Beta Time Is Over! Release Notes 1.9

Alias

You can add your free alias under ‘Settings’ -> ‘Extensions’

After one year of beta testing we are now ready: Today Tutanota is leaving its beta phase with the release of brand-new domains: tutanota.com, tuta.io, tutamail.com, keemail.me. Now you can add one free alias to your account.

After having put our systems through an extensive beta phase, we are confident that the system is secure. We are grateful that we are backed by a thriving open source community, who have translated our service into 20 languages already. We are amazed by the support we have received since our open source release on September 2nd 2014 and we are excited about where our journey will take us and where we are going to be one year from now! Our aim is to give everybody the chance to protect their emails easily from modern mass spying. This is why Tutanota will remain forever free with 1 GB of free storage.

With this release we publish the following features:

  • Register an email address with tutanota.de, tutanota.com, tutamail.com, tuta.io, or keemail.me (The Android and iOS apps will be released in a few days, the new domains can be registered within the apps only after they have been updated. Please use the browser for now.)
  • Add one free alias to every registered email address under Settings
  • Minor UI improvement (delete button)
  • Added the languages Finnish, Lithuanian, Macedonian and Serbian. Check if your language is already available or take part in our translation project.
  • Set default state of confidential button under Settings
  • Fixed bugs

Update on 26th of March: Release Notes 1.9.1

  • Fixed a bug where replying and forwarding of emails was not possible in rare cases.

We hope that you share our passion for privacy. Please tell us what you like and what we should develop next via our feedback systemFacebookgoogle+ or Twitter.

All the best,
your Tutanota team

24th of March 2015

It’s been an exciting year: Our baby Tutanota will leave the beta behind!

Tutanota leaves beta

The encrypted Tutanota mailbox makes end-to-end encrypted emails dead-easy. In addition the green icons on the right show that the SSL connection is also protected with DANE to mitigate MITM attacks.

Get ready to celebrate with us! Exactly one year after we’ve started our public beta here in Germany, we’ve decided to end the beta phase on 24th of March 2015. Our encrypted email service Tutanota now offers all necessary functions to manage ones private emails. Of course we will continue to add features. All systems run stable and the feedback from our beta users has been very positive so far.

After having put our systems through an extensive beta phase, we are confident that no security issues remain in the code. We are grateful that we are backed by a thriving open source community, who have translated our service into 20 languages already. We are amazed by the support we have received since our open source release on September 2nd 2014 and we are excited about where our journey will take us and where we will stand one year from now! Our aim is to give everybody the chance to protect their emails easily from modern mass spying. This is why Tutanota will remain forever free with 1 GB of free storage.

The upcoming release includes additional domains, for instance the domains @tutanota.com and @tuta.io will become available next Tuesday. We’ll chip in some surprise ones as well, so stay tuned! :) Along with the domain release users will be able to register one alias per account for free so that they can add an address ending with @tutanota.com to their existing .de address.

Tutanota offers a fully encrypted mailbox with iOS & Android apps

Each Tutanota mailbox is encrypted end-to-end with the user’s password by default. The registration password cannot be reset so that not even we have access to the encrypted data. In addition to the easy-to-use end-to-end encryption Tutanota also supports DANE as one of the few email providers. DANE is an important extension of the SSL keychain that mitigates the risk of Man-in-the-Middle attacks.

We hope that you share our passion for privacy. Please tell us what you like and what we should develop next via our feedback systemFacebookgoogle+ or Twitter.

All the best,
your Tutanota team

18th of March 2015

Release Notes 1.8

Thank you!

Thank you!

Every day we strive to make Tutanota more usable and let it grow into a full-fledged email service so that you can leave other services that spy on your data behind for good. Today – with the help of our users – we’ve achieved a big step: Now you can choose between 16 languages when using Tutanota, and you can create folders to manage your emails even better.

We want to take the opportunity and thank over one hundred volunteers from around the world for translating Tutanota. We greatly appreciate your support and your commitment, and we are proud that together we can achieve something truly valuable. This amazing experience motivated us to redesign our website so that everybody can easily find ways to support our open source project. Please have a look and show us some love! :)

Thank you for making Tutanota multilingual!

We were so impressed by the effort and thoroughness our volunteers put into the translation that we have asked two of them for their motivation.

Alex from Brazil says: “Recently I found in Tutanota a great initiative, an email provider with real security for the user. I wanted to share it with friends, but most of them don’t speak English. When Tutanota opened the possibility to participate in the translation project, I got excited to contribute, so I would be able to help spread the project idea and the app that has impressed me with its simplicity and concept. I really appreciate to be part of it!”

Slawek from Poland adds: “The Internet is not at all privacy-friendly. I am trying to convince my family and friends to use encryption since years. Tutanota was a big discovery to me. I believe that the ease of use in combination with my native language will be a big help in promoting this secure email tool among the people I want to stay in touch with. This will improve the security for all of us.”

New features

  • Custom folders
    • Archive folder added
    • Users can create, rename, delete custom folders (one level below system folders)
    • Move an email to another folder via move folder icon in email
    • Drag email to folder (desktop only)
    • Move email to Archive or Trash by sliding left/right on email in email list (mobile only)
  • Show in mail if it was already replied to or forwarded with an icon
  • Link to new community site for donations, participation and sharing of our open source project
  • 16 languages now available: Albanian, Chinese (Traditional), Croatian, Dutch, English, French, German, Greek, Italian, Polish, Portuguese (PT and BR), Romanian, Russian, Spanish and Turkish
  • Improved SSL cipher suites
  • Fixed bugs

Up next

  • The updated Android and iOS apps will be released soon after the web application.
  • We expect that another 15 languages will follow in the coming months, Arabic and simplified Chinese are already in the works. If you find your language should be among the next batch, drop us a line. We’ll gladly add you to the translation project.
  • We will release additional domains like @tutanota.com in April.
  • Synchronization of emails and contacts between browsers/devices

We hope that you share our passion for privacy. Please tell us what you like and what we should develop next via our feedback systemFacebookgoogle+ or Twitter.

All the best,
your Tutanota team

8th of March 2015

Downtime this Sunday: Folders & 16 languages!

This Sunday we’ll release Tutanota in Albanian, Chinese (Traditional), Croatian, Dutch, English, French, German, Greek, Italian, Polish, Portuguese (PT and BR), Romanian, Russian, Spanish and Turkish.

We are deeply thankful for the amazing support from hundreds of volunteers who translated Tutanota. Working together with all of you form around the world is a great experience. This proves that we can create something truly valuable together! If you find your language should be among the next batch, drop us a line. We’ll gladly add you to the translation project.

During the upcoming release we will also integrate folders. This might lead to some downtime on Sunday. Please excuse any inconvenience.

Stay connected: Tell us what you like and what we should develop next via our feedback systemFacebookgoogle+ or Twitter.

Best wishes from Hanover,
your Tutanota team

6th of March 2015

Your Connection to Tutanota: Protected with SSL and DANE

When accessing app.tutanota.de the connection between your browser and Tutanota is protected with SSL and DANE. The DANE protocol effectively protects against MITM attacks and should be implemented by all email providers. We’ve already explained how you can easily verify your connection with a DANE browser plugin. In addition you can verify our SSL certificate.

Our SSL fingerprints (valid until 26.09.2016) are:

The SHA1 fingerprint is AD:6F:06:B1:39:30:CF:86:80:D2:9C:D4:FD:87:20:FB:7D:CD:6D:8C

The SHA-256 fingerprint is 16:D2:8B:90:C6:71:53:D6:25:4C:8C:05:A1:1F:4C:5E:4F:4B:76:4D:0B:1B:53:D8:C9:E1:D6:E0:11:9C:9B:12

Note: These fingerprints are valid for app.tutanota.de and tutanota.de.

sha

You can check these fingerprints by clicking on the log symbol to the left of the URL.

In Chrome: Go to Connection, click on Certificate Information. In Details, show All and scroll down.

In Firefox: Click on More Information. Click on Security and View Certificate.

In IE: Click on View Certificates. In Details, show All and scroll down.

Thank you for sharing our passion for privacy. Please tell us what you like and what we should develop next via our feedback systemFacebookgoogle+ or Twitter.

Kind regards,
your Tutanota team

16th of February 2015

Kick-off: Tutanota Translation Project

One week ago we’ve asked our users to support us in bringing Tutanota to the world in their languages. The feedback was amazing! We are stunned by the number of people offering to translate our free and open source webmail client. Today we start the translation project with the following languages:

  • Arabic (in translation)
  • Chinese (Simplified – in translation)
  • Chinese (Traditional – published)
  • Dutch (published)
  • French (published)
  • Italian (published)
  • Polish (published)
  • Portuguese (PT & BR version – published)
  • Russian (published)
  • Spanish (published)
  • Turkish (published)

Update: We are constantly adding languages to the project:

  • Croatian and Greek (4-2-2015 – published)
  • Albanian (6-2-2015 – published)
  • Romanian (18-2-2015 – published)
  • Finnish (10-3-2015 – in translation)
  • Serbian and Welsh (11-3-2015 – in translation)
  • Bulgarian (12-3-2015 – in translation)
  • Korean, Lithuanian and Persian (13-3-2015 – in translation)
  • Swedish (23-3-2015 – in translation)

If you would like to join the translators, please get in touch. We estimate that we will release Tutanota with the new languages in April 2015. For translating Tutanota we use phraseapp.com. This a great tool specially designed for software translation from a startup in Hamburg.

We are very thankful for your support! We hope that you will enjoy using Tutanota in your local language even better.

Update March 8th: Because of our committed volunteers we were able to release Albanian, Chinese (Traditional), Croatian, Dutch, English, French, German, Greek, Italian, Polish, Portuguese (PT and BR), Romanian, Russian, Spanish and Turkish already! Thank you so much! :)

Cheers,
your Tutanota team

27th of January 2015

Politicians, Stop Threatening Our Democracies With Mass Surveillance.

Mass surveillance is not going to help.Since the terrorist attack on “Charlie Hebdo”, politicians in Europe and the US claim that they will protect us from terrorist attacks by outlawing encryption and introducing data retention laws. Mattathias Schwartz has written a detailed article on why this is a false promise. His first sentence reads: “Almost every major terrorist attack on Western soil in the past fifteen years has been committed by people who were already known to law enforcement.” The simple and devastating truth from this is that the agencies do have the right data already. But they are unable to draw the right conclusions.

The tragedy that happened to “Charlie Hebdo” proves that a lack of data is not the problem: France has a data retention law since 2006, the terrorists in Paris were well-known to and monitored by the authorities. The data was there, yet it did not prevent the terrorist attack. Why, then, should more data be of any help? Why is it important whom you send an email to and what it may contain?

Mass surveillance will not make the threats evaporate.

Finding terrorists is like searching for a needle in a haystack. Now politicians around the world want to add more hay to the pile. And the hay is our data. Even worse, we pay for the agencies with our taxes. Therefore, we pay for ourselves being monitored 24/7. This is not only unconstitutional – the last European data retention directive has been declared as unconstitutional by the Court of Justice of the European Union for violating fundamental rights – but does not lead to success. The fact that politicians demand for more surveillance after every terrorist attack only manifests their widespread belief in a highly overrated technology. Willingly they ignore the fact that terrorists do not act logically, A does not lead to B. The agencies have loads of data, but they also need to interpret it, they need to extrapolate what is going to happen next. An impossible task, no matter how much data they accumulate.

It’s like having your car serviced daily to prevent an accident.

Unfortunately, politicians do not have a better plan and they have to offer something to their people to comfort them: “Relax, we’ve got your back, we are watching everbody so nobody can harm you.” They blind the people by promising that the technology of mass surveillance will make all terrorist threats evaporate. But surveilling everybody to prevent terrorist attacks is like having your car serviced daily to prevent an accident. It’s not going to help.

If we give in to mass surveillance, we give up our privacy, our freedom, and in consequence our democracy that is build on these values. To us, this means that the terrorists have already won. We do not accept this. Instead we should encrypt on principle. Because we do not and will not surrender our right to privacy.

22nd of January 2015

Release Notes 1.7.1

After the release last Friday, some usability bugs occured:

  • Logout was not possible in Firefox
  • New emails could not be loaded or sent in Chrome under OS X

These bugs have been fixed now. We thank you for notifying us about the bugs and apologize for any inconvenience.

Kind regards,
your Tutanota team

20th of January 2015

Release Notes 1.7.0

After our Android and iOS app releases, we are now releasing an update of Tutanota in general. The following has been done:

  • Possibility to increase the free storage capacity from 1 to 5 GB with promotion codes. This is even more interesting for one of Tutanota’s upcoming features: file sharing. The first promotion starts on January 31st with the German print magazine “Computer Bild”. More promotions will follow.
  • Build the Tutanota Android app yourself: Instructions have been added on Github.
  • Updated welcome and invitation mail.
  • Fixed a bug that newly received emails were sometimes not displayed in the app.
  • Fixed minor bugs.
  • Prepared Tutanota for adding more languages.

Next on our list:

  • E-Mail folders
  • Translating Tutanota into more languages
  • Synchronization of emails and contacts between browsers/devices
  • File sharing

We hope that you share our passion for privacy. Please tell us what you like and what we should develop next via our feedback systemFacebookgoogle+ or Twitter.

Kind regards,
your Tutanota team

16th of January 2015

Outlaw Encryption? Let’s Fight for Privacy Instead!

In the UK surveillance seems to be very popular. Now David Cameron has proposed to outlaw encryption. Since his announcement, the media is going crazy. Understandably and rightfully, because investigative journalists rely on encryption every day. Here’s our comment why he can not and will not follow through with his plan:

David Cameron Wants to Turn Off Encryption.

Join Tutanota and fight for privacy!
13th of January 2015

Free and Open Source: Get the Encrypted Email App for iOS

Tutanota Screenshot on an iPhoneToday we have released the Tutanota iOS app that makes end-to-end encrypted emails easy. Tutanota encrypts all the data locally on your iPhone and iPad so that no one can access the data or create user profiles. Privacy is at the heart of Tutanota, not an add-on.

Security features:

  • Fully encrypted mailbox and contacts.
  • End-to-end encrypted emails to anybody.
  • Automatic end-to-end encryption between users.
  • Open source for allowing third party verification of the encryption technology.
  • Zero-knowledge: We as the provider have no access to the encrypted data, any profiling is impossible.

App features that set Tutanota apart

  • Register your @tutanota.de email address with 1 GB of free storage.
  • Send and receive end-to-end encrypted emails to anybody, to other Tutanota users automatically and to external users secured with a password.
  • Send and receive old-fashioned emails (not end-to-end encrypted). Even these emails are stored encrypted on the Tutanota servers.
  • Subject, content and attachments are automatically encrypted.
  • Supports push notifications.
  • Auto-complete contact names as you type from your Tutanota or your phone contacts.
  • Tutanota is open source so that anyone can verify its security by auditing the code.
  • We are working hard on adding more features. Next up: folders, sync between devices/browsers, ‘share to’ option for easy file attachment.

We hope you like the app. Please keep sending us your recommendations on improving Tutanota via emailFacebookgoogle+ or Twitter.

Kind regards,
your Tutanota team

6th of January 2015

Security to Go: Get the Encrypted Email App for Android

Encrypted email app TutanotaWe are happy to release our end-to-end encrypted email app for Android. Get it now on Google Play. The iOS app is already submitted for review.

Tutanota is the first app that encrypts the entire email automatically. Surveillance of our online communication is constantly increasing, simply because it’s technologically so easy. We want to stop this and enable you to keep your private data private by making encryption dead-easy to use. If we want to keep our freedom and our free democracies, we have to stop the intrusion of our private communication online. Encrypted emails need to be the standard, not the exception.

Tutanota allows you to encrypt every email because you can force your friends to use end-to-end encryption. Encrypted emails to non-Tutanota addresses are secured with a password that you need to share with your friend. Of course normal emails which are sent without end-to-end encryption as well as all contacts are stored encrypted on the Tutanota servers in Germany so that any profiling of user data is impossible. We as the provider do not have access to the encrypted data. Tutanota’s easy-to-use encryption method makes email privacy available to everybody.

Security features:

  • Fully encrypted mailbox and contacts.
  • End-to-end encrypted emails to anybody.
  • Automatic end-to-end encryption between users.
  • Open source for allowing third party verification of the encryption technology.
  • Zero-knowledge: We as the provider have no access to the encrypted data, any profiling is impossible.

App features that set Tutanota apart

  • Register your @tutanota.de email address with 1 GB of free storage.
  • Send and receive end-to-end encrypted emails to anybody, to other Tutanota users automatically and to external users secured with a password.
  • Send and receive old-fashioned emails (not end-to-end encrypted). Even these emails are stored encrypted on the Tutanota servers.
  • Subject, content and attachments are automatically encrypted.
  • Supports push notifications.
  • Auto-complete contact names as you type from your Tutanota or your phone contacts.
  • Tutanota is open source so that anyone can verify its security by auditing the code.
  • We are working hard on adding more features. Next up: folders, sync between devices/browsers, ‘share to’ option for easy file attachment.

We hope you like the app. Please keep sending us your recommendations on improving Tutanota via emailFacebookgoogle+ or Twitter.

Kind regards,
your Tutanota team

22nd of December 2014

Release Notes 1.6.1

We are happy to announce that we have released a new version of Tutanota with an enhanced interface and new features such as:

  • A lock symbol shows you which emails were sent end-to-end encrypted (only for emails sent/received after this release)
  • Account can be deleted in settings
  • Our new support tool lets you upvote feature requests directly
  • Safari on OS X supported (with small limitations when downloading attachments)
  • Blackberry 10 supported
  • User interface design optimizations
  • Save password at login can be selected
  • Show which menu item is selected

Apart from these features, we have fixed several bugs and removed the support for Internet Explorer 8 for external users because IE8 cannot be regarded as secure anymore. In addition we work hard on our mobile apps, which are in beta right now and will be released soon.

Next on our list:

  • Apps for Android and iOS
  • E-Mail folders
  • Synchronization of emails and contacts between browsers/devices

We hope that you share our passion for privacy. Please keep sending us your recommendations on improving Tutanota via emailFacebookgoogle+ or Twitter.

Kind regards,
your Tutanota team

18th of December 2014

Cheap, cheaper, for free. On Cyber Monday Everybody Talks About the Price.

Reclaim your emailsOur Tutanota webmail client brings privacy to the people – for free. And we are proud of that. Working on our open source project gives us a lot of satisfaction as we want to change the internet for the better. Today, on Cyber Monday, eveybody talks about prices. Let’s take a look at Tutanota.

We are developing Tutanota as fast as we can to offer you a functionally complete webmail service. As soon as we are satisfied with the functionalities, we will add premium features such as custom domains, more storage, in the future also a calendar and file sharing. This is of utmost importance because with Tutanota you are not the product. All your data on our servers is encrypted and only you have access.

The encrypted data can not be scanned or used for profile creation. We respect your privacy and we will not spam you with advertisements. Still Tutanota is forever free. Premium offers will follow so that we can speed up development and attract more people to our privacy focused webmail client.

We hope that you share our passion for privacy. Please keep sending us your recommendations on improving Tutanota via emailFacebookgoogle+ or Twitter.

Kind regards,
your Tutanota team

1st of December 2014

Tutanota at this Year’s Hackover in Hanover

Hackover in HanoverWe want to thank all participants at our hackover lecture this Sunday. It was a great experience to share our ideas for the future of encrypted mailing with like-minded people. We were impressed by your participation and the number of questions you had. Be warned: Next year we will do this for two or three hours so that – maybe – then we have the chance to discuss all questions! :) Thank you very much for all the feedback – also the critical feedback. It helps us a lot to develop Tutanota further. For everybody who is interested, here are our presentation slides (German).

Please keep sending us your recommendations on improving Tutanota via emailFacebookgoogle+ or Twitter.

Kind regards,
your Tutanota team

27th of October 2014

Kooperation mit Hülskötter & Partner

Tutanota OutlookDas Tutanota Outlook Addin verschlüsselt E-Mails an jeden Empfänger ganz einfach mit einem Klick. Besonders Anwälte interessieren sich für diese sichere Form der Kommunikation. Denn so können Sie auch mit Ihren Mandanten vertraulich und datenschutzkonform per E-Mail kommunizieren. Jetzt haben wir eine Kooperation mit Hülskötter & Partner gestartet, einer der führenden Anbieter von Kanzleisoftware in Deutschland. Mit Support und innovativer Software unterstützt Hülskötter & Partner seine Kunden darin, die Kanzleiorganisation so einfach und bequem wie möglich zu machen. Wir finden: Das passt. Denn Tutanota macht das verschlüsselte Mailen denkbar einfach.

 

DANE Everywhere?! Let’s Make the Internet a Private Place Again.

Great Dane dogsTutanota uses DANE (DNS-based Authentification of Named Entities). This technology binds the SSL key information to a domain name (DNS) and protects that binding with DNSSEC. DANE is a very important protocol as it makes Man-in-the-Middle attacks by third parties practically impossible. It is crucial that you verify that your connection uses the correct SSL keys with DANE and DNSSEC browser plugins.

With DANE the authentication becomes independent from Certificate Authorities and their possibly bogusly issued certificates. The SSL transport encryption secures all data between your browser and our German-based servers. Whenever you access your data on Tutanota, the connection is completely secured. In addition all encrypted emails are now also protected with DANE. Your ‘normal’ emails sent via SMTP are protected with DANE in case that the other email provider supports DANE as well. To make sure that your connection with our servers can be trusted, please install the DNSSEC/DANE/TLSA browser plug-ins. Here is a detailed how-to.

The reason why we as an email provider with a focus on security have to implement DANE is obvious: SSL makes man-in-the-middle attacks all too easy. Every owner of root certificates that is certificate authorities, secret services and big Internet providers can intervene between user and server to intercept confidential information or even manipulate it. These attacks are done more often than we think because most users do not notice being under attack. An investigation by The Spiegel together with Laura Poitras shows a shocking example of this method.

Tutanota is one of the first email providers worldwide to implement DANE. This is a consequent step for the German-based email service that enables its users to communicate with everybody with end-to-end encrypted emails, even if the other one does not use any encryption software. The encrypted email to an external recipient does not travel the Internet, but is being fetched directly from the Tutanota servers in Germany with the help of a password. Hackers call this “a major improvement over the dead letter box communication system“. This is an advantage also with DANE. Even though big email providers do not use DANE to date, all end-to-end encrypted emails from Tutanota are completely protected with DANE because they only travel between people’s browsers and the Tutanota servers. In addition to that, DANE secures the SSL connection upon login so that attackers cannot intercept login data.

We hope that mainstream email providers will implement DANE soon

With DANE we add another layer of protection because we want to push online security further. We hope that mainstream email providers will follow our example and implement this important technology. After ‘HTTPS Everywhere’, the next step should be ‘DANE Everywhere’! We are happy about Google’s stress on HTTPS as well as CloudFlare’s recent announcement of introducing DNSSEC in the next six months. These are important steps in the right direction. We believe that together we can make the Internet a better – a private – place again. DANE is a universal protocol that can be implemented by every site owner and every email provider. It offers the chance to make email communication much more secure.

How DANE works

DANE eliminates several weaknesses of SSL, thereby increasing the security of SSL protected emails. DANE stores the digital fingerprints of an SSL certificate in DNS, the phone book of the Internet. Mail servers and browsers can automatically verify the authenticity of the certificate before establishing a trusted SSL connection or sending an email via SSL transport encryption. This way DANE prohibits effectively against criminals or secret services pretending to be a particular web or mail server to gain access to login data or content with the help of bogus certificates.

In addition the DANE entries in the phone book of the Internet (DNS) are secured with the help of DNSSEC. This technology prevents others from changing entries within DNS and substituting any digital fingerprints of SSL certificates. Every visitor of tutanota.de and app.tutanota.de can easily check the authenticity of our certificate:

 

DANE plugin lock

DANE already works in all common browsers through Add-ons. Find out how to install these Add-ons here. Even though it will take some more time until DANE will become widely used, we want to make a start. Our users are very affine to security issues and many will install the Add-ons. It is nice to know that the transportation of data between the user and the Tutanota server now is better secured. This is a perfect addition to our easy-to-use end-to-end encryption. With Tutanota you can encrypt every email to every friend with a tip of your finger. Also we are working hard on the development of mobile apps to make email encryption on mobile devices more convenient. However you can already use the webapp on your mobile devices.

If you think more providers should offer DANE, tell yours. Or simply use Tutanota. :)

Tutanota is open source. Check out our Git repository!

Kind regards,
your Tutanota team

15th of October 2014

 

DANE – How to Install the Browser Add-ons

The technology DANE is an SSL extension that makes websites independent of Certificate Autorities and their possibly bogusly issued SSL certificates. With DANE you can check yourself if an SSL certificate can be trusted. You only need to install two plugins and your browser will tell you with two small icons if you are accessing the site with a secure connection.

Install DNSSEC, DANE and TLSA Browser Add-ons

Mozilla Firefox has the easiest installation process (one click only) to install the Add-ons needed for DANE protection. Simply download the plug-in from Mozilla Firefox and restart your browser. The same goes for the Internet ExplorerDownload the .exe file and restart your browser. I have checked my DNSSEC status within the Firefox settings. It looks like this:

DNSSEC Validator works

For Chrome under Windows the installation was also easy. You can download and execute the DNSSEC plugin and the TLSA plugin.

For Google Chrome and Chromium under Mac OS and Linux it is a bit more complicated. You can download the Chrome Add-on from the Chrome web store and install the Native Message binary package from here. At first I was not able to install the binary package for Chrome as advised on the download-website and the new icons (lock and key) told me that there was an error verifying DNSSEC status of the website. When I checked the Chrome settings of extensions it told me that there was an error with my plugin:

DNSSEC Validator

Then I got a little help from my friend: For Chrome under Mac OS follow these instructions (under Linux it’s similar):

  1. Install the Chrome extensions DNSSEC and TLSA Validator from the web store.
  2. Download the appropriate Native Messaging binary package (that matches your OS) here. Right click the link and select ‘save link as’ to save the scripts to your downloads folder.
  3. Open the terminal (start Terminal.app on OS X)
    • Change to the downloads directory. In my case this was:
      • $ cd Downloads (press enter)
    • Then enter the following commands (to set the executable flag):
      • chmod +x tlsa-plugin-2.2.0.x-macosx.sh (press enter)
      • chmod +x dnssec-plugin-2.2.0.x-macosx.sh (press enter)
    • Run the commands
      • ./tlsa-plugin-2.2.0.x-macosx.sh (press enter, and ignore the text that shows up in terminal)
      • ./dnssec-plugin-2.2.0.x-macosx.sh (press enter, and ignore the text that shows up in terminal)
  4. Restart your browser.
  5. That’s it! So easy, wasn’t it? No, seriously, we need an easier plugin for Chrome.
  6. Now, go to app.tutanota.de or tutanota.de and enjoy the green icons. :)

If you want to install the Add-ons for Safari use the above instructions. This is the Safari binary package: as-dnssec-tlsa-validator-2.2.0-macosx.sh Substitute the two terminal commands (tlsa + dnssec) with just this one: as-dnssec-tlsa-validator-2.2.0-macosx.sh

You can also get the source code here: git://git.nic.cz/dnssec-validator/ if you want to compile everything yourself.

Now I’ve got two green icons!

Then I tested the Chrome and the Firefox web browser plugins on app.tutanota.de. The plugins install two new icons on the right side of the browser’s location within the URL bar. The one with a key on it tells you if the domain name for the website has a valid DNSSEC signature associated with it. The one with a lock on it tells you if the TLS certificate of the website can be authenticated with a DANE TLSA record.

After you have installed the plugin you can also check app.tutanota.de or tutanota.de. This is what it looks like in my browser. The key symbol shows you that the site is secured with DNSSEC:

DNSSEC plugin key

The lock symbol shows you that the site has been successfully authenticated by means of a signed TLSA record:

DANE plugin lock

This is an HTTPS connection at the standard port (TCP port 443), the plugin looked for the TLSA record at the domain name “https://app.tutanota.de:443.” In your Chrome settings there are a few configuration options (see below). However, the Add-on seems to do its own DNS resolution by default.

DANE Addon configuration in Chrome

After having installed the DNSSEC plug-in, the key can have different colors, which signal different levels of security:

DNSSEC Validator States

 

The red key indicates that there is a problem. So you do not want to see this one. However, that’s the point of DNSSEC and DANE. The icons show you if the SSL certificate can be trusted, thus, it protects you from man-in-the-middle attacks.

DANE is a universal protocol that can be implemented by every site owner and every email provider. It offers the chance to make email communication much more secure. With DANE we add another layer of protection because we want to push online security further. We hope that mainstream email providers will follow our example and implement this important technology. After ‘HTTPS Everywhere’, the next step should be ‘DANE Everywhere’!

If you think more providers should offer DANE, tell yours. Or simply use Tutanota. :)

Please keep sending us your recommendations on improving Tutanota via emailFacebookgoogle+ or Twitter.

Is there anything missing from this how-to? Please add your comment below. Thanks a lot!

Best regards,
Hanna

15th of October 2014

***My special thanks after writing this tutorial goes to the Czech Domain Registry for developing the DNSSEC and TLSA Add-ons. It is awesome what we can do to make the Internet a more private place again.***

New SSL Certificate

Due to the expiration of our SSL Certificate we are now using a new certificate from “StartCom Ltd.” We are also working on the implementation of DANE to make your emails – even the non-encrypted ones – more secure.

After the SSL change one user asked us: “Your CA seems to have changed… now Startcom Ltd.? Or is that a MITM attack on me by NSA etc? Thanks :)” Just to let you know: It was not a Man in the Middle Attack. We inform you on all our updates via Twitter.

Kind regards,
your Tutanota team

26th of September 2014

Code Under Review!

Last week we have published our source code on github. We have asked several IT security experts who share the idea of a free and secure Internet to look into our code. We are happy about each and every one of you looking into the code since it can only enhance the security for everybody. If you would like to join us in our fight for privacy, please contact us or get started right away on github. Everybody who wants to contribute will get a warm welcome!

Security and privacy go along with transperancy. On our blog as well as via twitter we will inform you about possible findings and about the steps we are taking to eliminate them.

Let’s improve Tutanota together!
Your Tutanota team

September 9th 2014

Studie zur E-Mail-Verschlüsselung bei Kanzleien: Noch immer ein Viertel ohne SSL-Schutz

Anwälte könnten Vorreiter bei der vertraulichen Kommunikation sein. Doch: Ein Viertel verschickt E-Mails ohne eine sichere SSL-Verschlüsselung, wie eine Studie der Tutao GmbH, Anbieter von E-Mail-Verschlüsselungslösungen für Kanzleien, jetzt zeigt.

Die Mehrheit der Kanzleien in Deutschland, 88 Prozent, verschicken ihre E-Mails inzwischen mit der Transportverschlüsselung TLS, besser bekannt als SSL. Aber: Nur drei Viertel der Kanzleien (76 Prozent) setzen ein valides SSL-Zertifikat ein. Obwohl 88 Prozent der Anwälte ihre E-Mails mit SSL verschlüsseln, kann diese Transportverschlüsselung nur bei drei Viertel der Anwälte als sicher eingestuft werden.

SSL-Verschlüsselung     SSL-Zertifikate

Immerhin: „Seit der letzten Durchführung unserer Studie im Dezember 2012 hat sich die E-Mail-Sicherheit von Kanzleien merklich verbessert“, lobt Matthias Pfau, Geschäftsführer der Tutao GmbH. „Damals wurden nur ein Drittel der E-Mails mit der Transportverschlüsselung SSL abgesichert. Offensichtlich haben mittlerweile viele der beauftragten IT-Dienstleister Ihre Systeme an die gestiegenen Sicherheitsanforderungen angepasst.“

Perfect Forward Secrecy     Externes Hosting

Zwei Drittel der Kanzleien setzen außerdem Perfect Forward Secrecy ein, damit die Kommunikation nicht im Nachhinein entschlüsselt werden kann, ein Drittel tut dies nicht. Außerdem hosten nur 4 Prozent der Kanzleien ihre E-Mails selbst. Im Umkehrschluss heißt das: 96 Prozent der E-Mails deutscher Anwälte liegen unverschlüsselt auf den Servern von IT-Dienstleistern.

Wollen Anwälte wirklich vertraulich mailen, brauchen sie eine Ende-zu-Ende-Verschlüsselung. Nur so können sie sicherstellen, dass vertrauliche Inhalte der elektronischen Kommunikation auch vertraulich bleiben. So warnt auch Rechtsanwalt Guido Aßhoff: „Wenn aufgrund einer nicht verschlüsselten E-Mail ein finanzieller oder sonstiger Schaden entsteht, ist der Absender der E-Mail im Zweifelsfall schadensersatzpflichtig. Geregelt wird das im § 203 StGB, also im Strafgesetzbuch.“

E-Mail-Verschlüsselung mit einem Klick

Vertrauliche E-Mails direkt mit einem Klick in der gewohnten Outlook-Umgebung erstellen.

Eine einfach einzusetzende Ende-zu-Ende-Verschlüsselung bietet die Tutao GmbH mit Tutanota. Das Outlook Addin ist schnell eingerichtet, sofort einsatzbereit und verschlüsselt die E-Mail samt Anhang  ganz einfach mit einem Klick. Selbst Empfänger, die keine Verschlüsselungslösung einsetzen, können damit ganz einfach erreicht werden. Die durchgehende Ende-zu-Ende-Verschlüsselung von Tutanota erlaubt Dritten keinen Zugriff auf die Daten. Mit dieser innovativen Lösung können Anwälte Standards setzen und vertraulich mit all ihren Mandanten kommunizieren. Dr. Laura Kubach von SBR Schuster & Partner Rechtsanwälte setzt Tutanota bereits ein: „Wir haben schon länger mit dem Gedanken gespielt, eine Verschlüsselungssoftware zu nutzen, aber bisher nichts Passendes gefunden. Tutanota entspricht voll und ganz unseren Bedürfnissen: Am meisten überzeugt mich die tägliche Anwendung. Die Software integriert sich so geschmeidig in unser Outlook, dass ich kaum merke, dass ich jetzt sicher verschlüsselt kommuniziere. Und unsere Mandanten bekommen die Wertschätzung und Vertraulichkeit, die ihnen zusteht.“

Studiendesign

Die Tutao GmbH hat im Dezember 2012 und am 30./31. August 2014 die Einstellungen der E-Mail-Server von 14.622 zufällig ausgewählten Kanzleien in Deutschland überprüft. Als Basis wurden die öffentlich zugänglichen E-Mail-Adressen der Kanzleien in den Gelben Seiten verwendet.

 

Thought from End-to-End: Affordable Email Encryption for Every Lawyer.

Lawyer Thomas Feil

Lawyer Thomas Feil

Being a lawyer is not an easy job: They carry a special responsibility towards their clients, in particular their obligation to confidentiality. The clients on the other hand want to communicate with their lawyer quickly, preferably via email. A dilemma because emails can be intercepted and read with any laptop. While most lawyers still send their emails openly like postcards, pioneers like Thomas Feil are ready to break new grounds.

The lawyer from Hanover, Germany, uses the encryption solution Tutanota, which encrypts his emails with one click directly in Outlook. “Since I use Tutanota, I can sleep like a log”, Thomas Feil says smiling. “No, seriously: It is a good feeling to know that nobody can read along. Now I can exchange confidential information like court documents easily via email. I do not have to think about whether to send this particular information with a letter. One click and everything is encrypted!” The clients are happy as well. They do not have to do without easy and quick email communication and still everything remains confidential.

With the innovative solution nothing changes for the user, but the fact that he can reach every client confidentially. Emails are end-to-end encrypted with one click directly in Outlook and saved on the Tutanota servers in Germany. The recipient does not need to install any software. He can simply access the encrypted messages with a browser. The emails are decrypted locally, and the recipient can answer with an encrypted email. With this simple approach Thomas Feil saves time and money  and gains tribute from clients and partners.

Tutanota Makes Email Encryption Easy and Affordable

„I wEmail encryption with one clickas looking for an encryption solution for a while when I found Tutanota at CeBIT 2014. A lucky coincidence”, says Thomas Feil. “I have never heard of such an easy-to-use solution before.” Actually the path of Tutao, the developing company of Tutanota, is a new one. Established encryption solutions are usually based on a gateway, which goes along with high investment costs and, therefore, are not affordable for small and medium-sized companies. “When it comes to the cost-benefit ratio I have to look closer”, says Feil. “Here Tutanota offers unbeatable prices.”

IT administration is kept to a minimum as well. The Outlook Addin was installed in several minutes and does not need any additional IT infrastructure. The software handles the keys so that the encryption happens automatically and no administrator is needed. Thomas Feil and his team have integrated Tutanota in their daily working routine. Now they can easily communicate confidentially with every client.

Release Notes 1.5.8.

After our mayor release 1.5.7. we encountered some issues with outdated internet explorers. That is why we had a minor bug fix release on September 3rd.

In this release we also included a bug fix brought to our attention by our users: The password manager LastPass did not recognize our login form correctly. This issue has now been fixed. Thank you for notifying us!

Please keep on sending us your recommendations on improving Tutanota via emailFacebookgoogle+ or Twitter.

Kind regards,
your Tutanota team

4th of September 2014

Release Notes 1.5.7.: Tutanota Goes Open Source

Open SourceWe are happy to announce that we have published the source code of Tutanota as open source. Now everybody can build their own secure email application. Challenge us and review the code on github! We aim at providing the best-in-class secure webmail. 

We are confident that we have built the most secure webmail solution. Now we ask the community to challenge us! We are the first one among secure email applications to publish our code as open source. We are happy that we can give something back to the community who provides us with great feedback and support during our struggle to bring privacy back to the people! Now we want to engage with the community and continue developing Tutanota together. Let’s make something great out of it! You can contribute directly on github or contact us.

This release is an integral part of our security concept. Without peer reviews one can never be sure if a security solution does not contain backdoors.

After the revelations by Edward Snowden last summer, we have decided to release our secure email solution to the public for free, making it available to everybody worldwide. We do not want to live in a world with massive spying on innocent individuals. That’s why Tutanota will be forever free with 1 GB of free storage. All data is encrypted locally on your device before being transmitted to our German-based servers. The data cannot be accessed by anybody. Not even we have access. This also means that we cannot reset passwords. Since we cannot access user data, we cannot hand it over. Your emails with Tutanota are private and stay private.

New Features after Release 1.5.7.

  • Tutanota webmail client is available as Open Source: https://github.com/tutao/tutanota
  • Partial loading of email list (optimization for mobile devices)
  • Forwarding of attachments
  • Final deletion of emails in trash folder
  • Invitation email to friends
  • Registration without mobile phone number

Up next

  • Mobile apps for iOS and Android
  • Make Tutanota compatible with PGP
  • Add top-level domains (tutanota.com, tutanota.ru, tutanota.cn)
  • Make Tutanota usable with your own domain

We are developing additional features according to your wishes and requests! Please send us feedback which features you would like most via emailFacebookgoogle+ or Twitter.

Regards
the Tutanota team

2nd of September 2014

Encrypt Everything: How Does It Work?

Tutanota encrypts all your data automatically. Even emails that you send and receive in plain text are encrypted before being stored on our German-based servers. The following examples show how your emails are encrypted in Tutanota.

Alice is registered with Tutanota (picture 1) and exchanges end-to-end encrypted emails with Bob. When Bob is also registered with Tutanota, the encryption is handled completely automated. Subject, content and all attachments are encrypted. However, Bob can also use another email provider like Gmail or Yahoo; the encryption still works with a pre-shared password between Alice and Bob.

Carol (pictures 2 + 3) is not registered with Tutanota, and Alice exchanges ‘normal’ emails without end-to-end encryption with her. Independent of the end-to-end encryption, the transport between client and Tutanota servers is secured with SSL, DANE and Perfect Forward Secrecy (PFS) to add another layer of security.

Encrypt everything: All data on our German-based servers is encrypted.

 

Picture 1: Alice sends an end-to-end encrypted email to Bob: The email is encrypted on Alice’ client, stored encrypted on the server and can only be decrypted by Alice or Bob.

Picture 2: Alice sends a non-confidential email to Carol: The email is sent via SMTP to the recipient. Still, the sent email is encrypted for Alice on the Tutanota server and then stored.

Picture 3: Carol sends a non-confidential email to Alice: When the SMTP email is received by the Tutanota server, it is encrypted for Alice and then stored on the server.

Any questions left? Please ask by commenting here or via emailFacebookgoogle+ or Twitter:)

Added on 27th of August 2014

No Data Preservation: Why Germany Is the Place to Be

We are often asked if Germany as a memeber of the European Union is safe when it comes to privacy protection. The fact is that while many countries around the world have laws for saving data of Internet users the Court of Justice of the European Union declared its data preservation law – the Directive 2006/24/EC – invalid in April 2014. And even while this Directive was valid Germany has revoked its own data preservation law in 2010 after the Federal Constitutional Court of Germany ruled the law unconstitutional.

Not even the fact that Germany was being sued by the European Union for not submitting to EU legislation led to a change in German legislation. By now the EU has withdrawn its lawsuit since the Directive 2006/24/EC itself was declared invalid. This shows that the strict privacy protection laws of the German Constitution are there to protect the freedom of everybody making Germany the perfect place for a zero knowledge email provider like Tutanota.

In contrast to that Switzerland still has an active data preservation law that forces companies to massively save data of their customers. In reagrds to email this concerns mostly metadata which cannot be encrypted. In Switzerland, for instance, the providers have to save the time of any sent and received email as well as the involved IP addresses for six months according to Swiss law (VÜPF). While there is no such law in the US, the NSA just records Internet metadata up to a year.

20th of August 2014

 

 

Tutanota Uptime Stats

Encrypt your emails easily with Tutanota – anytime: Our uptime for the year 2014 is 99.96 per cent. We want to make Tutanota always available and strive for 100 per cent.

Two-man rule during releases

Two-man rule during releases to prevent mistakes.

There are several things we do to provide the maximum possible uptime to you:
* A single engineer is not allowed to work on production systems (two-man rule)
* All changes on production systems are tested in our dev and test environments
* The complete configuration of our test and production clusters is versioned and rolled out with puppet
* During development every single commit is being reviewed

Our system architecture has also been optimized for availability and scalability. We use a highly distributed database called Cassandra. Besides that, Tutanota is only based on reliable and proven software like Postfix and Jetty.

For measuring uptimes we use NodePing. NodePing tracks our uptime from various nodes on the Internet every single minute. You can check our historical uptimes since the beginning of 2014 here.

Tutanota Uptime Since Its Beta-Release Was 99,98 Per Cent

Since our release of Tutanota Free in Germany on the 25th of March 2014, Tutanota was down only about 42 minutes (uptime was 99,98 per cent). This downtime includes all software upgrades that have been rolled out. During this time we had eleven new releases and two minor networking outtakes at our datacenter.

Do you have questions or ideas on how to further improve our uptime? Please contact us via Facebook, Twitter or email!

Kind regards,
your Tutanota team

14th of August 2014

Easy Email Encryption Now Available for Microsoft® Outlook® – Tutanota Starter

 

One click on 'Confidential' and the entire email - subject, content and all attachments - is encrypted directly in Outlook.

One click on ‘Confidential’ and the entire email – subject, content and all attachments – is encrypted directly in Outlook.

We are happy to announce that we have released Tutanota Starter internationally. The new Microsoft® Outlook® Addin makes encryption easier than ever before and the pricing is very competitive. Feel free to contact us for an individual offer. One click and the email is encrypted even if you send it to external recipients who do not use any encryption software. Our easy-to-use approach makes end-to-end encryption available for every lawyer, doctor, HR professional or small and medium-sized companies.

Tutanota Starter encrypts the entire email – subject, content and all attachments – automatically with one click only. The external recipient only needs a password which can be sent to him automatically to a mobile number specified in the Outlook Address Book. He can then easily access all received emails via Tutanota in a browser and answer directly with an encrypted email as well. While the developers are experts in cryptography, the users do not need to be IT-geeks. The solution can be used intuitively, the entire encryption process takes place in the background.

“We promise that anybody can use Tutanota. In contrast to common complex solutions we focus on usability. The installation process of the Tutanota Outlook Addin only takes a couple of minutes. After this it is immediately ready for use”, says Arne Möhle, co-founder of Tutanota. “All emails are encrypted locally on the user’s device before being transmitted to our German-based servers. The data cannot be accessed by anybody. Not even we have access.” In addition to the high level of security customers value that they can reach everybody confidentially. Thomas Feil, a German lawyer, says: “With the end-to-end encryption of Tutanota we have a distinct competitive edge. Many people – even attorneys – do not use encryption to-date. We have implemented Tutanota into our daily communication and we send our emails easily compliant to privacy laws. Now we can reach every client tap-proof, easily with one click! This will change the market, and encryption becomes the chance to be used as a standard by everybody.”

The team Matthias Pfau, Arne Möhle and Thomas Gutsche, three former informatics students, founded their company as a spin-off from the L3S Research Center at Leibniz University Hanover in 2012. The easy-to-use encryption solution has been put to an extensive penetration test during which the experts could not hack into the system or retrieve any confidential data. In addition Tutanota carries the seal “IT Security Made in Germany”. In Germany the Tutanota Outlook Addin has already been launched successfully in the beginning of 2014. Now customers like research centers, consulting firms and lawyers use the system for encrypting their emails and for establishing a confidential communication channel with their customers and partners.

Simply sign up for a free trial and be convinced of our secure and easy-to-use solution!

Kind regards,
your Tutanota team

12th of August 2014

30 Years Email in Germany: Let’s Revolutionize Email Again

That's what your email looks like in transit: Tutanota automatically encrypts the subject, the content and all attachments.

That’s what your email looks like in transit: Tutanota automatically encrypts the subject, the content and all attachments.

Today, thirty years ago, the first email was received in Germany. The University of Karlsruhe was the first outside the US to set up an email server. On August 3rd 1984 they received an email confirming that they now have access to this new technology. It read: “Michael, this is your official welcome to CSNET. We are glad to have you aboard.”

In the beginning email was only used by the military and research institutions. But five years later email went public and the success went from there. Today everybody has an email address, if not two or three. From its early days the email has revolutionized the way we communicate. Communication has become faster and easier, but also more insecure.

Now It’s Time to Revolutionize Email Again

New email solutions like Tutanota offer a fast and easy way to use end-to-end encryption making our number one communication tool secure! The first German recipient of email Prof. Michael Rotert also recommends to use encryption. The eco Association of the German Internet Industry of which he is the Chairman says: Only encrypting emails can prohibit others from reading along. People should look out that the message is encrypted on its entire way from one device to the other (end-to-end encryption).

Tutanota offers just that. With our approach of easy-to-use encryption we hope that many people people will switch to a secure form of communication. Let us revolutionize email again by encrypting it!

Regards,
your Tutanota team

3rd of August 2014

 

Tutanota in Your Browser: How We Make It Secure

Tutanota browser securityThe email encryption with Tutanota Free takes place within your browser so that Tutanota can automatically take care of the key exchange. Our easy-to-use approach comes along with challenges: We have to make sure that your browser uses the latest version of Tutanota.

When you access app.tutanota.de, our web application is loaded from our servers into the application cache of your browser and stored there. Every time you then access Tutanota, the application is loaded directly from your local cache and not re-loaded from our servers. IT experts consider this as the better solution than downloading the website from the servers directly every time you access the website. Only if a new release is published, your browser re-loads all the information to be up-to-date. This process of automatic updates is also used by browsers like Firefox and Chrome. With the automatic update we can easily provide patches and make sure that you are always using the newest version of Tutanota.

Upon re-loading you will be notified about the process (see screenshot above) because transparency and security go hand-in-hand. Soon we will publish Tutanota as open source. Then a peer review of Tutanota is possible and IT professionals can check if the locally loaded Tutanota version matches the one officially published. At the moment we are also reviewing methods to simplify this so that everyone can check that they are using the latest version of Tutanota. We try to publish new features combined to keep new releases to a minimum so that a re-load of our Tutanota application does not happen often.

Regards,
your Tutanota team

16th of July 2014

We Have Fixed A Security Issue

Our international release increased the interest in Tutanota enormously. After getting in contact with security expert Thomas Roth we asked him if he could have a look at our code, which he did. Last night he informed us on a security issue in our web application. We appreciate that a lot as every review by external people makes our application more secure. It was a possible cross-site-scripting attack when forwarding an email. The issue has already been fixed. The attack worked as follows: When forwarding an email, the subject was embedded in the body of the new email unsanitized. This made it theoretically possible for attackers to manipulate the subject upon sending an email to a Tutanota email address. Then the attacker had to trick the user into forwarding this email. This way he would have had the opportunity to execute JavaScript code in the context of the web application. We have fixed the issue right away. Now the subject is embedded sanitized and such an attack is no longer possible.

Thomas Roth also put our attention to minor issues which can improve the security of Tutanota further. These will be implemented with the next release.

All found issues do not affect the encryption itself, but the web application as such. With Tutanota you can easily send and receive encrypted emails that cannot be monitored with common mass-surveillance practices. We also strive to prevent targeted attacks of specific Tutanota users. Such attacks are very complicated to execute and – in most cases (like the issue described above) – require a particular action by the user. In this case it was forwarding an email. Any possible attack scenarios brought to our attention will be taken care of immediately so that you can rely on sending secure emails with Tutanota.

The findings by Thomas Roth show how important peer review is to ensure security. In a few months we will make Tutanota available as open source so that everybody can build their own application and review the code in detail.

If you have any questions, please contact us.

Regards,
your Tutanota team

11th of July 2014

Tutanota Free – Email Encryption Made Easy


Tutanota Free: Easy-to-use encrypted emails on the go!Today we are happy to release Tutanota Free to the world. During our public beta-phase in Germany we have optimized our secure email solution. Now Tutanota allows you to easily send encrypted messages from desktops and mobile devices!

Register for Tutanota Free and stop mass surveillance on the Internet. With Tutanota you can send end-to-end encrypted emails very easily to anybody worldwide. Your recipient does not need to use Tutanota and can still answer directly end-to-end encrypted with one click. All data (subject, content of the email and all attachments) are automatically encrypted. Our user-friendly solution will make encryption accessible for everyone. Try it and take back your privacy!

While some features are still being developed, the encryption solution lives up to its promises. It has been put to an extensive penetration test during which the experts could not hack into the system or retrieve any confidential data. The code of Tutanota can already be reviewed via its webapplication. Soon we will also open source the code so that everybody can build their own Tutanota application. Email encryption is the best tool to stop mass surveillance on the Internet and we want to make sure that everybody gets an easy access to this technology.

New Features after this Release

  • You can register with mobile phone numbers from any country worldwide
  • You can change your sender name
  • The recipients are automatically saved in the contact list when you write an email

Up next

  • Mobile apps
  • Final deletion of emails
  • Make Tutanota Available as Open Source
  • Make Tutanota compatible with PGP
  • Add top-level domains (tutanota.com, tutanota.ru, tutanota.cn)

We are developing additional features according to your wishes and requests! Please send us feedback which features you would like most via email, Facebook, google+ or Twitter.

Regards
the Tutanota team

2nd of July 2014

 

Sicher unterwegs: Tutanota Free funktioniert jetzt auf mobilen Geräten

Webmail: Tutanota Free bald auf mobilen Geräten

Am 13. Juni 2014 haben wir die mobilen Geräte für Tutanota Free freigeschaltet! Jetzt könnt ihr von all euren Geräten ganz einfach Ende-zu-Ende verschlüsselte E-Mails verschicken und empfangen.

Wie gewohnt könnt ihr beim E-Mail-Versand selbst entscheiden, ob ihr eine normale oder eine abhörsichere, verschlüsselte E-Mail verschicken wollt. Eine unverschlüsselt versandte E-Mail ist dann rein per SSL mit Perfect Forward Secrecy abgesichert und wird ausschließlich verschlüsselt auf unseren Servern in Deutschland gespeichert.

Mit dem Release ist Folgendes neu:

  • auf mobilen Geräten werden diese Browser unterstützt:
    • Opera auf Android
    • Chrome auf Android
    • Safari auf iOS (iPhone, iPad) ab Version 6
  • externe Empfänger können zusätzlich die folgenden Browser für den Empfang verwenden (Dies ist leider aufgrund technischer Restriktionen bei den erweiterten Funktionalitäten bei registrierten Tutanota-Nutzern nicht möglich.):
    • Android Browser auf Android ab Version 4
    • Internet Explorer auf Windows Phone ab Version 10
  • es können mehrere E-Mail-Adressen als Empfänger über “copy & paste” eingefügt werden (Trennung mit Komma oder Semikolon)
  • eure Benachrichtigungs-E-Mail an externe Empfänger ist überarbeitet und wird im HTML-Format verschickt
  • verschlüsselte E-Mails werden bei externen Empfängern schneller geladen
  • eure Kontakte werden nach dem Namen sortiert (nicht nach Erstellungsdatum)

Wir hoffen, euch gefallen die Neuerungen und freuen uns über Feedback!

Viele Grüße
vom Tutanota-Team

 

Reset the Net – Wir holen uns unsere Privatsphäre zurück!

Reset the NetAm 5. Juni 2013 – heute vor einem Jahr – trat Edward Snowden einen Skandal los, der bis heute anhält und der uns täglich aufs Neue vor Augen führt, wie allumfassend wir im Internet überwacht werden. Mit “Reset the Net” ist eine Initiative gestartet, die der Massenüberwachung ein Ende setzen will. Wir leisten unseren Beitrag: Mit dem kostenlosen E-Mail-Dienst Tutanota Free könnt ihr ganz einfach Ende-zu-Ende verschlüsselte E-Mails an jeden verschicken und euch so ein Stück Privatsphäre zurückholen. Probiert es einfach aus!

Wenn wir Privatsphäre einfordern heißt es meist: “Wenn ihr nichts Falsches tut, habt ihr doch auch nichts zu verbergen.” Oder: “Die Sicherheit der Allgemeinheit ist wichtiger als die Privatsphäre des Einzelnen.” Wir sagen: nein. Das Recht auf Privatsphäre ist ein Menschenrecht und notwendig für einen offenen und respektvollen Umgang miteinander. Kardinal Richelieu erkannte den Wert von Privatsphäre, als er den bekannten Satz sagte: „Man gebe mir sechs Zeilen, geschrieben von dem redlichsten Menschen, und ich werde darin etwas finden, um ihn aufhängen zu lassen.“

Wir müssen uns entscheiden: Freiheit oder Kontrolle

Wenn jemand lange genug überwacht wird, lässt sich immer etwas finden, was gegen ihn verwendet werden kann. Und sei es nur eine Kleinigkeit, eine unbedachte Äußerung, eine falsch verstandene E-Mail oder eine aus dem Zusammenhang gerissene Meinung. Privatsphäre ist wichtig. Ohne sie wird Überwachung allumfassend. So wie es derzeit im Internet von vielen praktiziert wird. Aber wer garantiert uns, dass die Masse der Daten nicht missbräuchlich verwendet wird? Beispielsweise um die politische Gesinnung des Einzelnen herauszufinden, für Wirtschaftsspionage oder “nur” für Werbezwecke? Privatsphäre schützt uns vor dem Missbrauch unserer Daten durch die Mächtigen, seien es Regierungen oder Konzerne. Wir brauchen Privatsphäre, damit wir uns frei entfalten können und nicht in den Status der Selbstzensur abrutschen. Bruce Schneier, der bekannte Kryptografieexperte, sagte einmal: “Zu viele argumentieren es gehe um „Sicherheit gegen Privatsphäre“. Die wahre Entscheidung liegt zwischen Freiheit und Kontrolle.” Allumfassende Überwachung definiert einen Polizeistaat – ähnlich wie in der ehemaligen DDR. Politisch passiert im Bereich Datenschutz viel zu wenig. Deshalb hilft nur der digitale Selbstschutz. Da vor allem E-Mails sehr leicht abgefangen werden können, hilft auch nach Ansicht von Experten nur Verschlüsselung.

Mit Tutanota Free geht das ganz einfach. Mit der automatischen, optionalen Ende-zu-Ende-Verschlüsselung erreicht ihr jeden abhörsicher. Alle eure Daten sind verschlüsselt. Und: Je mehr wir verschlüsseln, desto schwieriger machen wir es den Überwachern!

Businesslösung: Intuitive E-Mail-Verschlüsselung Outlook

E-Mails sind das beliebteste Einfallstor, wenn es um Wirtschaftsspionage geht. Denn trotz NSA-Skandal scheuen immer noch viele den Aufwand der E-Mail-Verschlüsselung. Selbst wenn die Unternehmenspolicy die Verschlüsselung vorschreibt, umgehen Mitarbeiter die Regeln. Wir wollen das ändern: Mit der intuitiv zu bedienenden E-Mail-Verschlüsselung direkt in Outlook funktioniert der vertrauliche Datenaustausch ganz einfach. 

Tutanota Starter in Bildern: Mit einem Klick kann jeder verschlüsselt erreicht werden.

no images were found

Die Software Tutanota Starter lässt sich über ein Plugin nahtlos in Microsoft Outlook 2010 und Microsoft Outlook 2013 integrieren. Danach funktioniert die E-Mail-Verschlüsselung mit einem Klick einfach automatisch. Usability stand bei der Entwicklung von Tutanota Starter stets im Vordergrund. Heute setzen Unternehmen die innovative Verschlüsselungslösung ein, um jeden ganz einfach abhörsicher zu erreichen. Das geht sogar, wenn der andere Tutanota nicht nutzt. Damit setzt das Hannoveraner Startup Tutao, das Tutanota entwickelt hat, Maßstäbe in der Verschlüsselungstechnik. Denn neben der durchgehenden Ende-zu-Ende-Verschlüsselung ist den Kunden wichtig, dass sie wirklich jeden vertraulich erreichen können. Das hat auch Thomas Feil von der Feil Rechtsanwaltsgesellschaft mbH überzeugt: „Mit der durchgehenden Ende-zu-Ende-Verschlüsselung von Tutanota haben wir einen klaren Wettbewerbsvorteil. Viele – auch Anwälte – setzen bis heute keine Verschlüsselung ein. Wir haben Tutanota fest in unsere Kommunikation integriert und versenden unsere E-Mails ganz einfach datenschutzkonform. Jetzt können wir jeden Mandanten abhörsicher erreichen, einfach und bequem mit einem Klick! Das wird den Markt grundlegend verändern, und Verschlüsselung bekommt die Chance standardmäßig von allen genutzt zu werden.“

Die durchgehende E-Mail-Verschlüsselung Outlook macht Tutanota abhörsicher.

Die Ende-zu-Ende-Verschlüsselung von Tutanota erlaubt Dritten keinen Zugriff auf die Daten. Alle E-Mails, die über das Outlook Addin verschlüsselt werden, nehmen ihren Weg über die hochsicheren Tutanota-Server in Deutschland. Das Gute daran: Die Verschlüsselung funktioniert mit einem Klick. Das geht, weil der private Schlüssel verschlüsselt auf den Tutanota-Servern gespeichert wird. Alle E-Mails werden mit dem privaten Schlüssel des Nutzers gesichert, der bei der Registrierung automatisch generiert wird. Der private Schlüssel und das auf dem Server für die Authentifizierung gehasht abgelegte Registrierungspasswort sind kryptografisch unabhängig voneinander. Dieses Passwort ist mittels bcrypt und zusätzlich SHA256 abgesichert. Nur das Passwort kann den privaten Schlüssel entschlüsseln. Jedes Unternehmen bekommt einen Administrator-Account, mit dem es weitere Mitarbeiter-Accounts anlegen kann. Während der Administrator die Passwörter der einzelnen Mitarbeiter zurücksetzen kann, darf das Passwort des Administrator-Accounts nicht verloren gehen, da niemand – auch wir nicht – Zugriff auf das Passwort hat und es nicht zurückgesetzt werden kann. „So stellen wir sicher, dass niemand Zugriff auf die Daten hat“, erklärt Arne Möhle, der Tutanota zusammen mit Matthias Pfau und Thomas Gutsche entwickelt hat. „Selbst wenn wir Daten herausgeben müssten, können wir diese nur verschlüsselt, also als ‚Datensalat‘ weitergeben.“

Eine moderne Verschlüsselungslösung: sicher und kundenorientiert.

Mit der einfachen E-Mail-Verschlüsselung Outlook sticht Tutanota aus dem Meer der Verschlüsselungslösungen heraus. Denn: Sicher und kundenorientiert muss eine moderne Lösung sein. Das hat auch Dr. Laura Kubach von SBR Schuster & Partner Rechtsanwälte überzeugt: „Wir haben schon länger mit dem Gedanken gespielt, eine Verschlüsselungssoftware einzusetzen, aber bisher nichts Passendes gefunden. Tutanota Starter entspricht voll und ganz unseren Bedürfnissen: Es war in nur einer halben Stunde installiert und einsatzbereit. Aber am meisten überzeugt mich die tägliche Anwendung. Die Software integriert sich so geschmeidig in unser Outlook, dass ich kaum merke, dass ich jetzt sicher verschlüsselt kommuniziere. Und unsere Mandanten bekommen die Wertschätzung und Vertraulichkeit, die ihnen zusteht. Einfach perfekt!“

Automatisierter Schlüsselaustausch macht’s einfach.

Mit der innovativen E-Mail-Verschlüsselung in Outlook findet der Schlüsselaustausch komplett automatisiert statt. Wenn beide Seiten Tutanota verwenden, merken die Anwender von der Ende-zu-Ende-Verschlüsselung nichts. Praxistauglich wird Tutanota aber vor allem dadurch, dass jeder verschlüsselt erreicht werden kann – auch wenn der andere keine Verschlüsselungssoftware einsetzt. Beim E-Mail-Versand wird ein Passwort festgelegt, das der Empfänger per SMS anfordern kann. Klickt er dann auf seinem Smartphone auf den per SMS enthaltenen „Entschlüsselungslink“, wird die E-Mail im Browser lokal entschlüsselt. Im Browser hat der Empfänger sozusagen ein zweites, ein vertrauliches Postfach, mit dem er dem Sender auch direkt Ende-zu-Ende verschlüsselt antworten kann. Außerdem kann er die vertraulich erhaltenen E-Mails exportieren und lokal abspeichern.

Webmail einfach sicher – mit und ohne Ende-zu-Ende-Verschlüsselung.

 

Webmail: Tutanota Free bald auf mobilen Geräten

Der Webmailer Tutanota Free ist bald auch auf mobilen Geräten verfügbar.

Tutanota Free ist der neue Webmail-Service mit einer einfach zu bedienenden, optionalen Ende-zu-Ende-Verschlüsselung, ab Juni auch von mobilen Geräten aus. Durch die optionale Ende-zu-Ende-Verschlüsselung kann jeder selbst entscheiden, ob die E-Mail vertraulich behandelt und abhörsicher verschickt werden soll oder ob das ‘normale’ Sicherheitsniveau per SSL-Verschlüsselung mit Perfect Forward Secrecy genügt.

Wenn ihr euch für den verschlüsselten Versand entscheidet, geschieht das intern, also zwischen Tutanota-Nutzern, vollkommen automatisiert. Praxistauglich wird die durchgängige Verschlüsselung aber vor allem dadurch, dass der Empfänger Tutanota nicht nutzen muss. Externe Empfänger können ganz einfach über einen einmaligen Passwortaustausch ebenso abhörsicher erreicht werden. Über das Passwort bekommt der externe Empfänger Zugriff auf ein sicheres Tutanota-Postfach, in dem die verschlüsselten Nachrichten gespeichert sind. Der Empfänger kann im Webmail-Browser direkt verschlüsselt antworten.

 

Mit Tutanota bekommt Sicherheit für Webmail ein neues Niveau

Anders als die meisten E-Mail-Anbieter, die ausschließlich per SSL verschlüsseln und E-Mails unverschlüsselt auf den Servern ablegen, gewährleistet Tutanota einen durchgängigen Datenschutz und speichert Daten ausschließlich sicher verschlüsselt. Nur das Passwort des Nutzers kann die Daten entschlüsseln. So geben wir den Menschen die Hoheit über ihre Daten zurück. Aufgrund unserer hohen Anforderungen an den Datenschutz können wir Passwörter nicht zurücksetzen. So ist sichergestellt, dass auch wir keinen Zugriff auf eure Daten haben. Außerdem wird das Passwort bei jeder Anmeldung bereits vor der Übertragung zum Tutanota-Server verhasht, so dass es nie im Klartext übertragen wird. Trotz möglichen Fehlern in SSL-Protokollen (wie Heartbleed) sind die Passwörter unserer Nutzer deshalb sicher. Mehr zur Sicherheit von Tutanota findet ihr hier.

Tutanota wurde einem umfassenden Penetrationstest unterzogen und für sicher erklärt. Wir sind Mitglied im TeleTrusT und tragen das Siegel „IT Security Made in Germany“. Damit verpflichten wir uns keine Backdoor einzubauen und bekennen uns zum Standort Deutschland, auch unsere Server stehen in Deutschland. Jetzt kostenlos registrieren!

Der Überwachung entgehen: 5 Tipps für eure nächste USA-Reise

Der Sommer kommt! Und damit beginnt die Reisezeit. Für eure nächste USA-Reise haben wir hier ein paar Sicherheitstipps zusammengestellt. Denn die amerikanischen Behörden dürfen Laptops und Smartphones bei der Einreise ohne Gerichtsbeschluss durchsuchen. Ein „Hunch“ – eine Ahnung – genügt.

Die Mitarbeiter des CBP (U.S. Customs and Border Protection) dürfen am Flughafen die elektronischen Geräte aller Einreisenden untersuchen und die Festplatten kopieren. Der Einreisende kann sich nicht dagegen wehren. Die Behörden dürfen zwar niemanden zwingen, Passwörter herauszugeben. Sie können aber Druck aufbauen, indem sie Ausländern im Zweifelsfall die Einreise in die USA verbieten. Im Jahr werden mehr als 5.000 Geräte untersucht. Wer Wert auf Privatsphäre legt, schützt seine Daten deshalb im Vorfeld. Wir haben basierend auf einer Empfehlung von Seth Schoen von der Electronic Frontier Foundation 5 Tipps zusammengestellt, wie ihr eure Daten bei der nächsten USA-Reise schützen könnt.

  1. Travel light! Daten, die nicht vorhanden sind, können nicht kopiert werden. Deshalb: Löscht alle nicht benötigten Informationen von euren Datenträgern. Am besten ist es Laptops neu aufzusetzen.
  2. Verschlüsseln: Vertrauliche Daten, die ihr mitnehmen wollt, könnt ihr beispielsweise mit TrueCrypt verschlüsseln. Dabei empfehlen wir, dass jemand anderes das für euch tut und euch das Passwort nach der Einreise mitteilt. So könnt ihr den Behörden ehrlich erklären, warum ihr die Daten nicht entschlüsseln könnt. Denn laut Schoen sollte man die Mitarbeiter des CBP nie belügen. Alternativ könnt ihr Daten verschlüsselt in der Cloud ablegen, so dass ihr aus dem Ausland Zugriff darauf habt.
  3. Ein Passwort am Smartphones schützt eure Daten nicht wirklich. Am besten ihr legt vor der Reise eine Sicherungskopie an und setzt das Smartphone in der Werkzustand zurück. So könnt ihr sicher sein, dass keine persönlichen Daten (Kontakte, Anruflisten, SMS) auf dem Smartphone gespeichert sind.
  4. Auch eure E-Mails solltet ihr gut schützen, beispielsweise über eine Verschlüsselung. Wenn ihr bereits PGP nutzt, müsst ihr beachten, dass euer privater Schlüssel in der Regel lokal gespeichert ist. Dieser sollte vor der Reise extern gespeichert und von der Festplatte gelöscht werden. Alternativ könnt ihr unseren kostenlosen Webmail-Dienst Tutanota Free ausprobieren. Wir bieten eine optionale Ende-zu-Ende-Verschlüsselung, und die Schlüssel liegen verschlüsselt auf deutschen Servern.
  5. Wer ganz sicher gehen will, folgt dem Prinzip ‚naked in, naked out‘: Ohne Geräte ein- und ausreisen. Falls ihr vor Ort aber doch elektronische Geräte braucht, müsstet ihr diese teuer kaufen.

Übrigens: Diese Tipps solltet ihr auch bei der Einreise nach Großbritannien beachten. Die britische Grenzpolizei darf nach dem Terrorism Act 2000 ebenfalls die Nutzerdaten vom Smartphone oder Handy jedes Reisenden kopieren und so lange wie nötig speichern.

Danke für euer Feedback!

Liebe Tutanota-Nutzer,

wir möchten euch für euer Feedback zu Tutanota Free herzlich danken! Unser E-Mail-Service steckt noch in der Beta, und wir wollen ihn kontinuierlich verbessern. Manche Verbesserungsvorschläge konnten wir bereits umsetzen. Beispielsweise können externe Empfänger jetzt ihre über Tutanota verschlüsselt empfangenen E-Mails exportieren und lokal abspeichern. Neben dem Feedback haben wir auch einfach schöne Nachrichten bekommen, über die wir uns ganz besonders freuen. Eine Auswahl findet ihr hier:

“Sehr genial, muss ich sagen.”

“Hallo, habe mal euren Dienst ausprobiert. Sehr übersichtlich, leicht verständlich :-) Klasse gemacht. Ich bin gespannt was noch kommt.”

Dear Tutanota-Team, thank you for the great idea to create such a secure option to communicate. I hope to convince lots of people to give it a try because it’s less complicated than gpg.”

“Danke für diese tolle Möglichkeit vertraulich zu kommunizieren!”

“Danke für diese Innovation auf dem Wege zu sicherem Mailen!”

“Ich habe lange darauf hingefiebert. Ich danke sehr, Tutanota nutzen zu können. Herzlichen Glückwunsch und weiter viel Erfolg!”

Als Antwort auf unsere Begrüßungsnachricht “Fühlen Sie sich wie zu Hause.” schrieb ein Nutzer: “Okay, dann leg’ ich jetzt mal die Füße auf den Tisch!”

Wir sagen: Danke und weiterhin viel Spaß beim sicheren Mailen!

Viele Grüße
das Tutanota-Team


					

Warum PCs infiltrieren? Die NSA sitzt schon im Router.

Die Enthüllungen zur NSA-Überwachung nehmen kein Ende. Jetzt hat Glenn Greenwald in seinem Buch No Place to Hide veröffentlicht, dass die NSA Cisco-Router per Post abfängt, Überwachungssoftware einbaut und dann an den Empfänger weiterschickt. Dies zeigt erneut, wie wichtig eine durchgehende Ende-zu-Ende-Verschlüsselung für vertrauliche Daten ist.

Interessant dazu: Bereits 2012 warnte der US-Kongress vor chinesischen Telekommunikationsfirmen wie Huawei, da diese nicht unabhängig von der Regierung seien und in ihren Handys und Routern Spionagesoftware einbauen könnten. So relevant IT-Sicherheit für unsere Wirtschaft ist, so schwierig ist es, sie zu garantieren.

Die Bundesregierung will nun eine Art No-Spy-Garantie für öffentliche Aufträge verlangen. Nach Informationen von NDR, WDR und “Süddeutscher Zeitung” (SZ) sollen Firmen künftig bei der Bewerbung um sicherheitsrelevante IT-Aufträge belegen, dass sie nicht zur Weitergabe vertraulicher Daten an ausländische Geheimdienste und Sicherheitsbehörden verpflichtet sind. Können die Firmen dies nicht zusichern, werden sie nicht beauftragt. Das könnte vor allem US-Unternehmen hart treffen, da diese häufig solchen Weitergabeverpflichtungen unterliegen. Auslöser für die verschärften Vergaberegeln war die Affäre um den US-Spionagedienstleister CSC. Laut Berichten von NDR und SZ hat die CSC-Tochterfirma CSC Deutschland Solutions GmbH seit 1990 Aufträge im Gesamtwert von 300 Millionen Euro erhalten. Dabei war das Unternehmen auch an Projekten mit sensiblen Daten beteiligt, wie dem Aufbau des Nationalen Waffenregisters, bei der Überprüfung des Staatstrojaners und der Einführung des neuen Personalausweises. Gleichzeitig ist das US-Unternehmen Computer Sciences Corporation (CSC) eng mit der NSA verflochten und hat beispielsweise NSA-Spähprogramme mitentwickelt.

Eine solche Garantie nützt aber leider nichts, wenn Geheimdienste unabhängig von den Unternehmen Hardware infiltrieren – wie bei den Cisco-Routern geschehen.

 

Schützt euch vor Totalüberwachung und Wirtschaftsspionage

Das Internet gehört der NSA. Das erklärte überspitzt formuliert der frühere NSA-Technikchef William Binney am Dienstag auf dem Europäischen Datenschutztag in Berlin. So sei auch eine umfassende Wirtschaftsspionage möglich.

Die NSA unterhält gigantische Rechenzentren, mit denen sie große Teile des Internetverkehrs abzapft und speichert. Selbst die SSL-Verschlüsselung kann die NSA inzwischen knacken. Doch dafür seien die Unmengen an Speicherkapazitäten laut Binney gar nicht nötig. Statt dessen nutze die NSA ihre Rechenzentren zum Auswerten der Inhalte. Damit sei eine umfassende Wirtschaftsspionage und das Ausschnüffeln von beispielsweise Anwälten und Journalisten möglich. Außerdem gewähre die NSA ihren Partnern wie IT-Dienstleistern und Beratern Zugriff auf die Daten. Das ermögliche es ihnen ihre Konkurrenz zu unterbieten, so Binney.

Auch unserer Wirtschaft entgehen durch Wirtschaftsspionage jährlich enorme Summen. VDI-Chef Ralph Appel schätzt die Summe auf 100 Milliarden Euro allein für deutsche Unternehmen. Denn die meisten Unternehmen bemerken nicht, wenn sie ausgespäht werden. Die Daten sind danach ja noch da. Besonders E-Mails gelten als beliebtes Einfallstor, da sie so einfach abzufangen sind. Sebastian Schreiber, Geschäftsführer der SySS GmbH, sagt dazu: “Wenn wir E-Mails unverschlüsselt versenden, dann werden die garantiert abgehört. E-Mails lassen sich extrem komfortabel abhören. Heutzutage ist man in der Lage mit einem handelsüblichen Laptop riesige Mengen an Mailkonversation aufzuzeichnen, entsprechend zu strukturieren und nach entsprechenden Begriffen zu durchsuchen. Das heißt das Ausspähen von Mails und das Kategorisieren von Mails ist mittlerweile viel, viel einfacher geworden.”

Eine ausreichend starke Ende-zu-Ende-Verschlüsselung gilt aber weiterhin als sicher. Wir empfehlen deshalb: Schützt euch vor der Totalüberwachung und vor Wirtschaftsspionage und verschlüsselt möglichst viele E-Mails. Denn so macht ihr es der NSA ganz nebenbei richtig schwer, wie der Artikel “Edward Snowden fordert Verschlüsselung für die Massen” zeigt. Mit Tutanota Free könnt ihr ganz einfach jeden verschlüsselt erreichen. Jetzt kostenlos registrieren.

 

 

Tutanota und die OpenSSL-Sicherheitslücke (Heartbleed)

Heartbleed ist eine schwere Sicherheitslücke in OpenSSL, die am Dienstag, den 8. April 2014, bekannt geworden ist und von der rund zwei Drittel des Web betroffen sein könnten. OpenSSL wird von vielen Webseiten für die sichere Übertragung von Daten benutzt.

Tutanota Free war nicht von Heartbleed betroffen.

Lediglich E-Mails, die unverschlüsselt per SMTP über Tutanota verschickt wurden, konnten auf dem Weg mitgelesen werden, da Tutanota bei der Übertragung OpenSSL verwendet. Euer Passwort, eure in Tutanota gespeicherten Daten und die per Ende-zu-Ende-Verschlüsselung verschickten E-Mails waren und sind aber sicher. Wir haben die Sicherheitslücke für SMTP natürlich so schnell wie möglich behoben.

Nach Bekanntwerden haben wir umgehend das Update der SSL-Verschlüsselungsbibliothek eingespielt und den SSL-Schlüssel erneuert. Wenn ihr mit Tutanota unverschlüsselte E-Mails versendet und der Mailserver des Empfängers auch SSL unterstützt, sind die E-Mails auf dem Transportweg wieder geschützt. Die vertraulichen per Ende-zu-Ende-Verschlüsselung verschickten E-Mails waren von der SSL-Sicherheitslücke nicht betroffen.

Wenn SSL im Webserver eine Sicherheitslücke hätte, könnten Dritte auf meine Daten zugreifen?

Eure Daten werden auf den Tutanota-Serven in Deutschland Ende-zu-Ende-verschlüsselt gespeichert. Auch euer Passwort wird niemals im Klartext versendet, sondern lokal auf eurem Rechner zum “Passwortprüfer” mittels bcrypt und SHA256 umgewandelt. Das bedeutet, dass selbst bei einer ausgehebelten SSL-Verschlüsselung niemand anhand mitgelesener Daten eure Ende-zu-Ende-verschlüsselten E-Mails und Kontaktdaten entschlüsseln oder euer Passwort ändern könnte. SSL sichert nur den Transportweg ab, Ende-zu-Ende-Verschlüsselung sichert die Daten selbst ab! Dabei muss man trotzdem bedenken, dass es keine absolute Sicherheit gibt. Ein Virenscanner auf dem eigenen Rechner gegen Schadsoftware ist daher immer zu empfehlen.

Businesslösung Tutanota Starter ebenfalls nicht betroffen.

Das Outlook Addin Tutanota Starter nutzt den gleichen Webserver wie Tutanota Free und war von der Sicherheitslücke “Heartbleed” nicht betroffen. Mit Tutanota Starter werden ausschließlich Ende-zu-Ende-verschlüsselte E-Mails verschickt, die sicher sind.

Wir wollen euch einfach sichere E-Mails bieten.

Mit Tutanota wollen wir eure E-Mail-Kommunikation einfach sicher machen. Ein hehres Ziel: sichere E-Mails. Aber geht das überhaupt? Sicherheitsexperten kritisieren, dass eine Vertraulichkeit dahin ist, sobald der private Schlüssel – wie bei Tutanota – zentral gespeichert wird. Zu Recht? Die Fakten:

Wenn ihr euch bei Tutanota registriert, wird automatisch ein privater und ein öffentlicher Schlüssel generiert. Die Schlüsselgenerierung findet lokal im Browser statt, so dass wir keinen Zugriff auf die Schlüssel haben. Der private Schlüssel wird verschlüsselt auf Hochsicherheitsservern in Deutschland gespeichert, damit der Schlüsselaustausch automatisiert von der Software übernommen werden kann. Das Registrierungspasswort, das nur dem Nutzer bekannt ist, sichert den privaten Schlüssel ab, so dass kein Dritter diesen nutzen kann. Um das Passwort zu schützen, verwenden wir bcrypt und zusätzlich SHA256.

Ist die Passworteingabe eine Schwachstelle?

So wird das Registrierungspasswort abgesichert.Das Registrierungspasswort, das der Nutzer zum Login in seinen Tutanota-Account benutzt, wird nur indirekt für die Anmeldung (Authentifizierung) und Verschlüsselung des privaten Schlüssels verwendet. Das erklärt die Grafik: Das Passwort wird zunächst mit bcrypt zu dem “password key” (Passwortschlüssel). Dieser Passwortschlüssel wird verwendet, um den privaten RSA-Schlüssel zu verschlüsseln (allerdings über eine Indirektion mit dem privaten symmetrischen “user group key”). Der Passwortschlüssel selbst wird jedoch nicht für die Authentifizierung genutzt, sondern vorher zu dem “password verifier” (Passwortprüfer) verhasht. Dieser Passwortprüfer dient der Authentifizierung beim Server. Der Server selbst legt den Passwortprüfer übrigens wiederum nur verhasht auf dem Server ab, so dass keine Möglichkeit besteht, sich mit den persistenten Daten des Servers als Benutzer einzuloggen.

Da der Passwortprüfer kryptographisch unabhängig von dem Passwortschlüssel ist, kann der Passwortprüfer nicht für die Entschlüsselung verwendet werden. Für den Laien übersetzt heißt das: Der private Schlüssel und das gehasht abgelegte Registrierungspasswort sind kryptographisch unabhängig voneinander. Der Passwortprüfer wird per SSL-Verschlüsselung an den Tutanota-Server übertragen. Sollte sich ein Dritter beipielsweise über eine SSL-Sicherheitslücke Zugriff zu dem Passwortprüfer verschaffen, kann er auf den privaten Schlüssel und die damit Ende-zu-Ende-verschlüsselten Daten nicht zugreifen. Unser System haben wir von der SySS GmbH umfangreich testen lassen. Der Penetrationstest bestätigt, dass es keine Hintertür (Backdoor) und auch keinen Generalschlüssel (Masterkey) zu unserem System gibt. Deshalb darf das Registrierungspasswort nicht verloren gehen. Wir haben keinen Zugriff darauf und können es nicht zurücksetzen.

Mit Tutanota haben wir eine Verschlüsselungslösung entwickelt, die einen hohen Grad an Sicherheit mit einem hohen Grad an Komfort verbindet. Mit der einfachen Bedienbarkeit ermöglichen wir jedem, seine vertraulichen Daten verschlüsselt auszutauschen.

Ist die lokale Speicherung des privaten Schlüssels sicherer?

Ja, und nein. Für IT-versierte Internetnutzer, die das nötige Fachwissen haben, wie man den privaten Schlüssel (beispielsweise von PGP) sicher ablegt, ist die lokale Speicherung des Schlüssels eine sichere Option. Allerdings haben viele dieses Fachwissen nicht, wodurch die lokale Speicherung des Schlüssels auch zum Risiko werden kann. Tutanota bietet eine Lösung für alle, die abhörsichere E-Mails ganz einfach austauschen möchten. Deshalb haben beide Lösungen – PGP und Tutanota – ihre Existenzberechtigung. Was der einzelne nutzen möchte, bleibt jedem selbst überlassen.

Wenn ihr noch Fragen habt, fragt. Wir freuen uns auf Feedback.

Tutanota Free: Erste Nutzer freuen sich über die kostenfreie, einfache Ende-zu-Ende-Verschlüsselung.

Der neue E-Mail-Service Tutanota Free macht eine durchgehende Ende-zu-Ende-Verschlüsselung von E-Mails jetzt ganz einfach. Die ersten Nutzer sind begeistert von der intuitiven Bedienbarkeit und der innovativen Möglichkeit jeden verschlüsselt zu erreichen, auch wenn der andere Tutanota nicht nutzt.

no images were found

 

Während viele Unternehmen bereits eine E-Mail-Verschlüsselung einsetzen, können jetzt auch private E-Mails ganz einfach Ende-zu-Ende verschlüsselt ausgetauscht werden. Bei der Entwicklung von Tutanota Free stand Usability stets im Vordergrund. Herausgekommen ist eine E-Mail-Lösung, die ganz einfach verschlüsselt und mit der jeder abhörsicher erreicht werden kann – auch wenn der andere Tutanota nicht nutzt. Damit setzt das Hannoveraner Startup Tutao, das Tutanota entwickelt hat, Maßstäbe in der Verschlüsselungstechnik. Die Nutzer freut’s: „Danke für diese tolle Möglichkeit vertraulich zu kommunizieren!“ sagt beispielsweise Michael, der erste offizielle Nutzer von Tutanota Free. Und Simon wünscht Tutao weiterhin viel Erfolg. Er habe „lange daraufhin gefiebert. Ich danke sehr, Tutanota nutzen zu können.“ Matthias Pfau, einer der drei Gründer der Tutao GmbH, freut sich über das positive Feedback der ersten Nutzer und verspricht:  „Unseren Nutzern garantieren wir, dass Tutanota Free stets kostenfrei bleibt, auch wenn es in Zukunft zusätzliche Premium-Angebote geben wird.“

Privatsphäre der Nutzer steht an oberster Stelle.
Dem jungen Startup ist ein fairer Umgang mit seinen Nutzern sehr wichtig. Das Geschäftsmodell von Tutao basiert – anders als bei anderen E-Mail-Diensten – nicht auf dem Auslesen und Verkaufen der Kundendaten. „Das ist auch gar nicht möglich“, erklärt Arne Möhle, der zusammen mit Matthias Pfau und Thomas Gutsche Ende 2011 Tutanota zum Leben erweckt hat. „Unsere Ende-zu-Ende-Verschlüsselung macht E-Mails sicherer als einen Brief. Nicht einmal wir selbst können die Daten lesen.“

Abhörsicher durch Ende-zu-Ende-Verschlüsselung.
Die Ende-zu-Ende-Verschlüsselung von Tutanota erlaubt Dritten keinen Zugriff auf die Daten. Auch alle Kontaktdaten im Adressbuch sind im Tutanota-Account sicher verschlüsselt. Selbst wenn eine E-Mail auf Wunsch unverschlüsselt versandt wird, legt die Software sie auf dem Tutanota-Server verschlüsselt ab. Ein klares Plus im Vergleich zu anderen E-Mail-Anbietern. Alle Daten werden mit dem privaten Schlüssel des Nutzers gesichert, der bei der Registrierung automatisch generiert wird. Der private Schlüssel und das auf dem Server für die Authentifizierung gehasht abgelegte Registrierungspasswort sind kryptografisch unabhängig voneinander. Dieses Passwort ist mittels bcrypt und zusätzlich SHA256 abgesichert. Nur das Passwort kann den privaten Schlüssel entschlüsseln. Deshalb darf das Passwort nicht verloren gehen. Tutao kann das Registrierungspasswort nicht zurücksetzen.

Jeden vertraulich erreichen – Tutanota macht’s möglich.
Mit der innovativen Software Tutanota hat das Hannoveraner Startup den Schlüsselaustausch komplett automatisiert. Wenn beide Seiten Tutanota verwenden, merken die Anwender von der Ende-zu-Ende-Verschlüsselung nichts. Das geht, weil die Schlüssel verschlüsselt auf den Servern von Tutanota in Deutschland gespeichert werden. Praxistauglich wird Tutanota aber vor allem dadurch, dass jeder verschlüsselt erreicht werden kann – auch wenn der andere keine Verschlüsselungssoftware einsetzt. Dazu vergibt der Sender ein Passwort, das er dem Empfänger auf separatem Weg mitteilt. Der Empfänger erhält in seinem Postfach einen Link über den er die verschlüsselte E-Mail direkt im Browser abruft. Dort gibt er das Passwort ein, kann dieses speichern, und die Nachricht wird lokal entschlüsselt. Im Browser hat der Empfänger sozusagen ein zweites, ein vertrauliches Postfach, mit dem er dem Sender auch direkt Ende-zu-Ende verschlüsselt antworten kann. Selbstverständlich werden nicht nur die Nachricht samt Betreff sondern auch die Anhänge automatisch mitverschlüsselt.

Mit der Business-Variante geht’s noch einfacher.
Dieselbe Verschlüsselungstechnik nutzt auch Tutanota Starter – ein Outlook Addin für Unternehmen. Darin kann auch der Passwortaustausch automatisiert stattfinden. Alles, was der Sender dafür braucht, ist die Handynummer des Empfängers. Nachdem das Outlook Addin bereits seit Januar erfolgreich am Markt ist, gibt es seit Ende März die erste öffentliche Beta-Version der kostenfreien Webapplikation Tutanota Free. „Darauf sind wir besonders stolz. Wir bieten den Menschen eine echte Alternative und geben ihnen die Möglichkeit zurück, ihre Daten wirklich vertraulich zu behandeln“, freut sich Thomas Gutsche. „Wir sind davon überzeugt, dass viele unsere einfach zu bedienende Webapplikation Tutanota schätzen werden. Wer mag heute noch die unübersichtlichen und mit Werbung überladenen E-Mail-Dienste? Während viele E-Mail-Anbieter von SSL sprechen, verschlüsseln wir wirklich Ende-zu-Ende. Wir fahren sozusagen bei hellem Sonnenschein auf den schönsten Straßen und trotzdem kann niemand in unser Auto hineinsehen – oder in unsere E-Mail-Kommunikation. Die meisten anderen beschäftigen sich derzeit damit, Tunnel zu bauen (mit SSL) – und das noch nicht einmal in ausreichender Länge. Sie verschlüsseln also den Übertragungsweg, nicht aber den Inhalt. Das ist bei Tutanota anders!“

 

Film zu E-Mail-Sicherheit: “Alles schläft, die NSA wacht?!”

Unsere Diskussion mit Holger Bleich (Heise Zeitschriften Verlag), Sebastian Schreiber (Geschäftsführer der SySS GmbH), Prof. Dr. Fabian Schuster (Fachanwalt IT-Recht) und Oliver Voß (Redakteur WirtschaftsWoche) war ein Highlight in Halle 12 auf der CeBIT 2014. Die hochkarätigen Redner aus Journalismus und Wirtschaft diskutierten plakativ, warum so wenig Menschen ihre Daten schützen und was das für Wirtschaft und Demokratie bedeutet.

Wir haben diese Diskussion veranstaltet, um zu sensibilisieren und die Menschen für den digitalen Selbstschutz und die Verschlüsselung zu begeistern. Denn jeder sollte wissen, wie einfach es ist, E-Mails auszuspähen. Sebastian Schreiber, Geschäftsführer der SySS GmbH, sagt dazu: “Es ist nämlich so, wenn wir E-Mails unverschlüsselt versenden, dann werden die garantiert abgehört. E-Mails lassen sich extrem komfortabel abhören. […] Heutzutage ist man in der Lage mit einem handelsüblichen Laptop riesige Mengen an Mailkonversation aufzuzeichnen, entsprechend zu strukturieren und nach entsprechenden Begriffen zu durchsuchen. Das heißt das Ausspähen von Mails und das Kategorisieren von Mails ist mittlerweile viel, viel einfacher geworden.”

Mit Tutanota kann jeder per Ende-zu-Ende verschlüsselter E-Mail erreicht werden. Das Tutanota Outlook Addin verschlüsselt ganz einfach mit einem Klick. Außerdem gibt es seit Kurzem Tutanota Free, die kostenfreie Webapplikation, die – wenn gewünscht – E-Mails automatisch Ende-zu-Ende verschlüsselt. Hier könnt ihr euch registrieren und ab sofort sicher verschlüsselt mailen!

Microsoft späht E-Mails aus! Bei Tutanota geht das nicht.

Ende März kam ein neuer Ausspähskandal ans Licht: Microsoft hat das Hotmail-Postfach eines Bloggers ausgespäht – ohne Gerichtsbeschluss. Bei vielen E-Mail-Anbietern ist dies ganz einfach möglich, weil sie die E-Mails im Klartext auf ihren Servern speichern. Auch Dritte können mit den richtigen Tools gezielt E-Mail-Konten ausspionieren. Bei Tutanota wäre solch eine Ausspähaktion nicht möglich gewesen. Denn bei uns werden sämtliche E-Mails Ende-zu-Ende verschlüsselt auf unseren Hochsicherheitsservern in Deutschland abgelegt. Nur der Nutzer mit seinem Passwort kann auf die Inhalte zugreifen. Dadurch können wir die E-Mails nicht ausspähen – was wir auch gar nicht wollen. Auch Dritte haben es extrem schwer, an die E-Mails heranzukommen. Selbst E-Mails, die die Nutzer unverschlüsselt über ihren Tutanota-Account versenden, werden bei uns auf den Servern Ende-zu-Ende verschlüsselt abgelegt. Unsere Lösung macht dem Nutzer die Verschlüsselung so einfach, weil der private Schlüssel ebenfalls verschlüsselt auf den Servern in Deutschland gespeichert werden. Von Sicherheitspuristen wird dies kritisiert. Warum der private Schlüssel bei Tutanota sicher sind, erklären wir hier.

Es gibt aber auch andere Stimmen: Andreas Winterer hat in seinem Blogeintrag wunderbar beschrieben “E-Mails verschlüsseln mit Tutanota Free (beta)“, dass solch ein Purismus auch zu weit führen kann: “Ein paar Worte zum Purismus: Mal angenommen <Paranoia>, Sie sind Dr. Mabuse und kurz davor, die Welt zu unterjochen, und Sie und Ihre Weltvernichtungsmaschine aufzuhalten würde erfordern, auf Mails in Ihrem Tutanota-Free-Konto zugreifen zu können. Dann würden die Vereinigten Weltregierungen die Betreiberfirma natürlich dazu bringen können, zum Beispiel Ihr Passwort bei der Eingabe aufzuzeichnen, und damit können die dann Ihr Mail-Fach knacken und so an die Deaktivierungscodes für die Weltvernichtungsmaschine kommen.*Dies* ist der Nachteil, wenn die privaten Schlüssel auf dem Server des Anbieters liegen, doch private Schlüssel auf den Rechnern frischgebackener PGP-Nutzer dürften auch nicht viel sicherer sein. Ohnehin wäre es in diesem Fall einfacher, Ihnen einen Tastatur-Keylogger (oder eine/n attraktive/n Spion/in) unterzujubeln.”

Heute startet unsere erste öffentliche Beta-Version der kostenfreien Webapplikation Tutanota Free!

Jetzt machen wir es ganz einfach: Tutanota Free verschlüsselt alles automatisch Ende-zu-Ende. Und das beste: Mit Tutanota Free könnt ihr jeden verschlüsselt erreichen, auch wenn der andere Tutanota (noch) nicht nutzt. Probiert es aus!

Screenshot Tutanota Free

Tutanota Free macht das verschlüsselte Mailen ganz einfach. Ein kompliziertes Schlüsselhandling wird mit der innovativen E-Mail-Anwendung überflüssig. Unter der aufgeräumten Oberfläche wird alles automatisch Ende-zu-Ende verschlüsselt.

Mit der innovativen Software Tutanota findet der Schlüsselaustausch automatisiert statt. Das geht, weil die Schlüssel verschlüsselt auf unseren Servern in Deutschland gespeichert werden. Wenn beide Seiten Tutanota nutzen, merken sie von der Ende-zu-Ende-Verschlüsselung gar nichts.

Das wirklich innovative ist aber, dass mit Tutanota erstmals jeder verschlüsselt erreicht werden kann – auch wenn der andere keine Verschlüsselungssoftware einsetzt. Dazu vergibt der Sender ein Passwort, das er dem Empfänger auf separatem Weg mitteilt. Der Empfänger erhält, beispielsweise in seinem Gmail-Account, einen Benachrichtigungslink über den er die verschlüsselte E-Mail lokal im Browser über den Tutanota-Web-Client abrufen kann. Dort gibt er das Passwort ein, kann dieses im Browser speichern und dem Absender direkt vertraulich antworten. Im Tutanota-Web-Client hat der Empfänger jetzt sozusagen sein zweites – wir nennen es sein sicheres – Postfach. Wenn gewünscht, kann man über Tutanota auch unverschlüsselt mailen. Ein Klick, und die E-Mail wird unverschlüsselt verschickt.

Trotzdem werden alle in Tutanota gespeicherten Daten, auch die unverschlüsselt gesendeten E-Mails, Ende-zu-Ende verschlüsselt auf unseren Servern in Deutschland gespeichert. Dritte, also auch wir oder der Server-Betreiber, haben keinen Zugriff auf die Daten. Auch alle Kontaktdaten im Adressbuch sind im Tutanota-Account sicher verschlüsselt. Der private Schlüssel, der bei der Registrierung automatisch generiert wird, und das auf dem Server für die Authentifizierung gehasht abgelegte Passwort sind kryptografisch unabhängig voneinander. Das Passwort ist mittels bcrypt und zusätzlich SHA256 abgesichert, so dass kein Dritter es nutzen kann. Nur das Registrierungspasswort kann den privaten Schlüssel entschlüsseln. Da alle Daten des Nutzers mit dem privaten Schlüssel verschlüsselt werden, darf das Registrierungspasswort nicht verloren gehen. Wir haben keinen Zugriff auf den Schlüssel und können das Registrierungspasswort nicht zurücksetzen.

Nachdem das Outlook Addin für Geschäftskunden als Tutanota Starter bereits seit Januar erfolgreich im Markt ist, geht jetzt die erste öffentliche Beta-Version der kostenfreien Webapplikation Tutanota Free für den Privatanwender an den Start. „Auf die freie Version sind wir besonders stolz. Denn damit verfolgen wir auch idealistische Ziele. Wir bieten den Menschen eine echte Alternative und geben ihnen die Möglichkeit zurück, ihre persönlichen und geschäftlichen Daten wirklich vertraulich zu behandeln“, freut sich Thomas Gutsche, Gründer von Tutao. „Wir sind davon überzeugt, dass viele unsere einfach zu bedienende Webapplikation Tutanota schätzen werden. Wer mag heute noch die unübersichtlichen und mit Werbung überladenen E-Mail-Dienste? Tutanota ist anders!“

CeBIT News: RTL berichtet über Tutanota.

RTL berichtete mehrmals über Neuheiten von der CeBIT. Unter dem Titel “CeBIT 2014: Wie sieht die Zukunft aus?” stellte RTL Nord auch die Kommunikation der Zukunft vor: Tutanota. Bei Minute 1:35 präsentiert RTL das geheime Leitthema der diesjährigen CeBIT: Security. Als erstes wird über die Ende-zu-Ende-Verschlüsselung Tutanota berichtet. Thomas Gutsche, Gründer und Geschäftsführer von Tutao, erklärt kurz und knackig wie einfach Tutanota sicher verschlüsselt. In einem zweiten Beitrag von RTL Nord erklärt Arne Möhle, Gründer und Geschäftsführer von Tutao, bei Minute 4:35, warum Tutanota wichtig ist. Wir wollen nicht, dass Dritte mitlesen. Detaillierte Infos gibt’s auf unserer Webseite.

Andrang bei Tutanota zur Diskussion “Alles schläft, die NSA wacht?!”

Diskussion2Diskussion1

 

 

 

 

 

Unsere Podiumsdiskussion mit Holger Bleich (Heise Zeitschriften Verlag)Sebastian Schreiber (Geschäftsführer der SySS GmbH), Prof. Dr. Fabian Schuster (Fachanwalt IT-Recht) und Oliver Voß (Handelsblatt) war ein Highlight in Halle 12. Die hochkarätigen Redner aus Journalismus und Wirtschaft diskutierten plakativ, warum  so wenig Menschen ihre Daten schützen und was das für Wirtschaft und Demokratie bedeutet.

Zahlreiche Besucher verfolgten die Podiumsdiskussion “Alles schläft, die NSA wacht: Wie lassen sich die Menschen für den digitalen Selbstschutz begeistern?”. Im Laufe der Diskussion wurde klar, warum Verschlüsselung so wichtig ist. Früher haben wir viele Dinge persönlich besprochen oder einen Brief geschrieben. Den Brief haben wir immer zugeklebt. Heute ist die Kommunikation ins Internet gewandert. Wir befinden uns mitten im Umbruch. Mit dem NSA-Skandal ist uns erstmals im Detail vor Augen geführt worden, was es für Unternehmen und Bürger bedeutet, wenn die Daten frei lesbar sind.

Jetzt ist die Zeit gekommen, den Umgang mit dem Internet neu zu gestalten. Denn wir wissen nicht, welche Konsequenzen es hat, wenn unsere gesamte E-Mail-Kommunikation frei lesbar ist. Ein Unternehmen, das eine Ausschreibung verloren hat, weiß nicht, dass sein Konkurrent vielleicht die E-Mails ausgelesen hat und deshalb ein günstigeres Angebot abgeben konnte. Wir sollten es solchen Hackern, aber auch den Regierungen nicht so einfach machen, jegliche Kommunikation abzugreifen, zu filtern und auszuwerten. Denn die alleinige Möglichkeit zur Überwachung kann für unsere Demokratie gefährlich werden. Sebastian Schreiber, Geschäftsführer der SySS GmbH, sagt dazu: „Wir haben eben auch das Problem des angepassten Verhaltens. Wenn ich weiß, dass meine Mails von einer diffusen Menge an Personen oder Behörden mitgelesen werden, dann traue ich mich vielleicht nicht mehr, exotische Meinungen zu diskutieren. Wir müssen daran denken, dass auch Bürgerrecht mal eine exotische Meinung waren.“ Jetzt heißt es für uns: Einfach mal verschlüsseln – für unsere Privatsphäre, für ein gesellschaftliches Umdenken und für den Erhalt unserer Demokratie. Tutanota macht es Ihnen jetzt ganz einfach. Denn unsere E-Mail-Verschlüsselung funktioniert mit jedem, also auch, wenn Ihre Bekannten keine Verschlüsselung verwenden.

Tutanota auf der CeBIT live erleben!

Entspannen Sie sich! Ihre E-Mails sind mit Tutanota sicher Ende-zu-Ende verschlüsselt.

Entspannen Sie sich! Ihre E-Mails sind mit Tutanota sicher Ende-zu-Ende verschlüsselt.

Tutanota live erleben! Auf der CeBIT 2014.

Tutanota live erleben! Auf der CeBIT 2014.

 

 

 

 

 

 

 

 

 

Tutanota verschlüsselt Ende-zu-Ende. So sieht's aus.

Tutanota verschlüsselt Ende-zu-Ende. So sieht’s aus.

Auf dem Heise Security Plaza, Halle 12, Stand C51, präsentiert sich Tutanota – einfach. sicher. mailen. Besuchen Sie uns und erleben Sie live, wie einfach es ist, sicher verschlüsselt zu mailen. Unser Stand heißt Sie mit einem Tutanota-Liegestuhl willkommen. Denn mit Tutanota sind Sie so sicher im Netz unterwegs, dass Sie sich entspannt zurücklehnen können. Wir hoffen, dass Sie bei uns im stressigen Messealltag Ihren Ruhepol finden und die Einfachheit von Tutanota genießen können!

Unser Highlight: Am Dienstag, 14 Uhr, veranstalten wir eine Podiumsdiskussion: “Alles schläft, die NSA wacht: Wie lassen sich die Menschen für den digitalen Selbstschutz begeistern?” mit Holger Bleich, Sebastian Schreiber, Prof. Dr. Fabian Schuster und Oliver Voß. Mehr gibt’s hier auf unserem Blog.

Podiumsdiskussion auf der CeBIT: „Alles schläft, die NSA wacht: Wie lassen sich die Menschen für den digitalen Selbstschutz begeistern?“

Wir als Startup im Bereich Verschlüsselung und Datensicherheit sehen die derzeitige Entwicklung der Massenüberwachung sehr kritisch. Bei vielen steht leider das Thema Datensicherheit im Internet nicht oben auf der Agenda. Mit unserer Podiumsdiskussion wollen wir einen Beitrag leisten, so dass ein Umdenken in Deutschland schneller möglich wird. Einer der drei Unternehmensgründer, Thomas Gutsche, sagt: „Bis heute ist die E-Mail-Verschlüsselung noch kein Massenthema. Ich frage mich: Woran liegt das? Liegt das daran, dass die Menschen nicht verschlüsseln wollen, weil sie sich nicht dafür interessieren, was mit ihren Daten geschieht? Das kann natürlich sein. Aber ich weigere mich, diese Sichtweise zu akzeptieren. 1989 sind die Menschen in der DDR in Massen auf die Straße gegangen, weil sie nicht kontinuierlich in Deckung gehen wollten und die Selbstzensur satt hatten! Eine solche Bewegung wollen wir auch im Internet lostreten. Deshalb ist es uns so wichtig, dass wir auf der CeBIT eine interessante Podiumsdiskussion führen werden. Wir wollen die Menschen wachrütteln!“

Wann? Dienstag, 11. März 2014, 14 Uhr
Wo? Bei Tutao: CeBIT, Halle 12, Stand C51 (Mitaussteller auf dem Heise Security Plaza)

Moderator: Thomas Gutsche, Mitgründer der Tutao GmbH
Diskutierende:
Holger Bleich, Redakteur bei c’t – magazin für computer technik (Heise Zeitschriften Verlag)
Sebastian Schreiber, Geschäftsführer der SySS GmbH (Marktführer in Deutschland auf dem Gebiet des Penetrationstests)
Prof. Dr. Fabian Schuster, Fachanwalt IT-Recht, Honorarprofessor für IT-& Medien-Recht an der Universität zu Köln (ausgezeichnet vom Handelsblatt: Deutschlands beste Anwälte IT-Recht, 2013)
Oliver Voß, Redakteur WirtschaftsWoche (Handelsblatt)

Ablauf:
14:00 Uhr Begrüßung durch Thomas Gutsche, Mitgründer von Tutao
14:05 Uhr Beginn Podiumsdiskussion
14:30 Uhr Fragen aus dem Publikum
14:40 Uhr Ausklang/Get-together im Catering-Bereich/Möglichkeit für persönliche Gespräche mit den Gründern von Tutao

In ca. 30 Minuten erörtern die Diskutierenden vor einem Publikum aus Messebesuchern, eingeladenen Gästen und Journalisten das Kernthema unter verschiedenen Aspekten:

1. Wie einfach ist es eigentlich einen Account zu hacken oder eine E-Mail-Adresse zu fälschen?
2. Trotz NSA-Skandal herrscht im Internet eine Laissez-faire Einstellung. Warum lassen die Menschen ‚einfach alles laufen‘?
3. Selbst Berufsgeheimnisträger sind wenig sensibilisiert und nehmen im Zweifel in Kauf beim Versand vertraulicher Daten per E-Mail eine Straftat zu begehen. Woran liegt das?
4. Auch politisch passiert nichts. Wollte man das strenge Briefgeheimnis bspw. auf E-Mails übertragen, müssten ganz andere Standards als die (noch nicht überall implementierte) SSL-Verschlüsselung her. Kann dieses Nichts-Tun für die Demokratie gefährlich werden?
5. Derzeit verschlüsseln nur wenige ihre Daten. Es gibt Stimmen, die behaupten durch das Verschlüsseln machen wir uns erst recht auffällig (Profiling). Müssen wir uns wirklich derart fürchten, ins Visier der Nachrichtendienste zu kommen?

Wir freuen uns, wenn Sie dabei sind!

“E-Mail made in Germany”: Mit SSL sicher verschlüsselt?

Seit dem NSA-Skandal wächst das Problembewusstsein zum Datenschutz im Internet. Darauf reagieren die großen E-Mail-Anbieter in Deutschland mit ihrer Initiative „E-Mail made in Germany“ und behaupten, dass sie die E-Mail-Kommunikation in Deutschland sicher machen. Der Chaos Computer Club warnt allerdings vor der „Mogelpackung“. Zu recht.

Im Tunnel sicher
Die Versprechen von „E-Mail made in Germany“ klingen vertrauenserweckend: Sie reden von einer „automatischen Verschlüsselung von Daten auf allen Übertragungswegen“ und versprechen eine „sichere Speicherung am Datenstandort Deutschland“. Was sie dabei verschweigen: SSL verschlüsselt nur den Übertragungsweg, nicht aber die Inhalte der Nachrichten. Das bedeutet, dass die Nachrichten sozusagen durch einen Tunnel geschickt werden. Sobald jemand in den Tunnel hereingucken kann, sind die Nachrichten genauso offen lesbar wie ohne Verschlüsselung. Eine SSL-Verschlüsselung ist zwar längst überfällig, hilft im Zweifel aber wenig. So wird SSL von den meisten amerikanischen Anbietern wie Gmail schon seit langem eingesetzt. Trotzdem würde kein Datenschützer auf die Idee kommen, diese E-Mail-Dienste als abhörsicher zu betiteln.

Ende-zu-Ende-Verschlüsselung einzige Alternative
Wirklich sicher ist deshalb nur eine echte Ende-zu-Ende-Verschlüsselung. Das sagen nicht nur große Fachzeitschriften, sondern auch der Chaos Computer Club. Eine SSL-Verschlüsselung ist zwar längst überfällig, reicht aber nicht aus. Was den Nutzern wirklich helfen würde – und da sind sich Experten einig – ist eine einfache Implementierung einer Ende-zu-Ende-Verschlüsselung.

Freund oder Feind? Für die NSA kaum ein Unterschied.

Heute empfängt US-Präsident Obama seinen französischen Counterpart Hollande. Die beiden gelten als die neuen besten Freunde, auch weil Frankreich die NSA-Affäre nicht scharf kritisiert. Es fällt auf, dass dabei zwei selbsterklärte Verfechter der Demokratie – die USA und Frankreich – demokratische Grundrechte wie den Datenschutz unterwandern. Denn am Ende kann von den Ausspähaktionen jeder betroffen sein. Peter Schaar, ehemaliger Datenschutzbeauftragter in Deutschland, erklärte in seinem Blogeintrag ‘Die Kontaktschuld und die NSA‘ sehr treffend, warum der Abhörskandal jeden angeht. Am 17. Januar 2014 hielt Obama eine Rede, in der er versicherte, dass die amerikanischen Metadaten in Zukunft ‘nur’ noch in zwei Schritten – statt wie bisher in drei Schritten – ausgewertet werden sollen.

Das bedeutet aber, dass man auch als Unschuldiger sehr schnell ins Visier der Terrorfahnder gerät. Wie das? Ganz einfach: Im ersten Schritt werden alle Kontakte eines Verdächtigen ausspioniert, im zweiten Schritt alle Kontakte der Kontakte. Peter Schaar verwendete dafür ein sehr anschauliches Beispiel: “Das angewendete Verfahren zeugt von der Maßlosigkeit der Überwachung. Eine Person gerät als Terrorverdächtiger ins Blickfeld der Sicherheitsbehörden. Die NSA wertet nun sämtliche Telefondaten dieser Person aus den letzten fünf Jahren aus und identifiziert die Kommunikationspartner (Schritt 1). Dabei kann es sich um „Mitverschwörer“ handeln, aber auch um Verwandte, Bekannte oder Geschäftspartner. Der Klempner, der einmal im Haus der Zielperson ein Rohr repariert hatte, gehört genauso dazu wie die Lehrerin seines Kindes. Je nach Größe des Bekanntenkreises handelt es sich um mehrere Hundert oder tausend Personen, und das wohlbemerkt nur als erster Schritt. In dem zweiten Schritt werden sämtliche Kommunikationspartner der Kommunikationspartner ausgeforscht. Selbst bei einem verhältnismäßig kleinen Bekanntenkreis von 100 Personen sind dies schon 10.000 Betroffene, bei kommunikationsfreudigeren Teilnehmern deutlich mehr.”

 

„Das unverschlüsselte Versenden einer E-Mail kann eine Straftat darstellen.“

 

RA Guido AßhoffDie E-Mail ist eines der am häufigsten genutzten Kommunikationsmittel. Doch der elektronische Datenaustausch birgt zahlreiche Risiken, die vor allem bei der Weitergabe sensibler Daten gern unterschätzt werden. Ob das die ungewollte Spam-Nachricht oder eine Phishing-Attacke ist – das E-Mail-Programm ist das Ein- und Ausfalltor eines jeden Unternehmens. Wir wollten wissen, wie das ein Mann vom Fach sieht, und haben mit Rechtsanwalt Guido Aßhoff von der Sozietät LEXEA Rechtsanwälte aus Köln gesprochen. Er erklärt, weshalb man E-Mails verschlüsseln sollte und welche Risiken das unverschlüsselte Mailen birgt.

Herr Aßhoff, sollte man seine E-Mails verschlüsseln?

Guido Aßhoff: Man sollte das Thema E-Mail-Verschlüsselung allein schon wegen der jüngeren Datenskandale à la NSA kritisch beäugen. Denn eines ist doch klar: Es ist durchaus sinnvoll, seine E-Mails zu verschlüsseln – ganz gleich, ob dies gesetzlich vorgeschrieben ist oder nicht. Allerdings geschieht das in der Praxis immer noch viel zu selten, was meist an der hohen Komplexität der gängigen Verschlüsselungssysteme liegt. Selbst unter Anwälten, die mit dem Thema noch sensibler umgehen sollten als andere Berufsgruppen, ist die Verschlüsselung von E-Mails eher die Ausnahme als die Regel. Statt dessen schützen sich viele Kollegen, indem sie sich vom Mandanten von der Verschlüsselungspflicht per Schriftstück entbinden lassen. Diese Praxis ist aber formaljuristisch recht umstritten.

Wann muss man zwingend seine E-Mails verschlüsseln?

Guido Aßhoff: Nun, das betrifft vor allem diejenigen Personen, die von Berufswegen zur Verschwiegenheit verpflichtet sind. Dazu zählen Ärzte genauso wie Rechtsanwälte oder Notare. Geregelt wird das im § 203 StGB, also im Strafgesetzbuch. Diese Schweigepflicht bezieht sich sowohl auf personenbezogene Daten als auch auf Geschäftsgeheimnisse, was selbst vielen Anwälten gar nicht bekannt ist. Aber auch andere Daten sollten zwingend verschlüsselt werden. So fordert beispielsweise das Patent- und Markenamt, E-Mails zu schützen, mit denen Patente und ähnliche Dinge versandt werden. Denn eines muss man sich stets vor Augen führen: Wenn aufgrund einer nicht verschlüsselten E-Mail ein finanzieller oder sonstiger Schaden entsteht, ist der Absender der E-Mail im Zweifelsfall schadensersatzpflichtig. Das unverschlüsselte Versenden einer E-Mail kann durchaus eine Straftat darstellen. Daher lautet mein gut gemeinter Rat: Wenn man eine halbwegs einfache Lösung einsetzen kann, mit der sich E-Mails verschlüsseln lassen, sollte man darauf auf keinen Fall verzichten.

Was ist bei der E-Mail-Kommunikation zu vermeiden? 

Guido Aßhoff: Ein beliebter Fehler ist das Versenden von geschäftlichen Unterlagen auf sein privates E-Mail-Konto, auf das man von Zuhause aus zugreifen kann, um dort an den Unterlagen oder Akten zu arbeiten. Dass es sich dabei oft um E-Mail-Anbieter aus den USA handelt, die nahezu alle Möglichkeiten haben, fremde E-Mails zu lesen, wird oft vergessen. Auch das spricht für die Verschlüsselung der E-Mails. Darüber hinaus sollte man bei E-Mail-Anhängen stets vorsichtig sein. Denn Hackern fällt es leicht, Schadsoftware über ein PDF-Dokument in die E-Mail einzupflanzen. Auch hier hilft die Verschlüsselung, da die abgesicherte E-Mail-Verbindung zwischen Sender und Empfänger solch eine Bedrohung durch Hacker ausschließt.

Welche Verschlüsselungsmethoden sind Ihrer Meinung nach sinnvoll?

Guido Aßhoff: Zunächst einmal kann man festhalten, dass Webdienste wie die De-Mail der Telekom eine Sicherheit vorgaukeln, die möglicherweise gar keine ist. Denn auf persönliche Daten zu den E-Mail-Konten kann eine Vielzahl von Behörden und Geheimdiensten ohne richterliche Anordnung zugreifen. Was mit den einzelnen Daten passiert und wer Zugriff darauf hat, lässt sich meist gar nicht nachvollziehen. Daher ist gerade für den Mittelstand eine Lösung am sinnvollsten, die transparent ist und sich effizient und einfach nutzen und implementieren lässt.

Warum Tutanota sicher ist

Aufgrund des Artikels “Vertrauenssache – Die Schwächen der E-Mail und was dagegen hilft” in der aktuellen Ausgabe der c’t 4/2014 des Heise-Verlags erreichen uns diverse Nachfragen. Wir möchten Ihnen gern erläutern, warum Ihr privater Schlüssel für Tutanota sicher ist und warum es Sinn macht, diesen verschlüsselt auf unseren Servern hochsicher abzulegen.

Jeder Service, der über ein Passwort abgesichert ist, muss eine “Passwort-Datenbank” auf dem Server haben. Das Passwort, das Sie bei der Registrierung von Tutanota für die Authentifizierung verwenden, sichert auch Ihren privaten Schlüssel ab. Im obigen Artikel wird dieser Punkt als Schwäche kritisiert. Wir interpretieren die Aussagen so, dass das Passwort zwar genutzt werden dürfe, um sich bei Tutanota zu authentifizieren. Der private Schlüssel selbst sollte jedoch nicht mit dem Passwort verschlüsselt auf unserem Server abgelegt werden. Stattdessen sollte dieser vermutlich (nur) lokal gesichert werden können. Ursprünglich hatten wir dies in der Tat auch mal als Option vorgesehen. Wir haben uns dann aber wegen folgender, gravierender Nachteile bewusst anders entschieden:

  1. Jeder einzelne Benutzer muss seinen (verschlüsselten) Schlüssel selbst schützen.
  2. Verliert der Benutzer seinen Schlüssel (z. B. aus Versehen gelöscht oder Festplatte ist defekt und kein Backup vorhanden), sind alle Daten unwiederbringlich – für immer – verloren.
  3. Wenn man von einem anderen Browser oder Gerät zugreifen will, muss man den Schlüssel selbst mitnehmen und dort importieren. Das wird mindestens auf mobilen Endgeräten schwierig.

Was macht Tutao, um die “Passwort-Datenbank” zu schützen:

  1. Automatische Passwortprüfung auf dem Client, damit ein ausreichend starkes Passwort verwendet wird.
  2. Wir verwenden den Hashing-Algorithmus Bcrypt sowie zusätzlich SHA256, um das Passwort zu schützen. Bcrypt gilt im Moment als das sicherste Verfahren und wurde auch im Rahmen eines umfangreichen Penetrationstests der SySS GmbH unter Leitung von Sebastian Schreiber bestätigt und deutlich hervorgehoben.
  3. Der Schlüssel des Benutzers und das auf dem Server für die Authentifizierung gehasht abgelegte Passwort sind kryptographisch unabhängig voneinander. Das bedeutet, dass man aus den Daten in der “Passwort-Datenbank” nicht auf den Schlüssel schließen kann.
  4. Wir sichern unsere Server sehr stark gegen Angriffe von außen ab (auch hier wurden keine Schwachstellen im Penetrationstest gefunden).
  5. Wir werden auch in Zukunft alles dafür tun, dass dieses Verfahren sicher bleibt.

Weitergehende Fragen beantworten wir Ihnen sehr gern und freuen uns auf Ihr Feedback!

Viele Grüße vom gesamten Team

2014 beginnt mit Tutanota Starter

Nach monatelanger Entwicklung, startup-typischen Herausforderungen und unzähligen Testinstallationen haben wir Tutanota Starter veröffentlicht! Die sicherste und komfortabelste Möglichkeit, direkt aus Microsoft Outlook Ende-zu-Ende verschlüsselt mit beliebigen E-Mail-Empfängern auf der ganzen Welt vertraulich zu kommunizieren.

Machen Sie sich Ihr eigenes Bild von der perfekten Integration, der einfachen Handhabung und der sichersten Art zu mailen. Probieren Sie Tutanota Starter 14 Tage lang kostenfrei aus. Bei Fragen freuen wir uns auf Ihren Anruf, Ihre E-Mail oder den Besuch vor Ort.

Herzliche Grüße vom gesamten Team von Tutao

Darum sind De-Mails kaum sicherer als herkömmliche E-Mails

De-Mail: leider doch nicht so sicher, wie es die Anbieter glauben machen wollenGrundsätzlich ist die Idee hinter der sogenannten De-Mail eine gute und sinnvolle: Vor allem der behördliche Austausch zwischen einer Privatperson und beispielsweise der Rentenversicherung soll auf Basis dieser E-Mail-Technik absolut abhörsicher sein. Das würde die De-Mail auf das Niveau eines elektronischen Einschreibens hieven. Das Problem ist nur: diesem Anspruch genügt das De-Mail-Verfahren leider nicht.

Das De-Mail-Ident-Verfahren ist aufwändig

Um besser verstehen zu können, warum die De-Mail die geforderten Sicherheitsstandards in vielen Fällen nicht erfüllt, muss man sich die Voraussetzungen ansehen, die für eine abhörsichere elektronische Kommunikation zwischen Absender und Empfänger erfüllt sein müssen. So müssen sich Personen, die am De-Mail-Ident-Verfahren teilnehmen wollen, zunächst auf einer dafür eingerichteten Webseite registrieren. Anschließend ist es erforderlich, mit dem Identblatt aus dem Registrierungsvorgang  zu einem der zugelassenen Identpartner zu gehen. Das sind beispielsweise die Telekom Shops und die Hermes Paket Shops.

Diese leiten die notwendigen Unterlagen samt Ausweiskopie an die zuständige Stelle weiter und überprüfen sie; Selbstständige und Freiberufler werden zudem von der Schufa durchleuchtet. Wenn all diese Überprüfungen erfolgreich waren, steht der Teilnahme am De-Mail-Ident-Verfahren nichts mehr im Wege. Und wenn man im Besitz des neuen elektronischen Personalausweises (nPa) samt Lesegerät ist, geht das sogar via Internet.

De-Mails ohne Ident sind so unsicher wie normale E-Mails

Sie sehen also, der Weg zur abhörsicheren De-Mail ist lang und steinig. Und selbst dann steht zu befürchten, dass die vermeintlich verschlüsselte De-Mail kaum sicherer als eine herkömmliche E-Mail ist. Denn ohne die gerade beschriebene Registrierung und die damit einhergehende Teilnahme am Ident-Verfahren auf Sender- und Empfängerseite wird bei der De-Mail lediglich der E-Mail-Kanal (nicht die Nachricht an sich) zwischen Absender und Empfänger mithilfe geeigneter Techniken verschlüsselt.

Das ist zwar besser als gar keine Verschlüsselung, als abhörsicher kann man das allerdings nicht bezeichnen. Damit wird eine Sicherheit vorgegaukelt, die zwar rein theoretisch möglich ist, aber in der Praxis meist ungewollterweise umgangen wird, da der Aufwand der Ident-Registrierung für viele Anwender schlichtweg zu aufwändig oder gar nicht bekannt ist. Zudem wird nur der E-Mail-Verkehr zwischen den teilnehmenden E-Mail-Providern verschlüsselt, was das System zusätzlich unsicher macht. Denn das bedeutet faktisch, dass nur De-Mail-Benutzer vom vermeintlich sicheren E-Mail-Versand und -Empfang profitieren.

De-Mail wurde nachträglich rechtssicher gemacht

Interessanterweise verstieß die De-Mail der Deutschen Telekom eine Zeit lang sogar gegen geltendes Recht. So sah der erste Entwurf  des Gesetzes zur Förderung elektronischer Verwaltungsdienste eine durchgehende Verschlüsselung vor. Da die De-Mail diese Voraussetzung nicht erfüllte, wurde die unsichere De-Mail kurzerhand für sicher erklärt, was unter anderem dazu führte, dass sich die Deutsche Post von der De-Mail aus Sicherheitsgründen distanzierte, da sie mithilfe dieses “Tricks” ihren eigenen Dienst namens E-Postbrief ins Bewusstsein der Öffentlichkeit rücken will. Dahinter verbirgt sich ein ähnlich aufwändiges Ident-Verfahren wie das der De-Mail. Zudem sind die E-Mail-Adressen, mit der sich Nachrichten über den E-Postbrief-Dienst sicher verschicken lassen sollen, nicht kompatibel zu herkömmlichen E-Mails, was den Austausch von elektronischen Nachrichten nur über den E-Postbrief-Dienst möglich macht. Eine Alternative ist es die E-Mails auszudrucken und per normalem Postbrief zu senden. Dann kann man aber auch gleich einen ganz normalen Brief verwenden.

Chaos Computer Club: “De-Mail ist ein schlechter Witz”

Dass die De-Mail keine sichere Ende-zu-Ende-Verschlüsselung garantiert, zeigen auch die Aussagen des Chaos Computer Club (CCC) und der Deutschen Gesellschaft für Informatik (GI). So kommentierte Hartmut Pohl von der GI die De-Mail mit den Worten:

„Grundsätzlich begrüßen wir die Möglichkeit eines Kontaktes mit Behörden auf elektronischem Weg. Allerdings bietet die De-Mail in ihrer derzeitigen Form keine wirklich höhere Sicherheit gegenüber der herkömmlichen E-Mail. Bürgerinnen und Bürgern darf hier nicht falsche Sicherheit vorgetäuscht werden.“

Und der CCC bezeichnete die De-Mail als “schlechten Witz”, kombiniert mit der Aufforderung, die De-Mail “ersatzlos zu streichen” und stattdessen auf wirklich sichere und erprobte Verfahren wie OpenPGP, GNU Privacy Guard oder S/MIME zu setzen. Das Problem bei diesen Verfahren ist allerdings, dass das Versenden und Empfangen von E-Mails einen erheblichen Aufwand seitens beider Kommunikationspartner mit sich bringt. Kürzlich referierte Linus Neumann sehr trefflich über die De-Mail anlässlich des Chaos Congress 30C3.

Zusammengefasst kann man also festhalten: sowohl De-Mail als auch der E-Postbrief halten nicht das, was sie versprechen, da es sich allenfalls um eine Ende-zu-Ende-Verschlüssselung handelt, wenn Sender und Empfänger auf das jeweils gleiche System setzen. Zudem gibt es in beiden Verfahren kein einfaches Anmeldeverfahren. Bestehende Alternativen wie PGP oder S/MIME verschlüsseln zwar sicher Ende-zu-Ende, sind aber kompliziert zu bedienen.

Da stellt sich uns abschließend die Frage, was dem sicherheitsbewussten Anwender wichtiger ist: Ein umständliches Ident-Verfahren voller bürokratischer Hindernisse oder eine zuverlässige Datenübertragung via vertraulichem E-Mail-Versand, der von Anfang an und mit jedem funktioniert.

BITKOM-Umfrage: Interesse an Verschlüsselung steigt

Rund 5 Millionen Internetnutzer in Deutschland (9 Prozent) verschlüsseln ihre E-Mails. Dies ergab eine repräsentative Umfrage im Auftrag des ITK-Branchenverbands BITKOM. Das sind rund 50 Prozent mehr als im Juli 2013, kurz nach Aufdeckung der NSA-Spähaktionen.

Im Umkehrschluss bedeutet das aber, dass immer noch 91 Prozent der Internetnutzer ihre E-Mails nicht verschlüsseln. Dies liegt sicher auch daran, dass bestehende Verschlüsselungsprogramme kompliziert sind und nicht mit jedem funktionieren. Wir von Tutao sind gespannt, was eine solche Umfrage nächstes Jahr ergeben wird, wenn unsere einfach zu bedienende Verschlüsselungssoftware am Markt ist. Dann können auch Privatpersonen einen Account erstellen und mit jedem ganz einfach verschlüsselt kommunizieren. Dies wird die E-Mail-Sicherheit in Deutschland revolutionieren!

Einfach erfolgreich auf der it-sa

Einfachheit und Sicherheit – diese Kombination stieß auf der it-sa in Nürnberg auf enormes Interesse. Nach den drei Tagen sind wir begeistert, erschöpft und glücklich! Zahlreiche Gespräche mit Interessierten und potentiellen Kunden lassen uns die Zeit bis zum ‘GoLive’ von Tutanota Starter in wenigen Wochen kaum noch abwarten. Unsere Verschlüsselungssoftware für E-Mails überzeugt vor allem dadurch, dass sie so einfach zu bedienen und dabei hochsicher ist. Eine wesentliche Rolle spielt für unsere Kunden auch, dass Tutanota einfach in Outlook integriert werden kann. Außerdem stellte sich heraus, dass der enorm schnelle Einsatz von Tutanota innerhalb weniger Minuten begeistert. Das fanden auch die Besucher unseres Vortrags.

Auf der it-sa konnten wir auch unsere Wettbewerber beschnuppern und können nun mit Stolz sagen, dass unsere Lösung für vertrauliche E-Mails die einzige ist, die so komfortabel funktioniert, dabei extrem sicher und super schnell installiert ist.

„E-Mail made in Germany“: Wie sicher ist wirklich ‘sicher’?

An sich ist die Initiative „E-Mail made in Germany“ der Deutschen Telekom und von United Internet (GMX) eine prima Sache. So feierten beide Internetdienstleister Anfang August nach eigenem Bekunden einen Meilenstein der E-Mail-Historie, indem E-Mails standardmäßig auf verschlüsselten Kanälen versendet und empfangen werden können.

Zum Einsatz kommt dabei die SSL/TLS-Verschlüsselungstechnik, die wir im letzten Beitrag ausführlich erläutert haben. Mittlerweile haben sich dieser Sicheren-E-Mail-Allianz auch WEB.DE und Freenet angeschlossen, um ebenfalls auf diesem Weg ihren Kunden eine sichere E-Mail-Kommunikation versprechen zu können.

Allerdings, und das wird angesichts der zahlreichen Informationen auf der zugehörigen Webseite leider nicht ganz klar, weist die E-Mail-Verschlüsselung auf Basis von „E-Mail made in Germany“ diverse Schwachstellen auf, die wir hier genauer beleuchten wollen.

Die E-Mail-Verschlüsselung findet derzeit nur im Browser und in Mail-Apps statt

Eine erste echte Hürde der Initiative „Pro sicherere E-Mails“: die SSL/TLS-basierte Verschlüsselung wird derzeit nur zuverlässig innerhalb der Webanwendungen der teilnehmenden E-Mail-Anbieter unterstützt. Soll heißen: selbst wenn man als Versender eine E-Mail an einen Telekom- oder GMX-Empfänger verschickt, wird der E-Mail-Kanal nur innerhalb des Webbrowsers automatisch verschlüsselt und auf der Empfängerseite ebenso automatisch entschlüsselt. Setzt man wie gewohnt seine E-Mail-Software wie beispielsweise Microsoft Outlook ein, bleibt die Initiative außen vor.

Darüber hinaus werden nur die mobilen Anwendungen für Smartphone und Tablet der Deutschen Telekom, von GMX, WEB.DE und Freenet unterstützt. Allerdings soll ab 2014 in sämtlichen bekannten E-Mail-Programmen SSL/TLS für die Verschlüsselung standardmäßig aktiviert sein. Mal sehen, ob das tatsächlich realisierbar sein wird.

Der E-Mail-Austausch mit nicht-angeschlossenen E-Mail-Anbietern ist unsicher

Eine weitere Schwachstelle der Initiative „E-Mail made in Germany“ stellt die Tatsache dar, dass sämtliche E-Mail-Anbieter, die der Initiative nicht angehören, von der automatischen Verschlüsselung nicht profitieren. Zwar gibt es Anstrengungen, weitere Provider für das Projekt zu gewinnen, aber Anbieter wie Google, Yahoo, Microsoft (Outlook.com) und Apple gehören dieser Allianz nicht an. Damit findet beispielsweise zwischen einem GMX-Absender und einem Yahoo-Empfänger standardmäßig kein verschlüsselter E-Mail-Verkehr statt. Hierzu muss der Yahoo-Anwender erst SSL/TLS in seiner Software einschalten. Und selbst das hat Schwachstellen, wie Sie ja mittlerweile wissen.

Die vermeintliche Ende-zu-Ende-Verschlüsselung ist ein Irrglaube

Zwar stellt es die Initiative „E-Mail made in Germany“ auf ihrer Webseite so dar, als ob der E-Mail-Verkehr durchgängig verschlüsselt vom Absender zum Empfänger stattfindet, in der Praxis sieht das aber anders aus. Denn entgegen der suggerierten Sicherheit, die sich aus der E-Mail-Kanal-Verschlüsselung zwischen Absender und Empfänger ergibt, liegen sämtliche E-Mails im Klartext auf den Servern der Anbieter. Anschließend werden die elektronischen Nachrichten zwar – sofern innerhalb der Allianz – wieder auf verschlüsseltem Wege an den Empfänger weitergeleitet. Für die gesamte Speicherzeit der Nachricht befindet sich die E-Mail jedoch unverschlüsselt auf dem E-Mail-Server des Providers. Ergo: es findet keine Ende-zu-Ende-Verschlüsselung statt.

Und um eine echte Ende-zu-Ende-Verschlüsselung zu gewährleisten, müssen ohnehin ganz andere Techniken zum Einsatz kommen. Das ist allerdings nicht trivial und normalerweise mit erheblichem Mehraufwand verbunden. Doch warum nur eine Ende-zu-Ende-Verschlüsselung sinnvoll ist, darüber schreiben wir ein anderes Mal auf diesem Blog.

Sicherheitsrisiko E-Mail – und was Sie darüber wissen sollten

Sicherer E-Mail-Versand findet zwischen Absender, E-Mail-Provider und Empfänger stattSeit mehr als 30 Jahren verschicken und empfangen Menschen elektronische Nachrichten in Form von E-Mails, und die Mehrheit dieser Anwender verschwendet kaum einen Gedanken daran, dass jede einzelne Nachricht samt Inhalts einen möglichen Angriffspunkt darstellt. Ob dass die persönlichen Informationen wie Name und Telefonnummer sind, die in einer E-Mail stecken oder noch sensiblere Kundendaten – jeden Tag schlängeln sich Millionen von elektronischen Nachrichten durch das Internet, und das ohne jeden Schutz.

Zudem fungiert eine E-Mail als Angriffspunkt von außen, der es dem Angreifer ermöglicht, Bankdaten oder Informationen über Kunden und Mandanten unbefugt zu erlangen. Da liegt der Verdacht nahe, dass sich die meisten E-Mail-Anwender gar keine Gedanken darüber machen, wie heikel ihr Tun ist und welche Risiken damit verknüpft sind. Daher zeigen wir die wichtigsten Aspekte auf, die vor allem für das sichere Versenden von E-Mails zu berücksichtigen sind.

Sicher versus unsicher: setzen Sie auf verschlüsselte Verbindungen

Die meisten E-Mail-Anwender haben ihr eigenes, persönliches E-Mail-Konto bei der Telekom, Web.de, GMX, Google, Yahoo, und so fort. Für die Nutzung erstellt man einfach nur Zugangsdaten, mit denen das bevorzugte E-Mail-Programm eingerichtet werden kann, damit die Nachrichten direkt mit dem Rechner oder Smartphone/Tablet versendet und empfangen werden können.

Hierbei kommen zwei Techniken zum Einsatz, die sich POP3 und IMAP nennen. Hat Ihr E-Mail-Anbieter beide Varianten im Programm, sollten Sie unbedingt IMAP verwenden. Denn mit IMAP (Internet Message Access Protocol) ist es möglich, das Kennwort erst dann abfragen zu lassen, wenn eine sichere SSL-Verbindung zwischen Mail-Client und -Server besteht. Diese abhörsichere Variante lässt sich mit einem einzigen Mausklick in Ihrer E-Mail-Software wie zum Beispiel Outlook aktivieren.

Ein weiterer Schutz, Ihre E-Mail-Verbindung sicherer zu machen, nennt sich TLS (Transport Layer Security). Diese Technik sorgt in Verbindung mit StartTLS dafür, dass die Verbindungsdaten (Benutzername, Kennwort) nicht im Klartext, sondern verschlüsselt und damit als nicht-lesbare Daten übertragen werden. Daher sollten Sie unbedingt darauf achten, dass sowohl Ihre E-Mail-Software als auch Ihr Anbieter die Option bietet, via TLS-Verschlüsselung Ihre IMAP-Konten abzufragen. Das hat obendrein den Vorteil, dass Ihre E-Mails auf sämtlichen Geräten wie PC, Smartphone und Tablet stets auf dem neuesten Stand sind. Ein wichtiger Aspekt in einer immer mobiler werdenden Welt.

Allerdings bleibt selbst bei SSL-TLS-verschlüsselten Verbindungen zwischen Ihrem PC und dem E-Mail-Server Ihres Anbieters ein Sicherheitsrisiko: was geschieht mit Ihren Daten auf dem Zentralserver Ihres Dienstleisters (sind diese dort verschlüsselt?), und wie verhält es sich mit dem weiteren Versand Ihrer E-Mails vom E-Mail-Versender zum ausgewählten Empfänger? Diese „Etappen“ haben Sie ohne entsprechende Vorsichtsmaßnahmen nicht unter Kontrolle. Selbst wenn Sie einen der sicheren E-Mail-Anbieter nutzen, die unter dem Motto „E-Mail made in Germany“ für einen abhörsicheren E-Mail-Verkehr sorgen wollen. Hierzu erfahren Sie im nächsten Blogbeitrag mehr.

Warum Ärzte, Anwälte und Steuerberater nur sichere E-Mails verschicken sollten

Eine E-Mail an die Oma oder Schwester ist meist frei von Inhalten, die dem Datenschutzrecht unterliegen. Ganz anders sieht das aus, wenn Ärzte, Anwälte oder Steuerberater ihre Mandanten-Korrespondenz auf dem elektronischen Weg betreiben. Denn da geht es um hochsensible Daten und Fakten, die unter keinen Umständen in falsche Hände geraten dürfen

Daher sollten sich Vertreter dieser Berufsstände vor dem Versenden einer E-Mail an Klienten oder Mandanten stets die Frage stellen: „Sollte ich das wirklich tun?“. Denn jede digitale Nachricht, die die Kanzlei oder Praxis auf dem E-Mail-Weg verlässt, stellt ein gewisses Risiko dar, dessen man sich gewahr werden sollte. Elektronische Daten müssen nämlich nach geltendem Recht (vor allem geregelt im BDSG und StGB) stets mit äußerster Sorgfalt behandelt werden. Denn sollten sensible Daten in die falschen Hände geraten, könnte das äußerst unangenehme Folgen haben, für den Absender und den Empfänger gleichermaßen.

Daher gilt: sensible E-Mail-Inhalte sollten so gut wie möglich vor Lauschangriffen von außen geschützt werden. Und wie das mit unserer Hilfe gelingt, erfahren Sie hier auf diesem Blog – Stück für Stück und Beitrag für Beitrag.

Experten begeistern!

Beim dritten Online-Stammtisch Hannover begeisterten wir Medienvertreter und Online-Experten von unserer Lösung Tutanota. Der Vortrag machte uns besonders großen Spaß, da der Austausch mit dem Fachpublikum für uns sehr anregend war. Wir Pitchen gern, weil wir von unserer Idee – Einfachheit und Sicherheit sind in unserer zunehmend digitalen Welt ein ‘Must’ – überzeugt sind. Das kam auch bei den Teilnehmern gut an.

Finden auch Sie heraus, was uns begeistert! Gerne kommen wir für einen exklusiven Vortrag zu Ihnen. Ein Anruf genügt.

Wir suchen Verstärkung

Tutao wächst! Pünktlich zum Marktstart von Tutanota suchen wir Verstärkung:

  • Entwickler (m/w)
  • Supporter (m/w)
  • Marketing-Assistenz (m/w)

Als junges, innovatives Unternehmen legen wir Wert auf Eigenverantwortung, Flexibilität und Begeisterungsfähigkeit. Möchtest du uns von dir begeistern? Dann bewirb dich jetzt! Weitere Informationen auf tutao.de/jobs.

1. Corporate Team Day!

Nach fast zwei Jahren der Unternehmensgründung sehen wir die Zeit für unseren ersten Corporate Team Day gekommen. Schließlich haben wir einen wichtigen Meilenstein erreicht: Die Finanzierung für unser junges Unternehmen haben wir erfolgreich gesichert. Mit einem  freien Tag und einer Kanufahrt auf dem Baldeneysee in Essen halten wir gemeinsam inne und sammelten Energie für die nächsten Wochen. Nun blicken wir gestärkt in die Zukunft und fiebern dem Marktstart von Tutanota Starter im Herbst enthusiastisch entgegen. Es bleibt spannend!

64. Deutscher Anwaltstag

Mit einem eigenen Stand waren wir beim 64. Deutschen Anwaltstag in Düsseldorf vertreten. Das große Interesse an unseren Lösungen hat uns darin bestätigt, dass Anwälte ‘zu recht’ eine sichere und einfache E-Mail-Anwendung brauchen. Wir freuen uns schon jetzt auf den Start von Tutanota in diesem Herbst, wenn wir den Anwälten genau das bieten können!

116. Deutscher Ärztetag in Hannover

Beim diesjährigen Deutschen Ärztetag stellten wir Ärzten und Klinikvertretern exklusiv unsere Lösungen zur E-Mail-Verschlüsselung vor. Das Interesse der Mediziner war sehr groß, denn der Austausch von Patientendaten ist kompliziert und wird daher selten elektronisch durchgeführt. Viele erklärten uns, sie warteten gespannt auf den Markstart von Tutanota, der für Herbst 2013 geplant ist. Nach dem Ärztetag konnten wir konkrete Folgegespräche mit einer der größten niedersächsischen Kliniken aufnehmen. Der Ärztetag hat uns gezeigt, dass der Bedarf nach einer einfachen und sicheren Lösung für den digitalen Austausch von Patientendaten enorm ist.

Tutao eröffnet Standort in Essen

Zweiter Standort vor dem zweiten Geburtstag – das ist doch mal was! Tutao eröffnet neben seinem Stammsitz in Hannover einen zweiten Standort in Essen, im stadtbekannten Girardethaus. Ein so junges Unternehmen mit zwei Standorten? Für uns selbstverständlich, denn als innovatives IT-Unternehmen arbeiten wir von überall gut vernetzt zusammen. Und das ganz sicher – durch unsere eigenen Lösungen zur E-Mail-Verschlüsselung.

Da einer der Tutao-Gründer in Essen wohnt, stand für uns die Standorteröffnung von Anfang an fest. Das Rhein-Ruhr-Gebiet ist für uns unternehmerisch hochinteressant. Hier wohnen rund 15 Mio. Menschen und zahlreiche Unternehmen, die wir von unseren Lösungen überzeugen wollen.

Wir vernetzen uns auf dem Forum Kiedrich

Forum Kiedrich LogoAuf dem Forum Kiedrich durften wir uns und unsere Lösungen gemeinsam mit 19 anderen Startups vorstellen. Bei unserem Pitch sprang unsere Begeisterung für den sicheren und bequemen Versand von E-Mails quasi auf die Zuhörer über, so dass wir im Anschluss konkrete Gespräche mit einem erfahrenen Softwaredienstleister aus der Nähe von Frankfurt führen konnten, der unsere Lösungen sehr interessant findet. Wir freuen uns, dass wir an dieser perfekt organisierten und hochinteressanten Veranstaltung teilnehmen durften. Die vielen wichtigen Kontakte werden uns das ‘Durchstarten’ erleichtern. Besonders in Erinnerung bleiben wird Thomas das persönliche Gespräch mit Klaus Plönzke. Eine beeindruckende Persönlichkeit, dessen Unternehmergeist für alle Jungpioniere Ansporn und Rat gleichermaßen ist.

StartUp-Impuls

Wir waren neben mediaTest digital und CouchCommerce unter 139 Bewerbungen für den Gründungspreis beim Wettbewerb StartUp-Impuls nominiert. Gratulation an das Team von CouchCommerce, die sich mit ihrem schon am Markt befindlichen Produkt, aus Online-Shops passgenaue Apps zu machen, durchgesetzt haben!

Finalisten vom StartUp-Impuls

Wir freuen uns über neue Kontakte, einen Geldpreis und vor allem über einen starken Portraitfilm über uns von Filmblick Hannover. Darüber hinaus werden wir aufgrund verwandter Ansätze insbesondere mit den Jungs von mediaTest digital weiter in Kontakt bleiben.

Tutanota Private Beta startet

Es ist soweit. Nach Moooonaaaaateeeeeen der Entwicklung, Wochen der startup-typischen Verzögerungen aufgrund “unvorhersehbarer Störfeuer”, haben wir heute unsere erste private Beta-Testphase im Rahmen einer Präsentation am Forschungszentrum L3S der Leibniz Universität Hannover gestartet.

Tutanota_private beta

Ausgewählte Betatester, darunter Pilotkunden ebenso wie IT- und Usability-Experten sowie versierte Privatpersonen, erhalten in den nächsten Tagen eine Nachricht von uns mit allen Details, um auf unsere private Beta-Version zugreifen zu können.

Wenn Sie auch Interesse an unserer privaten Beta-Version von Tutanota haben und bislang noch nicht berücksichtigt werden konnten, treten Sie bitte direkt mit uns in Kontakt. Im Februar werden wir den Kreis der Beta-Tester erweitern. Schreiben Sie uns einfach an hello@tutao.de, warum Sie der perfekte Beta-Tester sind und wir melden uns – garantiert!

Webseite tutao.de wächst

Wie Ihnen vermutlich aufgefallen sein wird, haben wir unsere Webseite aufgefrischt und mehr Informationen zu Tutanota preisgegeben. Wir werden in den nächsten Wochen unseren Webauftritt und Informationen zu Tutanota kontinuierlich ergänzen – ganz im Sinne einer agilen Vorgehensweise. Unsere Bitte an Sie als Besucher: Teilen Sie uns gern mit, wenn Ihnen Informationen fehlen oder Sie weitere Wünsche oder Fragen haben. Schreiben Sie einfach an hello@tutao.derufen Sie uns an oder kommen vorbei.

Wir sind umgezogen

Unsere zur Verfügung gestellten Arbeitsplätze im Forschungszentrum L3S haben wir Anfang Dezember geräumt und sind nun in unser erstes eigenes Büro gezogen. Wir verlassen das L3S mit einem weinenden und einem lachenden Auge. Vermissen werden wir auf jeden Fall den unkomplizierten Austausch mit Wissenschaftlern aus aller Welt und den bombastischen Ausblick aus dem 15. Obergeschoss des Instituts. Diesen Weitblick nehmen wir nun mit in die Halle 96 auf dem ehemaligen hannoverschen Hanomaggelände. Das nach eigenem Bekunden erst im Jahr 2011 eingeweihte „Zentrum für Kreative“ nahm uns als kreative Softwareschmiede in ihr modernes Gebäude auf.

Und weil wir gerade dabei waren, haben wir auch neue Telefonnummern mit einem größeren Rufnummernblock eingerichtet.

Halle 96

Halle 96

Halle 96

Unsere neuen Kontaktdaten und einen Anfahrthinweis finden Sie auf folgender Seite.

Tutao wird 1

Vor einem Jahr haben wir die Tutao GmbH durch einen Gang zum Notar und Unterzeichnung des Gesellschaftsvertrags gegründet. Seitdem ist viel passiert. Unser Blog gab darüber immer Auskunft und wird es auch in Zukunft tun. Wir möchten uns an dieser Stelle bei den vielen Menschen bedanken, die uns auf unserem steinigen aber spannenden Weg begleiten und an uns glauben. Dazu zählen vor allem unsere Familien und unsere engen Freunde. Aber auch alle, die sich die Zeit genommen haben, uns Feedback zu geben, seien hier ausdrücklich angesprochen. Jeder Informationsaustausch – und sei er noch so kontrovers diskutiert worden – trägt am Ende dazu bei, den Weg zum Ziel in die richtige Richtung zu gehen. Viel Zeit für Sentimentalitäten wollen wir hier natürlich nicht verlieren. Allerdings halten wir es für wichtig, darauf hinzuweisen, dass wir genau diesen Austausch und diese Unterstützung auch in Zukunft brauchen, um mit Tutanota richtig durchzustarten…

Herzlichen Dank!

Thomas, Arne und Matthias

Die Wissensfabrik ließ für uns die Köpfe rauchen

WissensfabrikLogo

Im Rahmen des von der Wissensfabrik ins Leben gerufenen Projekts “Student2Start-up” wurden wir ausgesucht und haben einen der begehrten Plätze erhalten, um von Studierenden der Hochschule Hannover bestimmte Themen zu hinterfragen. Vor allem die Untersuchung der IT-Infrastruktur unserer anfänglichen Zielgruppe und unser Go2Market standen im Mittelpunkt. Vielen Dank an die Studierenden für ihr Engagement, die gute Zusammenarbeit und die kreativen Ergebnisse!

Auf höchster Ebene vernetzt

Nach dem Gewinn des vom Handelsblatt und der Wissensfabrik ausgelobten Wettbewerbs WECONOMY (wir berichteten im Juli) trafen wir am vergangenen Wochenende mit etlichen Top-Managern aus Deutschland im Fünf-Sterne-Hotel „Dorint Maison Messmer“ in Baden-Baden zusammen. Die perfekte Organisation, ein deutlich über dem normalen Budget eines Startups liegendes Ambiente und vor allem der Austausch mit hocherfahrenen Top-Managern und anderen Gründern hinterließ einen durchweg begeisterten Eindruck. In der Folge werden wir peu à peu bei einigen namhaften Größen der deutschen Industrie vorstellig.

Handelsblatt LogoDas Handelsblatt berichtete exklusiv und spendierte den Gewinnern eine ganze Gratulationsseite in ihrer aktuellen Ausgabe.

 

Vielen Dank an die Organisatoren der Wissensfabrik für ein spannendes und sehr nützliches Wochenende mit Langzeitwirkung.

WECONOMY_2012, Baden-Baden WECONOMY_2012, Baden-Baden WECONOMY_2012, Baden-Baden

Klasse Hannover IT-Veranstaltung zu BYOD

Die Veranstaltung von Hannover IT stand unter dem Thema “Mobile Zukunft – Bring Your Own Device (BYOD)” und zog nicht zuletzt wegen des Keynote Speakers Volker Weber (“vowe”), bekannt u. a. durch seine viel beachteten Beiträge in der Computerzeitschrift c’t, einige IT-Experten in das schöne HCC nach Hannover an. Die Vortragsreihe wurde mit bedacht vom Geschäftsführer der Projektzentrum Hannover IT GmbH Frank Steinlein in Zusammenarbeit mit dem Arbeitskreis IT-Sicherheit ins Leben gerufen. Wir sagen: prima! Es hat Spaß gemacht, sich auf der einen Seite spannende Vorträge anzusehen und gleichzeitig mit vielen Leuten ins Gespräch zu kommen. Eine gelungene Networking-Veranstaltung – auch mit fachlichem Futter.

Wir danken den Datenschutzexperten praemandatum für die positive Erwähnung von Tutanota in ihrem Vortrag über “Was machen Apps mit Mobile Devices?”. Tutanota sei ein mit großer Spannung erwartetes Softwareprodukt für einfach handhabbare Datensicherheit. Das sehen wir auch so! :-)

Im Rahmen unseres Plug & Work-Gewinns von hannoverimpuls haben wir uns übrigens für eine Mitgliedschaft bei Hannover IT entschieden.

 

Direktor des HPI beeindruckt Tutanota

Der Direktor des Hasso-Plattner-Instituts (HPI) in PotsdamProfessor Dr. Christoph Meinel, hat uns auf unsere Nachfrage hin, ein umfangreiches Feedback zu unserer Lösung Tutanota gegeben.

Auch nach Ansicht von Prof. Meinel adressiere Tutanota ein wichtiges und in seiner Bedeutung stark steigendes Geschäftsfeld im Bereich elektronischer Kommunikation. Die Konzeption der Geschäftsidee mit ihrer besonderen Berücksichtigung der praktischen Handhabbarkeit, der Nutzung gut etablierter Verschlüsselungsmethoden und einer Cloud-Basierung lasse eine hohe Nachfrage und erfolgreiche Etablierung im Markt erwarten.

Wir danken Herrn Prof. Meinel für diese positive Einschätzung und werden den begonnenen Dialog mit ihm fortführen.

Tutao auf Kongress Junge IKT-Wirtschaft in Berlin

Am Mittwoch, 6. Juni 2012 stehen wir auf dem Kongress “Junge IKT-Wirtschaft” im KOSMOS in Berlin für alle Interessierten für Gespräche zur Verfügung. Gegen 17:30 Uhr informiert Thomas in einer kurzen Unternehmenspräsentation im Forumsbereich der Ausstellung darüber, was uns antreibt.

Wir wünschen allen eine gute Anreise und freuen uns auf interessante Gespräche!

Heute Filmdreh über Tutao im L3S

Wir werden heute vom Drehteam des hannoverschen Regionalsenders h1 in unserem Büro im Forschungszentrum L3S der Leibniz Universität Hannover besucht. Es geht um einen Bericht über unsere bisherige Arbeit und eine Art Dokumentation über junge Startups – auf dass weitere junge Menschen ihre Ideen in die Tat umsetzen!

Nächste Woche Freitag, 11.5. ist Thomas im Studio. Am 22. Mai 2012 wird das Gründungsjournal auf h1 ausgestrahlt. Stay tuned!

Tutanota – live on stage again.

Tutanota – mail. done. right. – innovation in sight! We were part of the Heidelberg Innovation Forum, April 17, 2012. Our 8-minute pitch took place in the Studio of Villa Bosch. We met interesting people and had a great day in one of the most beautiful old towns of Germany.

So we got in touch with the team of audriga (very likeable boys by the way) who found an efficient way to move your emails in the cloud. Perfect match! :-)

 

CeBIT lab talk am 9. März, 11:30 h

Managing Trust? Transparenz schafft Vertrauen!

Vortragende: Peter Leppelt (praemandatum) und Thomas Gutsche

Wann und wo: 9. März 2012 um 11:30 h in Halle 26, Stand J50 (CeBIT lab talk)

Tutao with praemandatum live on stage – pictures for those who couldn’t attend.

Tutanota live im CeBIT lab talk

Alle, die unseren Vortrag verpasst haben oder erneut sehen möchten, haben kurz nach der CeBIT auf den Seiten der Deutschen Messe AG die Gelegenheit dazu. Den Link dorthin reichen wir selbstverständlich nach.

An dieser Stelle vielen Dank an das interessierte Publikum und die nachfolgenden Gespräche an unserem Stand!

Ministerin Prof. Dr. Wanka besucht Tutao

Heute Besuch von Prof. Dr. Johanna Wanka, niedersächsische Ministerin für Wissenschaft und Kultur (MWK). Auch dabei: Abteilungsleiter Forschung und Innovation Rüdiger Eichel und Frau Ulrike Ammersdörfer aus dem Technologietransfer des MWK. Alle begeistert bei der Sache. Erste vollständig sichere E-Mail mit Tutanota senden ist tatsächlich: ganz einfach. Selbst erleben: Halle 26, Stand C50.

Tutanota begeistert David McAllister

Unser Ministerpräsident David McAllister hat heute gemeinsam mit dem Vorstandsvorsitzenden der Deutschen Messe AG, Dr. Wolfram von Fritsch Tutanota begeistert ausprobiert (Video).

David McAllister wurde von seinem Referatsleiter für Wirtschaft, Arbeit und Verkehr der niedersächsichen Staatskanzlei Joachim Braun, seinem persönlichen Referenten Dr. Moritz von Bar und dem Referenten für Öffentlichkeitsarbeit Torsten Oliver Deecke begleitet. David McAllister war von der Innovation aus Niedersachsen fasziniert und hat mit Tutanota seine erste vollständig sichere E-Mail versendet. Das Team von Tutao und Prof. Dr. Wolfgang Nejdl, Direktor des L3S, haben sich über die sehr gute Resonanz gefreut.

Die Tutao GmbH stellt zusammen mit dem Forschungszentrum L3S der Leibniz Universität Hannover auf dem Gemeinschaftsstand des Landes Niedersachsen aus. Besucher können sich noch bis zum 10. März auf der CeBIT von dem ersten vollständig sicheren und einfach zu bedienenden Webmail-System Tutanota überzeugen.

Tutanota wird in Halle 26 auf dem Stand C50 präsentiert.

 

Tutanota live auf der CeBIT 2012

Wir stellen auf der diesjährigen CeBIT in Hannover auf Stand C50 in Halle 26 (nicht mehr in Halle 9, weil http://j.mp/zEPKDw) die erste Version unseres vollständig sicheren und einfach zu bedienenden Webmail-Systems Tutanota® vor. Einfach. Sicher. Mailen. Sie dürfen gespannt sein!

Tutanota wird außerdem im Rahmen der folgenden Vorträge präsentiert:

Tutanota: Einfach. Sicher. Mailen.

Vortragende: Thomas Gutsche und Matthias Pfau

Wann und wo: 6. März 2012 um 10:50 h in Halle 6, Stand G14 (hannoverimpuls)

Tutanota: Einfach. Sicher. Mailen.

Vortragende: Thomas Gutsche und Matthias Pfau

Wann und wo: 7. März 2012 um 14:10 h in Halle 6, Stand G14 (hannoverimpuls)

Einfach. Sicher. Mailen. Mit Tutanota die Kommunikation des 21. Jahrhunderts erleben

Vortragender: Thomas Gutsche

Wann und wo: 8. März 2012 um 11:00 h in Halle 26, Stand J50 (CeBIT lab talk)

Managing Trust? Transparenz schafft Vertrauen!

Vortragende: Peter Leppelt (praemandatum) und Thomas Gutsche

Wann und wo: 9. März 2012 um 11:30 h in Halle 26, Stand J50 (CeBIT lab talk)

Wir freuen uns auf das persönliche Treffen auf unserem Stand. Termine können gern telefonisch oder direkt über unseren Online-Kalender vereinbart werden.

Auf Anfrage erhalten Sie gern eine Eintrittskarte von uns.

Bis bald in Hannover!

Ihr Team von Tutao

Someone has to be first…

Hello World!

Thank you for visiting our website and your interest in our work. We have just released this website and are pretty busy developing our first software product. You can be part of the process by visiting our launch page.

Our website will be filled with interesting information about us, the way we have already walked and the challenges we have to face… Stay tuned!

Sincerely yours,

Arne, Matthias and Thomas