Die meisten von uns nutzen täglich E-Mails, ohne sich Gedanken darüber zu machen, wer unsere Post lesen könnte. Kommerzielle Testseiten bewerten E-Mail-Anbieter oft nach Funktionen und Preis, vernachlässigen aber das Wichtigste - die technische Architektur des Schutzes Privatsphäre. Gemeinschaftsprojekt Open-Source-Bewertungen, die von GitHub-Nutzern kuratiert wird, verfolgt einen anderen Ansatz: Sie bewertet Anbieter auf der Grundlage nachprüfbarer Fakten, nicht auf der Grundlage von Marketingversprechen.
In diesem Beitrag fasse ich ihre Ergebnisse zusammen und füge meinen eigenen Kommentar hinzu.
Wie man den E-Mail-Datenschutz bewertet
Der Schlüssel zum Verständnis des gesamten Vergleichs ist die Unterscheidung zwischen architektonische Privatsphäre a Datenschutz auf der Grundlage der Politik. Architektonischer Datenschutz bedeutet, dass der Anbieter Ihrer E-Mails technisch Er kann nicht lesen - die Daten werden auf der Client-Seite verschlüsselt, bevor sie an den Server gesendet werden. Richtlinienbasierter Datenschutz bedeutet, dass der Anbieter Ihre E-Mails lesen kann kann, verspricht aber, es nicht zu tun.
Vergleichen Sie Offene Quelle Reviews bewertet Anbieter anhand von sechs Kriterien: Transparenz des Quellcodes, unabhängige Sicherheitsprüfungen, Überprüfbarkeit der Verschlüsselungsarchitektur, Transparenz der Organisation, technische Implementierung des Metadatenschutzes und historisches Verhalten bei rechtlichen Anfragen.
Vier Klassen des E-Mail-Datenschutzes
Klasse 1: Echter Null-Zugang - benutzerdefinierter Server
Die einzige Möglichkeit, eine vollständig überprüfbare Zero-Access-Verschlüsselung zu erreichen, ist der Betrieb eines eigenen E-Mail-Servers. Tools wie Mailcow, Mail-in-a-Box oder die Postfix/Dovecot-Kombination sind vollständig quelloffen und ermöglichen Ihnen die Kontrolle über den gesamten Stack - von der Verschlüsselung über die Protokollierung bis zur physischen Infrastruktur.
Der Nachteil ist, dass die vollständige Kontrolle auch die vollständige Verantwortung mit sich bringt. Selbstgehostetes Erfordert technisches Know-how, Wartung und Lösungen für die Zustellbarkeit von E-Mails. Für die meisten normalen Nutzer ist dies keine realistische Option.
Klasse 2: Abgesicherter Null-Zugang - Vertrauen, aber überprüfen
Zu dieser Kategorie gehören drei Anbieter, die behaupten, dass sie den Inhalt Ihrer E-Mails nicht lesen können. Sie alle verlangen jedoch das Vertrauen, dass der an Ihren Browser übermittelte Client-Code nicht kompromittiert wurde.
Tutanota (Bewertung: Platz 2) bietet vollständig quelloffenen Client- und Servercode, Ende-zu-Ende-Verschlüsselung für Mail, Kontakte und Kalender sowie ein eigenes Verschlüsselungssystem. Das Unternehmen unterliegt der deutschen Rechtsprechung, verfügt über öffentliche Audits und eine saubere Betriebsgeschichte ohne größere Kontroversen. Vergleiche nennen es das stärkste gehostete E2EE Wahl.
Proton Mail (Bewertung: Platz 3) verfügt über teilweise quelloffene Client-Anwendungen, aber der Servercode bleibt geschlossen. Es bietet eine starke kryptografische Architektur und Schweizer Rechtsprechung. Ein Vertrauensproblem ist ein Vorfall aus dem Jahr 2021, bei dem die IP-Adresse eines Klimaaktivisten auf gerichtliche Anordnung hin aufgezeichnet und weitergegeben wurde, obwohl das Unternehmen zuvor angekündigt hatte, keine IP-Adressen aufzuzeichnen.
AtomicMail (Bewertung: 4) ist ein neuerer Anbieter mit einer gehärteten Zero-Access-Architektur (AES-256, ECIES). Der Code ist geschlossen, nur das Sicherheits-Whitepaper ist verfügbar. Die kurze Geschichte und die begrenzte Transparenz implizieren eine höhere Vertrauensanforderung.
Klasse 3: Traditionelle PGP-fähige Anbieter
Diese Anbieter können Ihre E-Mails standardmäßig lesen, bieten aber eine starke PGP/S-MIME-Verschlüsselung an. Der Datenschutz hängt hier von der Aktivität des Nutzers ab.
Mailbox.org (5. Platz) ist ein deutscher Anbieter mit einem guten Ruf und starker PGP-Unterstützung. Ohne aktiviertes PGP werden E-Mails unverschlüsselt gespeichert. Poste (6. Platz) unterscheidet sich durch die Unterstützung anonymer Registrierungen, die Annahme von Barzahlungen per Post und die Entfernung von IP-Adressen, wo dies möglich ist. Er unterstützt bewusst keine benutzerdefinierten Domains. Kolab Jetzt (Platz 7) ist ein Schweizer Anbieter, der auf einem Open-Source-Groupware-Stack mit PGP-Unterstützung und anderen Office-Funktionen aufbaut.
Klasse 4: Mainstream-E-Mail - kein Datenschutz
Dazu gehören auch Dienste, die im Vergleich dazu überhaupt nicht als private E-Mail-Anbieter angesehen werden sollten.
Google Mail (Platz 8) ist ein firmeneigener Dienst mit hoher Metadatenerfassung und Inhaltsprüfung. Die Client-Verschlüsselung ist nur für die Enterprise-Editionen verfügbar Google Arbeitsbereich. Fastmail (#9) bietet ein ausgezeichnetes Benutzererlebnis und eine IMAP/SMTP-Implementierung, aber kein E2EE - und fällt unter australische Gerichtsbarkeit (Teil der Five Eyes Allianz). HEY (10. Platz) konzentriert sich auf innovative Arbeitsabläufe, nicht auf den Datenschutz, und bietet keine Verschlüsselung.
Übersichtstabelle
| Standort | Anbieter | Offene Quelle | Prüfungen | Anonyme Registrierung | Null-Zugang | E2EE |
|---|---|---|---|---|---|---|
| 1 | Selbstgehostet | Ja | Benutzerdefiniert | — | Ja | Ja |
| 2 | Tutanota | Vollständig | Ja | Ja | Gehärtet | Ja |
| 3 | Proton E-Mail | Zum Teil | Ja | Ja | Gehärtet | Ja |
| 4 | AtomicMail | Nein | Eingeschränkt | Ja | Gehärtet | Ja |
| 5 | Mailbox.org | Zum Teil | Nein | Nein | Nein | PGP |
| 6 | Poste | Zum Teil | Nein | Ja | Nein | PGP |
| 7 | Kolab Jetzt | Ja | Nein | Nein | Nein | PGP |
| 8 | Google Mail | Nein | Nein | Nein | Nein | Nein |
| 9 | Fastmail | Nein | Nein | Nein | Nein | Nein |
| 10 | HEY | Nein | Nein | Nein | Nein | Nein |
Was man davon mitnehmen kann
Wenn Ihnen der Schutz Ihrer E-Mail-Kommunikation am Herzen liegt, ist die wichtigste Lektion einfach: Es reicht nicht aus, sich auf Versprechungen zu verlassen, die Architektur ist entscheidend. Selbstgehostetes Hosting bleibt der einzige vollständig überprüfbare Weg. Von den gehosteten Diensten schneidet Tutanota aufgrund seines vollständig offenen Quellcodes und seiner sauberen Geschichte am besten ab. Proton Mail ist technisch solide, aber der Vorfall mit den Klimaaktivisten zeigt, dass auch Schweizer Gerichtsbarkeit hat seine Grenzen.
Für Benutzer, die nicht zu einem speziellen Anbieter wechseln wollen oder können, ist der einfachste Schritt zur Verbesserung ihrer Einrichtung PGP-Verschlüsselung mit Diensten wie Mailbox.org oder Posteo. Mainstream-Dienste wie Gmail, Fastmail und HEY sind einfach nicht auf den Datenschutz ausgerichtet.
Quelle des Vergleichs: Beste private E-Mail-Anbieter kuratiert von Github-Benutzern - Open Source Reviews
Čeština
English
Deutsch
Español
Français