ProtonMail – E-Mail-Sicherheit neu definiert

CEO · Veröffentlicht am

ProtonMail (auch Proton Mail geschrieben) ist ein E2EE (End-to-end-encryption) Ende zu Ende verschlüsselter E-Mail-Dienst, der Proton AG (ehemals Proton Technologies), mit Sitz im Kanton Genf, in der Schweiz. Gestern hatte ich mit einer Bekannten eine interessante Unterhaltung über die Schweiz. Nachdem die Schweiz nicht nur für ihre präzisen Uhrwerke und dem leckeren Käse, sondern auch für die Sicherheit bekannt ist und ich mich in letzter Zeit häufiger mit diesem Thema beschäftigt habe, geht es heute um einen etwas sichereren E-Mail-Dienst – ProtonMail.

ProtonMail so viel anders als die anderen?

Im Gegensatz zu anderen gängigen E-Mail-Anbietern verwendet ProtonMail eine clientseitige Verschlüsselung, um E-Mail-Inhalte und Nutzerdaten zu schützen, bevor sie an die ProtonMail-Server gesendet werden. Der Dienst kann über einen Webmail-Client, das TOR-Netzwerk (Über TOR werde ich in einem zukünftigen Beitrag schreiben) oder über spezielle iOS- und Android-Apps genutzt werden und Einrichtung sowie Nutzung des Standardkontos ist kostenlos. Dennoch gibt es auch optionale kostenpflichtige Pakete, die man buchen kann.

Eine kurze Zeitreise

Proton Technologies wurde 2013 in Genf, in der Schweiz, gegründet. Anfangs war die Registrierung bzw. Mitgliedschaft nur auf Basis einer Einladung möglich. Am 16. Mai 2014 ging ProtonMail in die öffentliche Beta-Phase über. Die Resonanz war so positiv, dass nach drei Tagen die Beta-Anmeldungen vorübergehend ausgesetzt werden mussten, um die Serverkapazität zu erweitern.

Die PayPal Story

Zwei Monate später erhielt Proton Technologies über eine Crowdfunding-Kampagne auf Indiegogo ca. 550.000 US-Dollar von ca. 10.500 Spendern, obwohl das Ziel lediglich für 100.000 US-Dollar angesetzt war. Während der Kampagne wurde das PayPal-Konto von Proton Technologies von PayPal mit dem Verdacht auf die unrechtmäßige Verschlüsselung eingefroren. PayPal verhinderte die Abhebung von Spenden im Wert von ca. 250.000 US-Dollar. Nachdem die Sperre unbegründet blieb, wurden die Beschränkungen am nächsten Tag wieder aufgehoben.

Am 18. März 2015 erhielt Proton Technologies 2 Millionen US-Dollar von der gemeinnützigen Fondation Genevoise pour l’Innovation Technologique (FONGIT) und Charles River Ventures. Der 14. August 2015 war der Startschuss für ProtonMail in der Prefinal-Version 2.0.
Diese hatte eine komplett neu geschriebene Codebasis für die Webschnittstelle. Am 17. März 2016 kam die Version 3.0, die den offiziellen Start von ProtonMail aus der Betaphase heraus darstellte. Neben einer neuen GUI für den Web-Client, umfasste Version 3.0 auch den öffentlichen Start der Beta-Anwendungen für iOS und Android. Bis 2017 hatte ProtonMail in etwa 2 Millionen Nutzer.

Am 19. Januar 2017 kündigte Proton Technologies eine Tor-Seite an. Am 21. November 2017 wurde ProtonMail Contacts vorgestellt, der Kontaktmanager mit Zero-Knowledge-Verschlüsselung. ProtonMail Contacts nutzte bzw. nutzt auch digitale Signaturen, um die Integrität der Kontaktdaten zu überprüfen. Am 6. Dezember 2017 folgte die Veröffentlichung der ProtonMail Bridge. Eine Anwendung, die E2EE (Ende-zu-Ende-E-Mail-Verschlüsselung) für jeden Desktop-Client bot bzw. der IMAP und SMTP unterstützt.

Am 25. Juli 2018 führte ProtonMail die Adressverifizierung und die Unterstützung von Pretty Good Privacy (PGP) ein. Dadurch wurde ProtonMail mit anderen PGP-Clients interoperabel.

Der Quellcode für das Backend war und blieb bislang Closed Source. Den Quellcode für die Weboberfläche hat ProtonMail jedoch unter einer Open-Source-Lizenz veröffentlicht. ProtonMail hat auch seine mobilen Clients für iOS und Android, sowie die ProtonMail Bridge App als Open Source veröffentlicht. Der gesamte Quellcode ist auf GitHub zu finden. Was GitHub ist kann man in diesem Beitrag lesen.

App Fairness

Im September 2020 beteiligte sich ProtonMail an der Gründung der Coalition for App Fairness. Deren Ziel ist es, bessere Bedingungen für die Aufnahme von Apps in App Stores zu ermöglichen. Proton gründete auch die Coalition for Competitive Digital Markets. Heute zählt die Vereinigung in etwa 50 europäische Technologieunternehmen, die offene, interoperable und wettbewerbsfähige digitale Märkte unterstützen sollen.

Neues Corporate Design

Im Mai 2022 aktualisierte die Proton AG ihr gesamtes Corporate Design. Um ein einheitliches Design für ihre gesamte Software zu erreichen. Stand heute sind es ca. 70 Millionen+ Nutzer, die den Dienst nutzen bzw. vertrauen.

Fazit

Der Service von Proton ist eine durchaus gute Wahl für alle, die Wert auf Datenschutz und Privatsphäre legen. Vor allem, weil alles relativ einfach einzurichten und äußerst benutzerfreundlich aufgebaut ist. Proton Free, die kostenlose Version umfasst 1 GB Speicher und eine kostenlose Mail-Adresse, mit der 150 Nachrichten pro Tag verschickt werden können. Und für 3,99 EUR / Monat, ist man bereits mit 15 GB sowie 10 Mail-Adressen und unbegrenzten Nachrichten dabei.

Die Schwachstelle von ProtonMail ist, dass ProtonMail selbst, die Schlüssel und Software verwalten. Wenn also jemand böse Absichten pflegt, gibt es nichts, was sie daran hindert könnte, eine Version ihres Webmail-Codes zu schicken, die das Passwort für die Mailbox zurücksendet, und sobald jemand im Besitz dieses Schlüssels ist, können die PGP-Schlüssel entsperrt und verwendet werdet. Ich sage nicht, dass dies in der Vergangenheit eingetreten ist oder in der Zukunft eintreten kann. Doch genau dies ist bei einem Konkurrenz-Dienst (Hushmail), in Zusammenhang mit den US-Strafverfolgungsbehörden gemacht worden und so wurden damit zumindest Hushmail’s früheren Zusicherungen, dass ihre Lösung „sicher“ sei, zunichte gemacht.

Einen durch und durch sicheren E-Mail-Dienst zu haben, ist ein schwieriges Unterfangen. Im Grunde genommen müsste der E-Mail-Anbieter die Nutzung ausschließlich über TOR erlauben bzw. zur Verfügung stellen. Bei Google Mail muss man beispielsweise bereits die Anmeldung bzw. spätestens die Verifizierung mit einer Telefonnummer vollziehen, was durchaus eine Sicherheitslücke darstellen kann.

Und am Ende des Tages gehören zu jeder Konversation mindestens 2 Personen. Außer natürlich man ist… Das lassen wir mal lieber… 😀 Aber ja, wir haben mindestens immer zwei Enden und natürlich Metadaten, die in der Regel die IP-Adresse des Absenders, die Absenderadresse, die Empfängeradresse und die Betreffzeile enthalten. Für einen Profi lässt sich damit schon einiges anfangen. Aber um dies zu evaluieren sollte man vielleicht einen Spezialisten hinzuziehen. Ansonsten bleibt es jedem selbst überlassen, darüber zu urteilen ob und mit welchem E-Mail-Dienst man verkehren will 😀

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.