Warum alle Webmailer mit eingebauter Krypto unwirksam sind, was die Verschlüsselung angeht
Es gibt verschiedene Produkte von Webmailern, die eingebaute Verschlüsselung unterstützen. So löblich der Ansatz ist, er kann nicht funktionieren. Und dabei ist völlig egal, ob wir über Mailfence, Protonmail, Tutanota oder einen ihrer Mitbewerber sprechen. Sie können prinzipbedingt ihr Versprechen, dass die Mails privat bleiben, nicht einlösen.
Denn im Web wird der Code, der im Browser ausgeführt wird, bei jedem Aufruf der Seite erneut an den Browser geschickt, und dann dort ausgeführt. Maximal wird der Code für ein paar Aufrufe gecacht. Der Code bleibt also nicht auf dem Endgerät, dem Smartphone, Tablet, PC oder Laptop. Sondern er kommt immer wieder neu vom Server des Betreibers.
Webmailer sind auch Anbieter eines Postfaches. Damit sind sie Kommunikationsdiensteanbieter, und unterliegen der Überwachungspflicht, wie sie in praktisch allen Staaten nach 9/11 eingeführt wurde. Bekommen sie eine staatliche Order, dass sie Überwachung liefern müssen, so haben sie gar keine andere Wahl, als dem nachzukommen. Sie müssen spätestens ab da überwachen. Da sie als Postfachanbieter auch den Verlauf der Daten besitzen, müssen sie alles den Behörden zur Verfügung stellen.
Webmailer, die verschlüsseln, kommen immer an alle geheime Schlüssel all ihrer Kunden. Auch das ist unvermeidlich. Es genügt ja, bei Neuaufruf einer Seite entsprechenden Code zu schicken, der einen geheimen Schlüssel auf dem Server verfügbar macht. Sie kommen immer an alle geheimen Schlüssel, ohne dass ihre Nutzer das mitbekommen. Und damit kann man nicht nur die aktuelle Nachricht entschlüsseln, sondern üblicherweise auch alle im Postfach und in allen Ordnern.
Webmailer sind also technisch in der Lage, jederzeit an alle Schlüssel zu kommen, und sie sind gesetzlich als Kommunikationsdienstleister verpflichtet, jederzeit zu kooperieren. Zwei und zwei gibt vier.