Mailbox.org startet webbasierte PGP-Verschlüsselung für E-Mails und Dateien

Der Berliner E-Mail-Spezialist Mailbox.org bietet ab sofort eine webbasierte PGP-kompatible Ein-Klick-Lösung zur Verschlüsselung von Mails und Dateianhängen an. Der neue Service, der auf einfache Weise eine sichere E-Mail-Kommunikation auf Basis des Standards „Pretty Good Privacy“ (PGP) ermöglicht, ist für Kunden überall sowie ohne lokale Software-Installation direkt nutzbar und in allen Mailbox.org-Postfächern ab 1 Euro pro Monat enthalten. Interessenten können sich auf der Website des Anbieters für einen kostenlosen 30-tägigen Testzugang anmelden.

„Frühere Versuche, PGP als Verschlüsselungstool zu etablieren, scheiterten oft am Wissen über Schlüsselverwaltung und PGP-Formate sowie einem Mangel an zentralen, vertrauenswürdigen Key-Verzeichnissen“, sagt Peer Heinlein, Gründer und Geschäftsführer von Mailbox.org. „Darüber hinaus gab es bislang eine nur mangelhafte Unterstützung in Webmail-Systemen. Browser-Plug-ins wie Mailvelope konnten PGP nur teilweise und unkomfortabel entschlüsseln und haben zudem Probleme mit Dateianhängen oder Cloud-Dateispeichern. Sobald Sicherheitslösungen jedoch zu Komforteinschränkungen führen, verzichten Anwender bisher schnell darauf.“

Das erwähnte Mailvelope des gleichnamigen Open-Source-Projekts setzen seit April die De-Mail-Anbieter Deutsche Telekom, Francotyp-Postalia und United Internet (1&1, Web.de, GMX) als vereinfachtes Verfahren für die Ende-zu-Ende-Verschlüsselung ein. Allerdings ist laut Mailbox.org umstritten, ob JavaScript-Browser-Plug-ins überhaupt sichere Kryptographie ermöglichen können. Auch mobile Endgeräte wie Android-Smartphones oder iPhones gelten nicht als sicheres Umfeld, denen man einen privaten PGP-Schlüssel anvertrauen darf. „Unser neuer Mailbox.org Guard kann als serverseitige Implementierung diese Hürden endlich überwinden und stellt unseren Kunden auf allen Plattformen ohne Einschränkungen in Komfort und Bedienbarkeit eine Verschlüsselungslösung für ihre tägliche E-Mail-Kommunikation zur Verfügung“, verspricht Heinlein.

Allerdings ist dabei keine vollständige Ende-zu-Ende-Verschlüsselung gegeben, weil die Ver- und Entschlüsselung auf dem Server erfolgt. Ein weiterer Nachteil ist das prinzipielle Problem, dass private PGP-Schlüssel auf fremden Rechnern beziehungsweise Servern gespeichert werden. Daher bietet Mailbox.org Guard nach Aussage des Berliner Unternehmens „hinreichende Sicherheit“, aber keine „absolute Sicherheit“.

Durch die serverseitige Verschlüsselung befindet sich der vertrauliche „Private Key“ des Nutzers zu keinem Zeitpunkt in der unsicheren Umgebung des Webbrowsers oder Smartphones und kann so nicht in unbefugte Hände gelangen, betont der Berliner Anbieter. Sicherheitsmechanismen und ein nur dem Nutzer bekanntes zusätzliches Schlüssel-Passwort sorgten dafür, dass auch die Administratoren von Mailbox.org keinen Zugriff auf den PGP-Schlüssel oder die damit verschlüsselten E-Mails mehr erhalten können. Selbst während eines aktiven Log-ins des Nutzers werde dessen PGP-Schlüssel weiterhin nur verschlüsselt im Speicher von Mailbox.org verwaltet.

Schon seit seinem Start im Februar 2014 verschlüsselt Mailbox.org das Postfach seiner Nutzer vollständig. Die neue Lösung ergänzt diese Funktion und sorgt dafür, dass alle eingehenden unverschlüsselten E-Mails nachträglich noch mit PGP verschlüsselt im Postfach abgelegt werden. Sie ist zudem kompatibel zu anderen PGP-Lösungen, so dass sich Mailbox.org-Kunden auch mit Nutzern anderer Provider sicher austauschen können – selbst wenn diese PGP nicht lokal installiert haben.

Die PGP-Schlüsselverwaltung von Mailbox.org Guard (Bild: Mailbox.org)

Der PGP-Schlüssel wird durch einen einfachen Klick auf ein Icon erzeugt und erlaubt so auch Kunden ohne Fachkenntnisse den sofortigen Austausch verschlüsselter Nachrichten. Fortgeschrittene Nutzer können bereits vorhandene PGP-Schlüssel exportieren oder importieren und das Webmodul so parallel zu einer lokalen PGP-Installation verwenden, um auch an fremden Computern jederzeit verschlüsselt kommunizieren zu können. Öffentliche PGP-Schlüssel anderer Nutzer lassen sich per Klick importieren, PGP-Schlüssel anderer Mailbox.org-Anwender sind sofort für alle gesichert verfügbar. Familien- und Geschäftskunden mit mehreren Mailadressen können auf eine gemeinsame Schlüsselverwaltung zurückgreifen.

Auch beim Austausch mit Empfängern ohne installiertes PGP ermöglicht Mailbox.org seinen Kunden eine sichere E-Mail-Kommunikation. „Guard“ richtet dazu auf Wunsch temporäre Postfächer auf dem Mailbox.org-Server ein, über die via DANE und https-gesichert korrespondiert und Dateien ausgetauscht werden können. Davon sollen vor allem Geschäftskunden wie Anwälte oder Steuerberater mit wechselnden Mandanten profitieren, die auf eine datenschutzkonforme Kommunikation angewiesen sind.

Als Open-Source-Lösung kann der Quellcode des Guard-Moduls von jedem IT-Experten eingesehen werden. Der neue Verschlüsselungsdienst basiert auf „OX Guard“ von Open-Xchange, an dessen Entwicklung Mailbox.org entscheidend beteiligt war. Die grundsätzliche Funktionsweise der PGP-Verschlüsselung erläutert es in einem Video. Außerdem wird in detaillierten Anleitungen beispielsweise die erstmalige Einrichtung des Mailbox.org Guard sowie das Verschlüsseln von Datein im Drive erklärt.