Tutanota: E-Mail-Verschlüsselung einfach und sicher?

Im März dieses Jahres ist mit Tutanota ein neuer Dienst gestartet, der das Verschlüsseln von E-Mails vereinfachen will. Doch ist die Technik wirklich sicher? Dank der Veröffentlichungen von Edward Snowden ist das Interesse vieler deutscher Nutzer an verschlüsselter Kommunikation stark gestiegen. Wer seinem E-Mail-Programm schon einmal selbst das Verschlüsseln “beibringen“ wollte, weiß, wie kompliziert und kräftezehrend dies sein kann. Ein Startup aus Hannover will für Abhilfe sorgen, sogar kostenlos. Doch das Konzept von Tutanota stößt mitunter auf heftige Kritik.

Egal ob E-Mails, Kontaktdaten oder Dateien; bei Tutanota wird sehr auf die Wahrung der Privatsphäre geachtet. Der Anwender merkt nichts davon, weil die Verschlu?sselung vollautomatisch im Hintergrund geschieht. Sind Sender und Empfänger Nutzer dieses Webmail-Anbieters, ist die Verständigung einfach. Deutlich umständlicher erscheint die Übertragung der Daten bei externen Empfängern. In diesem Fall wird dem Empfänger ein Link zugeschickt. Der Adressat aktiviert den Link, gibt ein vorab ausgemachtes Passwort ein und ermöglicht somit seinem Browser, die E-Mail lokal zu entschlüsseln. Wer ein kostenloses Konto einrichten will, braucht außerdem eine Mobilfunknummer, weil darüber die Autorisierungscodes verschickt werden. Für Privatkunden gibt es 1 GB Speicher umsonst, werbefrei versteht sich. Geschäftskunden erhalten in der kostenpflichtigen Version Zugang zu einem Outlook-Addin. Damit können sie beim E-Mail-Anbieter ihrer Wahl bleiben. Die Verschlüsselung erledigt dann das Zusatzprogramm von Outlook.

Kein System für Puristen

Andreas Winterer vom Unsicherheitsblog gefällt diese Lösung recht gut. Er schränkt aber ein, dies sei kein „System für Puristen, sondern für Nutzer, die schnell und einfach verschlüsselte, hinreichend abhörsichere Mails austauschen wollen„. Winterer kann dem Dienst allerdings mehr abgewinnen, als der Konkurrenz von Virtru oder der Chrome-App Whiteout.

Die Software ist unter app.tutanota.de/js/tutanota.src.js einsehbar und soll in Kürze auf Github zum Reviewen veröffentlicht werden. Ein quelloffenes Konzept ist wichtig, damit Dritte überprüfen können, ob sich hinter der Ende-zu-Ende-Verschlüsselung nicht doch irgendwelche Schwachpunkte verbergen, die bisher unerwähnt geblieben sind. Der Expertise einer ganzen Community vertraut man eher, als dem Zertifikat eines bezahlten Sicherheitsunternehmens.

Nach Ansicht des Berliner Systemadministrators Hauke Laging liegt das Hauptproblem derartiger Dienste darin, dass man damit die Kontrolle in die Hand eines einzelnen Anbieters legt. Der Gründer der Initiative „Crypto für alle“ bemängelt zudem, dass Tutanota das proprietäre Outlook Express von Microsoft unterstützt. Laging würde eine dezentrale Speicherung des privaten Schlüssels auf der eigenen Festplatte weitaus besser gefallen. IT-Experten halten es grundsätzlich nicht für sinnvoll, dass jeder Nutzer auf seine Mails im Internetcafé zugreifen kann. Sicherheit geht für sie schlichtweg mit einer Prise Komfortverlust einher.

Ein simples Mailprogramm, welches die Verschlüsselung übernimmt, wäre eine Lösung, sofern es dieses schon geben würde. Ein neuer Maildienst, den bislang kaum jemand nutzt, sieht Haging aber nicht als Mittel der Wahl an. Es könne nicht Sinn der Sache sein, statt der verschlüsselten Nachrichten ständig Hyper-Links zu versenden oder seinen Kommunikationspartner dazu zu zwingen, zum gleichen Anbieter zu wechseln. Leider sei es derzeit einfach unmöglich, sowohl einfach als auch maximal sicher zu kommunizieren. Nach Ansicht des Berliner Kryptolehrers ändert auch Tutanota nichts daran.

Komfort versus Sicherheit

Die alles entscheidende Frage wird letztlich sein, wie viel Komfort wir als Nutzer bereit sind, aufzugeben. Ist uns unsere Bequemlichkeit wichtig, oder die Tatsache, dass uns wirklich niemand belauschen kann? Für Otto-Normalnutzer ist dies eine Frage der Praktikabilität. Für IT-Sicherheitsexperten kann es zu einer regelrechten Glaubensfrage werden.


Image (adapted) „System Lock“ by Yuri Samoilov (CC BY 2.0)


schrieb von 2000 bis zum Jahr 2002 für mehrere Computerzeitschriften rund 100 Artikel. Von April 2008 bis Oktober 2012 leitete er beim IT-Portal gulli.com die Redaktion als Chefredakteur. Thematische Schwerpunkte der über 1.000 Beiträge sind Datenschutz, Urheberrecht, Netzpolitik, Internet und Technik. Seit Frühjahr 2012 läuft die Video-Interviewreihe DigitalKultur.TV, die er mit dem Kölner Buchautor und Journalisten Moritz Sauer betreut. Seit mehreren Monaten arbeitet Lars Sobiraj auf freiberuflicher Basis bei heute.de, ZDF Hyperland, iRights.info, torial, Dr. Web und vielen weiteren Internet-Portalen und Blogs. Zudem gibt er Datenschutzunterricht für Eltern, Lehrer und Schüler. Mitglied des Netzpiloten Blogger Networks.


Artikel per E-Mail verschicken
Schlagwörter: , , ,

3 comments

  1. Hallo Herr Schlebusch, hallo Herr Sobiraj,
    natürlich ist der Quellcode von unserer Anwendung veröffentlicht. Techniker können sich den Quelltext von Tutanota jederzeit im Browser anschauen und bei Bedarf jede einzelne Anweisung überprüfen (Debuggen).

    Der private Schlüssel zum Account des Nutzers ist das Passwort. Und dieses ist ausschließlich den Nutzern bekannt und wird niemals auf unseren Servern abgelegt. Deshalb haben wir auch keine Möglichkeit auf die Daten der Benutzer zuzugreifen.

    Die folgende Aussage ist leider irreführend:
    “Nur wenn der private Schlüssel auf der eigenen Festplatte gespeichert würde, sei sichergestellt, dass niemand sonst an die unverschlüsselten Daten herankommt.”
    Und zwar in folgenden Punkten:
    * Das Speichern von privaten Schlüsseln auf der Festplatte macht diese leicht angreifbar.
    * Der Benutzer muss immer vertrauen in sämtliche auf seinem Gerät eingesetzte Software zur Verschlüsselung der der darunter liegenden Technologien (Betriebssystem, Hardware) haben. An all diesen Stellen sind Manipulationen theoretisch möglich. Da hilft es mir auch nicht, wenn der private Schlüssel auf der Festplatte liegt.

    Kommen Sie bei Rückfragen gerne direkt auf uns zu: hello@tutao.de.

    Viele Grüße
    Matthias Pfau

    Tutao GmbH — http://tutanota.de

  2. Guter Artikel – aber ich werde empfehlen Mailfence (https://www.mailfence.com) über tutanota / posteo ..
    Der Service bietet echte End-to-End-Verschlüsselung und digitale Signaturen zusammen mit einer kompletten E-Mail-Suite (Dokumente, Kalender, Kontakte, Gruppen, Umfragen, …).

    Darüber hinaus ist das Unternehmen auch für die Online-Privatsphäre und digitale Freiheit über Electronic Frontier Foundation (EFF) und ebenfalls Plattformen zu kämpfen gewidmet ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert