Mailbox.org bietet nun webbasierende PGP-Verschlüsselung an

Sicherheit
Mailbox.org (Bild: Mailbox.org)

Im Gegensatz zu der zum Beispiel von den De-Mail-Anbietern verwendeten Lösung wird kein Browser-Plug-in benötigt. Der Service ist für Kunden des Berliner E-Mail-Anbieters ohne Aufpreis und Software-Installation nutzbar. Er ermöglicht es ihnen, die PGP-Verschlüsselung mit nur Klick einzurichten.

Mailbox.org hat sein E-Mail-Angebot um eine webbasierende, PGP-kompatible, aber einfache Möglichkeit zur Verschlüsselung von E-Mails und Dateianhängen erweitert. Sie ist ab sofort nutzbar. Der Service kann ohne Installation von Software von überall genutzt werden. Er ist Teil aller Angebote des Berliner E-Mail-Spezialisten, die pro Monat mindestens einen Euro kosten. Interessenten können sich auch für einen kostenlosen 30-tägigen Testzugang anmelden.

Logo Mailbox.org (Bild: Mailbox.org)

“Frühere Versuche, PGP als Verschlüsselungstool zu etablieren, scheiterten oft am Wissen über Schlüsselverwaltung und PGP-Formate sowie einem Mangel an zentralen, vertrauenswürdigen Key-Verzeichnissen”, sagt Peer Heinlein, Gründer und Geschäftsführer von Mailbox.org. “Darüber hinaus gab es bislang nur mangelhafte Unterstützung in Webmail-Systemen. Browser-Plug-ins wie Mailvelope konnten PGP nur teilweise und unkomfortabel entschlüsseln und haben zudem Probleme mit Dateianhängen oder Cloud-Dateispeichern. Sobald Sicherheitslösungen jedoch zu Komforteinschränkungen führen, verzichten Anwender bisher schnell darauf.”

Mailvelope des gleichnamigen Open-Source-Projekts setzen seit April die De-Mail-Anbieter Deutsche Telekom, Francotyp-Postalia und United Internet (1&1, Web.de, GMX) für die Ende-zu-Ende-Verschlüsselung ein. Allerdings ist laut Mailbox.org umstritten, ob JavaScript-Browser-Plug-ins überhaupt sichere Kryptographie ermöglichen können. Zudem geleten mobile Endgeräte wie Android-Smartphones oder iPhones nicht als sicher genug, um ihnen einen privaten PGP-Schlüssel anvertrauen zu können.

“Unser neuer Mailbox.org Guard kann als serverseitige Implementierung diese Hürden endlich überwinden und stellt unseren Kunden auf allen Plattformen ohne Einschränkungen in Komfort und Bedienbarkeit eine Verschlüsselungslösung für ihre tägliche E-Mail-Kommunikation zur Verfügung”, verspricht Heinlein.

Allerdings müssen Kunden dadurch auf eine Ende-zu-Ende-Verschlüsselung verzichten, da die Ver- und Entschlüsselung ja auf dem Server erfolgt. Ein weiterer Nachteil ist das grundsätzliche Problem, dass private PGP-Schlüssel auf fremden Rechnern beziehungsweise Servern gespeichert werden. Das wissen auch die Berliner. Ihnen zufolge bietet Mailbox.org Guard “hinreichende Sicherheit”, aber keine “absolute Sicherheit”.

Die serverseitige Verschlüsselung sorgt dafür, dass der vertrauliche “Private Key” des Nutzers nie in den angreifbaren Browser oder auf das Smartphone des Nutzers kommt. Sicherheitsmechanismen und ein nur dem Nutzer bekanntes zusätzliches Schlüsselpasswort sollen dafür sorgen, dass auch die Administratoren von Mailbox.org keinen Zugriff auf den PGP-Schlüssel oder die damit verschlüsselten E-Mails erhalten. Selbst während eines aktiven Log-ins des Nutzers werde dessen PGP-Schlüssel nur verschlüsselt im Speicher von Mailbox.org verwaltet.

Schon seit seinem Start im Februar 2014 verschlüsselt Mailbox.org das Postfach seiner Nutzer vollständig. Die jetzt vorgestellte Lösung sorgt dafür, dass alle eingehenden, unverschlüsselten E-Mails nachträglich noch mit PGP verschlüsselt im Postfach abgelegt werden. Sie ist zudem kompatibel zu anderen PGP-Lösungen, so dass sich Mailbox.org-Kunden auch mit Nutzern anderer Provider sicher austauschen können – selbst wenn diese PGP nicht lokal installiert haben.

Der PGP-Schlüssel wird durch einen Klick auf ein Icon erzeugt und erlaubt so auch Laien Nachrichten verschlüsselt auszutauschen. Technisch erfahrenere Nutzer können bereits vorhandene PGP-Schlüssel exportieren oder importieren und das Webmodul so parallel zu einer lokalen PGP-Installation verwenden, um auch an fremden Computern verschlüsselt zu kommunizieren. Öffentliche PGP-Schlüssel anderer Nutzer lassen sich per Klick importieren, PGP-Schlüssel anderer Mailbox.org-Anwender sind sofort für alle gesichert verfügbar. Familien- und Geschäftskunden mit mehreren Mailadressen können auf eine gemeinsame Schlüsselverwaltung zurückgreifen.

Beim Austausch mit Empfängern ohne installiertes PGP richtet “Guard” auf Wunsch temporäre Postfächer auf dem Mailbox.org-Server ein, über die via DANE und https-gesichert korrespondiert und Dateien ausgetauscht werden können. Davon sollen vor allem Geschäftskunden wie Anwälte oder Steuerberater mit wechselnden Mandanten profitieren, die auf eine datenschutzkonforme Kommunikation angewiesen sind.

Als Open-Source-Lösung kann der Quellcode des Guard-Moduls von jedem IT-Experten eingesehen werden. Der neue Verschlüsselungsdienst basiert auf “OX Guard” von Open-Xchange, an dessen Entwicklung Mailbox.org entscheidend beteiligt war. Die grundsätzliche Funktionsweise der PGP-Verschlüsselung erläutert es in einem Video. Außerdem gibt es detaillierte Anleitungen zur erstmaligen Einrichtung des Mailbox.org Guard sowie dem ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen