Hushmail – Auch E-Mails können anonym sein

Erstveröffentlicht: 
29.01.2013

Unerkannt E-Mails auszutauschen, ist technisch nicht aufwendig. Aber wer unvorsichtig ist, fliegt schnell auf, wie der Fall David Petraeus gezeigt hat.

 

David Petraeus kann ein Lied davon singen, wie schwierig es ist, anonym per E-Mail mit jemandem zu kommunizieren. Der US-General trat zurück, weil er genau das nicht schaffte. Das FBI deckte seine außereheliche Affäre anhand seiner E-Mails auf, obwohl er und seine Geliebte einige Vorsichtsmaßnahmen getroffen hatten, um nicht ertappt zu werden.

 

Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) hat eine Anleitung veröffentlicht, die beschreibt, was wirklich nötig ist, um unerkannt E-Mails auszutauschen. Sie heißt Don’t be a Petraeus und richtet sich an Menschen, die miteinander in Kontakt bleiben wollen, ohne dass für Dritte nachvollziehbar wäre, wer hier kommuniziert.

 

Das müssen nicht unbedingt ein General und seine Geliebte sein, auch ein Journalist und ein Informant können diesen Weg nutzen, wenn sie über einen längeren Zeitraum einen anonymen Kanal zum Informationsaustausch brauchen.

 

Die Installation


Der erste Schritt ist die Installation und Inbetriebnahme des Tor Browser Bundles, wie im vorherigen Teil dieser Serie beschrieben. Wichtig ist, von nun an ausnahmslos immer Tor zu benutzen. Andernfalls ist die Anonymität der E-Mail-Kommunikation nicht gewährleistet. Das Tor Browser Bundle verschleiert die IP-Adresse eines Rechners im Netz und verhindert, dass der Internetprovider speichern kann, welche Seiten der Nutzer ansteuert. In diesem Fall heißt das: Niemand weiß überhaupt, dass er oder sie einen Webmail-Dienst aufgerufen hat.

 

Ich benutze in diesem Fall den von der EFF empfohlenen kanadischen Webmail-Anbieter Hushmail. Der erlaubt es, sich über Tor zu registrieren und bietet außerdem standardmäßig eine HTTPS-Verschlüsselung – eine seltene Kombination, wie die EFF schreibt. Ich richte mir dort also ein kostenloses E-Mail-Konto ein. Das heißt, ich versuche es. Beim ersten Mal bekomme ich angezeigt, dass mein Computer von Hushmail blockiert wird, "wahrscheinlich wegen Missbrauchs des Dienstes oder wegen Spam", wie es heißt. Ich starte Tor neu und greife dadurch mit einer neuen IP-Adresse auf Hushmail zu. Dieses Mal funktioniert es.

 

Ich wähle einen Benutzernamen, der keine Rückschlüsse auf meine Person zulässt. Das heißt, er sollte am besten kein deutsches Wort enthalten, nichts mit meinen Hobby oder gar Namen zu tun haben und keine Absicht erkennen lassen, wozu das Konto genutzt wird. Außerdem wähle ich ein starkes Passwort.

 

Die anonyme Kommunikation funktioniert nun so: Wenn ich mich über Tor bei Hushmail einlogge und dort eine Nachricht verfasse und im Entwurfsordner ablege, kann jemand anderes, der von mir die Zugangsdaten zum Konto bekommen hat, sie dort lesen. Versendet wird dabei nichts. Die Zugangsdaten werden am besten bei einem persönlichen Treffen ausgetauscht.

 

Die EFF empfiehlt zusätzlich, nicht das heimische Netzwerk, sondern ein öffentliches WLAN oder ein Internetcafé zu benutzen. Zu diesem Zweck empfiehlt es sich, Tor auf einem USB-Stick einzurichten. Wie das geht, wird zum Beispiel hierund hier beschrieben.

 

Kleiner Bonus: Hushmail bietet die Möglichkeit, Mails mit einem Klick in einer Checkbox zu verschlüsseln – für den Fall, dass man doch mal etwas versendet. Die E-Mails sind damit für jemanden, der sie unterwegs abfängt, nicht zu entziffern. Der E-Mail-Header, also unter anderem Absender, Empfänger und Betreff werden allerdings nicht verschlüsselt.

 

Wer ein kostenloses Hushmail-Konto anlegt, muss sich mindestens alle drei Wochen einmal einloggen, andernfalls wird das Konto gelöscht. Es muss aber auch nicht Hushmail sein. Letztlich eignet sich jeder Dienst, der Daten speichert, also zum Beispiel auch Dropbox. Die Daten von EU-Bürgern sind aber bei US-Dienstleisternnicht vor staatlichen Überwachungsmaßnahmen sicher, weshalb ein kanadischer Anbieter möglicherweise die bessere Wahl ist.

 

Die Experten von JonDos raten allerdings auch von Hushmail ab, weil Hushmail unter anderem eine Reihe von Daten über die Aktivitäten auf der Webmail-Seite 18 Monate lang speichert.

 

Hushmail bietet zudem keine vollständige End-to-end-Verschlüsselung. Das bedeutet: Den verschlüsselten Inhalt einer versendeten Mail kann und muss Hushmail bei einem entsprechenden richterlichen Beschluss entschlüsseln und an die Behörden übergeben, ebenso wie gespeicherte Metadaten wie etwa den genauen Zeitpunkt des Ein- und Ausloggens. Die EFF weist darauf hin, dass dies in der Vergangenheit schon vorgekommen ist. Zwar brauchen Strafverfolger überhaupt erst einen Verdacht, aber ich möchte diesen Extremfall zumindest nicht unerwähnt lassen.

 

Disziplin ist notwendig


Grundsätzlich ist die Lösung der EFF nicht weiter kompliziert. Das Problematische daran ist, dass keiner der Beteiligten unachtsam sein darf. Verzichtet ein Teilnehmer auch nur einmal auf den Einsatz von Tor, taucht seine echte IP-Adresse in den Log-Dateien von Hushmail auf. Das kann schon zur Identifizierung genügen, wenn staatliche Stellen denn einen Grund für derart aufwendige Ermittlungen haben. Auch der Inhalt der einzelnen Botschaften sollte keine Klarnamen und sonstigen Hinweise auf die wahre Identität beinhalten – was von den Kommunikationspartnern viel Disziplin erfordert.

 

Für jemanden, dessen E-Mail-Korrespondenz überaus brisant sein könnte, heißt das alles: Eine End-to-End-Verschlüsselung von E-Mails, die höchstens noch auszuhebeln ist, wenn jemand Zugang zum Computer des Senders oder Empfängers hat, erfordert eine andere Lösung. Und die ist technisch anspruchsvoller. Sie wird im nächsten Kapitel der Serie beschrieben, in dem es um die Verschlüsselung von E-Mails mit OpenPGP geht.

         --------------------------------------------------------------------------------------
Inhalte der Serie

Teil 1: Ubuntu (Linux) als Betriebssystem

Teil 2: Anonymes Surfen mit Tor

Teil 3: Anonymes Surfen mit VPN

Teil 4: Ein anonymes E-Mail-Konto Einrichten mit Hushmail und Tor

Teil 5: E-Mails verschlüsseln mit Enigmail / OpenPGP

Teil 6: Daten auf der Festplatte mit TrueCrypt verschlüsseln