Und zu welchem Mail-Provider gehe ich jetzt..?

7076893037_4cb82a5b2e_nIn den USA haben gerade zwei Mail-Provider zugemacht. Der Fall Lavabit ging breit durch die Presse: der Betreiber des Providers, den Edward Snowden benutzt hat, ist anscheinend von US-Sicherheitsbehörden juristisch unter Druck gesetzt worden, Nutzerdaten herauszugeben und darf gleichzeitig nicht darüber sprechen:

My Fellow Users,

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit. After significant soul searching, I have decided to suspend operations. …  (Ladar Levison, Lavabit)

Einen Tag später hat Silent Mail zugemacht. Auch nicht irgendein Mail-Provider, sondern der des Erfinders der Verschlüsselungssoftware PGP Phil Zimmermann

We see the writing the wall, and we have decided that it is best for us to shut down Silent Mail now. We have not received subpoenas, warrants, security letters, or anything else by any government, and this is why we are acting now. (Silent Circle)

Phil Zimmermann selber erklärte dazu

I wrote about these things over twenty years ago and when I first wrote PGP and technology extrapolations leading us to a future where the governments can listen to all our communications, can search through all our communications and do pattern recognition and study our traffic patterns. But I didn’t think it would get this bad.

Das Phänomen, dass es in den USA legal ist, die Betroffenen von juristischem Maßnahmen dazu zu zwingen, nicht darüber zu reden, was ihnen angedroht wird, ist nicht neu. Getoppt wird es gerade noch dadurch, dass Levinson jetzt auch ein Strick daraus gedreht wird, dass er seine Firma zugemacht hat.

Seitdem haben sich viele gefragt, ob sie ihren (us-amerikanischen) Mail-Providern noch vertrauen können. Ich beschwere mich seit Jahren darüber, wenn ich Mails von Googlemail-Adressen bekomme und werde entsprechend lange gefragt, was ich als Alternative vorschlage. Leuten, die sich selbst als politische AktivistInnen verstehen, empfehle ich Riseup, ein politischer Provider, der inzwischen sehr viel genutzt wird. Aber können wir sicher sein, dass Riseup (genau wie alle anderen) nicht auch zum Schweigen gezwungen wird und unsere Daten direkt an den NSA weitergibt?

Ich fühle mich bei Riseup weiterhin gut aufgehoben (und habe trotzdem, auch schon länger, auch alternative Mailadressen). Riseup selber hat jetzt dies dazu geschrieben:

Q: Is Riseup working with the NSA?

A: We would rather stop being Riseup before we did that. We are not working with any government agency. We have never simply handed over information when requested, and for years have had a no logging policy. We have fought and won every time anyone has tried to get us to give up information. We have never turned over any user data to any third party, fourth party, fifth party or any party.

Q: But your servers are located in the U.S., doesn’t that mean you have to install backdoors/monitoring/etc?

A: We have no control over our network providers, but we have physical control of our servers, they are not hosted “in the cloud.” This gives us much more physical assurance of the security of our machines.  (…) Also, the US still has better laws for internet providers than in many other countries, including many places in Europe, where there are data retention laws requiring providers to keep logs. The US has no such requirement and it has been our policy for years to not keep any logs.

(…)

Riseup hatte seit den NSA-Leaks soviel Zulauf, dass sie einen neuen Server kaufen mussten. Für ein nicht-kommerzielles, spendenbasiertes Projekt keine Kleinigkeit. Falls ihr als Riseup nutzt oder das jetzt in Erwägung zieht: spendet. Spendet großzügig. Wie wichtig Angebote wie dieses sind, war noch nie so deutlich.

==>> Spenden für Riseup <<==

Eine ähnliche Erklärung gibt es auch von Autistici, dem italienischen Kollektiv, das u.a. diese Blogplattform noblogs.org hostet und das ebenfalls E-Mail anbietet:

…since Italy is a loyal subject of the American empire, we are pretty sure that if the U.S. authorities want to intrude into your privacy, the Italian allies will be absolutely ready to give them a hand. So please don’t simply assume that since our servers are not based in the U.S.A. we can protect you from the NSA more than an American provider. This is not true at all!

Autistici vergibt aktuell keine Mail-Adressen mehr, weil sie den Ansturm nicht bewältigen können. Auch hier: bitte spendet für Autistici.

Last but not least merkte kürzlich jemand an, dass der Trend von großen kommerziellen US-Mailprovidern weg geht hin zu lokalen und/oder nicht-kommerziellen Anbietern. Diejenigen, die da schon lange sind, bewegen sich aber auch: weg von E-Mail hin zu verschlüsseltem Chat, etwa per Jabber. Denn was nirgends dokumentiert wird, kann auch schlechter überwacht werden. Das sollten auch alle mal probieren, die gern mal eben schnell per Twitter DM oder Facebook-Chat was besprechen wollen. Zum Chatten braucht Ihr nur einen Jabber-Account, dazu einen Client (Programm), der das kann, und wenn das nebenbei läuft, ist es genauso unkompliziert wie die anderen.

Jabber zu verschlüsseln ist übrigens viel einfacher als Mail-Verschlüsselung..

 

Foto: cicciodylan via photopin BY-NC-ND-Lizenz

23 thoughts on “Und zu welchem Mail-Provider gehe ich jetzt..?

  1. Häufig muss man gar nicht so weit gehen, sondern findet vielleicht auch im Bekanntenkreis den einen oder anderen ITler/in, der einen eigenen Server betreibt und auf dessen/deren Server man Unterschlupf finden kann. Denn das Problem ist ja auch, dass mit Riseup und Autistici dann wieder aehnlich zentrale Dienstleister existieren, die angreifbar sind.

    Verteilt man das auf viele kleinere Provider, wie Du ja auch richtig sagst, dann wird der Aufwand der Ueberwachung fuer die Ueberwacher groesser. Das gilt ueberigens auch fuer Jabber. Der CCC empfiehlt ja auch schon seit Jahren, sich nicht auf jabber.ccc.de zu registrieren, sondern auf andere Anbieter zu wechseln.

    Ich biete fuer Familie, Freunde und Bekannte auch Unterschlupf auf meinem Server an und habe Mail, Webspace, Jabber, Calenderserver, OwnCloud, Friendica, etc. im Angebot, jedoch nicht fuer die Allgemeinheit, um das Problem zu vermeiden, das Riseup nun hat.

    Ausserdem sei auch hier nochmal der Hinweis auf die ehemaligen IN e.V. Vereine wie in-berlin.de verwiesen, die ja auch diverse Dienstleistungen anbieten, oder die ganzen Freifunk-Vereine.

    Es gibt also genug Alternativen. Man muss sie nur nutzen und unterstuetzen, sonst bleiben in der Tat nur noch die grossen Anbieter.

  2. Huhu! So gerne ich riseup auch mag, habe ich Bedenken das sich da gerade so etwas wie ein „Activists Google“ bildet. Riseup hat genau das gleiche Problem wie Lavabit wenn es hart auf hart kommt und in so einem Fall würden sehr, sehr viele Leute sofort doof da stehen. Ich glaube daher das es gerade jetzt sehr wichtig ist das die Leute auch zu kleinen Kollektiven gehen – immerda.ch, nadir.org, systemli.org, systemausfall.org und so36.net sind z.B. alles Projekte aus dem Deutschsprachigen Raum, wo man auf Anfrage meist eine E-Mail Adresse bekommt.

  3. Ich hätte da einen Vorschlag: Seit kurzem ist Neomailbox.net mitsamt seinen Servern in die „sichere“ Schweiz umgezogen und bietet zusätzlich sogar Family-Packages an.
    ch hätte da einen Vorschlag mit Sitz in der Schweiz: https://www.neomailbox.net/about/news
    Die Idee, dass sichere Mails kein Geld kosten, können wir in jeden Fall beerdigen.

  4. @Jella
    Für Otto and Lieselotte ist es nicht einfach, was zu empfehlen. Riseup sagt explizit, dass sie den Service nur für AktivistInnen anbieten, bei Autistici ist das nicht wirklich anders, obwohl die ihr Angebot etwas etwas allgemeiner formulieren. Und das hat auch eine gewisse Logik, schließlich steckt in beiden eine Menge unbezahlte Arbeit, deren Motiv letzten Endes politisch ist: nämlich im weitesten Sinn die bessere Welt. (Lässt sich jeweils genauer dort nachlesen)

    Grundsätzlich stellt sich dann die Frage danach, ob Otto und Lieselotte sich bei kommerziellen Anbietern gut aufgehoben fühlen. Es gibt ja viele kleine, lokale Anbieter, die sie sich angucken sollten. Da lohnt der Blick ins Kleingedruckte: liegen die Daten in der Wolke (Cloud)? Dann sind sie vor dem Zugriff durch NSA & Co. nicht sicher. Wo stehen die Server? Gibt es dazu verständliche Erklärungen?

    Die bessere Alternative ist natürlich der eigene Mailserver oder der von Bekannten. Häufig, das wäre der Kompromiss, sind in Paketen zum Web-Hosting auch Mailadressen dabei. Wer also die eigene Website irgendwo liegen hat, könnte darüber auch die Mail laufen lassen. Ist natürlich erstmal etwas frickeliger als Gmail, aber ich würden sagen, dass es sich lohnt. Andererseits weiß niemand, was die jeweiligen Provider mit den Daten machen, aber das Problem lässt sich letzten Endes nicht lösen. Letzten Ende ist es mit der Frage verbunden: wem vertraue ich am meisten bzw. wenigsten? Und wieviel Mühe ist es mir das Ganze wert?

    Leider gibt es derzeit keine gute Antwort auf die Frage. Deswegen empfiehlt sich auf jeden Fall, soviele Mails wie möglich zu verschlüsseln. Ist das erstmal installiert, kostet es pro Mail ja bloß einen zusätzlichen Klick.

  5. Jabber verschlüsselt benutzen wäre klasse, scheint mir aber gar nicht so simpel. OTR ist dabei keine Option, da es über verschiedene Geräte hinweg und bei offline zwischengespeicherten Nachrichten Probleme mit Sessions und so gibt.
    Gibt es da eine bessere Lösung, die zu empfehlen wäre? Irgendwas analog zu GPG bei Mails?

  6. In der aktuellen ak warnt Christoph Kuchenbuch von so36.net: »Eine gewisse Gefahr sehen wir aber in dem Aspekt der Popularität oder Userakzeptanz. Es gibt einige Projekte, deren Ausfall die Szene nicht mehr ohne Weiteres schultern könnte. Ein Beispiel dafür wären unsere Freunde von riseup.net. Riseup ist ein großes und sehr bekanntes Projekt, das durch Förderung und Spenden sehr professionell arbeitet. Durch die Bekanntheit legen sich immer mehr Leute dort E-Mail-Adressen zu und es entsteht ein gewisser Cluster. Wir sollten aufpassen, dass wir in der Wahl unserer Dienste auf Vielfalt achten, insofern auch ein Tipp sich einfach mal umzuschauen, was es noch so für Projekte gibt.« http://akweb.de/ak_s/ak585/38.htm

  7. Ich halte es für fahrlässig einen Datenprovider mit Sitz in den USA zu empfehlen. Denn diese werden sihc im Ernstfall nicht gegen geltendes US Recht wehren können und Daten herausgeben bzw. Schnüffelsoftware zulassen müssen… falls sie es nicht schon getan haben und verpflichtet worden sind nicht darüber zu berichten. Wer kann uns das garantieren?

    Es gibt weltweit ausreichend Möglichkeiten, warum Anna sich jetzt noch darauf versteift US Provider zu empfehlen ist mir absolut unverständlich. Die von Anna zitierten Versicherungen des Anbieters sind, egal wie ernst und gut er es meint, rein gar nichts Wert wenn es hart auf hart kommt. Einzig das nicht anlegen von Logfiles ist positiv zu bewerten, aber auch hier haben wir nicht mehr als die Aussage des Providers „Riseup“ der wir trauen müssen.

    Ich würde daher eher Posteo empfehlen. https://posteo.de/

    „Bei Posteo können Sie sich anmelden, ohne persönliche Daten anzugeben. Wir verzichten generell auf das Speichern personenbezogener Daten.“

    Besser ist das!

  8. Hab eine Adresse bei Posteo, weil ich als Nichtaktivist Riseups Platz nicht zumüllen muss (und damit Anne mich wegen einer Google-Adresse nicht direkt des Blogs verweist. ,)

    Hab mich auf Empfehlungen Bekannter verlassen, mal sehen. Posteo schreibt da auch nur „Server stehen in hochsicheren deutschen Rechenzentren“ [https://posteo.de/site/leistungen]. Deutschland und hochsicher in einem Satz finde ich – örrem –

  9. @Name
    Wobei leider nicht jeder Client das unterstützt. Auf meinem Android-Tablet nutze ich Xabber, aber dies kann leider noch kein PGP.

  10. Ich bin über diesen Artikel [http://www.extremetech.com/extreme/163698-encrypted-email-isnt-secure-but-if-you-must-use-it-here-are-some-lavabit-alternatives] auf WeMail.me gestoßen [https://chillyorange.com/wemail/], macht einen guten Eindruck.

  11. Nebenbei sei erwähnt das bewusst oder unbewusst „Webdienste für Aktivisten“ sehr gut als Honeypot für Ermittlungsbehörden herhalten könnten.

    Vor wenigen Wochen noch wäre diese Aussage als Verschwörungstheorie bewertet worden. Schweigen oder Selbstzensur ist sicher nicht der richtige Weg, aber Inzwischen hat uns die Realität eingeholt, wir müssen sehr gut darüber nachdenken wie wir in Zukunft das Internet nutzen.

  12. Pingback: Verschlüsseltes Biedermeier | schneeschmelze | texte

  13. So richtig ueberzeugt mich keine der genannten Alternativen.

    Ich habe diesen Provider gefunden: https://www.vmail.me

    Was ich mindestens erwarte ist Perfect Forward Secrecy.
    So koennt Ihr testen, ob der Provider das bietet:
    openssl s_client -connect smtp.your.provider.com:465
    Answer should include »ECDHE« or »DHE« at the beginning of Cipher. Otherwise PFC is not used!

    Die Frage ist auch wie langlebig diese ‚kleinen‘ Privat-Provider sind und ob sich da auch permanent jemand um das System kuemmert.

    Wer nur alle westlichen Geheimdienste aussperren will, geht zur Tencent QQ. Die bieten auch kostenlose POP3 Adressen mit Perfect Forward Secrey an. Die chinesischen Geheimdienste lesen natuerlich alles mit, geben die Daten aber vermutlich nicht an das Ausland (ausserhalb Chinas) weiter.

  14. Ich habe meiner Freundin und mir vor ein paar Tagen ein MS Exchange Server hingestellt. Ist zwar nicht die Beste Variante, dafür der Beste Kompromis den ich aus „Sicherheit“ und Komfort eingehen kann. Vor allem wenn man auch Kalender und Kontakte sychronisieren möchte.

    Wenn einer meiner Bekannten auch da drauf will, sage ich sicherlich nicht nein. Aber die sind einfach nicht zu sensibilisieren…

  15. Pingback: Verschlüsseltes Biedermeier — Carta

  16. Pingback: IMAP als Netzwerkprotokoll auf iOS Devices | funetku

Comments are closed.