Categories: Sicherheit

Mailbox.org startet webbasierte PGP-Verschlüsselung für E-Mails und Dateien

Der Berliner E-Mail-Spezialist Mailbox.org bietet ab sofort eine webbasierte PGP-kompatible Ein-Klick-Lösung zur Verschlüsselung von Mails und Dateianhängen an. Der neue Service, der auf einfache Weise eine sichere E-Mail-Kommunikation auf Basis des Standards „Pretty Good Privacy“ (PGP) ermöglicht, ist für Kunden überall sowie ohne lokale Software-Installation direkt nutzbar und in allen Mailbox.org-Postfächern ab 1 Euro pro Monat enthalten. Interessenten können sich auf der Website des Anbieters für einen kostenlosen 30-tägigen Testzugang anmelden.

„Frühere Versuche, PGP als Verschlüsselungstool zu etablieren, scheiterten oft am Wissen über Schlüsselverwaltung und PGP-Formate sowie einem Mangel an zentralen, vertrauenswürdigen Key-Verzeichnissen“, sagt Peer Heinlein, Gründer und Geschäftsführer von Mailbox.org. „Darüber hinaus gab es bislang eine nur mangelhafte Unterstützung in Webmail-Systemen. Browser-Plug-ins wie Mailvelope konnten PGP nur teilweise und unkomfortabel entschlüsseln und haben zudem Probleme mit Dateianhängen oder Cloud-Dateispeichern. Sobald Sicherheitslösungen jedoch zu Komforteinschränkungen führen, verzichten Anwender bisher schnell darauf.“

Das erwähnte Mailvelope des gleichnamigen Open-Source-Projekts setzen seit April die De-Mail-Anbieter Deutsche Telekom, Francotyp-Postalia und United Internet (1&1, Web.de, GMX) als vereinfachtes Verfahren für die Ende-zu-Ende-Verschlüsselung ein. Allerdings ist laut Mailbox.org umstritten, ob JavaScript-Browser-Plug-ins überhaupt sichere Kryptographie ermöglichen können. Auch mobile Endgeräte wie Android-Smartphones oder iPhones gelten nicht als sicheres Umfeld, denen man einen privaten PGP-Schlüssel anvertrauen darf. „Unser neuer Mailbox.org Guard kann als serverseitige Implementierung diese Hürden endlich überwinden und stellt unseren Kunden auf allen Plattformen ohne Einschränkungen in Komfort und Bedienbarkeit eine Verschlüsselungslösung für ihre tägliche E-Mail-Kommunikation zur Verfügung“, verspricht Heinlein.

Allerdings ist dabei keine vollständige Ende-zu-Ende-Verschlüsselung gegeben, weil die Ver- und Entschlüsselung auf dem Server erfolgt. Ein weiterer Nachteil ist das prinzipielle Problem, dass private PGP-Schlüssel auf fremden Rechnern beziehungsweise Servern gespeichert werden. Daher bietet Mailbox.org Guard nach Aussage des Berliner Unternehmens „hinreichende Sicherheit“, aber keine „absolute Sicherheit“.

Durch die serverseitige Verschlüsselung befindet sich der vertrauliche „Private Key“ des Nutzers zu keinem Zeitpunkt in der unsicheren Umgebung des Webbrowsers oder Smartphones und kann so nicht in unbefugte Hände gelangen, betont der Berliner Anbieter. Sicherheitsmechanismen und ein nur dem Nutzer bekanntes zusätzliches Schlüssel-Passwort sorgten dafür, dass auch die Administratoren von Mailbox.org keinen Zugriff auf den PGP-Schlüssel oder die damit verschlüsselten E-Mails mehr erhalten können. Selbst während eines aktiven Log-ins des Nutzers werde dessen PGP-Schlüssel weiterhin nur verschlüsselt im Speicher von Mailbox.org verwaltet.

Schon seit seinem Start im Februar 2014 verschlüsselt Mailbox.org das Postfach seiner Nutzer vollständig. Die neue Lösung ergänzt diese Funktion und sorgt dafür, dass alle eingehenden unverschlüsselten E-Mails nachträglich noch mit PGP verschlüsselt im Postfach abgelegt werden. Sie ist zudem kompatibel zu anderen PGP-Lösungen, so dass sich Mailbox.org-Kunden auch mit Nutzern anderer Provider sicher austauschen können – selbst wenn diese PGP nicht lokal installiert haben.

Die PGP-Schlüsselverwaltung von Mailbox.org Guard (Bild: Mailbox.org)

Der PGP-Schlüssel wird durch einen einfachen Klick auf ein Icon erzeugt und erlaubt so auch Kunden ohne Fachkenntnisse den sofortigen Austausch verschlüsselter Nachrichten. Fortgeschrittene Nutzer können bereits vorhandene PGP-Schlüssel exportieren oder importieren und das Webmodul so parallel zu einer lokalen PGP-Installation verwenden, um auch an fremden Computern jederzeit verschlüsselt kommunizieren zu können. Öffentliche PGP-Schlüssel anderer Nutzer lassen sich per Klick importieren, PGP-Schlüssel anderer Mailbox.org-Anwender sind sofort für alle gesichert verfügbar. Familien- und Geschäftskunden mit mehreren Mailadressen können auf eine gemeinsame Schlüsselverwaltung zurückgreifen.

Auch beim Austausch mit Empfängern ohne installiertes PGP ermöglicht Mailbox.org seinen Kunden eine sichere E-Mail-Kommunikation. „Guard“ richtet dazu auf Wunsch temporäre Postfächer auf dem Mailbox.org-Server ein, über die via DANE und https-gesichert korrespondiert und Dateien ausgetauscht werden können. Davon sollen vor allem Geschäftskunden wie Anwälte oder Steuerberater mit wechselnden Mandanten profitieren, die auf eine datenschutzkonforme Kommunikation angewiesen sind.

Als Open-Source-Lösung kann der Quellcode des Guard-Moduls von jedem IT-Experten eingesehen werden. Der neue Verschlüsselungsdienst basiert auf „OX Guard“ von Open-Xchange, an dessen Entwicklung Mailbox.org entscheidend beteiligt war. Die grundsätzliche Funktionsweise der PGP-Verschlüsselung erläutert es in einem Video. Außerdem wird in detaillierten Anleitungen beispielsweise die erstmalige Einrichtung des Mailbox.org Guard sowie das Verschlüsseln von Datein im Drive erklärt.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

20 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

22 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

22 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago