E-Post
E-Post und E-Brief (Kurzformen für Elektronische Post bzw. Elektronischer Brief, auch geschrieben ePost bzw. eBrief) ist der deutsche Begriff für den vorrangig gebrauchten Anglizismus E-Mail (eMail). Der E-Post-Verkehr in der BRD unterliegt einer Totalüberwachung, insbesondere durch ausländische Geheim- und Nachrichtendienste wie die NSA, unterstützt vom BND.
In der BRD und in der Schweiz müssen E-Mail-Daten sechs Monate für die Behörden abrufbar gehalten werden, bevor sie vom Diensteanbieter gelöscht werden dürfen.
Inhaltsverzeichnis
Begriff
Der Ausdruck E-Mail wurde als Fremdwort in die deutsche Sprache übernommen und wird, wie auch der deutsche Begriff E-Post, in aktuellen Wörterbüchern wie dem Duden verzeichnet (→ Deutsche Rechnersprache). Vor allem Sprachvereine, wie der Verein Deutsche Sprache, empfehlen die Verwendung des deutschen Begriffs. Ihrer Auffassung nach dient die Verwendung deutschsprachiger Begriffe dem Erhalt der sprachlichen und kulturellen Vielfalt Europas. Dennoch findet „E-Post“ innerhalb des deutschen Sprachraumes – wie viele andere deutsche Begriffe auch – aufgrund der unaufhörlichen, gedankenlosen Verwendung von Anglizismen und des allgemein herrschenden Nationalmasochismus nur selten Verwendung, zumeist in deutschbewußten und nationalorientierten Kreisen.
Die Ansicht, daß der englische Begriff E-mail sich weltweit einheitlich durchgesetzt habe, ist ein weit verbreiteter Irrtum.
- Französisch: courrier électronique, courriel (Abk.)
- Spanisch: correo electrónico
- Portugiesisch: correio electrónico
- Katalanisch: correu electrònic
- Italienisch: la posta elettronica
- Schwedisch: e-post
- Norwegisch: e-post
- Finnisch: sähköposti (= Strompost)
- Isländisch: netfang, póstfang, tölvupöstir
- Litauisch: elektroninis pastas
- Lettisch: Elektroniskais pasts
- Estnisch: elektronpost
- Irisch: riomhphost
- Afrikaans: e-pos
- Indonesisch: surat elektronik
Verpflichtungen der Anbieter
E-Mail-Diensteanbieter sind den Behörden gegenüber zur Zusammenarbeit, zur Dienstleistung und Auskunft verpflichtet. Solche Verpflichtungen sind in vielen Vorschriften enthalten, in der BRD u. a. in §§ 100a (Telekommunikationsüberwachung) und 100b (Online-Durchsuchung) der Strafprozeßordnung (StPO), vor allem Absatz 3 und Absatz 4 Satz 1, und in §§ 49 (Verdeckter Eingriff in informationstechnische Systeme) und 51 Abs. 2 und 6 Satz 1 (Überwachung der Telekommunikation) Bundeskriminalamtgesetz (BKAG).
Anforderungen an vertraulichen E-Post-Verkehr[1]
Exotischer Dienstleister und HTTPS
Einen Schutz der Privatsphäre verspricht am ehesten die Anlegung eines E-Post-Kontos bei einem Dienstleister (Webmaildienst), der nicht in Magna Europa ansässig ist oder dort Server stehen hat. Damit scheiden zuallererst Anbieter mit Verbindungen in die USA aus. Aufgrund des US PATRIOT Act und der 4. Ergänzung des FISA Amendments Act ist es für US-Behörden ohne juristische Kontrolle möglich, die Kommunikation von Nicht-US-Bürgern zu beschnüffeln. Dabei ist es unerheblich, ob der Cloud- bzw. E-Mail-Dienst eine US-Firma ist oder nicht. Nach Ansicht der US-Behörden reicht es aus, wenn die Server in den USA stehen.[2] Außerdem ist damit zu rechnen, daß alle E-Post-Nachrichten als Kopie im Datacenter der NSA landen, die man an Kunden von US-Providern gesendet hat, welch letztere im Total Information Awareness (TIA) Programm der US-Regierung kooperieren. Gleiches gilt für Anbieter aus der EU. Auf Nachrichten, welche bei Firmen oder auf Servern in den genannten Länder zusammenlaufen, haben die Behörden mit unterschiedlichen Paragraphenkonstruktionen und de facto Zugriff, gleichgültig was Anbieter an Sicherheitserklärungen verbreiten.
Zudem muß ein für ein anonymes Konto geeigneter Dienstleister zwingend den Standard HTTPS unterstützen. Letzteres ist deshalb erforderlich, weil Tor zwar beim Durchlaufen des Netzwerks alle Daten verschlüsselt. Sofern aber nicht HTTPS eingesetzt wird, erfolgt die Übertragung der Daten vom Tor-Austrittsknoten zum Mailserver (und zurück) im Klartext. Dieser Sicherheitsstandard ist für die Nutzung des Internets allgemein empfehlenswert, im Tor Browser Bundle ist HTTPS standardmäßig enthalten. Ab dem Tor-Austrittsknoten kann der Betreiber desselben (hierunter fallen viele Schnüffeldienste) auch E-Post-Transport via IMAP, POP oder SMTP mitlesen. TLS-gesicherte Dienste wie HTTPS, IMAPS usw. sind zwar Pflicht, „man muss jedoch davon ausgehen, dass reines TLS ohne weitere Maßnahmen wie Certificate Pinning die Geheimdienste nicht wirklich vom Schnüffeln abhält.“[3]
Kontoanlegung unter Einsatz von Tor
Das Konto sollte sodann unter Verwendung von Tor angelegt werden, und zwar ohne daß beim Anmeldevorgang eine sogenannte E-Mail-Wegwerfadresse für Bestätigungszwecke eingesetzt wird, da dies entgegen weitverbreiteter Meinung vollkommen unsicher ist. Gmail und andere verlangen „für den Notfall“, tatsächlich zum besseren Ausspionieren, die Angabe einer Reserve-E-Post-Adresse. Wer dann eine Einmaladresse angibt, wird entweder zurückgewiesen, da Gmail solche Adressen kennt. Oder aber es wird die Bestätigungsmail, die von einer akzeptierten, temporären E-Post-Adresse kommt, im Netzwerk ausspioniert. Jeder, der Zugriff auf die Server des Anbieters der Wegwerfadresse hat, kann die Nachricht einsehen (und Daten weitergeben und an Dienste verkaufen), selbst dann, wenn man mit Tor auf das Konto zugreift. Noch mehr entlarven sich E-Post-Dienste, welche die Angabe einer Mobilfunknummer verlangen.
Zugriff auf das Konto nur mit Tor
Greift man auf die über Tor erfolgreich angemeldete E-Post-Adresse des Webmaildienstes nur ein einziges Mal ohne Tor zu – beispielsweise von einem Bibliotheksaccount aus –, kann die mühsam registrierte Adresse als kompromittiert gelten. Denn es fällt dann Dritten, die den Datenverkehr durchkämmen, eine unverschleierte IP-Adresse in die Hände, welche sie – auch sofern es nicht gerade die heimische des Kommunizierenden ist – für Rückverfolgungszwecke nutzen können.
Selbst verschlüsseln
Jeder, der Zugang zu dem E-Post-Server der Adresse hat, auf die über Tor zugegriffen wird (z. B. Angestellte des Dienstleisters), hat dennoch Einsicht in den Klartext der Nachrichten, kann sie weiterleiten usw. Es ist deshalb notwendig, die Nachrichten ausnahmslos zu verschlüsseln. Nur dann, wenn man dies selbst tut, ist gewährleistet, daß der E-Post-Dienstleister die Nachrichten nicht untersuchen und sie nicht ohne Kenntnis des Postfachinhabers entschlüsseln kann. Läßt man hingegen die Nachrichten vom Provider verschlüsseln (wie bei ProtonMail) – hat er also die Schlüssel –, kann er ohne Wissen und ohne Zustimmung des Kontoinhabers Nachrichten entschlüsseln und mit ihnen und den Inhalten anfangen, was er will. Im übrigen weiß man in einem solchen Fall nicht, ob die Nachrichten überhaupt bzw. ob sie auf einem relevanten Sicherheitsniveau verschlüsselt werden, oder ob entsprechende Versprechen nur Werbesprüche sind.
Sicherheitsbewußte Korrespondenzpartner
Korrespondiert man über die E-Post-Adresse mit Partnern, die kein anonymes, gesichertes E-Post-Konto verwenden, kann die eigene Identität relativ problemlos über die Partner erkannt werden, erst recht dann, wenn in den Nachrichten persönliche Angaben stehen, beispielsweise zum Arbeitgeber, weitere E-Post-Adressen, Telefonnummern, Standortangaben, Freizeitpläne usw.
Gefahr Kostenlos-Mentalität
Wer sich zur Verwendung eines anonymen E-Post-Kontos entschieden hat, doch einem E-Post-Dienstleister in Magna Europa zuneigt und nach einem kostenlosen (Basis-)Angebot Ausschau hält, sollte sich die Vorfrage stellen, warum ein gewinnorientiertes Unternehmen – wie beispielsweise ProtonMail – einen verschlüsselten, d. h. technisch aufwendigen, softwarepflegeintensiven und von daher teuren E-Post-Zugang an unzählige Nutzer kostenlos bereitstellen sollte – wenn es nicht Einnahmen von anderer Seite hat.
Bei allen Kostenlosangeboten in Magna Europa ist besonders auf dem Gebiet der Kommunikation Mißtrauen angebracht, da die Gefahr, daß man mit seinen Daten verraten und verkauft wird, auf der Hand liegt. Findet man auf diesem Hintergrund keinen kostenlosen – z. B. asiatischen – Webmaildienst mit HTTPS, kommt nur ein Bezahldienst in Betracht, bei dem es jedoch wiederum von ausschlaggebender Bedeutung ist, wo er beheimatet ist bzw. wo seine Server stehen. Die Angaben, wo die Server stehen, muß man als Interessent bzw. Kunde gleichfalls glauben, niemand kann es nachprüfen.
Zitate
- „Wenn es nichts kostet, bist du nicht der Konsument, sondern die verkaufte Ware.“ — Anonymus[4]
Siehe auch
- Thunderbird
- Conversations
- Stille SMS
- Weltnetz
- 0x300
- E-Call (Automobilnotrufsystem)
- Widerstand gegen die Neue Weltordnung
Englischsprachige Verweise
- LedgerMail – blockchainbasierte, verschlüsselte E-Post
Filmbeiträge
- Robert Braxman: Protonmail a Flawed Privacy Strategy?, Rob Braxman Tech, Youtube-Veröffentlichung, etwa Februar 2023, Dauer: 22:32 Min. – Bedenken gegen E-Post im allgemeinen stehen im Vordergrund; enthält Eigenwerbung