E-Mails verschlüsseln mit Tutanota Free

Tutao, ein in Hannover ansässiger Anbieter von Verschlüsselungslösungen für Unternehmen, bietet mit Tutanota Free einen vollständigen Webmail-Client samt Mail-Adresse, also zum Beispiel andreaswinterer @ tutanota.de (nicht verwenden! wird durch diese Veröffentlichung eh nur gespammt...) der kostenlos ist und sich an Privatkunden richtet. Jeder User hat 1 GByte Speicher zur Verfügung. Zur Anmeldung ist keine vorhandene Mail-Adresse, aber eine Mobilnetznummer nötig (darüber werden Autorisierungscodes verschickt).

Inzwischen gibts auch eine Version Tutanota Free mobile für iOS und Android.

Webmailer gibts viele, die beim - noch recht kargen und funktional minimalistischen - Tutanota Free interessante Besonderheit ist natürlich, dass eine Ende-zu-Ende-Verschlüsselung der Mails stattfindet. Dabei verwendet es weder PGP noch S/MIME, sondern ein eigenes, ähnliches Verfahren (Details im Blog), bei dem die privaten Schlüssel vom Passwort verschlüsselt auf den Tutanota-Servern gespeichert werden.

Tutanota Free: interne Mail

  • Innerhalb des Webmailers, also von a@tutanota.de an b@tutanota.de, ist kein Passwort notwendig, die Infrastruktur verwendet die Schlüssel automatisch.
  • Schickt man Mails an Empfänger ohne @tutanota.de-Adresse, erhalten diese bei gewählter (optional abschaltbarer) Verschlüsselung einen Link auf eine Mail, die auf der tutanota.de-Website angezeigt wird; damit der Transport hier ebenfalls verschlüsselt abläuft, müssen sich die beiden Mailpartner in diesem Fall auf ein Ver- und Entschlüsselungspasswort einigen (es wird im Adressbuch des Webmailers dauerhaft zugeordnet, lässt sich aber jederzeit ändern).

Tutanota Free: Mail nach draussen

Einigen Puristen mag das ein Greuel sein:

  • Es ist closed .... Inzwischen ist es OpenSource.
  • Intern muss man dem Anbieter Tutao und den verwendeten Krypto-Implementierungen "vertrauen".
  • Mit externen Kommunikationspartnern muss man ein Passwort ausmachen (bei diesem ist natürlich dringend geboten, es über einen "dritten Weg" zu kommunizieren, z.B. persönlich).

Auf der anderen Seite erhält der Nutzer ein extrem einfach zu nutzendes System, durch das man verschlüsselt mit "internen", aber auch mit "externen" E-Mail-Partnern schreiben kann.

Tutanota Free: so sieht man extern die 'verschlüsselte' Mail

Einwand: Mit externen Mail-Adressen könnte man auch einfach symmetrische Verschlüsselung verwenden (sagt @giesbert zurecht). Ja. Behält man das im Hinterkopf, ist Tutanota Free hier aber immer noch eine bequemere Lösung als irgendein Tool, auf das man sich ja zusätzlich einigen müsste.

Wo liegen die Daten?

Die Mail  werden nach Angaben der Firma Tutao auf Servern in Deutschland gehostet. Die Server speichern unverschlüsselt (naturgemäß) nur die Metadaten (Von, Zu, Datum). Die Mails samt Betreff sind ohne den durch das Passwort verschlüsselten, auf dem Server liegenden Private-Key nicht lesbar.

Geht das Passwort verloren, existiert daher keine Möglichkeit, die Mails zu lesen - man schließt sich durch Kennwortverlust definitiv aus seinem bisherigen Mailverkehr aus. Derzeit gibt Tutanota an, auch kein 'Zurücksetzen' durchführen zu können (dies mag so ein bisschen Voodoo sein und sich irgendwann ändern; gewiss aber schlösse man sich aus dem Mailverkehr bis zum Zeitpunkt des Zurücksetzens aus).

Fazit

Mir gefällt das System gut, auch wenn dem Puristen die eine oder andere Eigenschaft nicht ganz so schmecken wird. Es ist eben kein System für Puristen, sondern für Nutzer, die schnell und einfach verschlüsselte, hinreichend abhörsichere Mails austauschen wollen, auch auf dem Smartphone mit Tutanota Free mobile für iOS und Android. Weil es gleich mit einem eigenen Webmail-Dienst kommt, erscheint Tutanota Free mir persönlich weniger umständlich als sogar Whiteout (derzeit) und deutlich vertrauenswürdiger als etwa Virtru. Weil man es auch als "ganz normalen" Webmailer einsetzen kann, bin ich gespannt, ob und wie sich dieser Dienst entwickeln wird und ob er genug Druck auf traditionelle Webmailer ausüben kann, damit diese tun, was sie längst hätten tun sollen: ähnliche Verschlüsselungssysteme implementieren. Es gibt halt systembedingt kein POP/IMAP.

WICHTIG: So, wie ich das derzeit erlebe (mit dem bitte nicht zu verwendenden Testkonto andreaswinterer @ tutanota.de), verwendet Tutanota Free keinerlei Spam-Filter. Zugleich ist die Oberfläche ziemlich puritanisch, ein Mail-Löschen per ENTF oder das schnelle Löschen mehrerer (Spam-) Mails sind nicht möglich. Woraus folgt: Verwenden Sie dieses Konto wirklich "geheim", veröffentlichen Sie die Tutanota.de-Mail-Adresse nicht (in Foren oder sonstwo), geben sie sie nicht bei Diensten oder Shops an. Sonst nervt sie die Adresse irgendwann.

Ein paar Worte zum Purismus: Mal angenommen <Paranoia>, Sie sind Dr. Mabuse und kurz davor, die Welt zu unterjochen, und Sie und Ihre Weltvernichtungsmaschine aufzuhalten würde erfordern, auf Mails in Ihrem Tutanota-Free-Konto zugreifen zu können. Dann würden die Vereinigten Weltregierungen die Betreiberfirma natürlich dazu bringen können, zum Beispiel Ihr Passwort bei der Eingabe aufzuzeichnen, und damit können die dann Ihr Mail-Fach knacken und so an die Deaktivierungscodes für die Weltvernichtungsmaschine kommen.*Dies* ist der Nachteil, wenn die privaten Schlüssel auf dem Server des Anbieters liegen, doch private Schlüssel auf den Rechnern frischgebackener PGP-Nutzer dürften auch nicht viel sicherer sein. Ohnehin wäre es in diesem Fall einfacher, Ihnen einen Tastatur-Keylogger (oder eine/n attraktive/n Spion/in) unterzujubeln. Es gilt: Wie "sicher" ein System ist, hängt auch davon ab, wie wertvoll das Geheimnis ist, das geschützt werden soll, denn dieser Wert bestimmt, wie viel Aufwand vielleicht Dritte investieren möchten, um das Geheimnis in Erfahrung zu bringen. </Paranoia> Man widerspreche mir per Kommentar.

Tutanota Free: die Icons oben deuten an, dass mehr Funktionen kommen

Infos:

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren...

7 Antworten

  1. Danke für den interessanten Artikel! Wir nehmen Ihre Paranoia sehr ernst und werden in Zukunft auch Apps anbieten, die auf Ihrem System installiert werden können. Diese Apps können dann vor der Installation von Dritten geprüft werden, sodass wir auch keine theoretische Manipulationsmöglichkeit mehr haben.

    Viele Grüße
    Matthias Pfau

    • Sie ist zwar eher scherzhaft gemeint, die Paranoia, und dient nur der Illustration der ja stets vorhandenen Grenzen von Sicherheit, aber das ist natürlich löblich - und ich bin sehr gespannt, was da noch kommen wird!

  2. Privacy sagt:

    Hallo,

    ich habe so leichte Zweifel an der "Privacy-Politik" von Tutanota - deren WebSeite man NUR nutzen kann, wenn man Google-Analytics "erlaubt" ....

    Nein - so jemandem vertraue ich keine Handynummer oder vertrauliche Datenan.

    Gruß

    Privacy

  3. Ein Leser sagt:

    [quote]ich habe so leichte Zweifel an der "Privacy-Politik" von Tutanota - deren WebSeite man NUR nutzen kann, wenn man Google-Analytics "erlaubt" ....

    Nein - so jemandem vertraue ich keine Handynummer oder vertrauliche Datenan.[/quote]

    Jetzt echt? EIn Service der mehr Sicherheit für Anwender bringt und komplett kostenlos und werbefrei ist und Sie scheißen sich wegen Google Analytics an, das im Übrigen auch ohne Probleme BDSG-konform genutzt werden kann?

    Es ist doch verständlich, dass der Hersteller eine einfache Möglichkeit der Zugriffsanalyse will. Klar kann er dazu auch seine Serverlogs anschauen, aber einfacher und für den Nicht-Techie eleganter ist es mit Analytics (seit 2011 ist Google Analytics im Übrigen datenschutzkonform beanstandungsfrei einsetzbar).

    Wenn mir als User das trotzdem nicht passt muss ich halt mit aktiviertem Inkognito-Modus surfen, aber was hat denn das mitHandynummer und vertraulichen Daten zu tun? Das ist ein deutsches Unternehmen und dem BDSG unterworfen.

  1. März 26, 2014

    […] aber auch andere Stimmen: Andreas Winterer hat in seinem Blogeintrag wunderbar beschrieben “E-Mails verschlüsseln mit Tutanota Free (beta)“, dass solch ein Purismus auch zu weit führen kann: “Ein paar Worte zum Purismus: Mal […]

  2. Juni 17, 2014

    […] Winterer vom Unsicherheitsblog gefällt diese Lösung recht gut. Er schränkt aber ein, dies sei kein “System für Puristen, sondern für Nutzer, […]