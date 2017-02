Fulda – Beim kostenpflichtigen E-Mail Dienst der Heinlein Support GmbH steht Privatsphäre ganz oben und Datenschutz ist das Steckenpferd des Service. Grund genug für die IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de), mailbox.org in einem Test unter die Lupe zu nehmen. „Die Verschlüsselung – und damit die Sicherheit – ist vom Login bis zum Backend ausgezeichnet. mailbox.org-Kunden greifen ausschließlich verschlüsselt auf den gesamten Service zu. Für die Verschlüsselung werden zudem nur aktuelle Technologien eingesetzt: Seit Januar 2017 ist das TLS in der Version 1.2; die Versionen 1.0 und 1.1 werden von mailbox.org nicht mehr verwendet. TLS 1.2 gibt es nur mit PFS, jedoch keinesfalls mit SHA-1 als Hash-Algorithmus“, lobt Christian Heutger, Geschäftsführer der PSW GROUP.

Weder Checkboxen noch Aktivitätentracking oder Berechtigungen stören die Nutzung des Service. Zudem werden dem User kaum Registrier-Daten abverlangt: Lediglich den gewünschten Usernamen, der gleichzeitig der künftigen E-Mail-Adresse entspricht, sowie ein Passwort möchte mailbox.org wissen. Ein Manko taucht dann ausgerechnet bei der Passwortprüfung auf: Zwar lässt mailbox.org Klassiker wie „12345678″ oder „Passwort“ nicht zu und informiert zudem gut über die Verwendung und Bildung sicherer Passwörter. „Leider geht „Mayerin83″ als Bestandteil unserer Test-E-Mail-Adresse „mayerin83@mailbox.org“ aber durch. Das ist enttäuschend, hier sollte mailbox.org nachholen!“, macht Heutger aufmerksam.

Ansonsten stimmen die Sicherheitsparameter: mailbox.org arbeitet mit den Funktionen HTTP Strict Transport Security, DANE/TLSA sowie DNSSEC, setzt auf erweitert validierte SSL/TLS-Zertifikate – also auf EV-Zertifikate mit grüner Adressleiste – und etliche weitere Security-Features. Welche das unter anderem sind, und was sie bedeuten, erklärt Christian Heutger: „mailbox.org verwendet beispielsweise ECDHE in Verbindung mit PFS, so dass auch eine nachträgliche Entschlüsselung der E-Mail-Kommunikation nicht möglich ist. Passwörter werden nie im Klartext, sondern immer gehashed, gespeichert. Damit kennt auch mailbox.org die Passwörter seiner Kunden nicht. Darüber hinaus möchte mailbox.org das anonyme Nutzen unterstützen und seine Kunden auch gegen Vorratsdatenspeicherung (VDS) schützen. Deshalb setzt der Anbieter im Rechenzentrum auf ein eigenes Netzwerk zur Anonymisierung von Verbindungsdaten – im Fachjargon als Tor Exit Node bezeichnet. Und selbstverständlich schützt mailbox.org die Passwörter seiner Kunden mit einer 2-Faktor-Authentifizierung auf zwei verschiedenen Wegen – und zwar mit YubiKey oder OTP Token-Generatoren. Das ist insbesondere dann wichtig, wenn man von Fremdrechnern auf seine E-Mails zugreifen, dort aber nicht sein Passwort hinterlassen möchte.“

Mailbox.org bietet zwei Varianten, nach denen Anwender E-Mails verschlüsselt versenden können: Entweder nutzen sie den mailbox.org-Guard oder sie arbeiten mit dem Mailvelope-Plugin im Browser. „Der Anbieter erklärt sowohl Vorteile als auch Nachteile der beiden Funktionen. In unserem Test nutzten wir die „mailbox.org Guard“-Funktion, mit deren Hilfe wie sehr einfach und zügig unsere Server-seitig verschlüsselte Test-E-Mail versenden konnten“, informiert Heutger und ergänzt: „Wir präferieren diese Alternative. Denn obwohl hier der private Schlüssel auf den mailbox.org-Servern gespeichert wird, besteht die Gefahr bei Mailvelope darin, dass etwaige Sicherheitslücken den im Browser gespeicherten privaten Schlüssel zutage fördern könnten“.

mailbox.org offeriert zudem den Service „@secure.mailbox.org“. Neben einer normalen E-Mail-Adresse können Nutzer des Dienstes sich auch eine secure-Adresse einrichten. Beim Versand von dieser Adresse wird eine sichere Datenübertragung fest vorgeschrieben und ein unverschlüsselter Versand bzw. Empfang erfolgt unter keinen Umständen. Dazu erklärt Christian Heutger: „Vielfach – auch in Behörden und anderen öffentlichen Stellen – werden E-Mails nicht verschlüsselt. Wenn ein Gesprächspartner bzw. dessen Provider nicht in der Lage ist, E-Mails zu verschlüsseln, so scheitert der Empfang dieser Mail, wenn er an die @secure.mailbox.org-Adresse geht. Der Absender erhält diese E-Mail dann mit dem Hinweis „unzustellbar“ zurück.“

Ein wesentlicher Unterschied von mailbox.org im Vergleich zu den meisten Wettbewerbern ist die komplette Werbefreiheit: „Die bekommen Kunden zwar nur gegen Gebühr. Ich empfinde ein Jahresentgelt von 12 Euro aber deutlich günstiger, als den Verkauf der eigenen persönlichen Daten in völlig unbekannte Hände, wie es von vielen Freemail-Diensten praktiziert wird“, so Christian Heutger. Mit Funktionen, die weit über die Standardfunktion „Empfang und Versand von E-Mails“ hinausgehen, rundet mailbox.org auch in Sachen Usability den sehr guten Eindruck ab: Die Funktionen können locker mit denen von Freemail-Anbietern mithalten. Mailbox.org eignet sich nämlich nicht nur zum Mailen, sondern darüber hinaus zur Organisation und als Office-Möglichkeit mit Text- und Tabellendokumenten sowie Cloud-Speicher.

Überzeugen konnten auch die Rechtstexte: Die sind nicht nur leicht auffindbar, denn Nutzer können die AGB und Widerrufsbelehrung jederzeit über den Footer der mailbox.org-Website einsehen. „Der Anbieter kommt gänzlich ohne Fachchinesisch aus und Rechte sowie Pflichten sind deutlich erläutert“, ist Heutger begeistert und sagt unter Bezugnahme auf die Datenschutzbestimmungen des Anbieters: „Server in Deutschland, auf denen kaum etwas gespeichert wird, nehmen sogar der Vorratsdatenspeicherung ihren Schrecken. Denn wo keine Daten sind, können auch keine gespeichert werden.“

Quelle: PSW GROUP GmbH & Co. KG