Persönliche und sensible Informationen elektronisch zu speichern, zu ver- und bearbeiten und zu versenden ist heute mehr oder weniger Standard. Mittlerweile dürfte sich aber auch herumgesprochen haben, dass diese Entwicklung Kriminelle wie auch neugierige staatliche Sicherheitsdienste anzieht wie Marmelade Wespen im Spätsommer. Umso wichtiger ist es, dass Mann und Frau sich im Interesse der grundgesetzlich garantierten prinzipiellen Unverletzlichkeit der Privatsphäre aller Bürgerinnen und Bürger und der Garantie des Briefgeheimnises sowie des Post- und Fernmeldegeheimnises gegen ungewollte, unangemessene und illegale Zugriffe auf ihre Daten im Netz schützen können.

Diesem Ziel sieht sich das 2011 gegründete in Hannover ansässige Unternehmen Tutanota verpflichtet. Seit 2014 bietet es einen sicheren E-Mail-Dienst an, der sich bisher als zuverlässig erwiesen hat.

Im Frühjahr 2019 ist ein besonderer E-Mail-Service für Whistleblower hinzugekommen, der besonderen Schuzt und Anonymität gewährt (siehe hier: 3. Mai: Internationaler Tag der Pressefreiheit).

Kürzlich wurde die Palette von Tutanota um ein weiteres Element ergänzt: Um einen vollständig verschlüsselten Kalender. Dieses neue Tool bringt erheblich Verbesserungen der Privatsphäre mit sich, da nun alle Termine verschlüsselt im Tutanota Kalender gespeichert werden können.

Der bisherige Funktionsumfang beinhaltet

• eine Ende-zu-Ende-Verschlüsselung aller Daten,
• den Zugang auf jedem Gerät und
• die Ende-zu-Ende-Verschlüsselung von Benachrichtigungen.

“Mit unserer Verschlüsselungsexpertise haben wir sichergestellt, dass sowohl alle eingegebenen Daten verschlüsselt werden als auch die Benachrichtigungen für anstehende Termine. Im Gegensatz zu anderen Kalenderdiensten (z.B. Google) wissen wir nicht, wann, wo, und mit wem jemand einen Termin hat. Wir als Anbieter sind völlig blind gegenüber den Gewohnheiten unserer Nutzer”, sagt Matthias Pfau, Mitgründer und Entwickler von Tutanota.

Damit ist der verschlüsselte Kalender von Tutanota derzeit der einzige Cloud-Kalender, bei dem nur die Benutzer auf ihre persönlichen Daten zugreifen können und niemand ihre Daten missbrauchen kann.

“Der Tutanota Kalender ist ein großer Schritt für uns, um unsere Vision vom zukünftigen Internet zu verwirklichen: Cloud-Dienste dürfen nicht in der Lage sein, die Daten ihrer Nutzer zu missbrauchen. Verschlüsselte E-Mail, verschlüsseltes Adressbuch, das verschlüsselte Kontaktformular Secure Connect – und jetzt ein verschlüsselter Kalender: Mit der eingebauten Ende-zu-Ende-Verschlüsselung von Tutanota wird die Cloud so sicher wie das lokale Hosting”, ergänzt Pfau.

Erster verschlüsselter Kalender – kostenlos für alle

In einer Befragung unter allen Nutzern des E-Mail-Dienstes Tutanota ist der verschlüsselte Kalender das am häufigsten verlangte Tool, erläutert Pfau weiter. Dies ist nicht verwunderlich, da es derzeit nur die Möglichkeit gibt, seinen Kalender selbst lokal zu hosten, wenn die Datenhoheit gewährleistet sein soll.

Alle verfügbaren Cloud-Kalender – Google Calendar, Apple Calendar – speichern die Daten der Nutzer ohne Ende-zu-Ende-Verschlüsselung, so dass der Anbieter leicht auf alle Daten zugreifen kann. Tutanota speichert die Daten der Nutzer auch in der Cloud – genauer gesagt auf seinen eigenen Servern in Deutschland. Durch die eingebaute Ende-zu-Ende-Verschlüsselung können jedoch nur die Benutzer mit ihren Passwörtern auf ihre Daten zugreifen. Tutanota als Anbieter hat nach Angaben von Pfau absolut keinen Zugriff darauf.

Technisches Highlight: Auch Benachrichtigungen verschlüsselt

“Wir haben besonderen Wert darauf gelegt, dass uns absolut keine Nutzerdaten zur Verfügung stehen”, erklärt Pfau weiter. “Wir verschlüsseln sogar Benachrichtigungen Ende-zu-Ende. Dies mag vielen zwar wie eine zu vernachlässigende Sicherheitsmaßnahme erscheinen, ist aber enorm wichtig: Benachrichtigungen werden an das Gerät des Benutzers gesendet, damit er weiß, wann ein bestimmter Termin bevorsteht. Wenn diese Informationen nicht verschlüsselt wären, hätten wir als Anbieter vollen Zugriff auf den Termin der Benutzer zusammen mit allen in der Benachrichtigung enthaltenen Informationen. Und genau das ist es ja, was wir mit dem verschlüsselten Kalender unmöglich machen wollen. Deshalb ist die Verschlüsselung der Benachrichtigung aus unserer Sicht so entscheidend.”

Die Verschlüsselung von Benachrichtigungen war eine schwierige Aufgabe und dauerte länger als erwartet. „Aber,“ so Pfau, „bei Tutanota folgen wir dem Grundsatz, dass Sicherheit und Datenschutz von Anfang an in unseren Code eingearbeitet werden, und wir gehen dabei keine Kompromisse ein. Alle Benachrichtigungen sind nun durchgängig verschlüsselt, auch der Zeitpunkt, zu dem eine Benachrichtigung an den Benutzer gesendet wird, wird verschleiert, so dass wir nichts über die Termine unserer Benutzer wissen.“

Sicherheit im Open-Source-Code von Tutanota integriert

Der gesamte Client-Code von Tutanota ist unter Open Source-Lizenz auf GitHub veröffentlicht: Webclient, Android- und iOS-Apps sowie die Desktop-Clients für Windows, Linux und Mac OS. „Seit wir Tutanota im März 2014 erstmals veröffentlicht haben“, betont Pfau, „verschlüsseln wir alle gespeicherten Daten. Dazu gehören alle in Tutanota gespeicherten E-Mails und Kontakte sowie alle Kalendereinträge.“

Anstatt den Nutzer*innen zu erlauben, Standard-Desktop-Clients über IMAP/Pop zu verwenden, bei denen die Daten lokal nicht verschlüsselt werden, hat Tutanota sich für einen anderen Weg entschieden und einen eigenen sicheren Desktop-Clients entwickelt und eine innovative Suchfunktion hinzugefügt, die die Daten lokal durchsucht. Auf diese Weise soll sicher gestellt werden, dass alle Daten der Nutzer immer mit starker Verschlüsselung geschützt sind und nicht kompromittiert werden können.

„Mit unserer eingebauten Verschlüsselung ermöglichen wir es den Menschen die Vorteile der Cloud zu nutzen (Verfügbarkeit, Kosteneffizienz, autoamtisches Backup) und dabei gleichzeitig die Hoheit über ihre Daten zu behalten“, resümiert Pfau.

Die Flexibilität, die ein Google-Kalender bietet, bietet der Kalender von Tutanota (derzeit noch) nicht. Immerhin ist der Kalender bereits kurz nach dem Start um eine Funktion – einen Terminüberblick – erweitert worden. Obgleich der Kalender noch ausbaufähig ist, lässt er sich schon jetzt gut nutzen. Aber es ist eben immer auch eine Güterabwägung: Ist einem Sicherheit oder Bequemlichkeit das Wichtigere. Wer sich für Sicherheit entscheidet, der ist mit dem Kalender von Tutanota in jedem Fall gut bedient.