E-Mail

Aus Metapedia
(Weitergeleitet von E-Post)
Wechseln zu: Navigation, Suche

E-Mail oder eMail (selten: E-Post und E-Brief) ist der Begriff für elektronische Nachricht. Der E-Mail-Verkehr in der BRD unterliegt einer Totalüberwachung, insbesondere durch ausländische Geheim- und Nachrichtendienste wie der NSA, unterstützt vom BND.

Begriff

Der Ausdruck E-Mail wurde als Fremdwort in die deutsche Sprache übernommen, der deutsche Begriff E-Post konnte sich nicht durchsetzen.

In anderen Sprachen werden teilweise auch diese Begriffe verwendet:

  • Französisch: courrier électronique, courriel (Abk.)
  • Spanisch: correo electrónico
  • Portugiesisch: correio electrónico
  • Katalanisch: correu electrònic
  • Italienisch: la posta elettronica
  • Schwedisch: e-post
  • Norwegisch: e-post
  • Finnisch: sähköposti (= Strompost)
  • Isländisch: netfang, póstfang, tölvupöstir
  • Litauisch: elektroninis pastas
  • Lettisch: Elektroniskais pasts
  • Estnisch: elektronpost
  • Irisch: riomhphost
  • Afrikaans: e-pos
  • Indonesisch: surat elektronik

Verpflichtungen der Anbieter

E-Mail-Diensteanbieter sind den Behörden gegenüber zur Zusammenarbeit, zur Dienstleistung und Auskunft verpflichtet. Solche Verpflichtungen sind in vielen Vorschriften enthalten, in der BRD u. a. in §§ 100a (Telekommunikationsüberwachung) und 100b (Online-Durchsuchung) der Strafprozeßordnung (StPO), vor allem Absatz 3 und Absatz 4 Satz 1, und in §§ 49 (Verdeckter Eingriff in informationstechnische Systeme) und 51 Abs. 2 und 6 Satz 1 (Überwachung der Telekommunikation) Bundeskriminalamtgesetz (BKAG).

In der BRD und in der Schweiz müssen E-Mail-Daten sechs Monate für die Behörden abrufbar gehalten werden, bevor sie vom Diensteanbieter gelöscht werden dürfen.

Anforderungen an vertraulichen E-Mail-Verkehr[1]

Exotischer Dienstleister und HTTPS

Einen Schutz der Privatsphäre verspricht am ehesten die Anlegung eines E-Mail-Kontos bei einem Dienstleister (Webmaildienst), der nicht in der Anglosphäre oder in Kontinentaleuropa ansässig ist oder dort Server stehen hat. Damit scheiden zuallererst Anbieter mit Verbindungen in die USA aus. Aufgrund des US PATRIOT Act und der 4. Ergänzung des FISA Amendments Act ist es für US-Behörden ohne juristische Kontrolle möglich, die Kommunikation von Nicht-US-Bürgern zu beschnüffeln. Dabei ist es unerheblich, ob der Cloud- bzw. E-Mail-Dienst eine US-Firma ist oder nicht. Nach Ansicht der US-Behörden reicht es aus, wenn die Server in den USA stehen.[2] Außerdem ist damit zu rechnen, dass alle E-Mail-Nachrichten als Kopie im Datacenter der NSA landen, die man an Kunden von US-Providern gesendet hat, welch letztere im Total Information Awareness (TIA) Programm der US-Regierung kooperieren. Gleiches gilt für Anbieter aus der EU. Auf Nachrichten, welche bei Firmen oder auf Servern in den genannten Länder zusammenlaufen, haben die Behörden mit unterschiedlichen Paragraphenkonstruktionen und de facto Zugriff, ganz gleich was Anbieter an Sicherheitserklärungen verbreiten.

Zudem muss ein für ein anonymes Konto geeigneter Dienstleister zwingend den Standard HTTPS unterstützen. Letzteres ist deshalb erforderlich, weil Tor zwar beim Durchlaufen des Netzwerks alle Daten verschlüsselt. Sofern aber nicht HTTPS eingesetzt wird, erfolgt die Übertragung der Daten vom Tor-Austrittsknoten zum Mailserver (und zurück) im Klartext. Dieser Sicherheitsstandard ist für die Nutzung des Internets allgemein empfehlenswert, im Tor Browser Bundle ist HTTPS standardmäßig enthalten. Ab dem Tor-Austrittsknoten kann der Betreiber desselben (hierunter fallen viele Schnüffeldienste) auch E-Mail-Transport via IMAP, POP oder SMTP mitlesen. TLS-gesicherte Dienste wie HTTPS, IMAPS usw. sind zwar Pflicht, „man muss jedoch davon ausgehen, dass reines TLS ohne weitere Maßnahmen wie Certificate Pinning die Geheimdienste nicht wirklich vom Schnüffeln abhält.“[3]

Kontoanlegung unter Einsatz von Tor

Das Konto sollte sodann unter Verwendung von Tor angelegt werden, und zwar ohne daß beim Anmeldevorgang eine sogenannte E-Mail-Wegwerfadresse für Bestätigungszwecke eingesetzt wird, da dies entgegen weitverbreiteter Meinung vollkommen unsicher ist. Gmail, Proton und andere verlangen „für den Notfall“, tatsächlich zum besseren Ausspionieren, die Angabe einer Reserve-E-Mail-Adresse. Wer dann eine Einmaladresse angibt, wird entweder zurückgewiesen, da die genannten Anbieter solche Adressen kennen. Oder aber es wird die Bestätigungsnachricht, die von einer akzeptierten, temporären E-Mail-Adresse kommt, im Netzwerk ausspioniert. Jeder, der Zugriff auf die Server des Anbieters der Wegwerfadresse hat, kann die Nachricht einsehen (und Daten weitergeben und an Dienste verkaufen), selbst dann, wenn man mit Tor auf das Konto zugreift. Noch mehr entlarven sich E-Mail-Dienste, welche die Angabe einer Mobilfunknummer verlangen.

Zugriff auf das Konto nur mit Tor

Greift man auf die über Tor erfolgreich angemeldete E-Mail-Adresse des Webmaildienstes nur ein einziges Mal ohne Tor zu – beispielsweise von einem Bibliotheksaccount aus –, kann die mühsam registrierte Adresse als kompromittiert gelten. Denn es fällt dann Dritten, die den Datenverkehr durchkämmen, eine unverschleierte IP-Adresse in die Hände, welche sie – auch sofern es nicht gerade die heimische des Kommunizierenden ist – für Rückverfolgungszwecke nutzen können.

Selbst verschlüsseln

Jeder, der Zugang zu dem E-Mail-Server der Adresse hat, auf die über Tor zugegriffen wird (z. B. Angestellte des Dienstleisters), hat dennoch Einsicht in den Klartext der Nachrichten, kann sie weiterleiten usw. Es ist deshalb notwendig, die Nachrichten ausnahmslos zu verschlüsseln. Nur dann, wenn man dies selbst tut, ist gewährleistet, dass der E-Mail-Dienstleister die Nachrichten nicht untersuchen und sie nicht ohne Kenntnis des Postfachinhabers entschlüsseln kann. Lässt man hingegen die Nachrichten vom Provider verschlüsseln (wie bei ProtonMail) – hat er also die Schlüssel –, kann er ohne Wissen und ohne Zustimmung des Kontoinhabers Nachrichten entschlüsseln und mit ihnen und den Inhalten anfangen, was er will. Im übrigen weiß man in einem solchen Fall nicht, ob die Nachrichten überhaupt bzw. ob sie auf einem relevanten Sicherheitsniveau verschlüsselt werden, oder ob entsprechende Versprechen nur Werbesprüche sind.

Sicherheitsbewusste Korrespondenzpartner

Korrespondiert man über die E-Mail-Adresse mit Partnern, die kein anonymes, gesichertes E-Mail-Konto verwenden, kann die eigene Identität relativ problemlos über die Partner erkannt werden, erst recht dann, wenn in den Nachrichten persönliche Angaben stehen, beispielsweise zum Arbeitgeber, weitere E-Mail-Adressen, Telefonnummern, Standortangaben, Freizeitpläne usw.

Zweifelhafte Anbieter- und Expertenversprechen

Viele wichtige Angaben, die Anbieter digitaler Kommunikationsdienste (vor allem E-Mail, Messenger, VPN) machen, sind für den Nutzer schlicht unüberprüfbar. Gleiches gilt erst recht für Aussagen auf „Vergleichsportalen“ oder von Testern – häufig Influencern –, die zumeist Provisionen von Anbietern erhalten. Zu diesen Angaben gehören Beteuerungen – oft einfach Lügen –, dass Anbieter nicht loggen (d. h. auf einem Rechner ablaufende Vorgänge nicht aufzeichnen), dass sie Inhalte nicht speichern, dass sie selbst nicht entschlüsseln (können), dass sie keine Daten weitergeben bzw. herausgeben (oder es angeblich technisch nicht können) und dass sie keine Daten (Kontakte des Nutzers; Inhalte von Nachrichten) entwenden und verwerten.

Da der Anbieter es so gut wie nie nach außen gibt, ist für den Nutzer außerdem vollständig unersichtlich, in welchen Ländern (aktuell) die Server des Anbieters stehen, wieviele davon er selbst betreibt oder bei wem sie gemietet sind, wer seine diversen (bzw. bekannt spionageverdächtigen) Dienstleister sind. Ferner, sofern man sich auf stattgefundene Audits beruft, warum welcher Prüfanbieter gewählt wurde und ob/welche gemeinsamen Geschäftsinteressen, -verbindungen oder -beteiligungen bestehen,[4] ob bzw. wieviele Datenverluste, Datenherausgaben an Behörden und Datendiebstähle bei dem Anbieter vorgekommen sind und ob/wie gefundene Schwachstellen bereinigt wurden.

Dies kann bei sicherheits- und vertraulichkeitsorientierten Benutzern zu einem paradoxen Ergebnis führen: Sie sind einerseits entschlossen, der allgemeinen Überwachung und Ausschnüffelung durch die mit dem Staat zusammenarbeitenden Software- und Hardwaregiganten zu entgehen, andererseits begeben sie sich womöglich und, nicht unwahrscheinlich, vertrauensvoll in die oft teuer erkaufte Illusion, bei – jedenfalls nach außen hin – privaten Anbietern Schutz zu finden. Die von daher gebotenen eigenen kritischen Recherchen treffen auf die weitere Schwierigkeit, dass auch sogenannte unabhängige Begutachter und Handbücher im Netz nicht per se vertrauenswürdig sind. Etliche von ihnen attestieren, ohne dass auch sie selbst relevante Anbieterangaben überprüfen könnten, mehr oder weniger hochstaplerisch, dass Sicherheit dort zu finden ist, wo es sie nicht gibt.[5]

Wer sich zur Verwendung eines anonymen E-Mail-Kontos entschieden hat und nach einem kostenlosen (Basis-)Angebot Ausschau hält, sollte sich die Vorfrage stellen, warum ein gewinnorientiertes Unternehmen – wie beispielsweise Proton – einen verschlüsselten, d. h. technisch aufwendigen, softwarepflegeintensiven und von daher teuren E-Mail-Zugang an unzählige Nutzer kostenlos bereitstellen sollte – wenn es nicht Einnahmen von anderer Seite hat.

Bei allen Kostenlos-Angeboten ist Misstrauen angebracht, da die Gefahr, dass der Nutzer mit seinen Daten verraten und verkauft wird, auf der Hand liegt. Bezahlte Dienste stehen im Wettbewerb und bieten von daher eher eine gewisse Qualitätsgewähr.

Alternativen

Für den Austausch eher kurzer Nachrichten ist es wesentlich sicherer, als E-Mail-Dienste in Anspruch zu nehmen, eine Messenger-App auf dem Smartphone zu benutzen, wie SimpleX, Threema, Briar oder Signal. Teilweise bieten diese Messenger neben verschlüsselten Textnachrichten auch verschlüsselte Audio- und Videotelefonie über WLAN; solche Anrufe können laut verschiedenen technischen Untersuchungsberichten nicht abgehört werden, da sie nicht über das Mobilfunknetz gehen.[6]

Zitate

  • „Wenn es nichts kostet, bist du nicht der Konsument, sondern die verkaufte Ware.“ — Anonymus[7]

Siehe auch

Englischsprachige Verweise

  • LedgerMail – dezentral, erfordert Blockchainadresse bei Sender und Empfänger

Filmbeiträge

Fußnoten

  1. Die nachfolgenden Ausführungen stützen sich teilweise auf Peter Lohsin: Anonym im Internet mit Tor und Tails, Franzis, Haar bei München 2015, ISBN 9783645604161 [199 Seiten], S. 163–165.
  2. Privacy Handbuch – fortlaufende Aktualisierung, abgerufen 19. Februar 2024
  3. Jürgen Schmidt [heise Security]: Tor und die versteckten Dienste, heise.de, 4. August 2016
  4. Audits sind häufig reine Ich-bestelle-du-lieferst-Verbindungen zum gegenseitigen Vorteil bzw. bezahlte Prestigezertifikate, wie auch in der analogen Welt.
  5. Dies betrifft beispielsweise die weitverbreiete „Experten“-Empfehlung der Dienste des Anbieters Proton.
  6. Siehe zu Messengern: Privacy Guides: Real-Time Communication: Encrypted Messengers, privacyguides.org, laufend aktualisiert (engl.)
  7. Es soll sich um eine Mahnung von Internet-Experten handeln, wiedergegeben bei Manfred Spitzer: Cyberkrank, Droemer Verlag, 2015, S. 346
Abgerufen von „http://de.metapedia.org/m/index.php?title=E-Mail&oldid=1361006