E-Mail

Aus Metapedia
(Weitergeleitet von E-Post)
Wechseln zu: Navigation, Suche

E-Mail oder eMail (selten: E-Post und E-Brief) ist der Begriff für elektronische Nachricht. Der E-Mail-Verkehr in der BRD unterliegt einer Totalüberwachung, insbesondere durch ausländische Geheim- und Nachrichtendienste wie der NSA, unterstützt vom BND.

Begriff

Der Ausdruck E-Mail wurde als Fremdwort in die deutsche Sprache übernommen, der deutsche Begriff E-Post konnte sich nicht durchsetzen.

In anderen Sprachen werden teilweise auch diese Begriffe verwendet:

  • Französisch: courrier électronique, courriel (Abk.)
  • Spanisch: correo electrónico
  • Portugiesisch: correio electrónico
  • Katalanisch: correu electrònic
  • Italienisch: la posta elettronica
  • Schwedisch: e-post
  • Norwegisch: e-post
  • Finnisch: sähköposti (= Strompost)
  • Isländisch: netfang, póstfang, tölvupöstir
  • Litauisch: elektroninis pastas
  • Lettisch: Elektroniskais pasts
  • Estnisch: elektronpost
  • Irisch: riomhphost
  • Afrikaans: e-pos
  • Indonesisch: surat elektronik

Verpflichtungen der Anbieter

E-Mail-Diensteanbieter sind den Behörden gegenüber zur Zusammenarbeit, zur Dienstleistung und Auskunft verpflichtet. Solche Verpflichtungen sind in vielen Vorschriften enthalten, in der BRD u. a. in §§ 100a (Telekommunikationsüberwachung) und 100b (Online-Durchsuchung) der Strafprozeßordnung (StPO), vor allem Absatz 3 und Absatz 4 Satz 1, und in §§ 49 (Verdeckter Eingriff in informationstechnische Systeme) und 51 Abs. 2 und 6 Satz 1 (Überwachung der Telekommunikation) Bundeskriminalamtgesetz (BKAG).

In der BRD und in der Schweiz müssen E-Mail-Daten sechs Monate für die Behörden abrufbar gehalten werden, bevor sie vom Diensteanbieter gelöscht werden dürfen.

Anforderungen an vertraulichen E-Mail-Verkehr[1]

Exotischer Dienstleister und HTTPS

Einen Schutz der Privatsphäre verspricht am ehesten die Anlegung eines E-Mail-Kontos bei einem Dienstleister (Webmaildienst), der nicht in der Anglosphäre oder in Kontinentaleuropa ansässig ist oder dort Server stehen hat. Damit scheiden zuallererst Anbieter mit Verbindungen in die USA aus. Aufgrund des US PATRIOT Act und der 4. Ergänzung des FISA Amendments Act ist es für US-Behörden ohne juristische Kontrolle möglich, die Kommunikation von Nicht-US-Bürgern zu beschnüffeln. Dabei ist es unerheblich, ob der Cloud- bzw. E-Mail-Dienst eine US-Firma ist oder nicht. Nach Ansicht der US-Behörden reicht es aus, wenn die Server in den USA stehen.[2] Außerdem ist damit zu rechnen, dass alle E-Mail-Nachrichten als Kopie im Datacenter der NSA landen, die man an Kunden von US-Providern gesendet hat, welch letztere im Total Information Awareness (TIA) Programm der US-Regierung kooperieren. Gleiches gilt für Anbieter aus der EU. Auf Nachrichten, welche bei Firmen oder auf Servern in den genannten Länder zusammenlaufen, haben die Behörden mit unterschiedlichen Paragraphenkonstruktionen und de facto Zugriff, ganz gleich was Anbieter an Sicherheitserklärungen verbreiten.

Zudem muss ein für ein anonymes Konto geeigneter Dienstleister zwingend den Standard HTTPS unterstützen. Letzteres ist deshalb erforderlich, weil Tor zwar beim Durchlaufen des Netzwerks alle Daten verschlüsselt. Sofern aber nicht HTTPS eingesetzt wird, erfolgt die Übertragung der Daten vom Tor-Austrittsknoten zum Mailserver (und zurück) im Klartext. Dieser Sicherheitsstandard ist für die Nutzung des Internets allgemein empfehlenswert, im Tor Browser Bundle ist HTTPS standardmäßig enthalten. Ab dem Tor-Austrittsknoten kann der Betreiber desselben (hierunter fallen viele Schnüffeldienste) auch E-Mail-Transport via IMAP, POP oder SMTP mitlesen. TLS-gesicherte Dienste wie HTTPS, IMAPS usw. sind zwar Pflicht, „man muss jedoch davon ausgehen, dass reines TLS ohne weitere Maßnahmen wie Certificate Pinning die Geheimdienste nicht wirklich vom Schnüffeln abhält.“[3]

Kontoanlegung unter Einsatz von Tor

Das Konto sollte sodann unter Verwendung von Tor angelegt werden, und zwar ohne daß beim Anmeldevorgang eine sogenannte E-Mail-Wegwerfadresse für Bestätigungszwecke eingesetzt wird, da dies entgegen weitverbreiteter Meinung vollkommen unsicher ist. Gmail, Proton und andere verlangen „für den Notfall“, tatsächlich zum besseren Ausspionieren, die Angabe einer Reserve-E-Mail-Adresse. Wer dann eine Einmaladresse angibt, wird entweder zurückgewiesen, da die genannten Anbieter solche Adressen kennen. Oder aber es wird die Bestätigungsnachricht, die von einer akzeptierten, temporären E-Mail-Adresse kommt, im Netzwerk ausspioniert. Jeder, der Zugriff auf die Server des Anbieters der Wegwerfadresse hat, kann die Nachricht einsehen (und Daten weitergeben und an Dienste verkaufen), selbst dann, wenn man mit Tor auf das Konto zugreift. Noch mehr entlarven sich E-Mail-Dienste, welche die Angabe einer Mobilfunknummer verlangen.

Zugriff auf das Konto nur mit Tor

Greift man auf die über Tor erfolgreich angemeldete E-Mail-Adresse des Webmaildienstes nur ein einziges Mal ohne Tor zu – beispielsweise von einem Bibliotheksaccount aus –, kann die mühsam registrierte Adresse als kompromittiert gelten. Denn es fällt dann Dritten, die den Datenverkehr durchkämmen, eine unverschleierte IP-Adresse in die Hände, welche sie – auch sofern es nicht gerade die heimische des Kommunizierenden ist – für Rückverfolgungszwecke nutzen können.

Selbst verschlüsseln

Jeder, der Zugang zu dem E-Mail-Server der Adresse hat, auf die über Tor zugegriffen wird (z. B. Angestellte des Dienstleisters), hat dennoch Einsicht in den Klartext der Nachrichten, kann sie weiterleiten usw. Es ist deshalb notwendig, die Nachrichten ausnahmslos zu verschlüsseln. Nur dann, wenn man dies selbst tut, ist gewährleistet, dass der E-Mail-Dienstleister die Nachrichten nicht untersuchen und sie nicht ohne Kenntnis des Postfachinhabers entschlüsseln kann. Lässt man hingegen die Nachrichten vom Provider verschlüsseln (wie bei ProtonMail) – hat er also die Schlüssel –, kann er ohne Wissen und ohne Zustimmung des Kontoinhabers Nachrichten entschlüsseln und mit ihnen und den Inhalten anfangen, was er will. Im übrigen weiß man in einem solchen Fall nicht, ob die Nachrichten überhaupt bzw. ob sie auf einem relevanten Sicherheitsniveau verschlüsselt werden, oder ob entsprechende Versprechen nur Werbesprüche sind.

Sicherheitsbewusste Korrespondenzpartner

Korrespondiert man über die E-Mail-Adresse mit Partnern, die kein anonymes, gesichertes E-Mail-Konto verwenden, kann die eigene Identität relativ problemlos über die Partner erkannt werden, erst recht dann, wenn in den Nachrichten persönliche Angaben stehen, beispielsweise zum Arbeitgeber, weitere E-Mail-Adressen, Telefonnummern, Standortangaben, Freizeitpläne usw.

Gefahr Kostenlos-Mentalität

Wer sich zur Verwendung eines anonymen E-Mail-Kontos entschieden hat, doch einem Dienstleister in Magna Europa zuneigt und nach einem kostenlosen (Basis-)Angebot Ausschau hält, sollte sich die Vorfrage stellen, warum ein gewinnorientiertes Unternehmen – wie beispielsweise ProtonMail – einen verschlüsselten, d. h. technisch aufwendigen, softwarepflegeintensiven und von daher teuren E-Mail -Zugang an unzählige Nutzer kostenlos bereitstellen sollte – wenn es nicht Einnahmen von anderer Seite hat.

Bei allen Kostenlosangeboten in Magna Europa ist besonders auf dem Gebiet der Kommunikation Misstrauen angebracht, da die Gefahr, dass man mit seinen Daten verraten und verkauft wird, auf der Hand liegt. Findet man auf diesem Hintergrund keinen kostenlosen – z. B. asiatischen – Webmaildienst mit HTTPS, kommt nur ein Bezahldienst in Betracht, bei dem es jedoch wiederum von ausschlaggebender Bedeutung ist, wo er beheimatet ist bzw. wo seine Server stehen. Die Angaben, wo die Server stehen, muss man als Interessent bzw. Kunde gleichfalls glauben, niemand kann es nachprüfen.

Alternativen

Für den Austausch eher kurzer Nachrichten ist es wesentlich sicherer, als E-Mail-Dienste in Anspruch zu nehmen, eine Messenger-App auf dem Smartphone zu benutzen, wie SimpleX, Briar, Session[4] und Signal. Teilweise bieten diese Messenger neben verschlüsselten Textnachrichten auch verschlüsselte Audio- und Videotelefonie über WLAN; solche Anrufe können laut verschiedenen technischen Untersuchungsberichten nicht abgehört werden, da sie nicht über das Mobilfunknetz gehen.[5]

Zitate

  • „Wenn es nichts kostet, bist du nicht der Konsument, sondern die verkaufte Ware.“ — Anonymus[6]

Siehe auch

Englischsprachige Verweise

  • LedgerMail – blockchainbasierte, verschlüsselte E-Mail

Filmbeiträge

  • Robert Braxman: Protonmail a Flawed Privacy Strategy?, Rob Braxman Tech, Youtube-Veröffentlichung, etwa Februar 2023, Dauer: 22:32 Min. – Bedenken gegen E-Mail im Allgemeinen stehen im Vordergrund; enthält Eigenwerbung

Fußnoten

  1. Die nachfolgenden Ausführungen stützen sich teilweise auf Peter Lohsin: Anonym im Internet mit Tor und Tails, Franzis, Haar bei München 2015, ISBN 9783645604161 [199 Seiten], S. 163–165.
  2. Privacy Handbuch – fortlaufende Aktualisierung, abgerufen 19. Februar 2024
  3. Jürgen Schmidt [heise Security]: Tor und die versteckten Dienste, heise.de, 4. August 2016
  4. Informationen zu Session (engl.) – Mobilnummer muss nicht preisgegeben werden
  5. Siehe zu Messengern: Privacy Guides: Real-Time Communication: Encrypted Messengers, privacyguides.org, laufend aktualisiert (engl.)
  6. Es soll sich um eine Mahnung von Internet-Experten handeln, wiedergegeben bei Manfred Spitzer: Cyberkrank, Droemer Verlag, 2015, S. 346
Abgerufen von „http://de.metapedia.org/m/index.php?title=E-Mail&oldid=1357758