Postbote Update

Der E-Mail-Provider Posteo im Start-up-Porträt

Wissen | Hintergrund

Posteos Führungstrio: Dean Ceulic, Patrik Löhr und Sabrina Löhr

Posteo ist eines der ungewöhnlichsten deutschen Start-ups: Der Mail-Anbieter verzichtet auf Werbung und will von seinen Nutzern so wenige Daten sammeln wie möglich. Das führt regelmäßig zu Streit mit uneinsichtigen Behörden.

Den Durchbruch schaffte Posteo 2013 durch die Snowden-Enthüllungen. Quasi über Nacht wurde das Unternehmen weit über Nerd-Kreise hinaus bekannt als E-Mail-Dienst, bei dem Datenschutz und Sicherheit nicht nur die üblichen Lippenbekenntnisse sind. Der Spiegel, die FAZ und sogar der britische Guardian feierten Posteo als Paradebeispiel für sichere Kommunikation.

Gegründet wurde Posteo allerdings schon 2009. Und damals stand eine andere Idee im Vordergrund: Nachhaltigkeit. Die Gründer, Sabrina und Patrik Löhr, hatten sich durch ihr Engagement bei Greenpeace kennengelernt. Viele Umweltbewusste nutzten damals eine kostenlose Mail-Adresse vom Ökostrom-Anbieter Greenpeace Energy. Doch dieser stellte das Angebot 2009 ein.

Den Löhrs fiel auf, dass viele Nutzer nun einen neuen „grünen“ Mail-Anbieter suchten. Und Patrik Löhr hatte als freiberuflicher Admin den passenden Hintergrund, genau diese Aufgabe technisch zu meistern – Posteo war geboren. Das Ehepaar achtete von Anfang an auf energieeffiziente Technik und recycelbare Materialien und bezog den Strom für sein Unternehmen von einem Anbieter, der tatsächlich Ökostrom und nicht nur Zertifikate einkauft.

„E-Mail wird jetzt richtig sicher.“

Dean Ceulic, Marketing-Leiter von Posteo

Patrik Löhr war bei Greenpeace aber auch oft gefragt worden, wie man sicherer kommunizieren kann. Daraus ergab sich der Anspruch auf Datensparsamkeit: Posteo sollte konsequent nur so viele Daten von den Nutzern sammeln, wie rechtlich und technisch notwendig. Bei der Registrierung gibt es nur Felder für Mail-Adresse und Passwort, nicht für Name und Anschrift.

Weil Datensparsamkeit und Werbung nicht zusammenpassen, entschieden sich die Löhrs gegen Werbung und für ein Bezahlmodell – trotz der zahlreichen kostenlosen Konkurrenten. Bei Posteo kostet ein IMAP-Postfach inklusive zwei GByte Speicher, Webmailer, Adressbuch und Kalender einen Euro pro Monat. Für jedes weitere GByte zahlen die Kunden 25 Cent pro Monat.

Ungewöhnlich für Start-ups: An externen Investoren hatten die Löhrs kein Interesse. „Das war nicht geplant als großes Business. Wir haben das Unternehmen nicht gegründet, um reich zu werden“, sagt Sabrina Löhr. Wichtiger war die Unabhängigkeit. Das Bezahlmodell sorgte für bescheidene, aber stetige Einnahmen, mit denen die Löhrs einen Mitarbeiter beschäftigen konnten. Patrik Löhr arbeitete nebenher noch in seinem alten Beruf als Admin.

Anfangs wuchs Posteo langsam. Erst nach vier Jahren erreichte der Kundenzähler die Zehntausend-Marke. Das Gros der frühen Kunden rekrutierte sich nicht aus Nerds, sondern aus der Öko-Szene – daher sammelten die Löhrs schon früh Erfahrung darin, technischen Laien Verschlüsselung nahezubringen.

Und dann kam Snowden

Dann kam der Sommer 2013. Edward Snowden bewies, dass es um die Online-Bürgerrechte schlimmer stand, als alle befürchteten. Plötzlich wurden Medien weit außerhalb der Techniksphäre auf das kleine Start-up aufmerksam. Ein halbes Jahr lang „kamen wir überhaupt nicht mehr aus dem Staunen heraus“, erinnert sich Patrik Löhr. Mühsam bewältigte die Rumpfmannschaft die Anfragen, baute ein Team auf und zog in ein größeres Büro um. Innerhalb eines Jahres versiebenfachte sich die Zahl der Postfächer. Inzwischen sind es knapp 120 000.

Etwa ein Dutzend Mitarbeiter beschäftigt das Unternehmen heute, überwiegend in Festanstellung. Zweiter Schwerpunkt neben der Entwicklung ist der Support, der mit dem ganzen Spektrum vom vergessenen Passwort bis hin zu schwierigen Verschlüsselungsfragen zu tun hat. In vielen Anfragen spürt Sabrina Löhr eine „ziemlich tiefe Verunsicherung“ gegenüber alltäglichen Kommunikationswerkzeugen.

In Sachen Datensicherheit versucht Posteo, ein Maximum anzubieten: Abruf per TLS, Perfect Forward Secrecy beim Transport, verschlüsselte Speicherung in einem Frankfurter Rechenzentrum, Zwei-Faktor-Authentifizierung. Eingehende Mails lassen sich automatisch mit einem öffentlichen PGP-Key verschlüsseln, alle gespeicherten Daten per Mausklick.

Als erster deutscher Anbieter führte Posteo DANE ein, ein Verfahren, das verhindert, dass ein Angreifer TLS-verschlüsselte Verbindungen mit nachgemachten Zertifikaten aushebelt. Das Prinzip der Datensparsamkeit schlägt sich auch im selbst entwickelten Umzugsservice nieder: Er überträgt Mails und Ordnerstrukturen vom bisherigen Anbieter zu Posteo, speichert aber die alte Mail-Adresse nicht, sondern nur die Information, wann der Umzug stattgefunden hat.

„Fast alle Behördenanfragen sind rechtswidrig.“

Sabrina Löhr, Posteo-Gründerin

Mit Hilfe von Einmal-Codes trennt Posteo Bezahldaten und Postfächer so voneinander, dass sich beide nicht einander zuordnen lassen. Wer Banken, Kreditkartenanbietern und PayPal misstraut, kann auf eine bewährte Alternative ausweichen: Barzahlung. Etwa zehn Prozent der Kunden nehmen dieses garantiert anonyme Bezahlverfahren in Anspruch und schicken Bargeld per Post oder kommen persönlich im „Posteo Lab“ in Berlin-Kreuzberg vorbei.

Konkurrenten ziehen nach

Die Snowden-Enthüllungen haben Posteo enorm geholfen. Sie haben aber auch dafür gesorgt, dass immer mehr Konkurrenten das Thema Sicherheit ernst nehmen. Vor Kurzem führten die beiden United-Internet-Angebote GMX und Web.de DANE und PGP ein. Start-ups wie Tutanota machen das verschlüsselte Mailen ebenfalls einfacher als früher. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert in seinen Richtlinien für E-Mail-Anbieter inzwischen unter anderem TLS, DNSSEC und DANE.

Dean Ceulic, der als drittes Mitglied der Führungsriege Posteo in Verbänden und Gremien vertritt, sieht diese Entwicklung positiv: „E-Mail wird jetzt richtig sicher.“ Die Zusammenarbeit mit Konkurrenten beim Informationsaustausch oder bei Sicherheitsvorfällen laufe gut, da sich in der E-Mail-Branche bei aller Kommerzialität noch das „ursprüngliche Internetdenken“ gehalten habe.

Sabrina Löhr missbilligt allerdings, dass einige Anbieter den PGP-Schlüssel auf dem Server speichern – man dürfe nicht Sicherheit zugunsten von Komfort opfern.

Um die PGP-Einstiegshürden zu überwinden, geht Posteo andere Wege. Schulungen im „Lab“ vermitteln Techniklaien das nötige Wissen. Posteo-Kunden können ihren PGP-Key benutzen, um alle ankommenden Mails automatisch zu verschlüsseln. Mit der Browser-Erweiterung Mailvelope können sie auch per Webmailer ihre Nachrichten verschlüsseln. Gerade bei der Ende-zu-Ende-Verschlüsselung sind „einige neue Funktionen“ geplant; unter anderem soll die Verteilung des öffentlichen Schlüssels komfortabler werden.

Besuch vom Staatsanwalt

Mit wachsender Kundenzahl meldete sich auch die Staatsgewalt öfter, um Daten für Ermittlungen zu sammeln. Meist geht es um Bestandsdatenersuchen, wie sie Polizeidienststellen bei Verdachtsfällen routinemäßig an Telekommunikationsunternehmen schicken: Man hat eine Mail-Adresse und möchte den Klarnamen dazu oder umgekehrt.

Allerdings erhebt Posteo keine Bestandsdaten von seinen Nutzern. Und beantwortet deshalb alle Behördenanfragen nach diesen Daten mit der Aussage, dass die Daten nicht vorliegen und Posteo nicht dazu verpflichtet ist, sie zu erfassen.

Das „führt manchmal ein bisschen zu Stress, weil die Polizei das nicht erwartet, die kennen das nicht“, hat Patrik Löhr gelernt. Man arbeite die Antworten mit anwaltlicher Hilfe sorgfältig aus, doch trotz dieser „sehr teuren Briefe“ seien oft unfreundliche Mails, Anrufe, Briefe und Faxe die Folge. Einen „hohen fünfstelligen Betrag“ habe man in den letzten zwei Jahren an Anwälte überweisen müssen. Als Kompensation gibt es vom Staat pro Bestandsdatenersuchen 18 Euro – auf die Posteo aber verzichtet.

In einem Fall eskalierte eine Auseinandersetzung 2013 sogar bis zur Hausdurchsuchung. „Damit rechnet man nicht, und das ist auch keine schöne Erfahrung“, erinnert sich der Firmengründer. Posteo reagierte damals mit einer Dienstaufsichtsbeschwerde. Letztlich mussten die Beamten akzeptieren, dass es die gesuchten Daten einfach nicht gibt.

Mail-Politik

Solche Auseinandersetzungen erinnern an das Schicksal von Lavabit, dem US-Mail-Provider, der ähnlich wie Posteo versuchte, ein Maximum an Datensicherheit anzubieten. Als US-Behörden im Sommer 2013 Zugriff auf Edward Snowdens Postfach haben wollten, verfügte ein Gericht die Herausgabe von Lavabits SSL-Schlüssel – stattdessen machte der Betreiber sein Unternehmen lieber zu. Könnte so etwas auch Posteo passieren?

Die Löhrs haben da keine Sorgen: Die Rechtslage sei in Deutschland viel besser als in den USA. So gibt es hier keine Geheimgerichte und keine Schweigepflicht („gag order“): Posteo darf bekanntgeben, wie oft sich Behörden mit Auskunftsersuchen an sie gewandt haben – was sich das Unternehmen über den Wahlkreisabgeordneten Christian Ströbele von der Bundesregierung bestätigen ließ.

Und so veröffentlicht Posteo in seinem „Transparenzbericht“ jährlich Details zu den Behördenanfragen. 22 Mal fragte 2014 die deutsche Polizei nach Daten – 20 Mal bekam sie nichts. Nur bei einer Postfachbeschlagnahmung und einer Überwachung (TKÜ) erhielten die Beamten die gewünschten Daten.

In seinem Transparenzbericht erhebt Posteo aber auch schwere Vorwürfe gegen die Behörden: Die Beamten hätten die meisten ihrer Bestandsdatenersuchen unverschlüsselt per Mail an Posteo geschickt und damit gegen das Bundesdatenschutzgesetz verstoßen. Dabei gehe es um heikle Nachrichten à la „XY werden folgende Straftaten vorgeworfen“, verdeutlicht Sabrina Löhr.

Schlagabtausch mit dem Innenminister

Im Juli berichtete Posteo auch SPD-Fraktionschef Thomas Oppermann von diesen Erfahrungen mit den Polizeibehörden. Dieser hakte daraufhin bei Innenminister Thomas de Maizière nach. Anfang Oktober gestand der Minister, dass das BKA tatsächlich Auskunftsersuchen unverschlüsselt per Mail verschickt hatte. Das sei jedoch „die absolute Ausnahme“ und passiere nur, wenn der Anbieter keine Verschlüsselung beherrsche.

Diese Aussage des Ministers wies wiederum Posteo zurück: Natürlich könne man verschlüsselte Mails empfangen und habe die dafür nötigen Informationen veröffentlicht. Trotzdem habe das BKA bisher nur unverschlüsselt bei Posteo angefragt. Ein paar Tage danach ließ die Behörde sich plötzlich den PGP-Schlüssel von Posteo per Fax bestätigen. Offenbar hat die öffentliche Diskussion Wirkung gezeigt und die Beamten umdenken lassen.

Auch aus einem weiteren Grund hält Posteo viele Bestandsdatenersuchen für rechtswidrig: wegen der Frage nach der IP-Adresse eines Nutzers, die unter Richtervorbehalt steht.

Dieser ist allerdings kaum mehr als eine Formalität, wie die Recherchen zum Transparenzbericht ergaben. In Berlin, das als einziges Land eine entsprechende Statistik führt, lehnten die Richter seit 2008 keinen einzigen Beschluss ab, obwohl sich deren Anzahl verdreifacht hat. Besonders besorgniserregend finden die Posteo-Macher das vor dem Hintergrund der geplanten neuen Vorratsdatenspeicherung, die sich maßgeblich auf den Richtervorbehalt stützt. E-Mails haben einen ähnlichen Rechtsstatus wie Briefe und sind nach derzeitigem Stand von der Vorratsdatenspeicherung befreit, aber Sabrina Löhr rechnet mit einem Anstieg an Bestandsdatenabfragen, die das Unternehmen mit hohen Kosten belasten.

Aber haben die Posteo-Macher nicht langsam genug von E-Mail? Was ist mit Instant Messaging, Telefonie, Fax und all den anderen Arten zu kommunizieren? „Wir haben mit E-Mail erst mal noch genug zu tun“, wiegelt Patrik Löhr ab. Außerdem gelte für andere Kommunikationstechniken ein anderer Rechtsrahmen – mal müsse man Bestandsdaten erfassen, mal Überwachungsschnittstellen implementieren.

E-Mail ist für die Posteo-Macher immer noch „das Kommunikationsmedium“, ein weltweit verfügbarer, offener und dezentraler Standard. „Und die meisten, die die E-Mail für tot erklären“, sagt Patrik Löhr, „haben nur eine zu volle Inbox.“ (cwo@ct.de)

Ergänzungen & Berichtigungen

Der Artikel entspricht dem Stand der gedruckten c't. Folgende Änderung hat sich seitdem ergeben:

UPDATE

Anders als im Artikel dargestellt ist die Einführung von DANE bei den Portalen GMX und Web.de noch nicht abgeschlossen. "Den Rollout auf unseren Hauptdomains Web.de und GMX.NET planen wir für das erste Quartal 2016", teilte das Unternehmen mit. Aktuell teste man DANE mit einigen kleineren Mail-Domains.

Artikel kostenlos herunterladen

Anzeige