Ein Leben ohne E-Mails ist nicht mehr wegzudenken, man braucht sie für jeden Sinn und Unsinn des Lebens.
Eben aus diesem Grund lohnt es sich, die Angebote genau anzuschauen und sich auch mit dem Thema Verschlüsselung zu beschäftigen.
Das Problem an der Verschlüsselung ist jedoch, dass nur die allerwenigsten Korrespondenten selbst Verschlüsselung verwenden. Selbst die (mir bekannten) Banken scheinen das nicht zu beherrschen. Also liegen die Daten selbst dann beim eigenen Anbieter verschlüsselt herum, können aber nur unverschlüsselt versendet werden.
Auf die Empfehlung weise ich kurz hin, jedoch geht mir der Artikel nicht weit genug. Analog zum Prinzip mit 3 Browsern möchte ich hier das Prinzip mit 3 E-Mail-Accounts aufzeigen. Wohlgemerkt: 3 private E-Mail-Accounts.
Ein Account an der Uni sollte auch nur für die dortige Kommunikation verwendet werden. Natürlich gibt es von Uni zu Uni große Unterschiede - meine hat keinen Wert auf Datenschutz und Datensicherheit gelegt (2FA war ein Fremdwort, der Account erst ein Jahr nach Exmatrikulation gelöscht).
Gleiches gilt für E-Mail-Accounts des Arbeitgebers. Private Dinge haben in beiden nichts zu suchen. Wenn möglich, sollte auch dort ein zweiter Faktor aktiviert werden. Einfach die IT ansprechen (oder ständig nerven, wenn keiner antwortet).
Wer online viel bestellt, braucht dafür (mindestens) eine eigene E-Mail-Adresse. Oft wird diese nämlich ohne Vorwarnung (wer liest sich schon jedes Mal 20 Seiten AGB und Datenschutz durch?) an Dritte weitergeleitet - und schon wird das Postfach mit Spam überflutet.
Andererseits sollte dieses Postfach sicher sein, schließlich werden hier höchstpersönliche Daten ins Internet gesendet (dieser Account wurde früher von mir praktisch jährlich gelöscht und neu erstellt, siehe nächster Absatz).
Für unbekannte Anbieter empfehle ich SimpleLogin. Die Tarnjacke für E-Mails gehört inzwischen zu Proton, kann aber mit jedem vorhandenen E-Mail-Account genutzt werden. Wenn man über einen dort erstellten Alias Spam empfängt, kann dieser einfach gelöscht werden. Super auch für aufgezwungene Accounts mit E-Mail-Adresse als Pflichtangabe. Die kostenlose Version dürfte für die meisten Privatanwender ausreichend sein. Pro E-Mail-Adresse, die mit diesem Anbieter genutzt werden soll, braucht es einen Account bei SimpleLogin…
Gewollte Newsletter empfange ich mit einem 08/15-Freemailanbieter. Dort werden keine persönlichen Daten gespeichert, der Account ist auf einen Bewohner Entenhausens registriert und die Sicherheit kann mir dort egal sein. Kommt zu viel Mist herum, wird der Account gekündigt und an anderer Stelle ein neuer eröffnet (das musste ich inzwischen schon lange nicht mehr, allerdings hinterfrage ich inzwischen auch Anbieter und lese mindestens die Datenschutzerklärung).
Standard-E-Mails empfange und sende ich mit Disroot (mit unregelmäßiger Spende). Das Passwort ist sicher genug gewählt, dass es heutzutage eine Daseinsberechtigung hat, aber einfach genug, dass ich es mir merken kann (und von überall auf den Account zugreifen kann). Darüber empfange ich auch E-Mails der Familie, wenn z.B. Urlaubsplanungen verteilt werden. Da ich die einzige Person im Familien- und Bekanntenkreis bin, die sich mit der IT etwas auskennt, verwendet hier niemand Verschlüsselung. Viele verwenden sogar das Webinterface ihres Anbieters, obwohl ich den Leuten immer Thunderbird installiere - DAUs sind halt unverbesserlich. Viel Persönliches geht hier nicht ins Internet und Disroot verlangt (im Gegensatz zu den deutschen Freemail-Anbietern Web.de, GMX & Co.) keine persönlichen Daten. Gewisse Dinge werden hier von mir über die hauseigene Nextcloud-Instanz gespeichert und verschlüsselt geteilt.
Was sicher sein muss, geht bei mir über Proton oder Tuta. Jeweils ein Account für unterschiedliche Zwecke. Ein Normalverbraucher sollte sich für irgendeinen Anbieter entscheiden, der ohne große Fummelei Verschlüsselung anbietet. Außer diesen beiden fällt mir dazu leider nichts ein (lasse mich aber gerne belehren). Bei beiden kann der eigene öffentliche Schlüssel standardmäßig an E-Mails angehängt werden, sodass das Gegenüber zumindest die Chance bekommt, selbst verschlüsselt zu antworten.
Und bei beiden funktioniert mein YubiKey einwandfrei. Letzteres ist mir wichtig, damit nicht jeder mit dem Passwort an die Mails kommt.
(YubiKey übrigens deshalb, weil der die beste Unterstützung hat, inklusive Software und Apps für alle möglichen Betriebssysteme).
Der zweite Faktor wird bei beiden Anbietern bei jedem Login - auch außerhalb der Website - abgefragt. Mir ist in diesem Fall die Sicherheit wichtiger als der Komfort, alles per IMAP machen zu können. Und gerade auf dem Handy kommt es auf eine App mehr oder weniger auch nicht mehr an.
Kleine Anmerkung zur Sicherheit:
Alles steht und fällt mit dem Login. Also reine Passwort-Anmeldung nur für weniger wichtige Dinge.
Sobald persönliche Daten im (E-Mail-)Account liegen, sollte ein zweiter Faktor her. Von diesen gibt es so viele wie Sand am Meer, z.B.:
- Hardware-Token (wie mein YubiKey)
- OTP-App auf dem Handy
- TAN per SMS oder E-Mail (normalerweise unverschlüsselt)
Alles hat seine Daseinsberechtigung und man muss sich mit den Dingen beschäftigen, wenn man es immer schlauer werdenden Hackern schwerer machten möchte.
Meine Empfehlung zum Tagesablauf:
Verpasst eurem PC ein sicheres Passwort, damit nicht jeder Einbrecher direkt an alle Daten kommt.
Verpasst eurem E-Mail-Client ein anderes Passwort, damit dort liegende E-Mails und Accounts geschützt sind.
Verwendet ihr ProtonBridge und/oder ProtonVPN (oder andere ähnliche Dienste), gebt dort einen zweiten Faktor an und LOGGT euch bei diesen Diensten AUS (ja, in der installierten Software!), bevor ihr den PC herunterfahrt. Ohne den zweiten Faktor haben es Bösewichte nicht so leicht, an die Daten dort zu kommen. Und der wird im eingeloggten Zustand dauerhaft gespeichert.
Unterwegs ist das natürlich nicht so leicht. E-Mails mobil lesen, aber zweiter Faktor?! Sagen wir es so: Ich konnte Proton schon häufiger nicht am gewünschten Gerät verwenden, weil der YubiKey nicht bei mir war…
Es ist eure Qual der Wahl: mehr Sicherheit und Datenschutz oder mehr Komfort? Perfekt wird es im Augenblick noch nicht. Aber man kann sich annähern.
[Dieser Beitrag hat mich 2 Stunden meines Lebens gekostet. Hat er euch gefallen? Kann ich etwas verbessern? Bitte um Feedback ]