Im März dieses Jahres ist mit Tutanota ein neuer Dienst gestartet, der das Verschlüsseln von E-Mails vereinfachen will. Doch ist die Technik wirklich sicher? // von Lars Sobiraj

Dank der Veröffentlichungen von Edward Snowden ist das Interesse vieler deutscher Nutzer an verschlüsselter Kommunikation stark gestiegen. Wer seinem E-Mail-Programm schon einmal selbst das Verschlüsseln "beibringen" wollte, weiß, wie kompliziert und kräftezehrend dies sein kann. Ein Startup aus Hannover will für Abhilfe sorgen, sogar kostenlos. Doch das Konzept von Tutanota stößt mitunter auf heftige Kritik.

Warum ist das wichtig? Experten für IT Security rätseln derzeit, ob der im März gegründete Dienst Tutanota tatsächlich das Verschlüsseln von E-Mails nicht nur einfacher sondern auch wirklich sicher gestaltet.

- Die Aktivitäten von NSA und anderen Geheimdiensten betreffen ausnahmslos jeden Nutzer des Webs.

- Es fehlt bislang an sowohl simplen als auch sicheren Methoden, ohne Lauscher zu kommunizieren.

- Tutanota ist eine Kombination aus verschlüsselter Webmail und zusätzlicher Software für Outlook.

Egal ob E-Mails, Kontaktdaten oder Dateien; bei Tutanota wird sehr auf die Wahrung der Privatsphäre geachtet. Der Anwender merkt nichts davon, weil die Verschlüsselung vollautomatisch im Hintergrund geschieht. Sind Sender und Empfänger Nutzer dieses Webmail-Anbieters, ist die Verständigung einfach. Deutlich umständlicher erscheint die Übertragung der Daten bei externen Empfängern. In diesem Fall wird dem Empfänger ein Link zugeschickt. Der Adressat aktiviert den Link, gibt ein vorab ausgemachtes Passwort ein und ermöglicht somit seinem Browser, die E-Mail lokal zu entschlüsseln. Wer ein kostenloses Konto einrichten will, braucht außerdem eine Mobilfunknummer, weil darüber die Autorisierungscodes verschickt werden. Für Privatkunden gibt es 1 GB Speicher umsonst, werbefrei versteht sich. Geschäftskunden erhalten in der kostenpflichtigen Version Zugang zu einem Outlook-Addin. Damit können sie beim E-Mail-Anbieter ihrer Wahl bleiben. Die Verschlüsselung erledigt dann das Zusatzprogramm von Outlook.

Kein System für Puristen

Andreas Winterer vom Unsicherheitsblog gefällt diese Lösung recht gut. Er schränkt aber ein, dies sei kein " System für Puristen, sondern für Nutzer, die schnell und einfach verschlüsselte, hinreichend abhörsichere Mails austauschen wollen". Winterer kann dem Dienst allerdings mehr abgewinnen, als der Konkurrenz von Virtru oder der Chrome-App Whiteout.

Die Software ist unter app.tutanota.de/js/tutanota.src.js einsehbar und soll in Kürze auf Github zum Reviewen veröffentlicht werden. Ein quelloffenes Konzept ist wichtig, damit Dritte überprüfen können, ob sich hinter der Ende-zu-Ende-Verschlüsselung nicht doch irgendwelche Schwachpunkte verbergen, die bisher unerwähnt geblieben sind. Der Expertise einer ganzen Community vertraut man eher, als dem Zertifikat eines bezahlten Sicherheitsunternehmens.

Nach Ansicht des Berliner Systemadministrators Hauke Laging liegt das Hauptproblem derartiger Dienste darin, dass man damit die Kontrolle in die Hand eines einzelnen Anbieters legt. Der Gründer der Initiative " Crypto für alle " bemängelt zudem, dass Tutanota das proprietäre Outlook Express von Microsoft unterstützt. Laging würde eine dezentrale Speicherung des privaten Schlüssels auf der eigenen Festplatte weitaus besser gefallen. IT-Experten halten es grundsätzlich nicht für sinnvoll, dass jeder Nutzer auf seine Mails im Internetcafé zugreifen kann. Sicherheit geht für sie schlichtweg mit einer Prise Komfortverlust einher.

Ein simples Mailprogramm, welches die Verschlüsselung übernimmt, wäre eine Lösung, sofern es dieses schon geben würde. Ein neuer Maildienst, den bislang kaum jemand nutzt, sieht Haging aber nicht als Mittel der Wahl an. Es könne nicht Sinn der Sache sein, statt der verschlüsselten Nachrichten ständig Hyper-Links zu versenden oder seinen Kommunikationspartner dazu zu zwingen, zum gleichen Anbieter zu wechseln. Leider sei es derzeit einfach unmöglich, sowohl einfach als auch maximal sicher zu kommunizieren. Nach Ansicht des Berliner Kryptolehrers ändert auch Tutanota nichts daran.

Komfort versus Sicherheit

Die alles entscheidende Frage wird letztlich sein, wie viel Komfort wir als Nutzer bereit sind, aufzugeben. Ist uns unsere Bequemlichkeit wichtig, oder die Tatsache, dass uns wirklich niemand belauschen kann? Für Otto-Normalnutzer ist dies eine Frage der Praktikabilität. Für IT-Sicherheitsexperten kann es zu einer regelrechten Glaubensfrage werden.