E-Mails werden auf dem Weg durch das Netz an vielen Stellen mitgelesen und ausgewertet. Ein Postgeheimnis existiert praktisch nicht. Kommerzielle Datensammler wie Google und Yahoo scannen alle Mails, die sie in die Finger bekommen. Geheimdienste wie NSA, SSSI, FRA oder BND haben Monitoringprogramme für den E-Mail Verkehr.
Gelegentlich möchte man aber nicht, das eine vertrauliche Nachricht von Dritten gelesen wird.
Verschlüsselung wäre eine naheliegende Lösung. Das ist aber nur möglich, wenn Absender und Empfänger über die nötige Kompetenz verfügen.
Als Alternative kann man folgende Dienste der Firma
insophia nutzen:
- Certified Privnote wurde im Sept. 2010 mit dem EuroPrise Siegel zertifiziert (2 Jahre gültig). Die Zertifizierung garantiert die Respektierung der Privatsphäre der Nutzer durch den Anbieter. Auch wenn das Siegel (noch) nicht erneuert wurde, ist das Angebot meiner Meinung anch vertrauenswürdig.
- Privnote ist eine nicht-zertifizierten Version. Damit sind Änderungen an der Software und Weiterentwicklungen möglich.
Man schreibt die Nachricht auf der Webseite des Anbieters und klickt auf den Button
"Create Note". Javascript muss dafür freigegeben werden. Es wird ein Link generiert, unter dem man die Nachricht EINMALIG abrufen kann. Die Daten werden verschlüsselt auf dem Server gespeichert und nur der Link enthält den Key, um die Daten zu entschlüsseln.
Den Link sendet man per E-Mail dem Empfänger der Nachricht. Er kann die Nachricht im Browser abrufen. Nach dem Abruf der Nachricht wird sie auf dem Server gelöscht, sie ist also nur EINMALIG lesbar. Darauf sollte man den Empfänger hinweisen.
Man kann den Link NICHT über irgendwelche Kanäle in Social Networks (z.B. Facebook) versenden. Wenn man auf den Link klickt, läuft im Hintergrund ein Crawl der Seite bevor man weitergeleitet wird. Facebook holt sich die Nachricht und der Empfänger kommt zu spät.
PrivNote ist nicht kryptografisch abhösicher wie die E-Mail Verschlüsselung mit OpenPGP. Wenn ein Angreifer unbedingt den Inhalt der Nachricht lesen will, kann er die Nachricht vor dem Empfänger abrufen und über den Inhalt Kenntnis erlangen. Der eigentliche Empfänger kann nur den Angriff erkennen, da die Nachricht auf dem Server gelöscht wurde.
Damit sind die Angebote für private Nachrichten geeignet, aber nicht geeignet für geheime oder streng vertrauliche Informationen.
Es gibt einige ähnliche Projekte in den Weiten des Internet, die ich nicht empfehle:
- Burn Note erfordert eine Registrierung mit E-Mail Adresse, was überflüssig ist. Für jeden Account wird die Nutzung des Dienstes protokolliert und eine monatliche Statistik erstellt.
Außerdem werden die Notes mit einem Key verschlüsselt, der auf dem Server von Burn Note gespeichert wird. Im Gegensatz zu den Privnote-Diensten von insophia ist der Betreiber damit in der Lage, die Nachrichten zu entschlüsseln.
- Road-Message sammelt aus meiner Sicht zuviel Daten. Beim Besuch der Webseite wird besipielsweise die innere Größe des Browserfensters ausgelesen, was ein sehr individueller Wert ist und gut für das Tracking nutzbar. Es gibt keine Privacy Policy auf der Webseite, welche Daten gespeichert werden und wie die Daten genutzt werden.
Auch bei Road-Message wird der Schlüssel für das Entschlüsseln der Nachricht nicht in der URL kodiert (wie bei den Diensten von insophia) sondern auf dem Server gespeichert.