Wem kann ich trauen

…und muss ich das überhaupt?
Zum Abschluss meiner Reihe über die Vorzüge von E-Mail als digitales Kommunikationsmittel werfe ich heute unter dem Gesichtspunkt
„Wem kann ich trauen?“
einen Blick auf die Anbieter von E-Mail-Diensten.
Mein Hauptaugenmerk liegt dabei – berufsgemäß – auf Sicherheit und dem Schutz der Privatsphäre.
Denn digitale Selbstverteidigung beginnt schon bei der Auswahl des elektronischen Kuriers meiner digitalen Post.

TL;DR

  • Gute Gründe für Bezahldienste: Wem schenke ich meine Gunst?
  • Zwei Dienste für ein Halleluja: Konkret jetzt – Empfehlung
  • Ist das alles?: Was können wir noch tun?

Wem schenke ich meine Gunst?

Nicht nur meine Gunst verschenke ich bei der Auswahl meines E-Mail-Providers.
Sondern schlimmstenfalls meine Daten, bestenfalls nur mein Geld.
Allenfalls auch mein Vertrauen, denn schließlich ist dieser digitale Botendienst für die Übermittlung meiner elektronischen Post zuständig.
Und da soll ja möglichst wenig schief gehen.
Aber wie wähle ich denn nun einen passenden Dienstleister aus?
Grundlegend dampfe ich diese Auswahl auf drei Kriterien herunter:
1. Der Anbieter sollte in Deutschland beheimatet sein.
Damit unterliegt er deutschen Datenschutzrecht.
Und das ist immer noch eines der besseren.
Darüber hinaus schützt sogar bereits das Grundgesetz in Artikel 10 unsere Briefkommunikation – worunter auch elektronische Post fällt (was jedoch einige Anbieter leidlich ignorieren).
Wir sollten bei unserer Auswahl eines Anbieters aus Deutschland auch explizit darauf achten, dass dieser seine Datenspeicher- und Rechnerkapazität ausschließlich aus Rechenzentren in Deutschland schöpft – das dient deutlich dem bereits erwähnten Datenschutzgedanken.
2. Der Anbieter betreibt keinen Datenhandel.
Das ist gewissermaßen der Super-GAU für die Privatsphäre:
Mein elektronischer Briefbote wird zum Datenhändler!
Wenn wir uns das einmal vergegenwärtigen, wird uns gleich klar, dass dieses Verhalten ein No-Go ist.
Warum dann nur nehmen wir dieses Verhalten so bereitwillig und oft hin?
Denn das, was die „kostenlosen“ Anbieter der verschiedenen Free-Mail-Varianten machen, ist schlicht und ergreifend genau das:
Datenhandel.
Sie verkaufen unsere Daten.
Lassen wir die Empörung beiseite; schließlich leben wir alle in einer marktwirtschaftlich gesteuerten Gesellschaft.
Die Free-Mail Anbieter müssen schliesslich von irgendetwas leben.
Luft, Liebe und Ideale sind echt klasse, aber das wird nun aktuell noch nicht als gängige Währung beim Kauf von Speicher, Rechenleistung und Arbeitskraft akzeptiert.
Auch im Internet herrschen die marktwirtschaftlichen Gesetze.

„Nicht einmal der Tod ist umsonst. Der kostet das Leben.“
Wenn wir jetzt allerdings einen Anbieter auswählen, der seine Dienstleistung ganz klar monetär beziffert, dann wissen wir, dass sich dieser seine Dienstleistung nicht durch den Verkauf unserer Daten finanziert. Wir können davon ausgehen, dass uns der Verkauf unserer Daten durch einen Datenhändler deutlich mehr kostet, als den geringen Betrag, den wir für einen kommerziellen Mail-Provider bezahlen.
3. Die Zahlung ist anonym möglich.
Das dritte wichtige Argument für einen empfehlenswerten Datendienstleister für unsere elektronische Kommunikation hängt mit dem praktischen Schutz unserer Privatsphäre zusammen.
Die Zahlung der gebuchten Dienstleistung sollte anonym möglich sein.
Damit ist auch gleich die Grundlage dafür geschaffen, dass das gesamte E-Mail Konto anonym betrieben werden kann.
Ein Anbieter hat mittlerweile auch etliche Möglichkeiten, eine Zahlung sicher anzunehmen, die nicht zurückverfolgt werden kann.
Entweder bezahlen wir bar – das bieten die meisten dieser empfehlenswerten Dienstleister an.
Oder wir überweisen den Betrag – in anonymisierter Form.
Wenn wir davor zurückschrecken, Bargeld zu verschicken, dann bieten einige Anbieter mittlerweile auch die Bezahlung per Bitcoin an – und helfen damit obendrein noch dabei, den Ruf der Kryptowährung als seriöses Zahlungsmittel zu stärken.
Behalten wir an dieser Stelle bitte die Nerven, bevor jetzt entrüstete Leser zetern, ich würde hier dem Terrorismus Vorschub leisten, weil ich anonyme Bezahlverfahren propagiere:
Die meisten Einkäufe im „echten Leben“ werden auch heute noch mit Bargeld beglichen.
Sind wir dann jetzt alle Terroristen, wenn wir auf dem Wochenmarkt oder im Tante-Emma-Laden bar bezahlen?
Ich lass das mal so stehen.

Weitere Themen, die zusätzlich als positive Punkte für die Auswahl des passenden Providers herangezogen werden können, sind die Folgenden:
Nachhaltigkeit:
Der Dienstanbieter betreibt seine Server und die Heizung für seine fleißigen Mitarbeiter mit Strom aus regenerativen Stromquellen.
Geheimnisvoll:
Es wird ein durchgängiges Verschlüsselungskonzept angeboten.
Zum einen natürlich die obligatorische Ende-zu-Ende Verschlüsselung und obendrein noch ein Konzept, um das gesamte Nutzerkonto (inklusive aller darin befindlichen Daten) zu verschlüsseln.
* Digital-schwäbisch:
Es wird weitestgehend auf die Sammlung von Daten durch den Anbieter verzichtet.
Es herrscht Datensparsamkeit.
Also das klare Gegenteil dessen, was die Free-Mail Anbieter wie Gmail und Konsorten betreiben.

Konkret jetzt – Empfehlung

Dann lehne ich mich jetzt mal ein bissel aus dem Fenster, lege meine Hände für den einen oder anderen Anbieter ins Feuer und empfehle konkret zwei Anbieter:
//Posteo.
Habe ich mir selbst angeschaut.
Hat alles, was ich im Zusammenhang mit einen guten Provider im letzten Abschnitt als lobenswert aufgezählt habe.
Die Buchung dieses Dienstes kostet den üppigen Betrag von 1 € pro Monat.
Auch die weiteren Punkte wie Nachhaltigkeit, ein umfangreiches Verschlüsselungskonzept und die hohe Datensparsamkeit wird von //Posteo. umgesetzt.
Als weiteres Goodie bietet Posteo auch eine Zwei-Faktor-Authentifizierung für die Anmeldung am Postfach an, was die Sicherheit nochmals erhöht.
Wer Wert auf Zertifikate legt, liegt bei Posteo ebenfalls richtig:
Posteo hat als erster Anbieter die Zertifizierung „Sicherer E-Mail-Transport“ des BSI erhalten.
mailbox.org
Habe ich mir auch persönlich angeschaut.
Ich würde jetzt sagen: mailbox.org ist das gleiche wie Posteo in orange.
Nein, wirklich.
//Posteo. und mailbox.org nehmen sich an allen wichtigen Punkten, die ich erwähnt habe, nichts – auch im Preis sind beide identisch.
mailbox.org bietet darüber hinaus noch die Möglichkeit, Büroanwendungen online durchzuführen.

Beide E-Mail-Provider wurden von der Stiftung Warentest in der Ausgabe 10/2016 als einzige Anbieter mit der Note „sehr gut“ ausgezeichnet (wie übrigens im Jahr zuvor auch schon).
Daher empfehle ich, die Entscheidung zwischen diesen Dienstleistern dem persönlichen Wohlgefallen, sei es die Farbe (grün oder orange), der Vorliebe der Top-Level-Domain (.de oder .org) oder einem Münzwurf (Kopf oder Zahl) zu überlassen – eine Fehlentscheidung zwischen diesen Anbietern kann nicht vorkommen.

Was können wir noch tun?

Nun, mit der Wahl eines ehrlichen Anbieters hat das Vertrauensverhältnis zur digitalen Post doch schon ein stabiles Fundament erhalten.
Wenn wir uns nun darauf aufbauend an meine bisherigen Empfehlungen zum Thema E-Mail halten, als da wären:
Verschlüsselung unserer Kommunikation mittels OpenPGP
Klar strukturierte und saubere E-Mails mit ordentlichem Betreff, freundlicher Anrede, einem klaren Thema und einer höflichen Abschlussformel

dann kann eigentlich nix mehr schief gehen.
Wenn wir noch eine Schippe drauflegen wollen, können wir beginnen, E-Mails von Überwachungsmonstern wie Google zu boykottieren.
Denn Google liest nicht nur die Mails von Inhabern eines Gmail-Kontos – nein, sie lesen natürlich auch die Antworten von E-Mail-Schreibern, die gar kein Gmail-Konto haben.
Damit verstoßen sie einfach eklatant gegen unser Recht auf Unverletztlichkeit unserer Brief- und Fernmeldekommunikation.
Wir sollten uns nochmals klar vor Augen führen:
Jeder Provider, der in den USA beheimatet ist, unterliegt dem PATRIOT Act und muss von daher den amerikanischen Behörden Zugriff auf alle Daten gewähren.
Und wenn die Politik an dieser Stelle Google und anderen amerikanischen Anbietern (und Behörden) dafür nicht die rote Karte zeigt, dann sollten wir das in unsere eigenen Hände nehmen.

So, jetzt aber – auf zu posteo.de oder mailbox.org und ein neues E-Mail-Postfach angelegt!

Was kann schon passieren…ich hab ja nix zu verlieren!

Es geht nicht darum, ob wir etwas zu verheimlichen haben.
Mir geht es gar nicht darum, ob ich durch mein ständiges gesimse (erinnert ihr euch noch an die Zeiten, als Gesimse etwas mit Fassadengestaltung zu tun hatte, anstelle von elektronischen Kurznachrichten?), gechatte und geschnatter meine Zeit verschwende oder tatsächlich wichtige Informationen verteile.
Heute will ich ein Plädoyer dafür halten, dass wir uns keine Gedanken darüber machen sollten, ob wir etwas zu verlieren oder zu verheimlichen haben, wenn wir in der digitalen Weltgeschichte herumtexten.

TL;DR

  • Mensch, dein Recht: Das Recht auf Privatsphäre und unverletzte Kommunikation
  • Behold, what I have seen: Metadaten
  • Was kann schon passieren: Die Eisscholle der Privatsphäre in der Datenhölle der Überwachung
  • Wir sind alles Terroristen: Unter Generalverdacht
  • Gestohlen, gesammelt, korreliert: Wir werden angreifbarer

Es geht darum, dass es unser Recht ist.

Unsere – und ganz viele andere – Gesellschaften gründen auf der Allgemeinen Erklärung der Menschenrechte von 1948 und eines dieser Menschenrechte ist das Recht auf den Schutz der Privatsphäre.
So heißt es in Artikel 12:

„Niemand darf willkürlichen Eingriffen in sein Privatleben, seine Familie, seine Wohnung und seinen Schriftverkehr oder Beeinträchtigungen seiner Ehre und seines Rufes ausgesetzt werden.
Jeder hat Anspruch auf rechtlichen Schutz gegen solche Eingriffe oder Beeinträchtigungen.“

Deutlicher geht es wohl kaum noch, um laut und klar vernehmlich allen Datenschnorchlern, sei es aus politischen Gründen, im Zeichen des Terrorschutzes (wobei ich mich frage, ob die flächendeckende Überwachung nicht ebenso eine Form des Terrors ist) oder für rein wirtschaftliche Zwecke, zu sagen:
Finger weg von meinen Daten! Es geht euch nichts an!
Und es geht sogar noch deutlicher:
Im Grundgesetz lesen wir in Artikel 10:

„Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich.“

Da steht nicht, wir stimmen zu, dass zu Werbezwecken unsere Nachrichten untersucht werden dürfen.
Oder auch die anlasslose Überwachung ist damit schlicht und einfach nicht vereinbar.
Nein, da steht ganz klar “unverletzlich”.
Dieses Grundrecht macht uns quasi zum Superman der Kommunikation.
Niemand darf ohne meine Zustimmung lesen, was ich einer anderen Person im Vertrauen schreibe.
Und das Kryptonit der digitalen Auswertung und Überwachung darf einfach nicht eingesetzt werden.
Punkt.

Deus Ex Machina der Datensammler: Metadaten

Und wieder komme ich auf Metadaten zu sprechen.
Diese fallen an und zwar vollkommen unabhängig davon, was wir inhaltlich mitteilen.
Für die Datenauswerter sind die dabei anfallenden Metadaten das neue Datengold.
Die fünf W der Datensammlung sind der Maßstab, mit dem die Datenkraken messen:
wer
wann
wo
mit wem
* wie oft

Momentan liefern wir diese Daten einfach mit, es führt kein Weg daran vorbei.
Und was ich noch viel entrüstender finde:
Diese Metadaten verletzen aus der Sichtweise der Datensammler noch nicht einmal die oben angeführten Grundrechte, denn sie wurden einfach aus dem zu schützenden Inhalt herausdefiniert.
Da kann ich nur sagen:
Vielen Dank liebe Regierungen, da habt ihr einen tollen Job beim Schutz eurer Schutzbefohlenen geleistet!
Ich halte die Information darüber, wer, wann, wo und wie oft mit wem kommuniziert für genauso schützenswert wie den Inhalt, den ich mitteile!

Und was kann passieren?

Ja, was kann jetzt passieren, wenn wir dauerhaft und flächendeckend rund um die Uhr überwacht werden?
Wir verlieren uns selbst.
Wir verlieren die Möglichkeit, uns zurück zu ziehen.
Wir verlieren den Freiraum, in dem wir uns entwickeln können.
Wir verlieren unsere Freiheit und unsere Privatsphäre.
Wir werden reduziert zu Laborratten, die ständig beobachtet und nach dem Willen der “> überwachen Augen [die] zehnmal schärfer sehen” wie Rio Reiser es singt.
Und schon lange heißt es nicht mehr nur

“Big Brother Is Watching You”.

Nein, es sind auch seine geldgierige Tante Facebook, sein datengieriger Großonkel Google und seine vollkommen paranoiden Cousins NSA, GCHQ und BND, die uns unserer Privatsphäre berauben und uns viel umfassender und effektiver – weil wir zu einem Großteil freiwillig mitmachen – überwachen.

Unter Generalverdacht der überwachen(den) Augen

Der Wahnsinn der allumfassenden und verdachtslosen Überwachung stellt uns alle unter den Generalverdacht der – Gesetz bewahre! – Individualität.
Wo kommen wir denn hin, wenn hier jeder denkt und sagt, was er will.
Wenn das so weiter geht, verlangt dann noch jemand Gedankenfreiheit.
So weit wird’s kommen.
Dann wird das ja mit der “interessenbezogenen” Werbung oder der zielgruppengesteuerten Produktplatzierung ganz schwierig.
Das wirkt sich dann natürlich ganz schlecht auf die quartalsgetriebenen Marktprognosen aus.
Und der Terrorschutz erst.
Wenn wir hier nicht ganz genau hinschauen, dann werden wir überrannt werden.
Von rechts und links.
Oben und unten.
Minimalistisch, extremistisch, extraterrestrisch oder aquaristisch gar!
Das Abend- wie das Morgenland würde sich plötzlich in einem unüberwachten Moment auflösen und was wäre dann da?
Anarchie womöglich!
Dann hätte

“jeder sein eigen Glück unter den Händen”

wie Johann Wolfgang von Goethe es denkt.
Das wäre natürlich schrecklich für die Generalverdächtiger.

Wir werden angreifbarer

Ja glauben denn die Datensammler, dass sie unsere Daten für immer unter Verschluss halten können?
Lernen sie nichts aus den zunehmenden erfolgreichen Datendiebstählen?
Glauben sie denn ernsthaft, dass sie unangreifbar sind?
Je mehr Daten uns gestohlen werden, desto angreifbarer werden wir.
Nicht nur durch die Datensammler selbst, die Geheimdienste, die Datenkraken.
Nein, auch die andere dunkle Seite der Datenmacht, die Datenkriminellen, die digitalen Räuber sind dankbare Profiteure dieser maßlosen Datenflut.
Die Daten, die sie Google, Facebook, NSA und GCHQ stehlen können, brauchen sie vorher uns gar nicht selbst aus den Tablets, Smartphones und IoT-Geräten stehlen. Nein, diese bekommen sie dort schon einsatzbereit korreliert geliefert.
Welch wunderbare kriminelle Utopie steht auch diesen Datendieben bevor.

Und jetzt?
Empört euch, schreibt Briefe, dann müssen wieder mehr Postbeamte zum scannen unserer Kommunikation eingestellt werden ?

Wir brauchen ein Opt-in!

Vor kurzem habe ich mich für einen Opt-out in der echten Welt in Bezug auf Kundenkarten ausgesprochen.
Dieser Ansatz ist falsch, wie ich jetzt erkenne.
Meiner Ansicht nach ist es ein Irrsinn, dass wir uns ständig und überall aus einer standardmäßig bestehenden Datenschnüffelei abmelden müssen!
Wenn wir unsere Daten für etwas hergeben wollen, dann müssen wir uns aktiv dafür entscheiden können.
Es ist doch waglich zum Spucken, dass wir automatisch immer stärker überwacht und verfolgt werden und wir es gar nicht mitbekommen – es sei denn wir entscheiden uns aktiv dagegen.
Ich bin wirklich empört, dass immer neue Technologien entwickelt werden, die uns auf immer perfidere Weise durchleuchten und in eine Schublade stecken.
Ich halte es weiterhin auch für eine Frechheit, dass uns im gleichen Atemzug von den datensammelnden Unternehmen gesagt wird, wir könnten uns ja dagegen entscheiden.
So wie Facebook dies jetzt wieder einmal getan hat.
Nicht nur, dass sie uns jetzt verfolgen, wenn wir eine Webseite öffnen, die einen “Like”-Button enthält (genau, nicht wenn wir darauf klicken, nein es reicht jetzt eine solche Seite zu besuchen…), sondern sie lügen uns auch in unser digitales Gesicht, wenn sie behaupten, wir könnten dem in den Privatsphären-Einstellungen ja widersprechen.
Nein, können wir eben nicht.
Wir können in den Privatsphären-Einstellungen sagen, dass wir die auf diese Weise erstellte personalisierte Werbung nicht SEHEN wollen.
Wir können damit jedoch nicht verhindern, dass dadurch ein personalisiertes Profil von uns ERSTELLT wird.
Und auch dieses neue – und auch jedes andere neue datensammelnde – Feature, wird zunächst als Standard aktiviert.
Möchte man sich dagegen entscheiden, so muss man es aktiv deaktivieren.
Und weil mit jedem Update – so ist es z.B. auch bei iOS – wieder neu nachgefragt wird und wieder erneut die Standardeinstellung auf Zustimmung gesetzt ist, wird der Anwender nach und nach weichgekocht.
Steter Tropfen schlägt dem Fass die Krone ins Gesicht.
Irgendwann ist man als Anwender dieser ewigen und dauernden Nachfragerei so überdrüssig, dass man entnervt resigniert und schulterzuckend denkt:

“was solls, ich hab doch nix zu verbergen…”.
Und auf diese Resignation bauen die Datenkraken.
Die Datensammelwut ist so groß und der Atem der Unternehmen so lang, dass sie geduldig warten…und sich immer neue “Privatsphären”-Einstellungen ausdenken, bis auch der letzte Widerstand gebrochen ist.
Wenn wir jedoch unsere Privatsphäre und unsere Freiheit behalten wollen, dürfen wir jedoch nicht resignieren.
Wir müssen uns weiterhin empören, wir dürfen nicht in Apathie versinken.Es geht um unsere Privatsphäre.
Wir haben etwas zu verbergen.

Antiviren-Programme sind Schlangenöl

Ein Virenscanner (oder eine Sicherheitssuite) ist halt ein weiteres Stück Software, welches auf einem Rechner installiert wird und welches – zwangsläufig – eine Schnittstelle ins Internet hat.
Und mit einer solchen zusätzlichen Software mit einer solchen Schnittstelle ins Internet biete ich einfach weitere Angriffspunkte auf mein System und damit auf meine Daten.
Neben dieser notwendig vorhandenen Schnittstelle ins Internet, ist das Stück Software, was der Virenscanner (oder Sicherheitssuite) halt ist, einfach fehlerhaft.
Und fehlerhafte Software ist ein weiterer Angriffspunkt.
Gerade ist so etwas mal wieder bei Kasperskys Produkt aufgetreten…
Antivirus is „dead“ (Brian Dye, Symantec).
Wenn solche Aussagen sogar schon aus den hohen Rängen der Schlangenöl-Hersteller kommen, kann der geneigte Privatsphären-Schützer davon ausgehen, dass eine solche Sicherheitssuite alles mögliche tut – nur nicht die Sicherheit der Privatsphäre zu erhöhen…
Dieser Kommentar von Brian Dye ist auch damit zu begründen, dass signaturbasierte Lösungen – und so arbeiten Virenscanner nun einmal – einfach nicht mehr zeitgemäß sind.
Zum einen finden schon etliche Sicherheitslösungen nicht einmal alle bekannten Signaturen. Aber was noch viel gravierender ist, dass moderne Angriffe Zero-Day-Attacken sind.
Und – wie der Name schon suggeriert – ist eine Zero-Day-Attacke  einfach noch nicht aufgetreten und kann aus diesem Grund auch nicht in den Signatur-Bibliotheken der Schlangenöl-Hersteller vorhanden sein…
Die Sicherheit unserer Daten und unserer Privatsphäre liegt vollständig in unserer eigenen Hand. Wir müssen einfach wieder lernen zu unterscheiden, welche Seiten wir besuchen, welche Anhänge wir öffnen und welche Apps wir auf unseren Funkgeigen installieren.
Wir dürfen uns nicht der Illusion hingeben, dass fehleranfällige (oder mit Backdoors versehene…) Tools (und das ist jede Software) wie Antiviren-Programme, uns vor digitalen Angriffen schützen.
Darüber hinaus sind wir mittlerweile mit Antivirus-Produkten nicht nur verraten, sondern mittlerweile auch verkauft: das macht jetzt nämlich AVG mit seinem aktuellen Produkt.
AVG hat seine Datenschutzrichtlinie entsprechend angepasst und verkauft jetzt die Nutzerdaten an Werbetreibende.
Damit zeigt sich auch hier, es gibt nichts kostenlos – weder in der realen Welt noch im virtuellen Raum. Denn wenn du nicht dafür bezahlst, bist du nicht der Kunde, sondern das Produkt.
…denn noch nicht einmal der Tod ist kostenlos, der kostet dich dein Leben…