privacy · it-sicherheit · digitale freiheit · unabhängig keine werbung · keine affiliates · finanziert durch leser
← zurück
2026-04-17 · e-mailverschlüsselungkommunikationtools
E-MAIL IST KAPUTT. UND NIEMAND REDET DARÜBER.
warum das älteste digitale kommunikationsmedium strukturell unsicher ist — und welche alternativen es gibt.

e-mail wurde 1971 erfunden. das protokoll dahinter — smtp — stammt aus den frühen 1980er jahren. es wurde in einer zeit entworfen, in der das internet ein kleines netz akademischer einrichtungen war und sicherheit keine rolle spielte.

seitdem ist das netz gewachsen. das protokoll blieb.

was mit jeder e-mail passiert

eine e-mail, die von einem gmail-konto zu einem anderen gmail-konto geschickt wird, verlässt google nie. sie läuft über google-server, wird von google analysiert, und landet auf google-servern. google kann sie lesen. google liest sie.

eine e-mail zwischen verschiedenen anbietern ist komplizierter. sie geht vom absender-server zum empfänger-server — über eine verbindung, die idealerweise mit tls verschlüsselt ist. tls schützt den transport. nicht den inhalt auf den servern.

das bedeutet: die e-mail liegt unverschlüsselt auf dem server des absenders und auf dem server des empfängers. beide anbieter können sie lesen. behörden können mit entsprechender anfrage auf sie zugreifen. bei einem datenleck sind sie öffentlich.

tls löst ein teilproblem. das grundproblem bleibt.

was pgp ist und warum es scheitert

pgp — pretty good privacy — ist eine ende-zu-ende-verschlüsselung für e-mails. es existiert seit 1991. es ist technisch solide. es ist in der praxis weitgehend gescheitert.

der grund ist kein technischer. es ist ein usability-problem.

pgp erfordert, dass absender und empfänger beide pgp nutzen. beide müssen schlüssel erzeugen, verwalten und austauschen. beide müssen verstehen wie das system funktioniert. beides ist für normale nutzer eine hürde, die die meisten nicht nehmen.

das ergebnis: pgp wird von sicherheitsforschern, journalisten und technikern genutzt. von der masse nicht.

eine verschlüsselung die nicht genutzt wird, schützt nichts.

was protonmail macht und was nicht

protonmail ist der bekannteste versuch, e-mail-verschlüsselung für normale nutzer zugänglich zu machen. protonmail verschlüsselt e-mails ende-zu-ende — aber nur zwischen protonmail-nutzern.

eine e-mail von protonmail an gmail läuft unverschlüsselt — oder mit optionalem passwortschutz, was praktisch selten genutzt wird.

das ist kein versagen von protonmail. es ist eine eigenschaft des e-mail-protokolls. interoperabilität und ende-zu-ende-verschlüsselung sind schwer zu vereinbaren, wenn die gegenseite kein verschlüsselungssystem unterstützt.

was protonmail besser macht als gmail: keine inhaltsanalyse für werbung. schweizerisches recht mit höherem schutz vor ausländischen behördenanfragen. verschlüsselung der gespeicherten mails auf protonmail-servern — mit schlüsseln, auf die protonmail keinen zugriff hat.

was protonmail nicht ändert: die strukturellen schwächen des e-mail-protokolls.

was die metadaten verraten

selbst wenn inhalte verschlüsselt wären — was sie in den meisten fällen nicht sind — bleiben metadaten sichtbar.

wer schreibt wann an wen. wie oft. wie lang die e-mails sind. über welche server sie laufen. protonmail kann e-mail-metadaten nicht vollständig schützen, weil das e-mail-protokoll diese informationen strukturell exponiert.

2021 wurde bekannt, dass protonmail auf richterliche anordnung eines schweizer gerichts die ip-adresse eines nutzers an behörden weitergegeben hatte. protonmail hatte keine inhalte weitergegeben — weil sie keinen zugriff darauf haben. aber ip-adressen und verbindungsdaten sind metadaten, die auch protonmail speichert.

was stattdessen

für sichere kommunikation mit einzelnen personen: signal. keine e-mail-protokoll-erblasten. keine server die nachrichten speichern. metadaten werden minimiert.

für e-mail die trotzdem besser ist als gmail: protonmail oder tutanota. besser als nichts, mit klaren einschränkungen.

für e-mail mit vollständiger kontrolle: eigener server mit pgp. der aufwand ist erheblich. das ist bewusst so.

für die meisten kommunikationsbedürfnisse ist e-mail das falsche werkzeug, wenn sicherheit eine anforderung ist. e-mail wurde nicht für sicherheit gebaut. dieser mangel ist strukturell — kein bug, der gepatcht werden kann.

das älteste digitale kommunikationsmedium ist das unsicherste. und weil es das älteste ist, wird es kaum jemand abschaffen.