Posteo

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Posteo
Posteo.png
posteo.de
Motto E-Mail: Grün, sicher, werbefrei
Beschreibung E-Mail-Anbieter
Sprachen Über 70
Eigentümer Posteo e.K.
Erschienen 2009
Status aktiv

Posteo ist ein im Jahr 2009 gegründetes Unternehmen in der Rechtsform eines Eingetragenen Kaufmanns mit dem Geschäftssitz in Berlin. Das Unternehmen bietet E-Mail-Dienste mit Fokus auf Sicherheit und Verschlüsselung,[1] Kontakteverwaltung und Kalender werbefrei und kostenpflichtig an.

Der Dienst wurde im Jahr 2013 in den deutschen Medien vor allem genannt, nachdem die Enthüllungen Edward Snowdens rund um die NSA-Überwachung die Debatte über sichere E-Mail-Dienstleistungen und E-Mail-Verschlüsselung befördert hatten und der US-amerikanische Anbieter Lavabit geschlossen wurde.[2][3] Die Webseite von Posteo ist auf Deutsch, Englisch und Französisch verfügbar. Die Webmail-Oberfläche bietet eine freie Sprachwahl für über 70 Sprachen zur Bedienung des Postfaches an.

Bis März 2015 erreichte das Unternehmen eine Anzahl von etwa 100.000 Postfächern.[4] Ende 2016 hatte Posteo weniger als 20 Mitarbeiter.[5]

Datensparsamkeit und -sicherheit[Bearbeiten | Quelltext bearbeiten]

Das Unternehmen wirbt mit konsequenter Datenvermeidung und Datensparsamkeit. Sowohl Anmeldung als auch Bezahlung sind anonym möglich, IP-Adressen von Nutzern werden nicht gespeichert.[6]

Die Datenübertragungen zwischen Kunden und dem Unternehmen sind durchgängig mit TLS verschlüsselt. Posteo unterstützt dabei, wie auch auf dem Transportweg zu anderen Anbietern, seit August 2013 die Verschlüsselungseigenschaft Perfect Forward Secrecy[7] – damals als einer der ersten deutschen Anbieter für alle Mail-Protokolle.[8] Perfect Forward Secrecy bedeutet, dass für jede Verbindung ein zufälliger, neuer Schlüssel erzeugt wird, mit dem dann die Verbindung verschlüsselt wird. Eine spätere Entschlüsselung abgegriffener Daten wird so verhindert. Zur Authentifizierung der Server setzt Posteo Extended-Validation-Zertifikate ein.[9] Seit Mai 2014 unterstützt Posteo die Technologie DANE/TLSA (DNS-based Authentification of Name Entries) und schließt damit verschiedene Schwachstellen der TLS-Verschlüsselung, insbesondere beim Transport von Mails zwischen Posteo und anderen Anbietern, aus.[10][11] Um von der zusätzlichen Absicherung durch DANE auch bei Zugriffen mit dem Browser profitieren zu können, benötigt man ein entsprechendes Browser-Add-on. Alle Server von Posteo befinden sich in Deutschland und deren Festplatten sind AES-verschlüsselt.[12] Seit Oktober 2015 nutzt Posteo die von Websites selten eingesetzte Technik HTTP Public Key Pinning, um die HTTPS-Verbindung des Webinterfaces zum Nutzer abzusichern.[13]

Seit November 2014 kann der Webmail-Zugang durch eine Zwei-Faktor-Authentifizierung auf Basis des zeitgesteuerten TOTP-Standards zusätzlich gesichert werden.[14][15] Um zu verhindern, dass dies nicht durch Zugriffe von E-Mail-Programmen per IMAP, POP3 oder SMTP unterlaufen wird, können Kunden diese Zugriffe auf Wunsch sperren.[16] Seit Mai 2015 können Kunden optional einen Krypto-Mailspeicher aktivieren, sodass alle bei Posteo gespeicherten Mails individuell mit dem (salted) Passwort des Kunden verschlüsselt gespeichert werden.[17] Seit Juli 2016 können Kunden auf Wunsch die TLS-Versand-Garantie aktivieren, sodass ausgehende E-Mails nur dann an Server anderer Anbieter verschickt werden, falls eine verschlüsselte Verbindung möglich ist.[18] Seit August 2016 zeigt die Webmail-Oberfläche vor dem Versand von E-Mails an, ob der Transportweg durch DANE abgesichert ist.[19]

Das Unternehmen setzt auf offene Standards und freie Software, inklusive der auf der Webseite und im Webmailer verwendeten JavaScript-Codes.[20][21] Der Quelltext von Software, die Posteo mitentwickelt hat, ist unter Freien Lizenzen auf GitHub verfügbar.[22] Vor diesem Hintergrund hat Posteo die Initiative E-Mail made in Germany von Anfang an als geschlossene Insellösungen kritisiert.[23][10]

Im Ende Mai 2017 veröffentlichten 26. Tätigkeitsbericht der Bundesdatenschutzbeauftragten Andrea Voßhoff wurde Posteo – ohne Nennung des Firmennamens – gelobt. Posteo habe „den Datenschutz […] wirklich beeindruckend umgesetzt“.[24] Gleichzeitig veröffentlichte Posteo den dieser Aussage zugrunde liegende Prüfbericht, der Ende 2016 erstellt wurde. Gelobt werden darin u.a. der firmeninterne, unabhängige Datenschutzbeauftragte, der auch im Support arbeitet, das anonyme Zahlungssystem, durch welches Posteo „keine Bestandsdaten erhebt“, der Verzicht auf Speicherung „auf Kunden beziehbaren IP-Adressen“ und die mehrschichtige Verschlüsselung. Allgemein berücksichtige Posteo „den Grundsatz der Dansparsamkeit sehr umfassend“.[5]

Unterstützung für Ende-zu-Ende-Verschlüsselung[Bearbeiten | Quelltext bearbeiten]

Seit Januar 2015 bietet das Unternehmen eine automatische Verschlüsselung eingegangener E-Mails wahlweise mit S/MIME oder PGP an. Dazu muss der Nutzer seinen öffentlichen S/MIME- bzw. PGP-Schlüssel an das Unternehmen übermitteln. Mit diesem wird dann jede E-Mail, nachdem sie angekommen ist, verschlüsselt. Eine echte Ende-zu-Ende-Verschlüsselung ersetzt dieses Verfahren nicht, da E-Mails erst, nachdem sie auf den Posteo-Servern angekommen sind, verschlüsselt werden, und nicht schon beim Absender.[25] Posteo kann daher auch E-Mails bei aktivierter Eingangs-Verschlüsselung z. B. auf Spam überprüfen.

Ende Dezember 2015 veröffentlichte das Unternehmen ein Open-Source-Plug-in[26] für die bei ihnen verwendete Mail-Weboberfläche Roundcube, das die PGP-Verschlüsselung in Verbindung mit dem Browser-Add-on Mailvelope erleichtert. Dabei werden u. a. öffentliche Schlüssel, die von Posteo-Servern aus unterschiedlichen Quellen (Schlüsselserver, im DNS als OPENPGPKEY) bezogen werden, abgefragt und zum Import angeboten.[27] Private Schlüssel, Klartext-Nachrichten und kryptographische Operationen bleiben dabei immer in der Kontrolle des Nutzers. Verschlüsselungslösungen, bei denen E-Mail-Anbieter hierfür serverseitige Unterstützung anbieten, lehnt Posteo als prinzipiell unsicher strikt ab.[28]

Transparenzbericht[Bearbeiten | Quelltext bearbeiten]

Im Mai 2014 legte das Unternehmen als erster deutscher E-Mail-Dienst einen Transparenzbericht zu Ermittlungs- und Observationsvorgängen vor. In diesem schreibt das Unternehmen, dass es im Jahr 2013 sieben Anfragen von Strafverfolgungsbehörden erhalten habe, von denen zwei formal korrekt gewesen seien. Auf politischer Seite wurde das Unternehmen dabei unter anderem von Hans-Christian Ströbele und Christian Lange unterstützt.[29][30]

Im Juli 2013 hatten Beamte des Staatsschutzes die Geschäftsräume durchsucht. Laut dem Unternehmen hatten die Beamten versucht, das Unternehmen „zu einer rechtswidrigen Kooperation und zur Herausgabe von Daten zu nötigen“. Daraufhin erstattete das Unternehmen Strafanzeige gegen die beteiligten Kriminalbeamten. Laut Unternehmen gaben die Polizisten an, einen Beschluss zur Durchsuchung und Beschlagnahmung der gesamten Geschäftsunterlagen zu haben, hätten aber tatsächlich nur einen Beschluss zur Herausgabe eines einzigen Blattes Papier gehabt. Die Kriminalpolizei wollte, dass das Unternehmen ein Skript programmiert, das dokumentiert hätte, mit welchen IP-Adressen Posteo-Nutzer beim Login auf ihre E-Mails zugreifen. Mit diesem Skript wäre es möglich gewesen, in Erfahrung zu bringen, welche E-Mailadressen zu den der Polizei bekannten IP-Adressen gehören.[30]

Im August 2015 veröffentlichte das Unternehmen den Transparenzbericht für 2014, erstmals mit geschwärzten Schreiben der Ermittlungsbehörden und Schwerpunktthemen zur manuellen Bestandsdatenauskunft nach § 113 TKG, zur öffentlichen Kontrolle der Auskunftsverfahren nach § 113 und § 112 TKG und zur Praxis des Richtervorbehalts.[31][32]

Der Transparenzbericht für 2016 (veröffentlicht im Januar 2017) stellt fest, dass die Zahl der Behördenanfragen von 48 (2015) auf 35 (2016) zurückgegangen ist, während immer noch etwa die Hälfte der Anfragen nicht formal korrekt gestellt und deshalb negativ beantwortet, sowie bei den jeweils zuständigen Datenschutzbeauftragten beanstandet wurden.[33]

Sonstiges[Bearbeiten | Quelltext bearbeiten]

Nachhaltigkeit[Bearbeiten | Quelltext bearbeiten]

Zur Energieversorgung nutzt das Unternehmen „echten Ökostrom von Greenpeace Energy“ und legt Gelder nach eigenen Angaben nur bei der GLS Gemeinschaftsbank und der Umweltbank an. Außerdem spendet Posteo nach eigenen Angaben regelmäßig unter anderem an „im Umweltschutz tätige“ Nichtregierungsorganisationen (NGOs). Für Posteo-Nutzer besteht bei Kündigung des Postfaches die Möglichkeit, das Restguthaben ebenfalls an eine NGO spenden zu lassen.[34] Posteo macht auf seiner Webseite transparent, wen es unterstützt und welcher Betrag pro Jahr insgesamt gespendet wurde.[35]

Kein Spam-Ordner[Bearbeiten | Quelltext bearbeiten]

Im Gegensatz zu anderen Anbietern gibt es bei den E-Mail-Accounts von Posteo keinen Spam-Ordner. Der Grund hierfür sei, dass Benutzer häufig E-Mails übersähen, die fälschlicherweise in den Spam-Ordner verschoben worden sind, wo sie nach Ablauf einer bestimmten Frist gelöscht werden. Deshalb verweigere der Spamfilter von Posteo stattdessen die Annahme von E-Mails, die als Spam klassifiziert worden seien, und informiere den Absender hierüber.[36]

Testergebnisse und Auseinandersetzung mit der Stiftung Warentest[Bearbeiten | Quelltext bearbeiten]

Aus den Tests der Stiftung Warentest in den test-Ausgaben vom Februar 2015[37][38] sowie Oktober 2016[39][40] ging Posteo – jeweils punktgleich mit dem Konkurrenten Mailbox.org – als Testsieger hervor.[41][42] Nach Erscheinen des Tests vom Februar 2015 beschwerte sich Posteo dennoch bei der Stiftung Warentest – sowohl über die Testkriterien wie auch über Fehler im begleitenden Artikel.[43][44] Letztere musste die Stiftung Warentest eingestehen, den Direktvertrieb des Heftes zwischenzeitlich stoppen und eine Korrekturseite beilegen. Auch online[45] und im nachfolgenden Heft[46] erschienen Richtigstellungen.[47][48][49]

Beim Test im Jahr 2016 veröffentlichte das Unternehmen schon vor Erscheinen des Tests einen Blogeintrag, in dem sie Fehler in der erhaltenen Vorabversion kritisierten. Als Begründung für die frühzeitige Veröffentlichung nannten sie, dass Stiftung Warentest auf Anfragen von Posteo nicht geantwortet habe. Außerdem kritisierten sie, dass viele Sicherheitsfeatures, die bei Posteo genutzt würden, im Test nicht betrachtet worden seien.[50] Nach Veröffentlichung des Testergebnisses zog Posteo seine Kritik größtenteils zurück, da die beanstandeten Mängel in der Anbieter-Vorab-Information nicht in die Endfassung Eingang gefunden hatten.[41] Weiterhin betonte Posteo jedoch, dass einige Sicherheitsfunktionen, die Posteo bietet, vom Test nicht berücksichtigt worden seien.[51]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. E-Mail grün, sicher, einfach und werbefrei – posteo.de – Verschlüsselung. In: posteo.de. Abgerufen am 13. Dezember 2015.
  2. Svenja Bergt: Datenschutz in Unternehmen: Werbung wichtiger als Privatsphäre. In: taz.de. taz Verlags u. Vertriebs GmbH, 1. August 2013, abgerufen am 2. September 2013.
  3. Christof Kerkmann: USA machen Druck: Verschlüsselungsdienste geben auf. In: handelsblatt.com. Handelsblatt GmbH, 9. August 2013, abgerufen am 2. September 2013.
  4. Marcus Engert: Gute Nachrichten: Posteo – ein grüner und sicherer Mailanbieter. Posteo: der bessere Mail-Anbieter? In: detektor.fm Digital. BEBE Medien GmbH, Leipzig, 26. März 2015, abgerufen am 3. April 2015.
  5. a b Andrea Voßhoff: Beratungs- und Kontrollbesuch E-Mail Posteo. Hrsg.: Bundesbeauftragte für Datenschutz und Informationsfreiheit. 30. Dezember 2016 (posteo.de [PDF]).
  6. Posteo. Hintergrund-Ino – Maximaler Datenschutz. Posteo e.K., Berlin, abgerufen am 30. September 2016.
  7. “Perfect Forward Secrecy” bei Posteo. Posteo e.K., Berlin, 12. August 2013, abgerufen am 11. September 2013.
  8. Jürgen Schmidt: Verschlüsselung bei Mail in Germany ungenügend. In: Heise News. Heise Medien GmbH & Co. KG, 13. August 2013, abgerufen am 16. Oktober 2015: „Überzeugt hat hingegen Posteo. Der kleine E-Mail-Provider bot als einziger deutscher E-Mail-Dienst Verschlüsselung mit Forward Secrecy für alle Mail-Protokolle.“
  9. Unser neues, erweitertes Zertifikat ist installiert. Posteo e.K., Berlin, 17. April 2014, abgerufen am 30. September 2016.
  10. a b Posteo unterstützt DANE/TLSA. Posteo e.K., Berlin, 12. Mai 2014, abgerufen am 30. September 2016.
  11. Dusan Zivadinovic: Verschlüsselter Mail-Transport: Posteo setzt als erster Provider DANE ein. In: Heise News. Heise Medien GmbH & Co. KG, 12. Mai 2014, abgerufen am 30. September 2016.
  12. Andrea Bernard: Posteo: ein Berliner E-Mail-Anbieter als Alternative zu Gmail & Co. Bei Posteo steht der Datenschutz im Vordergrund. In: akademie.de. akademie.de asp GmbH & Co. Betriebs- & Service KG , Berlin, 20. August 2013, abgerufen am 2. September 2013.
  13. Jürgen Schmidt: Posteo testet Certificate Pinning. In: heise Security. Heise Medien GmbH & Co. KG, 16. Oktober 2015, abgerufen am 13. Dezember 2015.
  14. Neu: Zwei-Faktor-Authentifizierung im Webmailer. Posteo e.K., Berlin, 12. November 2014, abgerufen am 12. November 2014.
  15. Was ist die Zwei-Faktor-Authentifizierung und wie richte ich sie ein? Posteo e.K., Berlin, abgerufen am 1. Oktober 2016.
  16. Wie aktiviere ich den zusätzlichen Postfachschutz? Posteo e.K., Berlin, abgerufen am 10. Oktober 2016.
  17. Krypto-Mailspeicher für alle Kunden verfügbar. Posteo e.K., Berlin, 29. Mai 2015, abgerufen am 30. September 2016.
  18. Neu: TLS-Versand-Garantie für mehr Sicherheit. Posteo e.K., Berlin, 13. Juli 2016, abgerufen am 30. September 2016.
  19. Neu: Webmailer zeigt Server mit höchster Versandsicherheit an. Posteo e.K., Berlin, 18. August 2016, abgerufen am 30. September 2016.
  20. Posteo. Das Postfach – alle Leistungen. Posteo e.K., Berlin, abgerufen am 30. September 2016: „Unser Angebot setzt aus Sicherheitsgründen ausschließlich auf Open-Source-Software und freie Protokolle. Auch verwenden wir ausschließlich Javascript, dessen Code Open-Source ist.“
  21. Zak Rogoff: FSF JavaScript guidelines picked up by Posteo Webmail. Free Software Foundation, 6. Februar 2015, abgerufen am 30. September 2016 (englisch).
  22. Posteo auf GitHub. Abgerufen am 30. September 2016 (englisch).
  23. Endlich: Verbindungsverschlüsselung auch bei anderen Mailanbietern. Posteo e.K., Berlin, 9. August 2013, abgerufen am 30. September 2016.
  24. E-Mail grün, sicher, einfach und werbefrei - posteo.de - "Datenschutz wirklich beeindruckend umgesetzt": Bundesdatenschutzbeauftragte über Posteo. 30. Mai 2017, abgerufen am 31. Mai 2017 (deutsch).
  25. Neue Angebote zu Ende-zu-Ende-Verschlüsselung. 28. Januar 2015, abgerufen am 8. Februar 2015.
  26. posteo/mailvelope_client. In: GitHub. Abgerufen am 28. Dezember 2015.
  27. Neu: Posteo-Webmailer findet Schlüssel automatisch. Posteo e.K., 22. Dezember 2015, abgerufen am 28. Dezember 2015.
  28. Update: Unsere Vorabinformation zum neuen Test der Stiftung Warentest. In: https://posteo.de/blog/. Posteo e.K., Berlin, 26. September 2016, abgerufen am 30. September 2016 (mit Änderungen vom 28. September 2016).
  29. Stefan Mey: Transparenzbericht und Ermittlungsskandal: Maildienst Posteo geht in die Offensive. In: Heise News. Heise Medien GmbH & Co. KG, 5. Mai 2014, abgerufen am 16. Oktober 2015.
  30. a b Transparenzbericht 2013. Posteo e.K., 5. Mai 2014, abgerufen am 16. Oktober 2015.
  31. Transparenzbericht 2014. Posteo e.K., 20. August 2015, abgerufen am 16. Oktober 2015.
  32. Maximiliane Koschyk: E-Mail-Firma kritisiert Ermittler. Deutsche Welle, 7. September 2015, abgerufen am 16. Oktober 2015.
  33. E-Mail grün, sicher, einfach und werbefrei - posteo.de - Transparenzbericht: Behördenanfragen bei Posteo deutlich gesunken. Abgerufen am 10. April 2017.
  34. Posteo. Hintergrund-Info – Konsequente Nachhaltigkeit. Posteo e.K., Berlin, abgerufen am 13. Dezember 2015.
  35. Posteo. Über uns – Wen wir unterstützen. Posteo e.K., Berlin, abgerufen am 30. September 2016.
  36. Posteo Hilfe: Wie funktioniert der Posteo-Spamfilter? Posteo e.K., Berlin, abgerufen am 16. Oktober 2015.
  37. Nur einer liest nicht mit: Mail-Dienste. In: Stiftung Warentest (Hrsg.): test. 02/2015. Stiftung Warentest, Januar 2015, ISSN 0040-3946, S. 32–37 (Titel musste für die Online-Ausgabe später richtiggestellt werden in „E-Mail-Provider: Mail-Dienste sehen alles“).
  38. E-Mail-Provider: Mail-Dienste sehen alles. In: https://www.test.de. Stiftung Warentest, 12. Februar 2015, abgerufen am 30. September 2016.
  39. Sicher mailen: E-Mail-Dienste. In: Stiftung Warentest (Hrsg.): test. 10/2016. Stiftung Warentest, 30. September 2016, ISSN 0040-3946, S. 52–57.
  40. E-Mail-Dienste: Sehr guter Schutz nur bei kleinen Anbietern. In: https://www.test.de, Pressemitteilung. Stiftung Warentest, 28. September 2016, abgerufen am 30. September 2016.
  41. a b Patrick Beuth: Verschlüsselung: Stiftung Warentest lobt Posteo und mailbox.org. In: Zeit Online. Die Zeit, 28. September 2016, abgerufen am 30. September 2016.
  42. Markus Reuter: Stiftung Warentest testet Mailprovider: Mailbox.org und Posteo gewinnen, Googles Gmail wird Letzter. netzpolitik.org, 28. September 2016, abgerufen am 30. September 2016.
  43. Richtigstellungen zu Stiftung Warentest. Update3. In: https://posteo.de/blog/. Posteo e.K., Berlin, 29. Januar 2015, abgerufen am 30. September 2016 (mit Änderungen vom 30. Januar 2015).
  44. Stiftung Warentest: Weitere Richtigstellungen. In: https://posteo.de/blog/. Posteo e.K., Berlin, 3. Februar 2015, abgerufen am 30. September 2016.
  45. E-Mail-Provider: Mail-Dienste sehen alles – Details zur Korrektur. In: https://www.test.de. Stiftung Warentest, 12. Februar 2015, abgerufen am 3. Oktober 2016.
  46. E-Mail-Dienste. Korrektur. In: Stiftung Warentest (Hrsg.): test. 03/2015. Stiftung Warentest, März 2015, ISSN 0040-3946, S. 27.
  47. Update: Stiftung Warentest korrigiert Test-Artikel. In: https://posteo.de/blog/. Posteo e.K., Berlin, 4. Februar 2015, abgerufen am 30. September 2016.
  48. E-Mail-Test: Stiftung Warentest stoppt Heftverkauf. In: http://golem.de/. golem.de, 13. Februar 2015, abgerufen am 30. September 2016.
  49. Lisa Hegemann: Was wurde eigentlich aus… Posteo und dem Streit mit Stiftung Warentest? In: http://gruender.wiwo.de. Wirtschaftswoche, 26. Dezember 2015, abgerufen am 30. September 2016.
  50. Update: Unsere Vorabinformation zum neuen Test der Stiftung Warentest. In: https://posteo.de/blog/. Posteo e.K., Berlin, 26. September 2016, abgerufen am 3. Oktober 2016 (mit Änderungen vom 28. September 2016).
  51. E-Mail grün, sicher, einfach und werbefrei - posteo.de - [Update Unsere Vorabinformation zum neuen Test der Stiftung Warentest.] 26. September 2016, abgerufen am 10. April 2017.