Posteo

Posteo
E-Mail: Grün, sicher, werbefrei
E-Mail-Anbieter
Sprachenüber 70
SitzBerlin, Deutschland Deutschland
BetreiberPosteo e. K.[1]
Benutzerüber. 500.000 Postfächer
(Stand 2022)[2]
Onlineseit 2009
(aktualisiert Aug. 2023)
https://posteo.de/

Posteo ist ein deutscher E-Mail-Anbieter mit Sitz in Berlin, dessen E-Mail-Dienst den Fokus auf Datenschutz und Verschlüsselung legt.[3] Neben dem grundsätzlich kostenpflichtigen und werbefreien Postfach bietet das Unternehmen auch eine gesicherte Kontaktverwaltung und einen Kalender an.

Einer breiten Öffentlichkeit wurde das Unternehmen 2013 bekannt, nachdem die Enthüllungen Edward Snowdens rund um die NSA-Überwachung eine Debatte über sichere E-Mail-Dienstleistungen und E-Mail-Verschlüsselung ausgelöst und der US-amerikanische Anbieter Lavabit geschlossen worden war.[4][5] Die Internetpräsenz von Posteo ist auf Deutsch, Englisch und Französisch verfügbar, die Webmail-Oberfläche bietet jedoch 70 Sprachen an.

2016 hatte Posteo weniger als 20 Mitarbeiter.[6] Im Jahr zuvor erreichte das Unternehmen eine Anzahl von etwa 100.000 Postfächern.[7] 2016 stieg die Anzahl der geführten Postfächer um rund 40 Prozent.[8] 2020 wurden von Posteo etwa 425.000 Postfächer, im Jahr 2021 etwa 490.000 Postfächer und im Jahr 2022 über 500.000 Postfächer betrieben.[9]

Datensparsamkeit und -sicherheit

Das Unternehmen wirbt mit konsequenter Datenvermeidung und Datensparsamkeit. Sowohl Anmeldung als auch Bezahlung sind anonym möglich, IP-Adressen von Nutzern werden nicht gespeichert.[10]

Die Datenübertragungen zwischen Kunden und dem Unternehmen sind durchgängig mit TLS verschlüsselt. Posteo unterstützt dabei, wie auch auf dem Transportweg zu anderen Anbietern, seit August 2013 die Verschlüsselungseigenschaft Perfect Forward Secrecy[11] – damals als einer der ersten deutschen Anbieter für alle E-Mail-Protokolle.[12] Perfect Forward Secrecy bedeutet, dass für jede Verbindung ein zufälliger, neuer Schlüssel erzeugt wird, mit dem dann die Verbindung verschlüsselt wird. Eine spätere Entschlüsselung abgegriffener Daten wird so verhindert. Zur Authentifizierung der Server setzt Posteo Extended-Validation-Zertifikate ein.[13] Seit Mai 2014 unterstützt Posteo das Verfahren DANE/TLSA (DNS-based Authentification of Name Entries) und schließt damit verschiedene Schwachstellen der TLS-Verschlüsselung, insbesondere beim Transport von Mails zwischen Posteo und anderen Anbietern, aus.[14][15] Um von der zusätzlichen Absicherung durch DANE auch bei Zugriffen mit dem Browser profitieren zu können, benötigt man ein entsprechendes Browser-Add-on. Alle Server von Posteo befinden sich in Deutschland, und deren Festplatten sind AES-verschlüsselt.[16] Seit Oktober 2015 nutzt Posteo die von Websites eingesetzte Technik HTTP Public Key Pinning, um die HTTPS-Verbindung des Webinterfaces zum Nutzer abzusichern.[17]

Seit November 2014 kann der Webmail-Zugang durch eine Zwei-Faktor-Authentisierung auf Basis des TOTP-Standards zusätzlich gesichert werden.[18][19] Um zu verhindern, dass dies durch Zugriffe von E-Mail-Programmen per IMAP, POP3 oder SMTP unterlaufen wird, können Kunden diese Zugriffe auf Wunsch sperren.[20] Seit Mai 2015 können Kunden optional einen Krypto-Mailspeicher aktivieren, sodass alle bei Posteo gespeicherten E-Mails individuell mit dem (salted) Passwort des Kunden verschlüsselt gespeichert werden.[21] Seit Juli 2016 können Kunden auf Wunsch die TLS-Versand-Garantie aktivieren, sodass ausgehende E-Mails nur dann an Server anderer Anbieter verschickt werden, falls eine verschlüsselte Verbindung möglich ist.[22] Seit August 2016 zeigt die Webmail-Oberfläche vor dem Versand von E-Mails an, ob der Transportweg durch DANE abgesichert ist.[23]

Das Unternehmen setzt auf offene Standards und freie Software, inklusive der auf der Website und im Webmailer verwendeten JavaScript-Codes.[24][25] Der Quelltext von Software, die Posteo mitentwickelt hat, ist unter Freien Lizenzen auf GitHub verfügbar.[26] Vor diesem Hintergrund hat Posteo die Initiative E-Mail made in Germany von Anfang an als geschlossene Insellösung kritisiert.[27][14]

Im Ende Mai 2017 veröffentlichten 26. Tätigkeitsbericht der Bundesdatenschutzbeauftragten Andrea Voßhoff wurde Posteo – ohne Nennung des Firmennamens – gelobt. Posteo habe „den Datenschutz […] wirklich beeindruckend umgesetzt“.[28] Gleichzeitig veröffentlichte Posteo den dieser Aussage zugrunde liegenden Prüfbericht, der Ende 2016 erstellt wurde. Gelobt werden darin u. a. der firmeninterne, unabhängige Datenschutzbeauftragte, der auch im Support arbeitet; das anonyme Zahlungssystem, durch welches Posteo „keine Bestandsdaten erhebt“; der Verzicht auf Speicherung von „auf Kunden beziehbaren IP-Adressen“ und die mehrschichtige Verschlüsselung. Allgemein berücksichtige Posteo „den Grundsatz der Datensparsamkeit sehr umfassend“.[6]

Das Bundesverfassungsgericht wies Ende Januar 2019 eine Verfassungsbeschwerde des E-Mail-Anbieters Posteo ab und entschied gegen die Praxis von Posteo, keine IP-Adressen zu speichern. Demnach muss ein E-Mail-Anbieter wie Posteo die IP-Adresse zum Zweck der Strafverfolgung erheben, sofern dies richterlich angeordnet wurde.[29]

Unterstützung für Ende-zu-Ende-Verschlüsselung

Seit Januar 2015 bietet das Unternehmen eine automatische Verschlüsselung eingegangener E-Mails wahlweise mit S/MIME oder PGP an. Dazu muss der Nutzer seinen öffentlichen S/MIME- bzw. PGP-Schlüssel an das Unternehmen übermitteln. Mit diesem wird dann jede E-Mail, nachdem sie angekommen ist, verschlüsselt. Eine echte Ende-zu-Ende-Verschlüsselung ersetzt dieses Verfahren nicht, da E-Mails erst nachdem sie auf den Posteo-Servern angekommen sind, verschlüsselt werden, und nicht schon beim Absender.[30] Posteo kann daher auch E-Mails bei aktivierter Eingangs-Verschlüsselung z. B. auf Spam überprüfen.

Ende Dezember 2015 veröffentlichte das Unternehmen ein Open-Source-Plug-in[31] für die bei ihnen verwendete Mail-Web-Oberfläche Roundcube, das die PGP-Verschlüsselung in Verbindung mit dem Browser-Add-on Mailvelope erleichtert. Dabei werden u. a. öffentliche Schlüssel, die von Posteo-Servern aus unterschiedlichen Quellen (Schlüsselserver, im DNS als OPENPGPKEY) bezogen werden, abgefragt und zum Import angeboten.[32] Private Schlüssel, Klartext-Nachrichten und kryptographische Operationen bleiben dabei immer in der Kontrolle des Nutzers. Verschlüsselungslösungen, bei denen E-Mail-Anbieter hierfür serverseitige Unterstützung anbieten, lehnt Posteo als prinzipiell unsicher strikt ab.[33]

Transparenzbericht

Im Mai 2014 legte das Unternehmen als erster deutscher E-Mail-Dienst einen Transparenzbericht zu Ermittlungs- und Observationsvorgängen vor. In diesem schreibt das Unternehmen, dass es im Jahr 2013 sieben Anfragen von Strafverfolgungsbehörden erhalten habe, von denen zwei formal korrekt gewesen seien. Auf politischer Seite wurde das Unternehmen dabei unter anderem von Hans-Christian Ströbele und Christian Lange unterstützt.[34][35]

Im Juli 2013 hatten Beamte des Staatsschutzes die Geschäftsräume durchsucht. Laut dem Unternehmen hatten die Beamten versucht, das Unternehmen „zu einer rechtswidrigen Kooperation und zur Herausgabe von Daten zu nötigen“. Daraufhin erstattete das Unternehmen Strafanzeige gegen die beteiligten Kriminalbeamten. Laut Unternehmen gaben die Polizisten an, einen Beschluss zur Durchsuchung und Beschlagnahmung der gesamten Geschäftsunterlagen zu haben, hätten aber tatsächlich nur einen Beschluss zur Herausgabe eines einzigen Blattes Papier gehabt. Die Kriminalpolizei wollte, dass das Unternehmen ein Skript programmiert, das dokumentiert hätte, mit welchen IP-Adressen Posteo-Nutzer beim Anmelden auf ihre E-Mails zugreifen. Mit diesem Skript wäre es möglich gewesen, in Erfahrung zu bringen, welche E-Mail-Adressen zu den der Polizei bekannten IP-Adressen gehören.[35]

Im August 2015 veröffentlichte das Unternehmen den Transparenzbericht für 2014, erstmals mit geschwärzten Schreiben der Ermittlungsbehörden und Schwerpunktthemen zur manuellen Bestandsdatenauskunft nach § 113 TKG, zur öffentlichen Kontrolle der Auskunftsverfahren nach § 113 und § 112 TKG und zur Praxis des Richtervorbehalts.[36][37]

Der Transparenzbericht für 2016 (veröffentlicht im Januar 2017) stellt fest, dass die Zahl der Behördenanfragen von 48 (2015) auf 35 (2016) zurückgegangen ist, während immer noch etwa die Hälfte der Anfragen nicht formal korrekt gestellt und deshalb negativ beantwortet sowie bei den jeweils zuständigen Datenschutzbeauftragten beanstandet wurden.[38]

Dem Transparenzbericht für das Jahr 2017 zufolge stieg die Zahl der Behördenanfragen erneut auf 48 (Stand von 2015). Da sich die Anzahl der Postfächer seitdem allerdings verdoppelt hat, sei die Anfragequote pro Postfach stark rückläufig, argumentiert Posteo.[39]

Sonstiges

Nachhaltigkeit

Zur Energieversorgung nutzt das Unternehmen „echten Ökostrom von Greenpeace Energy“ und legt Gelder nach eigenen Angaben nur bei der GLS Gemeinschaftsbank und der Umweltbank an. Überdies bemüht sich Posteo um interne nachhaltige Mobilität, Ernährung und Materialien. Außerdem spendet das Unternehmen nach eigenen Angaben regelmäßig unter anderem an „im Umweltschutz tätige“ Nichtregierungsorganisationen (NGOs). Für Posteo-Nutzer besteht bei Kündigung des Postfaches die Möglichkeit, das Restguthaben ebenfalls an eine NGO spenden zu lassen.[40] Posteo macht auf seiner Webseite transparent, wen es unterstützt und welcher Betrag pro Jahr insgesamt gespendet wurde.[41]

Spam-Ordner

Posteo verwendet einen Spamfilter, der vom Nutzer nicht deaktiviert werden kann.[42] Einzig das Anlegen zusätzlicher weißer Listen ist möglich. Wird eine E-Mail vom globalen Filter als Spam eingestuft, so wird Posteo ihre Annahme verweigern. Anfangs wurde der Inhaber des Postfachs darüber nicht informiert und konnte daher unter Umständen niemals erfahren, für wen er nicht erreichbar ist. Seit Oktober 2023 kann der Nutzer jedoch seinen Spam-Ordner anzeigen lassen und somit alle mit Spam gekennzeichneten E-Mails lesen. Des Weiteren kann als Mittelweg der Spam-Log aktiviert werden, wobei der Spam-Ordner nicht angezeigt wird und stattdessen jede Ablehnung dokumentiert wird. Die Dokumentation enthält jeweils Angaben zu Absender, Datum, Uhrzeit und ggf. Betreff der abgelehnten E-Mail und wird in Echtzeit angelegt.[43] Informiert wird auch der Absender, so dass dieser stärker in die Verantwortung genommen wird, einen fehlerfreien Mailversand sicherzustellen.

Testergebnisse und Auseinandersetzung mit der Stiftung Warentest

Aus den Tests der Stiftung Warentest in den test-Ausgaben vom Februar 2015[44][45] sowie Oktober 2016[46][47] ging Posteo – jeweils punktgleich mit dem Konkurrenten Mailbox.org – als Testsieger hervor.[48][49] Nach Erscheinen des Tests vom Februar 2015 beschwerte sich Posteo dennoch bei der Stiftung Warentest – sowohl über die Testkriterien als auch über Fehler im begleitenden Artikel.[50][51] Letztere gestand die Stiftung Warentest ein, stoppte den Direktvertrieb des Heftes zwischenzeitlich und legte eine Korrekturseite bei. Auch online[52] und im nachfolgenden Heft[53] erschienen Richtigstellungen.[54][55][56]

Beim Test im Jahr 2016 veröffentlichte das Unternehmen schon vor Erscheinen des Tests einen Blogeintrag, in dem es Fehler in der erhaltenen Vorabversion kritisierte. Als Begründung für die frühzeitige Veröffentlichung wurde angegeben, dass Stiftung Warentest auf Anfragen von Posteo nicht geantwortet habe. Außerdem kritisierte Posteo, dass viele Sicherheits-Features, die bei Posteo genutzt würden, im Test nicht betrachtet worden seien.[57] Nach Veröffentlichung des Testergebnisses zog Posteo seine Kritik größtenteils zurück, da die beanstandeten Mängel in der Anbieter-Vorab-Information nicht in die Endfassung Eingang gefunden hatten.[48] Weiterhin betonte Posteo jedoch, dass einige Sicherheitsfunktionen, die Posteo bietet, vom Test nicht berücksichtigt worden seien.[58]

Weblinks

Einzelnachweise

  1. Impressum. Posteo, abgerufen am 16. August 2023.
  2. Posteo Transparenzbericht. In: posteo.de. Abgerufen am 6. Juli 2023.
  3. Innovative Verschlüsselung für alle. In: posteo.de. Abgerufen am 13. Dezember 2015.
  4. Svenja Bergt: Datenschutz in Unternehmen: Werbung wichtiger als Privatsphäre. In: taz.de. 1. August 2013, abgerufen am 2. September 2013.
  5. Christof Kerkmann: USA machen Druck: Verschlüsselungsdienste geben auf. In: handelsblatt.com. 9. August 2013, abgerufen am 2. September 2013.
  6. a b Andrea Voßhoff: Beratungs- und Kontrollbesuch E-Mail Posteo. Hrsg.: Bundesbeauftragte für Datenschutz und Informationsfreiheit. 30. Dezember 2016 (posteo.de [PDF]).
  7. Marcus Engert: Gute Nachrichten: Posteo – ein grüner und sicherer Mailanbieter. Posteo: der bessere Mail-Anbieter? In: detektor.fm Digital. 26. März 2015, abgerufen am 3. April 2015.
  8. Transparenzbericht: Behördenanfragen bei Posteo deutlich gesunken. In: posteo.de. 9. Januar 2017, abgerufen am 29. Dezember 2017.
  9. Posteo Transparenzbericht. In: posteo.de. Abgerufen am 6. Juli 2023.
  10. Posteo. Hintergrund-Ino – Maximaler Datenschutz. Posteo e.K., Berlin, abgerufen am 30. September 2016.
  11. “Perfect Forward Secrecy” bei Posteo. Posteo e.K., Berlin, 12. August 2013, abgerufen am 11. September 2013.
  12. Jürgen Schmidt: Verschlüsselung bei Mail in Germany ungenügend. In: Heise News. 13. August 2013, abgerufen am 16. Oktober 2015: „Überzeugt hat hingegen Posteo. Der kleine E-Mail-Provider bot als einziger deutscher E-Mail-Dienst Verschlüsselung mit Forward Secrecy für alle Mail-Protokolle.“
  13. Unser neues, erweitertes Zertifikat ist installiert. Posteo e.K., Berlin, 17. April 2014, abgerufen am 30. September 2016.
  14. a b Posteo unterstützt DANE/TLSA. Posteo e.K., Berlin, 12. Mai 2014, abgerufen am 30. September 2016.
  15. Dusan Zivadinovic: Verschlüsselter Mail-Transport: Posteo setzt als erster Provider DANE ein. In: Heise News. 12. Mai 2014, abgerufen am 30. September 2016.
  16. Andrea Bernard: Posteo: ein Berliner E-Mail-Anbieter als Alternative zu Gmail & Co. Bei Posteo steht der Datenschutz im Vordergrund. In: akademie.de. 20. August 2013, abgerufen am 2. September 2013.
  17. Jürgen Schmidt: Posteo testet Certificate Pinning. In: heise Security. 16. Oktober 2015, abgerufen am 13. Dezember 2015.
  18. Neu: Zwei-Faktor-Authentifizierung im Webmailer. Posteo e.K., Berlin, 12. November 2014, abgerufen am 12. November 2014.
  19. Was ist die Zwei-Faktor-Authentifizierung und wie richte ich sie ein? Posteo e.K., Berlin, abgerufen am 1. Oktober 2016.
  20. Wie aktiviere ich den zusätzlichen Postfachschutz? Posteo e.K., Berlin, abgerufen am 10. Oktober 2016.
  21. Krypto-Mailspeicher für alle Kunden verfügbar. Posteo e.K., Berlin, 29. Mai 2015, abgerufen am 30. September 2016.
  22. Neu: TLS-Versand-Garantie für mehr Sicherheit. Posteo e.K., Berlin, 13. Juli 2016, abgerufen am 30. September 2016.
  23. Neu: Webmailer zeigt Server mit höchster Versandsicherheit an. Posteo e.K., Berlin, 18. August 2016, abgerufen am 30. September 2016.
  24. Posteo. Das Postfach – alle Leistungen. Posteo e.K., Berlin, abgerufen am 30. September 2016: „Unser Angebot setzt aus Sicherheitsgründen ausschließlich auf Open-Source-Software und freie Protokolle. Auch verwenden wir ausschließlich Javascript, dessen Code Open-Source ist.“
  25. Zak Rogoff: FSF JavaScript guidelines picked up by Posteo Webmail. Free Software Foundation, 6. Februar 2015, abgerufen am 30. September 2016 (englisch).
  26. Posteo auf GitHub. Abgerufen am 30. September 2016 (englisch).
  27. Endlich: Verbindungsverschlüsselung auch bei anderen Mailanbietern. Posteo e.K., Berlin, 9. August 2013, abgerufen am 30. September 2016.
  28. „Datenschutz wirklich beeindruckend umgesetzt“: Bundesdatenschutzbeauftragte über Posteo. In: posteo.de. 30. Mai 2017, abgerufen am 31. Mai 2017.
  29. Zum Überwachen gezwungen. Ermittler wollten von Posteo IP‑Adressen. Der Mailanbieter speichert die Daten nicht. Muss er aber, meint das Bundesverfassungsgericht. In: taz.de. 2. Februar 2019, abgerufen am 15. Februar 2019.
  30. Neue Angebote zu Ende-zu-Ende-Verschlüsselung. 28. Januar 2015, abgerufen am 8. Februar 2015.
  31. posteo/mailvelope_client. In: GitHub. Abgerufen am 28. Dezember 2015.
  32. Neu: Posteo-Webmailer findet Schlüssel automatisch. Posteo e.K., 22. Dezember 2015, abgerufen am 28. Dezember 2015.
  33. Update: Unsere Vorabinformation zum neuen Test der Stiftung Warentest. In: posteo.de/blog. 26. September 2016, abgerufen am 30. September 2016 (mit Änderungen vom 28. September 2016).
  34. Stefan Mey: Transparenzbericht und Ermittlungsskandal: Maildienst Posteo geht in die Offensive. In: Heise News. 5. Mai 2014, abgerufen am 16. Oktober 2015.
  35. a b Transparenzbericht 2013. Posteo e.K., 5. Mai 2014, abgerufen am 16. Oktober 2015.
  36. Transparenzbericht 2014. Posteo e.K., 20. August 2015, abgerufen am 16. Oktober 2015.
  37. Maximiliane Koschyk: E-Mail-Firma kritisiert Ermittler. Deutsche Welle, 7. September 2015, abgerufen am 16. Oktober 2015.
  38. Transparenzbericht: Behördenanfragen bei Posteo deutlich gesunken. Abgerufen am 10. April 2017.
  39. Transparenzbericht 2017: Posteo fordert Verpflichtung für TK-Anbieter. posteo.de/blog, 17. Januar 2018, abgerufen am 12. Februar 2018.
  40. Posteo. Hintergrund-Info – Konsequente Nachhaltigkeit. Posteo e.K., Berlin, abgerufen am 13. Dezember 2015.
  41. Posteo. Über uns – Wen wir unterstützen. Posteo e.K., Berlin, abgerufen am 30. September 2016.
  42. Wie funktioniert der Posteo-Spamfilter? Abgerufen am 16. Oktober 2018.
  43. E-Mail grün, sicher, einfach und werbefrei - posteo.de - Neu bei Posteo: Optionaler Spam-Ordner und Spam-Log. Abgerufen am 21. November 2023.
  44. Nur einer liest nicht mit: Mail-Dienste. In: Stiftung Warentest (Hrsg.): test. Band 02/2015. Stiftung Warentest, Berlin Januar 2015, S. 32–37 (Titel musste für die Online-Ausgabe später richtiggestellt werden in „E-Mail-Provider: Mail-Dienste sehen alles“).
  45. E-Mail-Provider: Mail-Dienste sehen alles. In: test.de. Stiftung Warentest, 12. Februar 2015, abgerufen am 30. September 2016.
  46. Sicher mailen: E-Mail-Dienste. In: Stiftung Warentest (Hrsg.): test. Band 10/2016. Stiftung Warentest, Berlin 30. September 2016, S. 52–57.
  47. E-Mail-Dienste: Sehr guter Schutz nur bei kleinen Anbietern. In: test.de. Stiftung Warentest, 28. September 2016, abgerufen am 30. September 2016.
  48. a b Patrick Beuth: Verschlüsselung: Stiftung Warentest lobt Posteo und mailbox.org. In: Zeit Online. 28. September 2016, abgerufen am 30. September 2016.
  49. Markus Reuter: Stiftung Warentest testet Mailprovider: Mailbox.org und Posteo gewinnen, Googles Gmail wird Letzter. netzpolitik.org, 28. September 2016, abgerufen am 30. September 2016.
  50. Richtigstellungen zu Stiftung Warentest. Update3. In: posteo.de/blog. Posteo e.K., Berlin, 29. Januar 2015, abgerufen am 30. September 2016 (mit Änderungen vom 30. Januar 2015).
  51. Stiftung Warentest: Weitere Richtigstellungen. In: posteo.de/blog. 3. Februar 2015, abgerufen am 30. September 2016.
  52. E-Mail-Provider: Mail-Dienste sehen alles – Details zur Korrektur. In: test.de. Stiftung Warentest, 12. Februar 2015, abgerufen am 3. Oktober 2016.
  53. E-Mail-Dienste. Korrektur. In: Stiftung Warentest (Hrsg.): test. Band 03/2015. Stiftung Warentest, März 2015, ISSN 0040-3946, S. 27.
  54. Update: Stiftung Warentest korrigiert Test-Artikel. In: posteo.de/blog. 4. Februar 2015, abgerufen am 30. September 2016.
  55. E-Mail-Test: Stiftung Warentest stoppt Heftverkauf. In: golem.de. 13. Februar 2015, abgerufen am 30. September 2016.
  56. Lisa Hegemann: Was wurde eigentlich aus… Posteo und dem Streit mit Stiftung Warentest? In: Wirtschaftswoche. 26. Dezember 2015, abgerufen am 30. September 2016.
  57. Update: Unsere Vorabinformation zum neuen Test der Stiftung Warentest. In: posteo.de/blog. 26. September 2016, abgerufen am 3. Oktober 2016 (mit Änderungen vom 28. September 2016).
  58. (Update) Unsere Vorabinformation zum neuen Test der Stiftung Warentest. 26. September 2016, abgerufen am 10. April 2017.

Auf dieser Seite verwendete Medien