In den letzten Jahren tauchen immer mehr neue E-Mail-Dienste auf dem Markt auf, die sich durch ihren Fokus auf Privatsphäre, End-to-End-Verschlüsselung (End-to-End) und jetzt auch Widerstandsfähigkeit gegen Quantenangriffe. Für die Nutzer ist das eine gute Nachricht – mehr Wettbewerb bedeutet eine größere Auswahl und Druck auf etablierte Anbieter. Gleichzeitig wächst aber die Zahl der Entscheidungen, vor denen ein normaler Mensch auf Grundlage von Behauptungen steht, die er selbst praktisch nicht überprüfen kann. Begriffe wie „Zero-Knowledge-Architektur"Null-Wissen), “post-quanten-Verschlüsselung„, “ML-KEM-768″ oder „X3DH + Double Ratchet„ funktionieren im Marketing hervorragend, gerade weil sie hochgradig fachmännisch und glaubwürdig klingen. Die Überprüfung, ob dahinter eine korrekt implementierte Kryptografie steckt, ist jedoch eine Aufgabe für jemanden, der Zeit zum Lesen und detailliertes Verständnis des Quellcodes hat.
In den letzten Tagen gab es auf Reddit eine Diskussion, die gut zeigt, warum diese Frage alles andere als rein theoretisch, sondern sehr praxisrelevant ist. Sie ist als nützliche Erinnerung gedacht, unabhängig davon, wie sich die Dinge konkret entwickeln werden. In diesem Text werde ich sie als Rahmen für eine allgemeinere Überlegung nutzen, wie man neuen Datenschutzdiensten begegnen sollte.
Was ist auf Reddit passiert
Die Diskussion drehte sich um AsterMail (Aster Privacy), den neuen offene Quelle verschlüsselten E-Mail. Dieser zeichnet sich unter anderem durch post-quanten-kryptographische Verfahren aus, insbesondere durch eine Kombination aus X3DH, Double Ratchet und ML-KEM-768 für die Kommunikation zwischen AsterMail-Konten. Diese Wahl der Algorithmen folgt dem gleichen allgemeinen Trend, den auch andere sichere Kommunikationsdienste heute einschlagen: die Kombination klassischer Kryptographie mit post-quanten-Mechanismen. Das bedeutet jedoch nicht, dass AsterMail die gleiche Architektur wie Signal, Tuta oder Proton Mail Signal arbeitet mit eigenen post-quanten Weiterentwicklungen des Signal-Protokolls, Tuta verwendet ein eigenes hybrides Protokoll TutaCrypt s CRYSTALS-Cyber a Proton führt Post-Quantum-Schlüssel innerhalb OpenPGP v6.
Das Thema wurde von einem Nutzer eröffnet, der eine Liste kritischer Mängel in der Implementierung von AsterMail veröffentlichte. Die Behauptungen waren technisch sehr spezifisch. Sie bezogen sich beispielsweise darauf, dass die Schlüsselgenerierung ML-KEM obwohl er stattfindet, ist der Algorithmus nicht in den anfänglichen Schlüsselaustausch integriert (private Schlüssel werden verworfen). Darüber hinaus beschrieb der Autor Probleme bei der Verifizierung eingehender Signaturen, das sogenannte Fail-Open-Verhalten bei der Verwendung des Netzwerks Tor, Speicher-Token, RSA-4096-Vorschlüssel und mehrere weitere blinde Flecken im Code.
Auf den Beitrag antwortete bald Findley, einer der Mitbegründer von AsterMail, und bestätigte die überwiegende Mehrheit der Ergebnisse. In seinen eigenen Worten hieß es: „Most of these critical findings are correct, and we are actively working on fixing them.“ [Die meisten dieser kritischen Feststellungen sind richtig und wir arbeiten aktiv daran, sie zu beheben.] Er erklärte, dass der ML-KEM-Code in der Anwendung vorhanden sei und Schlüssel generiert würden, die Entwickler es jedoch nicht geschafft hätten, ihn vor dem anfänglichen Schlüsselaustausch zu integrieren. Die Kommunikation lief also tatsächlich über ECDH P-256 und Double Ratchet – das ist klassisch, aber nicht postquantenresistent. Sicherheit. Gleichzeitig teilte er mit, dass Benutzer mit aktivierter serverseitiger Wiederherstellung aufgefordert werden, ihre Passwörter zu rotieren, und versprach die baldige Veröffentlichung eines Zeitplans für die Korrekturen im Blog. In einem späteren Update gab er an, dass die kritischen Probleme bereits behoben und in der Produktion eingesetzt sind.
Warum gehe ich die Situation vorsichtig an
Auf den ersten Blick scheint es eine Geschichte mit einem guten Ende zu sein: Die Entdeckungen sind an der Oberfläche, der Betreiber hat den Fehler anerkannt, Patches bereitgestellt und es geht weiter. In Wirklichkeit verbergen sich hier jedoch zwei Komplikationen, die es wert sind, genannt zu werden.
Der erste Haken ist, dass keine der Parteien völlig unabhängig ist. Der Autor der Prüfung, der die Ergebnisse veröffentlichte, gab selbst zu, dass er der Gründer eines konkurrierenden Dienstes ist Secria. Der Betreiber von AsterMail ist natürlich auch daran interessiert, nur in die entgegengesetzte Richtung. Dieser Interessenkonflikt disqualifiziert die Ergebnisse an sich nicht – technische Fehler im Code sind vorhanden oder nicht, unabhängig davon, wer sie aufzeigt. Er bedeutet jedoch, dass der Leser keinen Bericht von einem unabhängigen Prüfer erhält. Er sieht nur die Aussage eines motivierten Autors und die Antwort des Betreibers, die zwar ungewöhnlich direkt ist, aber dennoch eine öffentliche Krisenkommunikation darstellt. Welche dieser Aussagen einer unabhängigen kryptografischen Bewertung standhalten würden, sollte ein Prüfer mit vollem Zugang zum Code beurteilen, und ein solches Gutachten liegt derzeit nicht vor.
Die zweite Komplikation ist die Tatsache, dass ähnliche Situationen keineswegs ungewöhnlich sind. Im Gegenteil, es handelt sich um einen völlig normalen Lebenszyklus eines jungen, auf Privatsphäre ausgerichteten Dienstes. Ein kleines Team, ambitioniertes Marketing, der Code wird schneller geschrieben als dokumentiert, und die ersten externen Augen beleuchten ihn erst im Detail, wenn die Anwendung bereits von echten Nutzern verwendet wird. Die Frage ist also nicht primär „macht AsterMail etwas falsch“, sondern eher „warum befinden sich die Nutzer in einer Position, in der sie solche Dinge nachträglich klären müssen“.
Lehren für den Durchschnittsnutzer
Wenn sich jemand für den Datenschutz interessiert – und das ist bei den Lesern eines Blogs wie diesem meist der Fall –, dann erinnert diese Episode an ein paar Dinge. Sie klingen offensichtlich, aber in der Praxis vergisst man sie leicht.
Eine unabhängige Prüfung hat einen wesentlichen Wert, aber auch ihre Grenzen. Bei etablierten Diensten kann man eher externe Sicherheitsaudits, veröffentlichte Berichte oder zumindest einen öffentlich beschriebenen Prozess zur Reaktion auf Funde finden – Proton veröffentlicht beispielsweise Audits von Firmen wie Cure53 oder Securitum. Ein Audit ist keine Garantie für Fehlerlosigkeit; es ist eine Garantie dafür, dass ein bestimmter Teil des Systems zu einem bestimmten Zeitpunkt von einer dritten Partei, die mit ihrem Ruf bürgt, untersucht wurde. Bei einem jungen Dienst hat der Leser diese Vertrauensschicht nicht zur Verfügung und sollte dies berücksichtigen. Nicht unbedingt als Grund, den Dienst abzulehnen, sondern als Grund für vorsichtigere Erwartungen.
Open-Source-Code bedeutet nicht automatisch sicheren Code. Open Source ist eine notwendige Bedingung, um überhaupt eine unabhängige Überprüfung durchführen zu können. Es ist jedoch keine hinreichende Bedingung. Der Code kann öffentlich sein und dennoch voller kritischer Lücken stecken, die niemand entdeckt, bis er gezielt danach sucht. AsterMail läuft unter der AGPL v3-Lizenz, und gerade wegen des öffentlichen Repositories konnte der Prüfer die Fehler finden. Wenn sich jemand erst einen Monat später mit dem Code beschäftigt hätte, wären die Probleme einen Monat länger vorhanden geblieben.
Bei Marketingaussagen ist zwischen Versprechen und Realität zu unterscheiden. Wenn ein Dienst einen bestimmten Algorithmus (z. B. ML-KEM-768) bewirbt, bedeutet dies nicht automatisch, dass er zum jetzigen Zeitpunkt vollständig in den Produktionscode integriert ist. Ohne Zugriff auf den Quellcode können Sie dies als Benutzer nicht überprüfen. Es lohnt sich daher entweder, auf eine unabhängige Überprüfung zu warten oder spezifische technische Zusagen als deklarierend zu betrachten, bis eine unabhängige Stelle deren tatsächlichen Zustand bestätigt hat.
Die Mechanismen zur Wiederherstellung von Konten sind mit Kosten verbunden. Die Wiederherstellung des Zugangs ist ein Kompromiss zwischen Benutzerfreundlichkeit und dem Sicherheitsmodell: Je einfacher es ist, einem Benutzer nach einem Passwortverlust den Zugang zu seinen alten E-Mails zu ermöglichen, desto wichtiger ist es zu wissen, wie die Verschlüsselungsschlüssel wiederhergestellt werden und wer Zugriff auf das Wiederherstellungsmaterial hat. Das ist nicht automatisch schlecht – es hängt vom Design ab, aber es ist eine Sache, die man bei jedem verschlüsselten Dienst explizit in der Dokumentation lesen sollte.
Und schließlich: Faire Kommunikation ersetzt keine technische Überprüfung des Betreibers. Findleys Antwort ist aus kommunikativer Sicht ungewöhnlich offen – eine Reihe von Betreibern hätte beschämende Funde dazu verleitet, zu mauern oder den Audit-Autor anzugreifen, und das verdient Anerkennung. Gleichzeitig ist aber die Aussage „der Betreiber sagte, es sei bereits behoben“ eine andere Kategorie als „ein unabhängiges Audit bestätigte, dass es behoben ist“. Für die Entscheidung, welcher Anbieter für die Weiterleitung sensibler E-Mails am besten geeignet ist, spielt die zweite Art von Aussage eine größere Rolle.
Langstreckenlauf
Der Markt für verschlüsselte E-Mails ist heute wesentlich vielfältiger als noch vor fünf Jahren. Das ist gut so. Die Folge ist jedoch, dass die Entscheidung, wem man eine sensible Kommunikation anvertraut, ein wenig komplizierter ist – denn den neuen Anbietern fehlt, was die etablierten haben: jahrelange externe Prüfungen, wiederholte Audits und dokumentierte Vorfälle mit bekannter Lösungsweise.
Der Fall AsterMail ist daher weder als fataler Skandal noch als lehrbuchhaftes Beispiel für Transparenz zu werten. Beide Interpretationen wären verfrüht und würden die Tatsache ignorieren, dass die primäre Informationsquelle bisher die Aussagen zweier beteiligter Parteien sind. Was aus dieser Diskussion hervorgeht, ist etwas Allgemeineres und meiner Meinung nach Nützlicheres: Es lohnt sich, bei einem neuen Dienst für den Datenschutz, der noch keine unabhängige Prüfung durchlaufen hat, abzuwarten. Nicht ablehnen, nicht verurteilen, nur abwarten – bis der Dienst von jemandem beurteilt wird, dessen Ruf nicht davon abhängt, wie er ausfällt.
Privatsphäre ist eine langfristige Disziplin. Geduld ist darin meist eine wichtigere Tugend als Enthusiasmus.
Die Informationen in diesem Artikel basieren auf öffentlich zugänglichen Diskussionen im sozialen Netzwerk Reddit und öffentlich zugänglichen Materialien der Betreiber der genannten Dienste zum Zeitpunkt der Veröffentlichung am 8. Mai 2026. Der Artikel liefert keine unabhängige technische Bewertung der beschriebenen Erkenntnisse und überprüft auch nicht die Richtigkeit der Aussagen der einzelnen Parteien über deren eigene Erklärungen hinaus. Wir empfehlen, den aktuellen Stand direkt bei den Betreibern der jeweiligen Dienste zu überprüfen.
Čeština
English
Deutsch
Español
Français