Mailaccount, aber nicht zurück). Somit ist das eigentliche Problem, Verschlüsselung und Interoperabilität noch nicht erreicht.
    • Alnothur 20.05.2014 15:40
      Highlight Highlight Doch, zurück geht auch. Eben mit PGP (wenn dein Kommentar stimmt), was zur Einrichtung absolut keine Hexerei ist. Ganz sicher weniger aufwändig als ein neuer Mailaccount.
    • n=k 20.05.2014 15:53
      Highlight Highlight Für dich und mich. Aber nicht für jeden X-beliebigen. Andernfalls hätte sich PGP durchgesetzt. Ein Problem von PGP ist, dass es nicht nativ in den Mailclients eingebaut ist. Zudem musst du eine Kopie deines Public-Key zum ProtonMail User bekommen. Das kann beim Web-of-Trust etwas schwieriger sein (geht man davon aus, dass es die ersten paar E-Mails einer neuen Kommunikation ist).

      Aber vielleicht haben das die Jungs ja gelöst und ich sehe es noch nicht. Ich lass mich mal überraschen und freue mich auf den Release.

Ich habe «Handy-freie» Ferien überlebt – hier der schonungslose Bericht

Eine fast zweiwöchige Auszeit vom Internet, keine Mobilgeräte, kein Fernsehen: Mit diesem Ziel fuhren wir zuversichtlich in die Südschweiz ...

Vergiss «Digital Detox»!

Also nicht die Idee, die dahinter steckt, sondern den Begriff an sich: «Digitales Entgiften» klingt so gesundheitsfanatisch und hat mich früher immer abgeschreckt.

Dabei können sich Handy-freie Ferien lohnen und sogar genial werden. Wenn man gewisse Fehler vermeidet ...

Im Folgenden erwartet dich ein persönlicher Erfahrungsbericht, von dem du vielleicht den einen oder anderen praktischen Tipp mitnehmen kannst.

Als wir familienintern und im Freundeskreis diskutierten, wie …

Artikel lesen
Link zum Artikel