Inhalt

NEUE GESCHÄFTSFELDER
Christoph Birnbaum
Die Nicht-Sammler

IT-Unternehmen werben mit Datensparsamkeit

Kostenlose E-Mail-Provider stehen seit der NSA-Affäre, aber auch angesichts einer dramatischen Zunahme von Hacker-Angriffen massiv unter Druck: Sie scheinen keine sichere Nachrichtenübertragung und -speicherung garantieren zu können. Das ist die Chance für kleinere Anbieter. Sie stoßen in die Lücke, die ihnen die großen Internet-Dickschiffe im Datenmeer bieten, indem sie den elektronischen Postverkehr für ihre Kunden anonymisieren. Und sie sind ein Beleg dafür, dass sich kleinere Provider trotz übermächtiger Konkurrenz gut behaupten können - nicht so sehr wegen der Datensicherheit, sondern weil sie ihren Kunden in zwei Punkten entgegen kommen: Sie sind werbefrei und vor allem mit keinem der großen, globalen Player auf dem Markt der digitalen Dienstleistungen verbunden.

Deutsche E-Mail-Anbieter wie zum Beispiel Posteo expandieren deshalb kräftig. 2009 wurde das Unternehmen gegründet und wuchs langsam und nur mit Eigenkapital. In wenigen Jahren stieg die Zahl der verwalteten E-Mail-Accounts auf 10.000. Heute sind es bereits 100.000 elektronische Postfächer, die von dem Start-Up-Unternehmen, das auf dem Gelände der ehemaligen Berliner Schultheiss-Brauerei angesiedelt ist, verwaltet werden. Dazwischen lagen 2013 die NSA-Veröffentlichungen von Edward Snowden. "Danach stieg die Zahl unserer Nutzer rasant", erklärt Sabrina Löhr, die zusammen mit ihrem Mann Patrick das Unternehmen gegründet hat. Ihre Überzeugung: "Sicherheit in der digitalen Kommunikation ist für alle wichtig, nicht nur für Nerds." Deshalb verwaltet Posteo die E-Mail-Accounts ihrer Kunden auch anonym. Im Gegensatz zu Facebook und Co. will das Berliner Start-Up so wenig Daten wie möglich von ihren Kunden speichern und verspricht einen hohen Datenschutzstandard unter anderem durch das Speichern der Nutzerdaten und E-Mails auf Servern im Inland. Selbst die Bezahlung bei dem kostenpflichtigen Angebot erfolgt anonym: Heute liegt der Umsatz bei rund 1,2 Millionen Euro im Jahr.

Verschlüsselungen Ähnlich geht "aikQ" vor. Dahinter steht das Berliner Unternehmen 8bit, das für Computeradministration, Grafikdesign und Beratung verantwortlich ist. Es bietet seinen Kunden an, alle Mails mit SSL- oder TLS-Verschlüsselung zu versenden. Das sei sicherer als so manches Online-Banking. Auch hier kann man sich problemlos unter einem Pseudonym anmelden. Niemand prüft die Daten oder interessiert sich für Kontakte. Vergleichbare Angebote bieten auch die Unternehmen mailbox.org, secure-mail.biz oder das Schweizer Unternehmen MyKolab.com. Beim Hoster JP-Berlin muss man zwar seinen Namen und seine Adresse angeben, ist aber technisch ähnlich geschützt. Darüber hinaus wirbt der Provider damit, noch mehr als nur Mail-Adressen sicher schützen zu können. Beispielsweise kann man eine eigene Domain beanspruchen. Außerdem ist es möglich, Mailing-Listen einzurichten oder direkt sichere Webseiten hosten zu lassen.

Auch die großen Internetdienstleister versuchen inzwischen, mit mehr Datenschutz und sicherer Verschlüsselungstechnik zu punkten. Das gilt auch für United Internet mit den Internet-Dienstleistern Web.de und GMX. Zusammen kommen sie auf rund 30 Millionen Nutzer in Deutschland und bieten seit kurzem ebenfalls Ende-zu-Ende-Verschlüsselungsverfahren an. Zusammen mit der Deutschen Telekom haben sie die Initiative "E-Mail made in Germany" gegründet. Sie wirbt mit einer hundertprozentigen SSL-Verschlüsselung durch deutsche SSL-Zertifikate. Darüber hinaus bieten sie ebenfalls eine Perfect Forward Secrecy an, was einen zusätzlichen Schutzmechanismus gegen das nachträgliche Entschlüsseln von Daten bieten soll. Ferner wurde ein neues Verfahren zur Zertifikatsvalidierung und Identitätsprüfung unter den Providern eingerichtet, das bei jeder Datenübertragung Zertifikat und Identität des Providers überprüft, um zu verhindern, dass sich Dritte in die Kommunikation einschalten.

Alleinstellung Was also bleibt als Alleinstellungsmerkmal für die kleineren Provider im Markt? "Vor allem die Tatsache, dass es sich bei ihnen um genau das handelt - kleinere Anbieter", meint Maurice Shad, beim Branchenverband Bitkom zuständig für Netzpolitik, Datenschutz und IT-Sicherheit. "Kunden der kleineren Anbieter wollen ganz bewusst nichts mit den großen Massenanbietern zu tun haben, auch wenn diese mittlerweile einen vergleichbaren Sicherheitsstandard garantieren können."

Das sieht auch Sabrina Löhr ähnlich: "Wir sehen deshalb unseren Dienst gut für die Zukunft aufgestellt, da wir nicht monothematisch unterwegs sind, sondern viele Kunden auch durch ein konsequentes Nachhaltigkeitskonzept und die Werbefreiheit gewinnen." Vor allem aber betont die Posteo-Mitbegründerin die eigenen Anstrengungen und die ihrer Mitbewerber, die die großen Anbieter unter Zugzwang setzen. "Seit 2013 hat sich immer wieder gezeigt, dass durch kleine Anbieter wie uns Druck im Markt aufgebaut wurde." Beispielsweise würden nun auch die großen deutschen Provider damit beginnen, die Sicherheitstechnologie Dane einzusetzen. "Wir haben diese Technologie im Mai 2014 eingeführt und daran mitgewirkt, dass sie jetzt über eine BSI-Richtlinie weitere Verbreitung in Deutschland erhalten wird", sagt Löhr.

Verschlüsselungstechnologien werden immer wichtiger. Das gilt besonders, wenn die Daten in einer Cloud abgelegt werden. Und auch hier bieten sich Geschäftsmöglichkeiten. Boxcryptor aus Augsburg und Cloudfogger aus Göppingen verfolgen das Ziel, durch Verschlüsselung Cloud-Dienste im In- und Ausland wie Dropbox, Google Drive, Microsoft Onedrive, Strato Hidrive oder der Telekom Cloud sicherer zu machen. Für den deutschen Cloud-Markt sieht Bitkom Potenzial. Zunehmend zeigten sich Unternehmen offen für Cloud-Lösungen, aber viele Unternehmen sorgten sich vor unberechtigtem Zugriff auf ihre Daten (siehe auch Seite 7). Laut Bitkoms "Cloud-Monitor 2015" sei Kunden daher wichtig, dass die Anbieter ihren Sitz der Rechenzentren und ihres Hauptsitzes idealerweise in Deutschland, aber zumindest in einem Lander der EU haben.

Überwachung Doch weder bei den Servern am Boden noch in der Daten-Wolke ist heute letzte Sicherheit garantiert - und sei es nur vor dem Zugriff von staatlichen Behörden und Nachrichtendiensten. Während für AOL, Gmail, Outlook und Yahoo ganz klar US-Recht und hier besonders der "Patriot Act" gilt, weisen Kritiker darauf hin, dass selbst bei Firmen, die ihren Sitz in Deutschland haben, manchmal nicht klar ist, welche Sicherheitsstandards sie am Ende wirklich einhalten müssen. Ihre Forderung: Anbieter sollten sich auditieren lassen und Standards wie beispielsweise die internationale IT-Sicherheitsnorm ISO 27001 erfüllen. Eine weitere Krux liegt darin, dass auch deutsche Anbieter nicht immer vor dem US-Geheimdienst NSA sicher sind. Denn wenn sie in den USA Niederlassungen führen, unterliegen diese dem US-Recht. Die NSA kann dann auch die Herausgabe von Daten fordern, wenn sie in Deutschland liegen - eine Zwickmühle für deutsche Anbieter, im einen Fall verstoßen sie gegen deutsches, im anderen Fall gegen amerikanisches Recht.

Und auch deutsche Sicherheitsbehörden sind nicht sonderlich zimperlich: In einem jährlichen Transparenzbericht schildert etwa Posteo die Versuche deutscher Sicherheitsbehörden, an Kundendaten heranzukommen. Immer wieder sei es dabei zu formal nicht korrekten Anfragen gekommen, teilweise wurden diese unverschlüsselt über nicht-dienstliche E-Mail-Adressen gestellt. 2014 hat der Anbieter daher in 15 Fällen Beschwerde beim Landesdatenschutzbeauftragten eingelegt. Posteo war nach eigenen Angaben der erster deutsche Provider, der einen solchen Bericht veröffentlichte. Auch die Telekom und 1&1 haben inzwischen nachgezogen. Die meisten Ersuchen an Posteo blieben im Übrigen erfolglos: Namen, Zahlungsdaten und IP-Adressen der Inhaber konnte Posteo nicht herausgeben, denn die wurden ja nicht gespeichert. Und was auf keinem Server liegt oder in einer Datenwolke kreist, kann auch niemandem in die Hände fallen.

Der Autor ist freier Journalist in Bonn.

Aus Politik und Zeitgeschichte

© 2016 Deutscher Bundestag