Die niederländischen Macher von Startpage und Ixquick – der diskretesten Suchmaschine der Welt – versprechen mit Ihrem neuen Produkt StartMail einen E-Mail-Dienst auf den Markt zu bringen, der sichere Verschlüsselung mit einfacher Benutzerführung kombiniert. Wir konnten den E-Mail-Dienst nun als eine der ersten in der Betaphase testen.
Wer braucht eigentlich einen verschlüsselten E-Mail-Dienst?
Interessant dürfte StartMail für alle sein, die nach dem NSA-Skandal nun erkannt haben, dass es so etwas wie ein Briefgeheimnis in der digitalen Welt nicht gibt. Stellen Sie sich vor, die Deutsche Post würde jeden Ihrer Briefe zuerst öffnen, einscannen, verarbeiten und anschließend erst an Sie weiterleiten. Wäre das ein Grund zur Beschwerde? Würden Sie sich um Ihre Privatsphäre betrogen fühlen?
Wahrscheinlich ja, aber genau das machen tagtäglich die großen E-Mail-Anbieter, allen voran Google mit GMail. Der genannte E-Mail Dienst lies 2013 im Zusammenhang mit einem Gerichtsprozess in den USA sogar verlauten, das kein GMail-Nutzer erwarten darf, dass der Inhalt seiner persönlichen E-Mails privat bleibt (Quelle). Abhilfe schaffen sichere E-Mail-Provider aus Deutschland wie beispielsweise Posteo.de und Mailbox.org oder eben auch StartMail, das ebenso den Gesetzen des europäischen Datenschutzes unterliegt und eine einfache Benutzbarkeit verspricht.
StartMail – Ein erster Einblick in das E-Mail Postfach
Es ist bereits über ein halbes Jahr her, als wir uns im August 2013 als Beta-Tester für den E-Mail Dienst von StartMail beworben haben. Seither haben es uns über 50.000 andere gleich getan, die allesamt gespannt darauf warten, was die Niederländer da für einen E-Mail-Dienst von Grund auf neu entwickelt haben.
Die Anmeldung
Die Anmeldung für den Beta-Account, welcher aktuell nur ausgewählten Nutzern zur Verfügung steht, ist schnell erledigt. Nachdem man eine E-Mail-Adresse und ein zugehöriges Passwort gewählt hat, wird man noch zur Eingabe einer Wiederherstellungs-E-Mail-Adresse gebeten. Letztere ist für eine Zurücksetzung des Passwortes zwingend notwendig. Wird hier keine alternative E-Mail-Adresse hinterlegt, so ist eine Wiederherstellung oder Neuanforderung des Passworts nicht mehr möglich.
Bevor die Wiederherstellungs-E-Mail-Adresse endgültig in den StartMail-Account übernommen wird, muss diese zuerst über eine Bestätigungsmail verifiziert werden.
Die Startseite von StartMail
Nach erfolgreicher Anmeldung findet man eine sehr übersichtliche und aufgeräumte Startseite vor.
Einfachheit ist hier Trumpf, obwohl einige Funktionen wie beispielsweise Antworten (reply), Weiterleiten (forward) etc. durchaus noch mit passenden Symbolen / Icons verschönert werden könnten. Die Nutzung von Symbolen ist beispielsweise bei der Spalte mit dem Schloss-Symbol sehr gut gelungen, wo der Nutzer auf den ersten Blick erkennt, ob es sich bei der jeweiligen E-Mail um eine verschlüsselte oder unverschlüsselte Nachricht handelt.
StartMail – Verschlüsselung im Alltag
Laut StartMail lag der Hauptfokus bei der Entwicklung vor allem auf der einfachen und komfortablen Nutzung von Verschlüsselung. Ziel sollte es sein, dass jeder (somit auch Oma und Opa) verschlüsselte Nachrichten empfangen und versenden kann. Dazu stellt StartMail zwei verschiedene Techniken zur Verfügung:
- Sichere Frage & Antwort
- Sichere Frage & Antwort und PGP (Pretty Good Privacy)
Sichere Frage & Antwort
Die einfachste Methode ist die Nutzung der Verschlüsselung durch Frage & Antwort. Dazu muss beim Schreiben einer E-Mail über die Weboberfläche der Haken bei Verschlüsselung (Encryption) aktiviert und anschließend sowohl eine Frage als auch eine passende Antwort hinterlegt werden. Letztere sollte natürlich nur der Empfänger der jeweiligen E-Mail kennen.
Nutzt der Empfänger der Nachricht kein StartMail, so erhält er von StartMail eine E-Mail die wie folgt aussehen kann:
In dieser E-Mail wird der Nutzer darauf hingewiesen, dass er gerade eine verschlüsselte E-Mail von StartMail erhalten hat, welche er über den angegebenen Link abrufen kann. Klickt der Anwender auf den Link, dann öffnet sich ein Browserfenster und er wird zur Eingabe einer Antwort aufgefordert. Für die Eingabe hat der Nutzer insgesamt 5 Versuche, nach denen die Nachricht gelöscht wird.
Über den Status der Nachricht (ob diese beispielsweise gelöscht wurde), erhält der Absender bis jetzt leider keine direkte Benachrichtigung. Der einzige Weg dies festzustellen führt über den Ordner Sent (Gesendet) in StartMail. Dort wird nämlich die Nachricht ebenfalls gelöscht, falls der Empfänger diese nicht innerhalb von 3 Tagen gelesen hat (Ablaufzeit) oder die E-Mail aufgrund mehrfacher Falscheingabe der Antwort gelöscht wurde.
Bei Eingabe der richtigen Antwort erscheint die Nachricht anschließend direkt im Browser.
Der Empfänger kann nun direkt im Browser ohne Nutzung eines E-Mail-Clients auf die Nachricht antworten. Dazu muss er (verpflichtend) wieder eine Frage & Antwort definieren, damit die Verschlüsselung erhalten bleibt. Der ursprüngliche Sender findet nach Absenden der Nachricht die Antwort in seinem Postfach vor und kann diese unter Angabe der hinterlegten Antwort dann auch wieder entschlüsseln.
Zur Ver- und Entschlüsselung der Nachrichten über Frage & Antwort wird bei StartMail auf OpenPGP (GnuPG) gesetzt, was man beim Empfang einer verschlüsselten Nachricht in der Weboberfläche von StartMail auch erkennbar ist.
Das tolle bei diesem Feature: Man muss für das Versenden einer verschlüsselten PGP E-Mail über die Weboberfläche mit der beschriebenen Methode nicht die eigenen PGP-Schlüssel (privat und öffentlich) auf den StartMail-Server hochladen, wodurch auch technisch weniger versierte Nutzer von dieser Verschlüsselungsmethode Gebrauch machen können.
Sichere Frage & Antwort und PGP
Neben der Möglichkeit die versendeten E-Mails nur per sichere Frage & Antwort zu verschlüsseln, bietet StartMail auch eine Kombination aus sichere Frage & Antwort und PGP an. Was bedeutet das genau?
Für die Nutzung der Option sichere Frage & Antwort und PGP (Secret Question & Answer and PGP) muss der Anwender auf den Servern von StartMail entweder seinen privaten und öffentlichen PGP Schlüssel hochladen oder alternativ direkt bei StartMail dieses Schlüsselpaar erzeugen. Beide Möglichkeiten sind nicht ideal, da in beiden Fällen der private PGP Schlüssel auf dem Server von StartMail gespeichert wird.
Nichtsdestotrotz soll die Möglichkeit mit PGP im Folgenden noch kurz erläutert werden.
Wurde von Ihnen die Kombination von Sichere Frage & Antwort und PGP gewählt und Sie möchten über die Weboberfläche an einen bestimmten Empfänger eine verschlüsselte E-Mail schicken, dann können prinzipiell zwei Fälle auftreten:
- Sie besitzen vom Empfänger der E-Mail den öffentlichen PGP Schlüssel. Wenn dies der Fall ist, wird die E-Mail mithilfe dieses Schlüssels verschlüsselt -> PGP.
- Besitzen Sie hingegen vom Empfänger der E-Mail keinen öffentlichen PGP Schlüssel, dann werden Sie in der Weboberfläche zur Angabe einer sicheren Frage & Antwort aufgefordert -> Sichere Frage & Antwort.
Sie sehen, im Vergleich zur ersten Option (nur Frage & Antwort) besteht hier zusätzlich noch die Möglichkeit, dass Sie E-Mails bei vorhandenem öffentlichen Schlüssel des Empfängers auch direkt mit PGP (ohne das Frage/Antwort Spiel) verschlüsseln. Zudem können Sie an jede Ihrer E-Mails noch den eigenen, öffentlichen Schlüssel anhängen (Attach my public key).
StartMail – Ausgewählte Features im Detail
Weboberfläche und IMAP
Neben der bisher beschriebenen Möglichkeit seine E-Mails über die Weboberfläche von StartMail abzurufen und zu empfangen, gibt es selbstverständlich auch die Option das Postfach in einen E-Mail Client wie beispielsweise Thunderbird via IMAP einzubinden.
Metadaten
Auch wenn Sie ausschließlich verschlüsselte E-Mails versenden, so enthalten diese immer noch eine gewisse Menge an Metadaten die bestimmte Rückschlüsse auf die E-Mail-Kommunikation ermöglichen. Da dies leider ein generelles Problem des E-Mail-Protokolls ist, können diese Daten nicht vollständig eliminiert werden.
StartMail versucht hier allerdings an verschiedenen Stellen anzusetzen um die Menge an Metadaten zu reduzieren. So entfernen die StartMail Server beispielsweise Informationen über den genutzten E-Mail Client (bei Nutzung von IMAP) oder die IP-Adresse und den Host-Name des E-Mail-Servers der die Nachricht letztlich an den Empfänger ausliefert.
Aliase
Zu guter Letzt kommt noch eines der besten Features von StartMail: Aliase. Hierbei handelt es sich um eine alternative E-Mail-Adresse, welche im Falle von StartMail sogar nur temporär – also für eine bestimmte Zeitdauer – erzeugt werden kann.
Um einen Alias zu erzeugen, klicken Sie beim Schreiben einer E-Mail über die Weboberfläche auf den Link Create email alias.
Anschließend erscheint das obige Fenster in welchem Sie eine zufällige E-Mail-Adresse mit einer vordefinierten Gültigkeit (Limited lifetime) anlegen können. Nach Ablauf der Gültigkeit ist die E-Mail-Adresse nicht mehr erreichbar und Sie erhalten dann auch keine Nachrichten mehr an diese Adresse.
Aliase sind immer dann ideal, wenn Sie eine E-Mail Adresse beispielsweise nur einmal benötigen, weil Sie sich unsicher sind, ob die gegenüberliegende Stelle sorgsam mit diesem wichtigen Datum umgeht.
Der in unserem Beispiel generierte Alias sieht wie folgt aus:
StartMail – Kosten
Die Kostenstruktur von StartMail steht bis dato noch nicht fest. Sicher ist, dass das Angebot nicht kostenlos sein wird, da man sich nicht durch Werbung finanzieren möchte. Laut einem aktuellen Eintrag im Support-Forum von StartMail wird der jährliche Preis in Europa bei 50 Euro liegen, was im Monat etwa 4 Euro entspricht.
Ob der Preis letztlich gerechtfertigt ist, werden der endgültige Funktionsumfang, intensive Tests und hoffentlich auch Sicherheitsaudits zeigen. Gleichwertige deutsche Anbieter starten nämlich bereits mit Preisen ab 1 Euro im Monat.
Fazit
Die Entwickler aus den Niederlanden zeigen mit StartMail ein sehr interessantes Produkt, welches uns vor allem durch die Verschlüsselungmöglichkeit von sicheren Fragen & Antworten sehr gut gefallen hat. Damit sind dem Versand von verschlüsselten E-Mails durch Oma und Opa keine Grenzen mehr gesetzt. Zudem ist die Oberfläche von StartMail klar strukturiert, der Hilfe-Bereich ist für den derzeitigen Entwicklungsstand bereits ausgiebig gefüllt und die Verschlüsselungsmethoden zum Versand von E-Mails sind vielfältig. Wir sind gespannt auf das endgültige Produkt, den Preis und die Durchsetzungsfähigkeit am Markt. Laut Anbieter soll eine deutschsprachige Version noch in der ersten Hälfte dieses Jahres erscheinen.