Überwachung

Lavabit: E-Mail-Anbieter stellt sich gegen US-Behörden und schließt seine Pforten

Der US-amerikanische E-Mailanbieter Lavabit schließt mit sofortiger Wirkung, wie der Betreiber Ladar Levison auf der Webseite mitteilt. Lavabit war ein verschlüsselter E-Mailanbieter der damit warb, „niemals die Privatsphäre seiner Nutzer für Profit zu opfern“. Bekanntheit erlangte der Anbieter in jüngster Zeit, als öffentlich wurde, dass Edward Snowden ein Nutzer von Lavabit sei. Auch wenn die genauen Umstände der Schließung nicht bekannt sind, scheinen US-Behörden Druck auf Lavabit ausgeübt zu haben, Daten der Nutzer auszuhändigen. Um die Privatsphäre seiner Nutzer nicht zu gefährden, hat Levison nun entschieden den Dienst zu schließen.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Dass Ladar Levison diese Entscheidung keineswegs leicht gefallen ist, zeigt eine letzte Nachricht die er auf der Seite veröffentlicht hat:

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit.

Zur Zeit ist es Levison nicht gestattet über die genauen Umstände Auskunft zu geben, wie er weiter schreibt.

I wish that I could legally share with you the events that led to my decision. I cannot. I feel you deserve to know what’s going on–the first amendment is supposed to guarantee me the freedom to speak out in situations like this. Unfortunately, Congress has passed laws that say otherwise. As things currently stand, I cannot share my experiences over the last six weeks, even though I have twice made the appropriate requests.


Abschließend äußerte Levison noch die eindringlichee Empfehlung keinem Unternehmen mit SItz in den USA seine privaten Daten anzuvertrauen, solange keine starken Gesetze verabschiedet wurden:

This experience has taught me one very important lesson: without congressional action or a strong judicial precedent, I would _strongly_ recommend against anyone trusting their private data to a company with physical ties to the United States.

Dieses Beispiel zeigt deutlich, dass der Macht der amerikanischen Behörden nicht viel entgegen gesetzt werden kann. Auch die besten Absichten und Motivationen sind auf Grund der Allmacht der Geheimdienste und Polizeibehörden wenig wert. Schwache Datenschutzgesetze, welche private Daten der Nutzer eigentlich vor unbefugten Zugriffen schützen sollten, sind in den USA schlicht nicht vorhanden. Die Electronic Frontier Foundation hebt allerdings auch hervor, dass die Schließung von Lavabit ein ganz seltener Fall sei, in dem ein amerikanischer Anbieter tatsächlich seinen Dienst zum Schutz seiner Nutzer einstellt, anstatt den Forderungen von Behörden nachzukommen. Von der Schließung sind rund 400.000 Nutzer direkt betroffen, die nun keinen Zugang mehr zu ihren Mails haben. Lavabit sammelt nun Geld über Paypal um vor Gericht gegen die Herausgabe der Daten vorgehen zu können.

Lavabit ist nicht der einzige E-Mailanbieter der seine Pforten schließt. Auch der amerikanische E-Mailanbieter Silent Circle hat sich entschieden seinen Dienst zu schließen. Wie die Betreiber in einer Mitteilung an seine Nutzer mitteilt, sei auch die Schließung von Lavabit ein Grund den eigenen Dienst einzustellen:

Today, another secure email provider, Lavabit, shut down their system lest they “be complicit in crimes against the American people.” We see the writing the wall, and we have decided that it is best for us to shut down Silent Mail now. We have not received subpoenas, warrants, security letters, or anything else by any government, and this is why we are acting now.

Und auch die Betreiber von Cryptocat, einer Anwendung zum verschlüsselten Kommunizieren über den Browser, haben bereits über Twitter angekündigt den Behörden nicht helfen zu wollen und notfalls den Service einzustellen.

Der große Frage lautet jetzt: Welchen Mailanbietern kann noch vertraut werden? Die großen und bekannten amerikanischen Anbieter wie Googles Gmail, Microsofts Outlook oder Yahoo! Mail dürften von vorneherein ausgeschlossen sein. Auch die bekannten deutschen Anbieter wie GMX und web.de sind vermutlich nicht empfehlenswert. Ein deutscher Anbieter mit einem guten Ruf, mit einem Fokus auf Anonymität und Datenschutz ist posteo. Auch der schweizer Anbieter myKolab ist vielleicht eine Alternative. Wer aber tatsächlich die volle Kontrolle über seine Daten behalten möchte, kommt nicht darum herum seinen eigenen Mailserver zu betreiben. Eine einfache Möglichkeit hierfür könnte das erst kürzlich vorgestellte Client Mailpile sein. Über weitere Empfehlungen zu sicheren Mailanbietern freuen wir uns in den Kommentaren.

Weitersagen und Unterstützen. Danke!
24 Kommentare
  1. ich wollte mich gerade eben gestern bei Lavabit anmelden, als ich die Nachricht gelesen habe. Und es stellte sich heraus, dass die völlig weg waren.

  2. Was sagt uns das? Verschlüsselung wirkt!
    Meine Empfehlung wäreBitmessage, dass erscheint mir vom Ansatz her immer noch am sichersten, da auch die Metadaten verschlüsselt sind und durch die Dezentralität des Netzwerks keine Gefahr besteht, wenn Server abgeschaltet oder konfisziert werden.

    1. @DerNachfragBär:

      Ja, Verschlüsselung wirkt, aber nur, wenn man sie von A bis Z kontrolliert, was nicht möglich ist …

      Die Sicherheit von Bitmessage kann ich nicht beurteilen. Aber sollte Bitmessage relevant sein oder werden, muss man davon ausgehen, dass es nicht so sicher ist wie man gerne hätte. Und praktisch gesehen ist Bitmessage ziemlich mühsam mit all den verschlüsselten Metadaten.

      1. Und praktisch gesehen ist Bitmessage ziemlich mühsam mit all den verschlüsselten Metadaten.

        Bei Bitmessage bekommst du von einer Verschlüsselung rein gar nichts mit, das läuft für den Nutzer transparent. Es gibt auch kein Hantieren mit Schlüsseln wie bei PGP.

        Probier es einfach mal aus und sende mir dein Lieblingskochrezept an BM-GtTLm1ZMRQVpYJhYBWMPBycEBKm8povM
        Wenn du Hilfe benötigst, wende dich an die auf der Projektseite unten angegebenen Foren oder hinterlasse mir eine Kontaktmöglichkeit.

        Disclaimer: Bitmessage ist ein junges Projekt, wird in der Zukunft (um Skalierbrkeit sicherzustellen) noch einige Protokolländerungen erfahren und benötigt mehr Helfer, die zum Beispiel eine nutzerfreundlichere Oberfläche für Bitmessage entwickeln.

  3. Angesichts dessen was man über die privilegierte Stellung der NSA in Deutschland weiss und was man noch vermutet ist Hosting in Deutschland vermutlich auch nicht zu empfehlen…

  4. Vorsicht mit Empfehlungen für MyKolab und so weiter – diese Anbieter können zu Recht versprechen, Datenschutz zu priorisieren, aber sie können keinen Schutz gegen Überwachung versprechen. Gerade auch in der Schweiz gab es bereits mindestens ein Urteil gegen einen Anbieter, weil er keine Logdateien geführt hatte … und die Schweiz ist gerade daran, ihren eigenen Überwachungsstaat massiv auszubauen.

    1. Vorsicht mit Empfehlungen …

      Richtig!
      Die Veröffentlichung von lavabit als Snowdens provider war schließlich auch eine „Empfehlung“ (s. sprunghafter Anstieg von 350k auf 400k user in wenigen Tagen).

      Wer mit seiner „Lösung“ zufrieden ist sollte sie für sich behalten!

    2. Gerade Lavabit hat gezeigt, dass der Ort des Hostings die Technologie und auch die Kryptografie problemlos übertrifft.

      Die Schweiz ist in Hinsicht Datenhosting um ein Vielfaches stärker als Deutschland & Co. Insbesondere gibt es keine Überwachung ohne richterliche Anordnung und Dokumentation. Und wer von Zugriffen ohne derartige richterliche Massnahmen auch nur Kenntnis erlangt und dann nicht handelt setzt sich dem Risiko von saftigen Gefängnisstrafen aus.

      Interessanterweise sind das dieselben Paragraphen wie das Bankgeheimnis. Aber anders als das Bankgeheimnis ist das Datengeheimnis in der Schweiz noch intakt.

      Und ja, das bedeutet nicht, dass es keine Strafverfolgung geben kann oder dass es keine Massnahmen geben kann. Nur: In der gesamten Schweiz gab es im letzten Jahr gerade mal 20 Fälle von Live-Internet Überwachung. Und davon war vermutlich keiner für Email.

      Nur Island ist in der Hinsicht noch ähnlich stark.

      Insofern schaue man bei der Wahl vermutlich zuerst auf das Land und die anwendbaren Gesetze.

      1. Georg, da muss ich dir leider widersprechen. Die Internetüberwachung in der Schweiz ist sehr weit fortgeschritten, mit Vorratsdatenspeicherung und Co. Und das neue Überwachungsgesetz, was voraussichtlich wohl recht problemlos verabschiedet werden wird lässt einem die Haare zu Berge stehen: Staatstrojaner, systematische E-Mail-Überwachung, Verpflichtung, dem Geheimdienst zur Überwachung Zugriff auf das eigene Netzwerk zu ermöglichen… Bei dem, was in der Neufassung des Gesetzes steht kann man keines Falls von einem „sicheren Hafen“ in der Schweiz sprechen. Voll Auflistung hier: http://www.buepf.ch

      2. @Jens: Der Unterschied zwischen Gesetzen und Entwürfen sollte klar sein. Die Seite die Du zitierst ist Widerstand gegen einen Gesetzentwurf. Dass der so wie dargestellt durchkommt ist eher unwahrscheinlich.

        Und selbst wenn er durch käme wäre die Überwachung noch sehr viel eingeschränkter und stärker demokratisch kontrolliert als in Deutschland.

  5. @leid: Wie bekannt wurde sind die Inhalte vorsichtshalber ALLE gelöscht worden.

    Startmail klingt interessant, insbesondere weil sie bereits mit ihrer Suchmaschine ixquick.de seit einigen Jahren aktiv sind. Problematisch ist nur: Servertests finden hierzu in den USA statt. Warum USA?

    Es ist ziemlich scheinheilig, was nun die Firma United Internet AG (die auch bekannt ist für ihre dubiosen Zwänge inden Web.de-Club, ihre Attacke auf Webseitenkommentare und der Datenweitergabe und -analyse bzgl. Werbefirmen) sowie die deutsche Telekom betrifft.

    Ist es doch die Deutsche Telekom u.a. auch in den USA gewesen und hier für „Datenschutz“ bekannt. Eine Frage der Zeit, wann sie wieder als erneute Wiederholungstäter im projekt-datenschutz.de aufgelistete werden.

    Die Politik muss was tun* – dies gilt nicht nur für Herrn Friedrich, der Verschlüsselung empfiehlt:http://www.piratenpartei.de/2013/07/17/bundesinnenminister-friedrich-ladt-burger-zur-kryptopartys-der-piraten-ein

    *klärt jedoch nicht einmal auf und weist nur gegenseitig die Schuld auf den Anderen, unabhängig wodurch Wirtschaftsspionage betrieben wird ( Echelon bis und nach 2001, ferngesteuert auch nach Abbau im Jahre 2004, Dagger Komplex ab 2004, PRISM, Tempora mindestens seit 2007 … ).

    Alternativen wie posteo.de und AikQ müssen geschützt werden und dürfen nur nach richterlichem Beschluss Daten herausgeben. http://www.pcgames.de/Datenschutz-Thema-255522/GNews/Prism-Alternativen-wie-DuckDuckGo-fuer-Datenschutzbewusste-1077263

    Dieser Zugriff sollte zudem transparent veröffentlicht werden, wann welche Beschlüsse vorbereitet und genutzt wurden.

    Wenn der Datenschutz nicht konsequenter geschützt wird, ist auch die Freiheit und Sicherheit nicht geschützt. Schwere Geschütze sind bereits in den USA aufgefahren – neben dem Kampf der Verschlüsselungsdiensten auch die Bekämpfung der Journalisten-Unabhängigkeit: http://www.hintergrund.de/201307242713/politik/welt/us-gericht-journalisten-muessen-quellen-preisgeben.html

  6. Man könnte seinen Firmensitz ja auch in ein Land legen, wo die US-Behörden nicht so einfach hinkommen, bei Steuerhinterziehung funktioniert das doch auch wunderbar. Nur sollte man dann vermutlich nicht mehr in den USA wohnen, was allerdings auch jetzt vielleicht keine so gute Idee wäre, da sie ja mit den US-Behörden nicht kooperieren wollen.

  7. und welchen provider kann man nun relativ bedenkenlos empfehlen?

    ist posteo nicht bedenklich alleine wegen seines server- und unternehmensstandortes???

    1. Habe ich mich auch schon gefragt.

      Die Server stehen laut Posteo im Frankfurter Raum. Also da wo die NSA in Deutschland massenweise Daten abgreift. Obwohl das wohl überall in Deutschland möglich ist und geschieht.

      Der Standort des Unternehmens ist Berlin. Wie wird dann der Zugang zu den Servern im Notfall geregelt? Haben unter Umständen nicht nur Posteo Mitarbeiter Zugang? Damit weiss Posteo dann aber auch nicht, was dort vor Ort passiert.

      Weiss jemand mehr?

      1. genau das würde ich auch gerne wissen.

        ich glaube, dass sich damit wirklich nur sehr wenige leute auskennen und diese es nicht für nötig erachten dem ottonormalverbraucher zu helfen.

        auf jedem großer nachrichtenseite steht aktuell etwas zu dem überwachungsskandal, aber einem sagen wie man sich wirklich schützt kann auch keiner.

        das mit dem eigenen mailserver ist ja schön und gut, aber wenn man sich damit nicht auskennt kann man damit mehr schaden anrichten als man denkt. neben dem zugriff auf die persönlichen daten ist man auch haftbar für den server. wenn jemand den server hackt und dumme sachen anstellt – und man es nicht merkt – ist die kacke am dampfen.
        daher finde ich, dass dies keine lösung für die breite masse ist.

  8. Und wieso zieht der Dienst nicht in ein anderes Land oder verlegt sein Impressum dahin ? Dann wären die doch nicht mehr an das Ami Recht gebunden …

  9. Also ich nutzte Lavabit seit Jahren als meine Hauptadresse, für mich klang deren Unternehmensphilosophie und das Angebot E-Mails auf deren Servern so zu verschlüsseln, dass die selbst die nicht mehr lesen konnten, damals sehr interessant (wobei letzteres nur für Premiummitglieder ging).

    Bin jetzt fürs erste schnell auf einen der großen deutschen Anbieter umgestiegen, um überhaupt wieder erreichbar zu sein und bei Ebay und Co. eine neue Adresse angeben zu können.

    Würde aber schon gerne wieder einen Service nutzen, wo mehr wert auf Datenschutz gelegt wird und am besten auch in einer Form, wo die wie bei Lavabit alles tun, um selbst nicht an die E-Mails zu kommen.

    Posteo klingt von der Philosophie her gut, aber ich lese da nichts davon, dass wie bei Lavabit die E-Mails mit dem Userpasswort verschlüsselt werden, weiß jemand, ob die so was haben?

    Secure-Mail-biz klingt hier interessant, aber da finden sich viele Nachrichten von technischen Problemen und Ende 2012 bis vor wenigen Monaten waren die komplett offline. Nutzt den Dienst jemand und läuft der jetzt zuverlässig?

    Und ja, GPG und Co. sind viel besser, doch lassen sich eben nicht alle davon überzeugen das zu nutzen und ich möchte auch, dass alles was sich so an Newslettern oder E-Mails von Einkäufen so sicher wie möglich aufgehoben ist ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.