Ist POSTEO wirklich so GUT, wie es draufsteht?

Was einen skeptisch macht, muss nicht gleich schlecht sein. Doch ein E-Mail-Anbieter, der mit vollkommener Anonymität und Sicherheit wirbt, und das auch noch mitten in Deutschland? Da war eine genauere Überprüfung notwendig. Ohne Lange Absätze zu texten nehme ich die Werbeaussagen von POSTEO hier auf und beantworte diese.

Pro: Anmeldung ohne Angabe persönlicher Daten.
Contra: Ob bei der Anmeldung die IP-Adresse und Zeitstempel gespeichert werden, ist unklar.

Pro: Website ohne IP-Speicherung.
Contra: Das kann man so gelten lassen. Ob es aber tatsächlich stimmt, weiß nur Mr. X bei Posteo, der gerne selbst anonym bleibt.^^

Pro: IP-Stripping. Unser Server ersetzt Ihre IP-Adresse beim Senden über den Webmailer durch unsere IP.
Contra: Das kann man so gelten lassen und ist ja auch prüfbar.

Pro: Verschlüsselter SSL-Zugriff auf das Webmail.
Contra: SSL gilt spätestens seit 2013 als unsicher. In den meisten Fällen wird heute für SSL immer noch AES eingesetzt statt RC4. Manche Browser unterstützen auch nur TLS 1.0, so dass das Problem zusätzlich von der Software des Endbenutzers abhängt.

Pro: SSL-verschlüsselter Zugriff via SSL/TLS bei IMAP, POP3, Webmailer, CardDAV und CalDAV.
Contra: SSL gilt als unsicher, s. o.

Pro: Verschlüsseltes Adressbuch und Kalender
Contra: Es ist unklar, wie der Schlüssel gespeichert wird, da die Ent- und Verschlüsselung automatisch erfolgt. Der Schlüssel muss offenbar nicht vom Benutzer selbst eingegeben werden, ist also bei POSTEO gespeichert.

Pro: Verschlüsselte Server-Festplatten.
Contra: Jede Festplatte ist im laufenden Betrieb entschlüsselt; die Verschlüsselung bringt nur etwas, wenn der Server aus ist, also geschätzte 5 Minuten pro Jahr.

Pro: Verschlüsselter Mailverkehr zwischen den Servern.
Contra: Nur verschlüsselte End-to-End Kommunikation ist sinnvoll; spätestens am Mailserver wird ja wieder entschlüsselt, um die Nachricht dann mit dem Schlüssel des nachfolgenden Servers wieder zu verschlüsseln.

Pro: Feature XYZ des Webmailers.
Contra: Es wird eine alte Version von Roundcube verwendet. Die gleichen und bessere Features bietet die aktuelle Version von Roundcube, die auch bei diversen Webhostern eingesetzt wird.

Pro: Kein Datenhandel und keine Datenweitergabe (ausser auf richterlichen Beschluss)
Contra: „Ausser auf richterlichen Beschluss“ sagt schon alles. In Stuttgart gibt es Richter wie Stempelautomaten.

Fazit: Posteo bietet Schein-Sicherheit zur Miete. Auf meine umfassenden kritischen Fragen wurde kaum eingegangen, und wenn doch, dann am Thema vorbei. Lavabit.com war einer der wenigen E-Mail-Dienste mit echter Sicherheit innerhalb von Lavabit, doch der musste leider dem Druck von Drei-Buchstaben-Organisationen weichen.

Advertisements

28 Gedanken zu “Ist POSTEO wirklich so GUT, wie es draufsteht?

  1. vor ein paar monaten bin ich von YAHOO zu POSTEO gewechselt. eigentlich nur, weil mir das nervige werbegeflimmere bei YAHOO auf den senkel ging. daß man von fast allen e-post anbietern ausgespäht werden kann, dürfte ja jedem klar sein. bei POSTEO jedenfalls, bis jetzt, alles bestens und zuverlässig.

    • Klar, aber um Zuverlässigkeit gehts im Artikel ja auch nicht. Aber wo Du schonmal da bist: Wie wird der Kalender verschlüsselt? Wie sorgst Du dafür, dass die Verschlüsselung von Deinem PC bis zu POSTEO nicht mitgehört und die SSL-Verschlüsselung geknackt werden kann?

      • den kalender nutze ich nicht und alles was verschlüsselung angeht ist mir relativ egal. die gegenseite kann sowieso überall mitlesen und mithören. was w i r k l i c h wichtig ist, sollte man persönlich klären. keine e-post und keine briefpost denn auch briefe werden geöffnet.

    • Du könntest Deinen Produkt-Glauben aufgeben und Dir selbst ein bisschen Fachwissen aneignen. Noch allgemeinverständlich sind die Artikel in der aktuellen Zeitschrift c’t magazin für computer technik, Ausgabe 22 vom 7.10. (Dürfte noch zu haben sein). Dort lies mal die Artikel zum Thema sichere Kommunikation und mache Dir Deine Gedanken. KONKRETE Rückfragen dazu gerne jederzeit.

  2. Die Aussage, dass SSL geknackt wurde ist nicht ganz richtig. Posteo setzt SSL mit PFS ein. Das gilt auch weiterhin als sicher.
    IP adressen werden zeitweise sicherlich gespeichert. Mindestens in den logfile. Alles andere wäre auch unverantwortlich, da sonst eine Hackerattacke schwer zu analysieren und abzuwehren wäre. Es gibt kein Dienst der sowas nicht macht. Und wenn würde ich ihn bestimmt nicht nutzen.

    Es tut mir leid das zu sagen, aber dieser Artikel ist nicht seriös und objektiv. Beispiel „Nur verschlüsselte End2End Kommunikation ist sinnvoll“. Diese Aussage ist falsch und verdreht die Tatsachen. Es kommt darauf an welchem Bedrohungsszenario man begenen möchte. Ein Man in the middle Angriff wird damit vorgebeut. E2E Verschlüsselung ist genau dann sinnvoll, wenn man sensible Daten versenden muss. Generell alles E2E zu verschlüsseln ist unfug und unpraktisch und kann von keinem Mailprovider geleistet werden, da dort der private Schlüssel hinterlegt sein müsste, was unsicher wäre. Somit kann man das gegen jeden Provider anbringen ausser man hostet selbst. Aber das ist normalerweise meine gute Idee, da viele Mailprovider Mails von dynamischen IP Adressen ablehnen.

    Und nein ich bin nicht von Posteo sondern dort Kunde und sehr zufrieden.

    • PFS muss aber von allen Servern die die Mail passiert unterstützt werden. Ist das mal nicht der Fall (wie z. B. bei Hotmail, Outlook.com, usw.), wird die Mail trotzdem weitergeleitet. Nützt also niemandem was.
      Dass PGP unpraktisch wäre, ist Unfug und Augenwischerei. Dein Kommentar ist damit nicht seriös. Es hat niemand gesagt, dass Posteo für verschlüsselte Mails den privaten Schlüssel online halten soll. Das wäre in der Tat fahrlässig und es wäre ja auch keine End to End Verschlüsselung!!! Allerdings ist End to End Verschlüsselung sehr wohl die einzige Möglichkeit, Nachrichten sicher zu verschicken. Welche gibts denn sonst?

      • Zunächst einmal: entschuldigung für den Ton. Nach dem zweiten lesen kommt es zu aggresiv rüber, was nicht meine Intension war. Sachlche Diskussionen sind mir lieber :o). Aber zum Beitrag:

        Nun wie gesagt. E2E Verschlüsselung generell einzusetzten ist unfug. mit generell ist „immer“ gemeint. Beispielsweise müsste eine Behörde sämtliche Zertifikate der Bürger vorhalten um mit diesen verschlüsselt zu kommunizieren zu können.

        Das Posteo ohne PFS kommuniziert, wenn der andere das nicht unterstützt ist doch nicht als kontra zu bewerten?

        • Zu dem Punkt: “ Kein Datenhandel und keine Datenweitergabe“. So ist die Rechtslage in Deutschland nun mal. Hier sind die wenigstens sogar ehrlich. Wenn sie es anders schreiben würden fände ich es durchaus problematischer.

          Bzgl. verschlüsselter Festplatten. Auch hier haben die in Meldungen klar falsche Blog berichtig, die Mails selbst wären verschlüsselt. Das finde ich sehr ehrlich. Natürlich werden Festplatten entschlüsselt bei verwendung. Dennoch bleiben sie verschlüsselt für jeden der kein zugriff auf den Dienst hat (Trucrypt), denn sie werden nur on the fly entschlüsselt.

          • > Dennoch bleiben sie verschlüsselt für jeden der kein zugriff auf den Dienst hat (Trucrypt)
            Jeder Einbrecher (sogenannte Behörde), der den Administrator überfällt (oder aufgrund irgendwelcher Gesetze handelt), geht natürlich im laufenden Betrieb an die Daten. Und schwups: Alles ist einsehbar. Einzige Hoffnung wäre da, dass der Admin einen schnell erreichbaren Not-Aus-Knopf hat und damit sofort dem ganzen RZ der Strom ausgestellt wird.

        • > E2E Verschlüsselung generell einzusetzten ist unfug.
          Meinung: Okay.
          Begründung: Nicht vorhanden.

          > Beispielsweise müsste eine Behörde sämtliche Zertifikate der Bürger vorhalten um mit diesen verschlüsselt zu kommunizieren zu können.
          Wie bitte???
          Zum einen kommuniziere ich nicht mehr mit Behörden, zum anderen liegen öffentliche Schlüssel auf den Keyservern und die privaten Schlüssel bei dem Kommunikationsteilnehmer privat. Wieso sollte da eine Behörde alle Schlüssel verwalten müssen? Das ist ja jetzt echt zum Lachen. Meinst Du das ernst, oder versuchst Du hier, den unwissenden Mitlesern das Thema zu verwässern und in die falsche Richtung zu lenken?

          > Das Posteo ohne PFS kommuniziert, wenn der andere das nicht unterstützt ist doch nicht als kontra zu bewerten?
          Natürlich ist das ein Kontra. Wenn auch nur einer der Server über den die Mail läuft, kein PFS unterstützt, ist die ganze Mail an der entsprechenden Stelle einsehbar und sogar kompromittierbar.

  3. Die Richter sind Stempelautomaten, die Admins werden überfallen und die Sicherheit schon längst unsicher.

    Deinen Erwartungen nach müsste Posteo die Server auf einem Flecken der Erde haben, an den keine Justiz eine Geltung besitzt, der Serverraum ein Bunker ist und die Admins irgendwelche futuristischen, unmöglich zu kompromittierenden Cyborgs sind. So liest sich das zumindest.

    Denn gemessen an der Realität bietet Posteo höhere Sicherheitsstandards als z.B. T-online oder GMX.

    Statt also zu sagen SSL ist per se unsicher, solltest du dir mal ansehen wie GMX seine IMAP und POP Abfragen macht…..nämlich optional ohne SSL. Wie sicher ist das?

    Der Webzugriff auf das Posteo Postfach unterstützt PFS, wo findest du das sonst noch bei den großen? Dort gibt es maximal „email made in germany“. Wie sicher ist das?

    Statt also alles schlecht zu reden, würde ich durchaus mal Vergleiche ziehen. Dann kommt man zum Ergebnis das man z.B bei GMX in der ersten Minuten der Anmeldung seinen Namen, gefolgt von Anschrift, sekundäre Mail Adresse und natürlich die Handynummer geopfert hat, die IP Mitgeloggt wurde und die Datensätze ziemlich wahrscheinlich weitergegeben worden sind.

    Aus dem Grund finde ich dein Fazit nicht gerechtfertigt. Posteo bietet im Vergleich um einiges mehr Sicherheit und sammelt bereits bei der Anmeldung bedeutend weniger Daten als die großen Provider. Wenn die jetzt noch verschlüsseltes E2E mailing einbauen (was sie wohl vorhaben) dann ist das definitiv eine solide Lösung für Sicherheitsbewusste Privatkunden.

    Gruß

    • Viele Richter sind in der Tat Sempelautomaten. Wenn Du das nicht so siehst, kannst Du auch gerne Aspartam, Aluminium und andere Gifte freiwillig über die Nahrung aufnehmen. – Es kommt ja auf die Dosis an 😀 Natürlich taugen Web.de, GMX, 1&1 und der ganze andere United Internet Kram á la „made in germany“ noch viel weniger, aber der Artikel ist nicht zur Relativierung, sondern zur Betrachtung der Werbeaussagen von Posteo gewesen. Aber wenn Du relativieren willst: Was taugt Posteo im Gegensatz zu einer vernünftigen Ende zu ENde Verschlüsselung? Richtig: Auch GAR NICHTS 😀

      • Hallo,

        verstehe mich nicht falsch, ich bin nicht unbedingt ein Fan der deutschen Justiz, aber du hebst deine Ansprüche an einen E-mail Dienst aus allen weltlichen Verankerungen. Um bei deinen Worten zu bleiben: Nicht nur deutsche Richter sind Stempelautomaten, alle Richter sind Stempelautomaten, somit kann dir kein Mailanbieter der Welt Justizunabhängigkeit garantieren, deshalb kann man diesen Punkt unmöglich als „kontra“ sehen, das ist unseriös, weil es gar nicht anders geht als sich irgendeiner Rechtssprechung unterzuordnen.

        Ebenso wie es gar nicht anders geht als vorhandene Verschlüsselungsmechanismen anzuwenden und ständig dahinter zu sein Technologisch auf dem neusten Stand zu bleiben. Das macht jedes Security Unternehmen so. Und ich persönlich finde es gut, das Posteo ebenfalls sehr bemüht ist Security-Technisch aktuell aufgestellt zu sein.

        Du kannst natürlich die Werbeaussagen mit deiner subjektiven Meinung versehen, daran finde ich auch nichts verkehrtes, aber darauf das Fazit „nutzlos“ zu begründen und keine Alternative zu Posteo zu nennen wirkt auf einige Internetuser vielleicht doch etwas befremdlich.

        Was Posteo also ohne E2E taugt? Mal sehen…..Von GMX kommend (meine Ansprüche sind wirklich gering) kann ich folgendes mit Gewissheit sagen:

        -Die Anmeldung ist sehr Datensparsam, man will quasi nur den Namen meiner neuen Mail-Adresse und das dazugehörige Passwort.
        -Werbefreie Webseite sowie werbefreier Webmaler
        -Die Webseite lässt sich nur auf das Login-Feld reduzieren
        -Sicherheitstechnisch ist Posteo auf dem neusten Stand

        Ich komme nicht herum zu vergleichen. Posteo taugt im Gegensatz zu anderen Mailanbietern einiges, optional wird dir immer noch die Möglichkeit geboten auf PGP (gibts wohl auch für Thunderbird) zurückzugreifen, damit wäre dann auch dein größter Kritikpunkt beseitigt.

        Gruß

        • Ich weiß nicht wie Du die Aussage begründest, der Artikel sei meine subjektive Meinung. Im Artikel werden die Werbeaussagen von Posteo objektiv getestet. Natürlich gibt es Gruppen und Regionen, die sich einem Willkür-Staat nicht unterwerfen. Darüber gab es sogar mal eine Kinodokumentation. Schöne Grüße nach Fürstenfeldbruck.

          • EDIT: Dies ist KEIN Diskussionsforum und auch keine Angriffsplattform um die Beiträge hier zu diffamieren. Wenn Du eine Gegendarstellung machen willst, steht es Dir frei, diese zu veröffentlichen. Gerne auch hier als Kommentar, dann aber bitte fair und an der Sache orientiert, und nicht in 10 Kommentaren, sondern in einem. Danke.

  4. Posteo ist nicht besser oder schlechter als andere Emailanbieter. Die Betreiber könnten jederzeit die Mails lesen und sie das könnten, dann auch Geheimdienste. Posteo ist also nicht ehrlich, weil sie so tun, als wenn sie verschlüsseln würden.

  5. Was mich ärgert ist das anscheinend Posteo Mitarbeiter überall im Internet in Foren mitschreiben, um Werbung zu machen. Man nutzt den Hype aus und möchte die Leute für dumm verkaufen. Und wenn nur eine Minute nachdenkt, dann sollte einem klar werden, dass man für 1 Euro pro Monat auch nicht mehr außer werbefrei erwarten darf.

    • Bingo.
      Auch Posteo kann die Mails mitlesen, da das System eben nicht verschlüsselt arbeitet (dass die Festplatten verschlüsselt sind, mag ja sein).

  6. ich bin gespannt, wann der erste Dienstleister verschlüsselte Mails anbieten wird und wie er für Vertrauen sorgen möchte. Das wird nämlich das Problem sein. Behaupten kann man nämlich viel.

  7. Hm naja, mal Hand aufs Herz, so wie du die Fragen angegangen bist, hat Posteo auch nie wirklich eine Chance gehabt, oder? Zuerst mal wüsste ich nicht, wo Posteo wirklich mit „vollkommener Anonymität und Sicherheit“ geworben hat. Das es keine 100% Sicherheit gibt, sollte bekannt sein, propagiert Posteo meiner Ansicht nach aber auch nicht, bzw. wo tun sie das denn?. Aber mal zum Detail:

    1) Ob die Webseite Daten ihrer Besucher erhebt oder ob bei der Anmeldung Daten (wie IP) erhoben werden ist generell immer vertrauenssache. Wie soll Posteo denn für sowas wirkliche „Beweise“ liefern? Ihnen das als Contra auszulegen finde ich schon hart. Mehr als „Wie versichern euch, dass wir es nicht tun“ ist da nunmal nicht drin.

    2) SSL gilt nicht pauschal als unsicher, und wenn dann ist die RC4 Veriante von SSL unsicherer und nicht die AES Variante. Aktuell benutzt Posteo auch SSL mit AES, ich weiß nichts, ob sie es auch benutzt haben als du den Artikel geschrieben hast, aber mittlerweile ist es definitiv kein contra mehr.

    3) Der Schlüssel zu Adressbuch und Kalendar ist laut Webseite dein Posteo Passwort. Du hast natürlich recht, die Posteo Leute könnten sich als Administartor da Zugang verschaffen. Aber auch hier heißt es, entweder du vertraust dem Anbieter oder eben nicht. Solange du die eMail/Termine/Kontakte über einem fremden Server verwaltest, ist das letzendlich aber immer eine Vertrauensfrage! Also ja das ist ein Contra, aber es ist halt einfach nicht mehr drin, als den Kunden zu versprechen, dass sich keine Mitarbeiter von Posteo unbefugten Zugang verschaffen werden.

    4) Verschlüsselte Server Festplatte helfen natürlich nicht im laufendem Betrieb, ich glaube aber auch nicht, dass das jmd wirklich angenommen hat bzw. es so gemeint gewesen ist…

    5) Ende-zu-Ende Verschlüsselung wäre natürlich besser, find ich auch 😉
    Würde das aber eher in der Verantwortlichkeit des Endnutzers sehen. Aber ja, ich finde auch Posteo sollte seine Kunden da besser informieren.

    6) Das ein deutscher Anbieter deutschen Gesetzen gegenüber verpflichtet ist und daher Daten per Richterbeschluss rausgeben muss, ist ein Contra? Nunja gut, kann man so sehen, aber auch hier legst du die Messlatte meiner Ansicht nach einfach zu hoch, wenns hart auf hart kommt kann/wird dich kein Anbieter wirklich vor der Justiz schützen können. Und Posteo schreibt doch auch genau das, wo also bitte versprechen sie ewas in der Werbung, was sie nicht halten?

    Fazit: Posteo hat Schwachstellen, keine Fragen. Ich sehe aber auch nicht, wo sie auf ihrer Webseite mit perfekter Sicherheit werben. Hier und da wäre der Satz „wir von Posteo versprechen euch das und das, aber da müsst ihr uns letzendlich vertrauen“ sicherlich ehrlicher und ja auch Posteo bedient sich manchmal der allg. bekannten Werberhetorik. Ich finde dein Fazit aber alles in allem trotzdem nicht gerechtfertigt.

  8. Eine Frage an stammtischesslingen sowie auch andere:

    Obwohl eindeutig ist, dass keine tatsächliche Sicherheit im Netz gegeben ist, dennoch meine Frage und zugleich Bitte: Welcher der e-Mail-Anbieter empfehlenswert ist? Ich bin auch bereit für mein Account zu zahlen. Es gibt ja so viele Unterschiede zwischen den Anbietern, doch als Nutzer mit geringen Kenntnissen (wie ich einer bin) sieht man nur die Oberfläche. Welchen Anbieter nutzen Sie?

  9. @Alba: Also ich bin dort und kann den Dienst empfehlen. Keine Werbung wie bei GMX, technisch auf einem hohen Sicherheitsniveau, der Support ist freundlich und schnell und der Umfang des Angebots ist nicht überfrachtet.

    • @TheBrain: Danke vielmals. Gemeint ist Posteo?
      Doch: Was sind die Alternativen? Welcher Anbieter ist sonst zu empfehlen?

      • Gute Frage. War vorher bei GMX. Hab dann nach ner Alternative gesucht, weil GMX überladen ist. Bzgl. Sicherheit geben die sich wahrscheinlich nicht mehr viel. Entscheidung bei mir war für Posteo wegen GreenPower, nachhaltiger Bank, … .

        Denke der Blog ist auch nicht wirklich aussagekräftig, da man mit den Argumenten jeden Mailprovider durch die Mangel drehen kann. Und e2e Verachlüsselung kann auch kein Provider leisten.

        Schau welchen Providern Du am meisten vertraust. Prüfen kannst du es eh nicht. Sollten seriös auftreten, gute Kritiken haben, klare und verständliche AGBs, in Deutschland und SSL-verschlüsselt sein. Von kostenlosen Angeboten würde ich auch die Finger lassen, wenn mir das Geschäftsmodell nicht klar ist (letztlich zahlt man hier mit seinen Daten). Das sind meine Minimalkriterien.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s