Mitbestimmung bei der Verschlüsselung
Fulda – Vom Login über den E-Mail-Versand bis hin zu den FAQ führt der Datenverkehr beim E-Mail Postfach mailbox.org ausschließlich über hochgradig verschlüsselte Transportwege: „Die Umsetzung der Verschlüsselung ist bei mailbox.org grandios gelungen. Aber auch Usability, Preisgestaltung und Datenschutzmaßnahmen können sich sehen lassen”, lautet das Fazit von Christian Heutger, Geschäftsführer der PSW GROUP (www.psw-group.de), nachdem sein Team den Anbieter auf Herz und Nieren geprüft hat.
Im Mittelpunkt des Tests standen die Sicherheitsparameter und bereits im Registrierungsprozess konnte mailbox.org punkten: Unsichere Passwörter haben bei mailbox.org keine Chance. Diese müssen aus einer Kombination aus Groß-, Kleinbuchstaben sowie Zahlen bestehen. Auch sonst möchte der Anbieter wenig von seinen Kunden wissen. Lediglich Vor- und Zuname sind für die Registrierung notwendig. Wer zusätzlich seine Telefonnummer angibt, um beim Passwort-Reset unterstützt zu werden, muss nicht befürchten, dass diese identifiziert wird. Sie wird gehasht auf den Servern des Anbieters gespeichert. „Der Verzicht auf Klarnamenzwang, durchsichtige und eindeutige Formulierungen in den AGB sowie in der Datenschutzerklärung und hervorragende How-To’s haben uns schon sehr gefallen. Was uns dann bei den Verschlüsselungsparametern unterkam, hat uns begeistert”, so Christian Heutger.
Server kommunizieren über PFS-fähige TLS-Verbindungen
Sämtliche Dienste, die Nutzer über mailbox.org ansprechen, sind ausschließlich über verschlüsselte Verbindungen erreichbar. SSL-Verbindungen werden via DANE und DNS-Records über DNSsec abgesichert. Für seine Website-Verschlüsselung setzt mailbox.org auf ein Extended Validation-Zertifikat der CA SwissSign. Moderne TLS-Verschlüsselungen, die mit guten Ciphers für Sicherheit sorgen, sind auf den E-Mailservern im Einsatz. Das nachträgliche Entschlüsseln von aufgezeichnetem Datenverkehr verhindert mailbox.org durch den Einsatz von ECDHE mit PFS. Entsprechend wies auch die von PSW GROUP versendete Test-E-Mail die folgenden Parameter auf: TLS in der Version 1.2, Verschlüsselung mit RSA und 256 Bit (ECDHE-RSA-AES256-GCM-SHA384). Die transportverschlüsselten E-Mails können mailbox.org-Nutzer zusätzlich mit PGP-Verschlüsselung schützen.
„Es ist großartig, dass Anwender die Verschlüsselung mitbestimmen können: Mit der besonderen @secure.mailbox.org-Lösung versenden sie wichtige Inhalte nämlich lieber gar nicht anstatt unverschlüsselt. Die Verschlüsselung wird für die Datenübertragung dabei fest vorgeschrieben. Unterstützt der Provider des Empfängers dies jedoch nicht, erhalten mailbox.org-Kunden eine Fehlermeldung und die Nachricht wird nicht zugestellt”, erklärt Christian Heutger. E-Mails können übrigens nur dann empfangen werden, wenn der Gesprächspartner verschlüsselt versendet. Ist dem nicht so, erhält der Absender seine E-Mail als nicht zustellbar zurück. Nachholbedarf sieht der IT-Security Experte einzig beim Verschlüsseln von Kalender, Drive-Dateien und Adressbuch. „Lösungen sind vom Anbieter angekündigt, allerdings noch ohne festen Termin. Wem es um ein sicheres All-inclusive-Paket geht, der muss noch ein Weilchen warten. Wer ausschließlich verschlüsselte E-Mails senden und empfangen möchte, der dürfte von mailbox.org begeistert sein.” Bereits ab einem Euro monatlich ist ein E-Mail-Postfach mit 2 GB Speicherplatz und bis zu 40 MB große Anhänge verfügbar.
Der vollständige Testbericht kann abgerufen werden unter: https://www.psw-group.de/blog/mailbox-org-wie-privat-bleibt-privates/1651
