Trotz des Siegeszugs von WhatsApp gehört die E-Mail zum meist genutzten Kommunikationsmedium im Internet. Der bereits Anfang der 1970er Jahre eingeführten elektronischen Post merkt man jedoch ihr Alter deutlich an. So flutschen die Nachrichten wie einst im Klartext durch das Netz. Wer den Datenverkehr anzapft, kann E-Mails ähnlich wie Postkarten einfach mitlesen. Zwar verschlüsseln die meisten E-Mail-Dienstleister mittlerweile die Verbindung zum Postfach, die E-Mails selbst wandern jedoch weiterhin offen lesbar zum Empfänger.

Darüber hinaus lagern die Nachrichten unverschlüsselt auf den Servern des E-Mail-Anbieters. Der könnte die Nachrichten auf Druck an Behörden weitergeben, aus Profitgier an Dritte verkaufen oder zu Werbezwecken analysieren. Insbesondere letzteres behalten sich einige E-Mail-Dienstleister im Kleingedruckten vor. In jedem Fall ist die Privatsphäre dahin. Das bereitet vor allem Unternehmen Probleme, die in Deutschland die strengen Datenschutzregeln der DSGVO einhalten müssen.

Konsequente Datenvermeidung und Verschlüsselung

Einige wenige Postfach-Anbieter haben sich jedoch aktiv den Schutz der Privatsphäre auf die Fahnen geschrieben. Dazu ergreifen sie gleich mehrere Maßnahmen. Zunächst erfassen die Dienste nur die absolut notwendigen Daten. So erfragen sie etwa bei der Registrierung nur ein Passwort, nicht aber auch noch das Geburtsdatum des neuen Kunden. Des Weiteren unterstützten sie ihre Anwender beim Ver- und Entschlüsseln von E-Mails, was wiederum die Kommunikation vor neugierigen Augen schützt. Abschließend speichern sie sämtliche Nachrichten auf ihren Servern nur chiffriert. Selbst wenn jemand Zugriff auf die Server erlangt, sieht er dort nur Datensalat.

Der Zugriff auf das Postfach erfolgt entweder über eine schicke Web-Oberfläche im Browser oder über einen beliebigen E-Mail-Client. Letztgenannte sprechen mit den Postfächern über die etablierten Standard-Verfahren IMAP, POP3 und SMTP. Einige E-Mail-Anbieter offerieren zudem eine eigene App, die meist die Funktionen der Web-Oberflächen umfassen. In jedem Fall erfolgt die Kommunikation verschlüsselt, in der Regel mit dem TLS-Verfahren. Bei einigen Dienstleistern kann man den Versand einer E-Mail sogar untersagen, wenn sich keine durchgehend sichere Verbindung zum Empfänger aufbauen lässt. Durchweg alle Anbieter aktivieren zudem Perfect Forward Secrecy (PFS). Diese Technik verhindert, dass ein Mitschnitt der Kommunikation auch dann nicht dechiffriert werden kann, wenn nachträglich der Schlüssel bekannt wird.

Ähnlicher Funktionsumfang

Entsprechende Dienste sind unter dem Stichwort Secure E-Mail im Internet schnell gefunden. Die Bedienung der Web-Oberflächen sowie der Funktionsumfang ähneln sich drastisch. So spürt eine Suchfunktion schnell ältere Nachrichten auf, während zusammenklickbare Filterregeln die E-Mails in die passenden Ordner sortieren. Beim Aussieben von unerwünschter Werbepost hilft ein darauf trainierter Spam-Filter. Anhänge sind bei allen Diensten erlaubt, wobei die Postfächer Dateien nur bis zu einer vorgegebenen Größe entgegennehmen. Das konkrete Limit hängt dabei vom jeweiligen Dienst ab. Häufig koppeln die Anbieter das Postfach mit weiteren Diensten. So merkt sich ein Adressbuch alle wichtigen Kontakte, während der Kalender einen kurz bevorstehenden Termin mit einer passenden E-Mail ankündigt. Im Angebot ist meist auch ein Umzugsservice, der sämtliche E-Mails aus einem bereits bestehenden Postfach importiert.

Eine Frage des Standorts

Bevor man sich dort ein Postfach einrichtet, sollte man noch einen Blick auf den Standort werfen: Ausländische E-Mail-Anbieter müssen sich nur an die dortigen Datenschutzrichtlinien halten. Bei Verstößen hat man unter Umständen keine Möglichkeit zu klagen. In vielen Staaten besteht zudem immer die Gefahr, dass Behörden doch noch Zugriff auf das Postfach erlangen können – etwa zur Terrorabwehr. Mitunter verpflichten sie die Anbieter sogar zum Einbau einer Hintertür, über die sie spurlos die unverschlüsselten Daten abgreifen können. Übrig bleiben damit nur E-Mail-Anbieter aus der Europäischen Union, die auch dort ihre Server betreiben. Nur so ist gewährleistet, dass man seine Rechte wie etwa auf Löschung und im Fall der Fälle Schadensersatz gelten machen kann. Abschreckend wirken zudem die hohen Bußgelder, die den Dienstleistern in der EU bei Verstößen drohen. Wer ein datenschutzkonformes E-Mail-Postfach für ein Unternehmen sucht, sollte dennoch immer sicherheitshalber einen Anwalt konsultieren und von ihm zumindest die jeweiligen Geschäftsbedingungen prüfen lassen.

Wer hat den Schlüssel?

Eine sichere und vertrauliche Kommunikation gelingt nur dann, wenn man die E-Mails komplett verschlüsselt. Dabei haben sich zwei Verfahren etabliert. S/MIME verlangt nach einem Zertifikat, das eine vertrauenswürdige Stelle in der Regel gegen eine Gebühr ausstellt. Die kostenfreie Alternative OpenPGP ist wiederum ziemlich komplex und umständlich in der Handhabung. Zunächst generiert man einen privaten und einen öffentlichen Schlüssel. Vereinfacht gesprochen handelt es sich um zwei sehr lange Passwörter. Den öffentlichen Schlüssel gibt man an alle Kontakte und Gesprächspartner weiter. Möchte man eine neue E-Mail verschicken, chiffriert man sie zuvor mit dem öffentlichen Schlüssel des Empfängers. Der wiederum kann sie mit seinem privaten Schlüssel wieder entschlüsseln. Das Verfahren setzt somit voraus, dass die Teilnehmer gegenseitig ihre öffentlichen Schlüssel kennen. Wer zudem den privaten Schlüssel ergattert, kann sämtliche empfangenen E-Mails entschlüsseln – er sollte daher tunlichst privat bleiben.

Einige E-Mail-Anbieter versprechen jedoch, die OpenPGP-Verschlüsselung drastisch zu vereinfachen. Dabei muss man allerdings genauer hinsehen: Wenn der Betreiber den privaten Schlüssel aushandelt und verwahrt, könnte er prinzipiell die komplette Kommunikation mitlesen und sogar manipulieren. Der private Schlüssel sollte daher möglichst immer auf dem eigenen System verbleiben. Nutzt man parallel mehrere Smartphones und PCs, muss man dann jedoch den privaten Schlüssel per Hand auf alle diese Geräte verteilen.

Secure-E-Mail-Anbieter in der Übersicht

Im Folgenden stellen wir einige Secure-E-Mail-Anbieter vor, die Sicherheit beim Versenden und Speichern von E-Mails versprechen und dabei unterschiedliche Ansätze verfolgen.

Tutanota: Kostenlos und sicher

Der Anbieter Tutanota aus Hannover sagt, er sei der „weltweit sicherste E-Mail-Service“. Als großes Ziel möchte das Team mit einer durchgehenden Verschlüsselung eine illegale Massenüberwachung verhindern. Neben dem Postfach erhalten Kunden auch einen Kalender und ein Adressbuch – alles verschlüsselt.

Tutanota nutzt durchgehend eine Ende-zu-Ende-Verschlüsselung, nur die Clients beziehungsweise die Browser der beteiligten Kommunikationspartner sehen den Klartext der Nachrichten. Gleichzeitig liegen damit auf dem Server ausschließlich komplett chiffrierten Daten. Die E-Mails selbst verschlüsselt der Dienst mit einem eigenen, wie bei OpenPGP auf AES und RSA basierenden Verfahren. Dieses kann unter anderem auch viele Metadaten der E-Mails verschlüsseln, etwa die Betreffzeile.

Neben dem Inhalt und den Anhängen verschlüsselt der E-Mail-Dienst aus Niedersachsen auch die Betreffzeile der E-Mails und erstellt eine Ende-zu-Ende-verschlüsselte Mailbox für externe Nutzer, in der alle Nachrichten gespeichert werden – eine einfachere Lösung im Vergleich zu PGP. Darüber hinaus bietet Tutanota die Absicherung des Logins mit einer Zwei-Faktor-Authentifizierung auf allen Clients, auch per Hardware Token.

Die automatische Ende-zu-Ende-Verschlüsselung funktioniert am besten zwischen Tutanota-Kunden. Möchte man eine vertrauliche Nachricht an ein Postfach außerhalb des Tutanota-Universums verschicken, muss man sich zunächst ein Passwort ausdenken und dieses dem Empfänger auf einem sicheren Weg mitteilen. Sobald man eine neue Nachricht an diesen Empfänger schickt, chiffriert sie Tutanota mit dem Passwort und sendet dann dem Empfänger eine E-Mail mit einem Link. Über ihn erreicht der Empfänger eine Webseite bei Tutanota, auf der er mit seinem Passwort die E-Mail entschlüsseln und einsehen kann. Dort kann er auch direkt eine verschlüsselte Antwort schreiben. Auf Wunsch sendet Tutanota aber auch unverschlüsselte E-Mails an jedes beliebige Postfach.

Eine Einschränkung gibt es allerdings für Nutzer von E-Mail-Clients wie Thunderbird oder Outlook: Der Zugriff auf das Postfach erfolgt ausschließlich über die Tutanota-App oder die Web-Oberfläche. Externe Clients lassen sich aufgrund der automatischen Verschlüsselung nicht einsetzen. Die Tutanota-Apps sind für iOS, Android, Windows, macOS und Linux erhältlich. Die Tutanota-Clients ermöglichen es Nutzern aber auch, auf alle Mails, Kalender und Kontakte zuzugreifen, wenn keine Verbindung zum Internet existiert. Diese Offline-Funktion macht die Nutzung auch ohne externe Clients möglich, da alle Daten stets lokal verfügbar sind. Die Clients liegen zudem als Open-Source-Software vor, der Programmcode lässt sich auf GitHub einsehen. Prinzipiell kann so jeder die Sicherheit und die Arbeitsweisen von Tutanota überprüfen.

Die notwendige Schlüsselerzeugung und den Schlüsselaustausch übernimmt Tutanota selbstständig. Den wichtigen privaten Schlüssel chiffriert der Client mit dem Anmelde-Passwort des Nutzers und speichert das Ergebnis auf dem Tutanota-Server. Auf diese Weise kann man von verschiedenen Geräten nur durch die Eingabe des Passworts auf sein Postfach zugreifen. Der Zutritt lässt sich mit einer Zwei-Faktor-Authentifizierung absichern, zur Wahl stehen dabei die Verfahren TOTP und U2F. Tutanota speichert keine IP-Adressen und entfernt sie automatisch aus den Metadaten der E-Mails.

Die Grundfunktionen von Tutanota lassen sich dauerhaft kostenlos nutzen, bei der Registrierung sind keine persönlichen Daten notwendig. Die kostenlose Variante enthält folgende Einschränkungen, die die ab 1 Euro im Monat erhältliche Premium-Version nicht hat. Unter anderem darf man das 1 GByte große Postfach nur privat nutzen, die Suche ist eingeschränkt und es gibt nur einen einzelnen Kalender. Auf Filter und Alias-Adressen muss man komplett verzichten, zudem löscht der Dienst das Postfach automatisch nach sechs Monaten Inaktivität. Die E-Mail-Adresse endet wahlweise auf „@tutanota.de“, „@tutanota.com“, „@tutamail.com“, „@tuta.io“ oder „@keemail.me“.

Wer mehr möchte, bucht eines der kommerziellen Angebote. Die Preise hängen dabei vom gewünschten Leistungsumfang und der Zahlweise ab. Wer beispielsweise als Privatkunde auch Posteingangsregeln anlegen und eine eigene Domain nutzen möchte, zahlt einen Euro pro Monat – sofern man den fälligen Betrag jährlich überweist. Ein Preisrechner auf der Tutanota-Website ermittelt den im konkreten Fall zu zahlenden Betrag. Gemeinnützige Organisationen, Schulen und Open-Source-Projekte erhalten ein Unternehmenspostfach auf Anfrage gratis.

Ebenfalls gegen Aufpreis lässt sich die Benutzeroberfläche mit einem eigenen Logo schmücken und in eigene Farben tauchen. Wer diese Dienstleistung abonniert, kann zusätzlich Secure Connect buchen. Dabei handelt es sich um ein Kontaktformular, das man in den eigenen Internetauftritt einbettet. Besucher können darüber dann vertrauliche Nachrichten oder Anfragen direkt ins Postfach schieben. Die Tutanota-Server stehen in Deutschland, die genauen Orte nennt das Unternehmen jedoch nicht auf seinen Internetseiten. Als Stromquelle dienen wie bei Posteo und Mailbox.org erneuerbare Energien.

Posteo: Der Datenschutzklassiker

Zu den ältesten und bekanntesten Diensten gehört Posteo. Der E-Mail-Anbieter aus Berlin ging bereits 2009 ans Netz. Bei der Registrierung fragt Posteo lediglich die gewünschte E-Mail-Adresse und das zugehörige Zugangspasswort ab. Die E-Mail-Adresse endet immer auf „@posteo.de“. Wem eine E-Mail-Adresse nicht reicht, der darf bis zu zwei Alias-Adressen anlegen. Für die stehen immerhin weitere Top-Level-Domains wie „.at“ oder „.ch“ bereit. Weitere Alias-Adressen gibt es nur gegen Aufpreis, maximal sind 20 Alias-Adressen möglich. Darüber hinaus bietet Posteo sogenannte Filter-Adressen. Dabei erhält der vordere Teil der eigenen E-Mail-Adresse noch einen Zusatz, wie etwa „irmgard+amazon@posteo.de“. Auf diese Weise kann man für jeden Online-Shop eine eigene Adresse einrichten und deren Post dann mithilfe der Filtermöglichkeiten einfacher in passende Ordner verteilen. Anhänge dürfen bis zu 50 MByte groß werden.

Auf den Servern landen sämtliche Daten verschlüsselt auf den Datenträgern. Im Klartext eingehende E-Mails und Anhänge chiffriert der Dienst auf Wunsch nachträglich per S/MIME oder OpenPGP. Mit diesen beiden Verfahren kann auch die Web-Oberfläche E-Mails ver- und entschlüsseln. Die eigentliche Chiffrierung erfolgt dabei im Browser. Darüber hinaus kann man die einzelnen gespeicherten Daten explizit per Knopfdruck verschlüsseln lassen. Bei allen ausgehenden E-Mails entfernt Posteo die privaten und öffentlichen IP-Adressen aus den Metadaten (IP-Stripping). Unter anderem kann so der Empfänger nicht mehr anhand der IP-Adresse auf den Standort des Absenders schließen. Zusätzlich zum Postfach bietet Posteo eine Notizverwaltung, ein Adressbuch und einen Kalender. Auf Wunsch erfolgt die Anmeldung über eine Zwei-Faktor-Authentifizierung. Bei Bedarf führt Posteo Schulungen für sein Angebot durch.

Die Miete für ein Postfach beginnt bei einem Euro pro Monat. Die Abrechnung erfolgt über ein Guthabenkonto bei Posteo (Prepaid-Verfahren), wobei eine Einzahlung mindestens eine Jahresgebühr betragen muss. Das Postfach bietet 2 GByte Speicherplatz, jedes zusätzliche GByte kostet weitere 25 Cent pro Monat. Die Zahlung erfolgt wahlweise per Überweisung, PayPal, Kreditkarte oder in Bar. Um dabei dennoch anonym zu bleiben, verwendet Posteo ein ausgeklügeltes Verfahren, das der Dienstleister auf einer eigenen Seite ausführlich beschreibt. Unter dem Strich speichert dabei lediglich die vom Postfach komplett unabhängig arbeitende Buchhaltung einige wenige personenbezogene Daten. Bei PayPal-Zahlungen und bei Überweisungen zählt dazu auch der Name.

Posteo nutzt nach eigenen Angaben ausschließlich Open-Source-Software. Die Server stehen in Frankfurt am Main, Berlin und Bielefeld. Obendrein gibt sich Posteo nachhaltig: So laufen nicht nur die Rechenzentren mit Ökostrom, das Unternehmen spendet unter anderem auch regelmäßig an gemeinnützige Organisationen wie den BUND oder Unicef. Abschließend veröffentlicht Posteo einen Transparenzbericht, der alle Anfragen von Behörden auflistet. Dort lässt sich unter andrem einsehen, wie viele Postfächer in der Vergangenheit beschlagnahmt wurden. Seit 2016 ist der E-Mail-Dienst vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifiziert (gemäß der Richtlinie „Sicherer E-Mail-Transport“).

Mailbox.org: Sichere Groupware

Der zur Heinlein Support GmbH gehörende Konkurrent Mailbox.org offeriert neben dem E-Mail-Postfach auch noch Videokonferenzen, einen Cloud-Speicher und ein Office-Paket. Bei der E-Mail-Adresse ist man an die Endung „@mailbox.org“ gebunden, eigene Domains lassen sich jedoch mit dem eigenen Postfach verknüpfen. Die Domains von Mailbox.org sind per DNSSEC und DANE/TLSA gesichert, die Dienste zudem über das Tor-Netzwerk erreichbar (als sogenannte Hidden Onion Services).

Auf Wunsch lernt Mailbox.org, welche Nachrichten in welche Ordner gehören und sortiert dann ankommende Post automatisch ein. Unverschlüsselt eintrudelnde Nachrichten kann Mailbox.org direkt beim Empfang nachträglich chiffrieren. In der Web-Oberfläche lassen sich E-Mails via OpenPGP ver- und entschlüsseln. Um den Umgang mit diesem Verfahren zu erleichtern, verwahrt Mailbox.org den privaten Schlüssel. Wer ihn lieber nur lokal speichern möchte, kann dies über das Browser-Plugin Mailvelope. Den öffentlichen Schlüssel können Empfänger bei einem von Mailbox.org betriebenen PGP-Key-Server abholen. Sollte der Empfänger kein OpenPGP verwenden, kann er die Nachricht über ein spezielles Gastpostfach bei Mailbox.org einsehen.

Des Weiteren informiert Mailbox.org, ob eine E-Mail vertraulich über eine abgesicherte TLS-Verbindung zum Empfänger rutschen kann. Zur eigenen E-Mail-Adresse erhält man automatisch noch eine zweite mit der Endung „@secure.mailbox.org“. Bei allen über diese Adresse verschickten Nachrichten stellt Mailbox.org sicher, dass sie vor fremden Augen sicher über durchgehende TLS-Verbindungen zum Ziel gelangen.

Ergänzend zur E-Mail-Verwaltung bietet Mailbox.org ein Adressbuch, einen Kalender und einen Aufgabenplaner. Die Web-Oberfläche stellt zudem eine einfache Textverarbeitung und eine Tabellenkalkulation zur Verfügung. Beide bearbeiten Word, Excel sowie LibreOffice-Dokumente. Videokonferenzen vermittelt eine von Mailbox.org weiterentwickelte Fassung der Open-Source-Lösung Jitsi. Privatkunden können darüber mit bis zu 10 Personen sprechen, Unternehmenskunden bis zu 25 Teilnehmer einladen. Die Vermittlung der Videokonferenzen läuft über die in Deutschland stehenden Mailbox.org-Server.

Das Postfach gibt es ab einem Euro pro Monat, wobei sich das Angebot 30 Tage lang kostenlos testen lässt. Das Postfach selbst ist 2 GByte groß, zudem darf man 3 Alias-Adressen einrichten. Videokonferenzen, die Office-Anwendungen, den Cloud-Speicher, ein größeres Postfach und eine eigene Domain gibt es erst in den Standard- und Premium-Paketen. Die schlagen mit 3 beziehungsweise 9 Euro pro Monat zu Buche. Während sich die Standard- und Premium-Pakete monatlich kündigen lassen, muss man die einfachste Ausbaustufe namens Light immer für ein volles Jahr buchen. Abschließend stellt Mailbox.org ein maßgeschneidertes Paket für Unternehmen bereit, das ab 25 Euro netto pro Monat beginnt.

Die Miete für das Postfach zahlt man entweder auf das Mailbox.org-Bankkonto ein oder schickt sie in Form von Bargeld an das Unternehmen. Für die Registrierung genügt die Angabe der gewünschten E-Mail-Adresse sowie ein zugehöriges Passwort. Die Server des Unternehmens stehen nach eigenen Angaben in Berlin. Wie Posteo treibt auch Mailbox.org seine Server ausschließlich mit Ökostrom an. Jährliche Transparenzberichte geben unter anderem Auskunft über die Anfragen von Behörden.

StartMail: Per Bitcoins in die Niederlande

Bei einem Blick in die europäischen Nachbarländer finden sich weitere Anbieter von sicheren Postfächern. Die ähneln allerdings stark der deutschen Konkurrenz. Beim niederländischen StartMail darf man beliebig viele Alias-Adressen einrichten, zudem bietet das Postfach 10 GByte Speicherplatz. Dafür verlangt StartMail knapp 50 Euro pro Jahr, wobei sich das Postfach zunächst sieben Tage lang kostenlos testen lässt. Bei der Registrierung muss man zwingend seine Zahlungsdaten hinterlegen. StartMail versucht so, Missbrauch zu verhindern. Bezahlen kann man via Kreditkarte, PayPal oder Bitcoins.

Die E-Mail-Adresse endet auf „@startmail.com“, das zugehörige Postfach liegt verschlüsselt auf Servern in den Niederlanden. Die Web-Oberfläche hilft Anwendern dabei, ihre E-Mails mit dem OpenPGP-Verfahren zu verschlüsseln. Die Schlüssel speichert StartMail innerhalb des chiffrierten Postfachs, wobei das System den privaten Schlüssel sicherheitshalber noch einmal zusätzlich mit einer Passphrase chiffriert. Sofern ein Empfänger die per OpenPGP verschlüsselten E-Mails nicht öffnen kann, verschickt StartMail auf Wunsch eine per Passwort chiffrierte E-Mail. Anstelle der Web-Oberfläche kann man mit jedem beliebigen E-Mail-Client auf das Postfach zugreifen, der IMAP beherrscht. Die Anmeldung am Postfach erfolgt auf Wunsch per Zwei-Faktor-Authentifizierung (mittels TOTP).

Auf einer eigenen Webseite listet StartMail vorbildlich auf, welche Benutzerdaten der Dienst wie lange speichert. Zum Redaktionsschluss blieben unter anderem die IP-Adresse sowie Informationen über den Browser und das Betriebssystem bis zu sieben Tage lang auf den Servern. Darüber hinaus verarbeitet ein „Analysetool“ weitere Daten, wie etwa die Spracheinstellungen der Browser, „um Nutzungstrends zu analysieren“. Immerhin erhält dieses Werkzeug nur anonymisierte Daten. Abschließend übermittelt StartMail die Zahlungsdaten an Zahlungsdienstleister in den USA.

Web.de und GMX: Wie sicher sind Freemail-Anbieter?

Verschlüsselung, Datensparsamkeit und Sicherheit haben mittlerweile auch E-Mail-Anbieter entdeckt, die sich per Werbung finanzieren. Das gilt beispielsweise für die in Deutschland besonders beliebten Postfächer von Web.de und GMX. Beide Dienste finanzieren sich durch Werbung und bieten einen identischen Funktionsumfang. Letzteres verwundert nicht, gehören sie doch zur 1&1 Mail & Media GmbH und somit zum selben Konzern.

Web.de und GMX bieten ein kostenloses Postfach mit 1 GByte Speicherplatz an. Dafür muss man mit ständig eingeblendeten Werbebannern leben und einen regelmäßig eintrudelnden Werbenewsletter akzeptieren. Gegen eine monatliche Gebühr bleibt man von der Werbung verschont und erhält unter anderem mehr Speicherplatz. Beide Dienste bieten allerdings unterschiedliche Tarife an. Während man bei Web.de mindestens fünf Euro pro Monat berappen muss, liegt der Einstiegstarif von GMX bei knapp 3 Euro pro Monat.

E-Mail made in Germany

Beide Anbieter gehören zur Initiative „E-Mail made in Germany“. Die Nachrichten laufen dabei ausschließlich über verschlüsselte Verbindungen zum Empfänger. Der muss dazu allerdings ein Postfach bei einem der teilnehmenden E-Mail-Dienstleistern besitzen. Dazu zählten zum Redaktionsschluss neben WEB.DE und GMX auch 1&1*, Strato, Deutsche Telekom und Freenet. Diese Anbieter übergeben die Post zudem gegenseitig direkt, die E-Mails bleiben folglich in Deutschland.

Web.de und GMX garantieren die Einhaltung der deutschen Datenschutzbestimmungen. Über die eingeblendete Reklame können die Werbenden jedoch Metadaten wie die IP-Adresse abgreifen und Nutzerprofile erstellen. Darüber hinaus kennen Web.de und GMX die vollständige Anschrift, die Mobilfunknummer und das Geburtsdatum ihrer Kunden. Bei der Buchung eines kommerziellen Angebotes kommen noch die Abrechnungsdaten hinzu. Die persönlichen Daten ermöglichen allerdings auch eine Briefankündigung: Sobald die Deutschen Post im Briefzentrum einen Brief für die Zustellung vorbereitet, geht im Web.de- beziehungsweise GMX-Postfach eine entsprechende Nachricht ein. Damit weiß man schon im Voraus, wann ein (echter) Brief ankommen wird.

Schaltet man das „intelligente Postfach“ ein, sortiert Web.de die E-Mails automatisch in Kategorien. Findet es in den Nachrichten die Trackingnummer eines Pakets, zeigt die Web-Oberfläche zudem den aktuellen Versandstatus an. Das funktioniert allerdings nur bei Partnerversanddiensten. In der Datenschutzerklärung behalten sich die Dienste zudem vor, einige Inhaltsdaten über einen längeren Zeitraum zu speichern.

Die Web-Oberfläche unterstützt die Ver- und Entschlüsselung von E-Mails per OpenPGP. Den Zugang zum Postfach sichert auf Wunsch eine Zwei-Faktor-Authentifizierung. E-Mail-Clients rufen die Post per gesichertem POP3 oder IMAP ab, ergänzend stellen die Dienste eigene Apps für iOS und Android bereit. Als Zusatzfunktionen stehen ein Kalender, ein Adressbuch sowie ein Online-Speicher bereit. Web.de und GMX betreiben Ihre Server ausschließlich in Deutschland und nutzen nach eigenen Angaben Ökostrom aus regenerativen Energiequellen, das Energiemanagement ist zudem ISO zertifiziert. Ausgemusterte Hardware recycelt ein darauf spezialisiertes Unternehmen.

Fazit

Einen sicheren und anonymen E-Mail-Dienst zu finden, ist alles andere als einfach. Wer lediglich Unterstützung bei der Verschlüsselung sucht, kann mittlerweile sogar zu werbefinanzierten Diensten wie Web.de oder GMX greifen. Soll jedoch auch noch die Privatsphäre geschützt werden, scheiden die meisten Anbieter aus. Dass man selbst innerhalb der EU auf das Kleingedruckte achten muss, beweist das niederländische StartMail.

Konsequent auf anonyme Nutzung gebürstet sind die deutschen Dienste Posteo, Mailbox.org und Tutanota. Letztgenanntes lockt mit einem kostenlosen Einsteigertarif, setzt aber die Nutzung der hauseigenen Apps oder der Web-Oberfläche voraus – die dafür neben den E-Mails auch Kontakte und Kalender verschlüsseln. Mailbox.org wiederum sollten sich alle ansehen, die über das E-Mail-Postfach hinaus noch sichere Groupware-Funktionen benötigen. Wer das nicht benötigt, findet in Posteo ein recht günstiges schnörkelloses anonymes Postfach. Besonders positiv fällt auf: Alle vorgestellten deutschen Dienste treibt mittlerweile Ökostrom an.

➤ Zurück zur Liste: Secure-E-Mail-Anbieter im Vergleich

* Mit einem Stern markierte Links sind Affiliate-Links, für die wir unter Umständen eine Provision erhalten. Der Kaufpreis erhöht sich dadurch nicht!

Redaktion & Aktualisierung: heise Download-Team