Mailbox.org startet PGP-Verschlüsselung im Webmailer
Mailbox.org bietet ab sofort die Möglichkeit, PGP-Schlüssel in der Web-Oberfläche zu erzeugen und zu verwalten. Bei dem Konzept des Providers verbleibt allerdings auch der geheime Schlüssel auf dem Server.
(Bild: dpa, Franziska Gabbert/Archiv)
- Holger Bleich
Der Mailservice Mailbox.org ermöglicht seinen Kunden ab dem heutigen Donnerstag, ihre Nachrichten in der Web-Oberfläche mit PGP zu verschlüsseln und entschlüsseln. Die neue Funktion namens "Guard" hat der Dienst von OpenXchange übernommen und erweitert. Mailbox.org nutzt sowohl im Back- als auch im Frontend Software des Groupware-Anbieters.
Anders als etwa die De-Mail-Anbieter setzt Mailbox.org nicht auf PGP-Verschlüsselung im Browser auf dem lokalen Kundenrechner mit dem Javascript-Add-on Mailvelope. Peer Heinlein, Gründer und Geschäftsführer von Mailbox.org, erlärte dazu: "Browser-Plugins wie Mailvelope konnten PGP nur teilweise und unkomfortabel entschlüsseln und haben zudem Probleme mit Dateianhängen oder Cloud-Dateispeichern. Sobald Sicherheitslösungen jedoch zu Komforteinschränkungen führen, verzichten Anwender bisher schnell darauf."
Ohne Fachkenntnisse nutzbar
Kunden sollen bei Mailbox.org auch ohne Fachkenntnisse ihre PGP-Schlüssel einfach per Klick auf ein Icon erzeugen lassen und sofort verschlüsselte Nachrichten mit anderen austauschen können. Außerdem soll es möglich sein, vorhandene PGP-Schlüsselpaare zu exportieren oder zu importieren. heise online konnte die Verschlüsselungsfunktion bisher noch nicht ausprobieren, weil sich laut Mailbox.org-Chef Peer Heinlein wegen eines neu aufgetauchten Bugs die Live-Schaltung um "einige Stunden" verzögert.
Nach der Beschreibung zu urteilen verbleibt bei der von Mailbox.org und OpenXchange erdachten Lösung der private Schlüssel auf dem Server. Er befinde sich "zu keinem Zeitpunkt in der unsicheren Umgebung des Webbrowsers oder Smartphones und kann so nicht in unbefugte Hände gelangen." Stattdessen liegt der Schlüssel dann aber eben auf den Servern von Mailbox.org.
Heinlein erklärt dazu: "Umfangreiche Sicherheitsmechanismen und ein nur dem Nutzer bekanntes zusätzliches Schlüssel-Passwort sorgen dafür, dass auch die Administratoren von Mailbox.org keinen Zugriff auf den PGP-Schlüssel oder die damit verschlüsselten E-Mails mehr erhalten können. Selbst während eines aktiven Logins des Nutzers wird dessen PGP-Schlüssel weiterhin nur verschlüsselt im Speicher von mailbox.org verwaltet." Mailbox.org betont, dass der Quellcode des Guard-Moduls eingesehen werden könne und daher "höchste Transparenz und Sicherheit" gewährleistet sei.
Vertrauen benötigt
Die Nutzer müssen dennoch Mailbox.org an diesem wichtigen Punkt einen großen Vertrauensvorschuss dazu geben, dass alles angriffssicher genau so implementiert ist wie zugesagt. PGP im speziellen und Ende-zu-Ende-Verschlüsselung im Allgemeinen soll aber eben genau dafür sorgen, dass man dem Dienstleister und dessen Infrastruktur nicht vertrauen muss.
Trotz der vollmundigen Versprechen bleibt es bei Mailbox.org augenscheinlich dabei, dass alles, was man braucht, um die E-Mails zu lesen, auf den Servern vorhanden ist oder im Fall der Passphrase bei jedem Nutz-Log-in hingeschickt wird. Wie der Dienst Missbrauch, etwa durch Einbrecher, die vollen Zugriff erlangt haben, verhindern will, erschloss sich uns aus den bisher gelieferten Informationen nicht.
Der Guard von OpenExchange übernimmt ähnlich wie Security-Gateways die Schlüsselverwaltung und die Verschlüsselung. Als Lösung etwa für das Mail-Systeme von Unternehmen funktioniert das prima, da die Mitarbeiter ihrem Arbeitgeber in aller Regel vertrauen und die zentrale Schlüsselverwaltung bequem ist. Endanwender aber sollten sich gut überlegen, ob sie ihren geheimen Schlüssel in fremde Hände geben wollen. Bei einer echten Ende-zu-Ende-Verschlüsselung verbleibt der geheime Schlüssel beim Empfänger, nirgendwo sonst. (hob)
