FAQ

Für die E-Mail-Verschlüsselung zwischen Tuta-Benutzer*innen wird ein standardisiertes, hybrides Verfahren aus einem symmetrischen und einem asymmetrischen Algorithmus verwendet. Zum Einsatz kommen AES mit einer Schlüssellänge von 256 Bit und RSA mit 2048 Bit in Kombination mit ECDH (x25519) und Kyber-1024 (für quantensichere Accounts). E-Mails an externe Empfänger*innen sind rein symmetrisch mit AES 256 Bit verschlüsselt.

In der Regel speichern wir keine IP-Adressen, wenn du dich einloggst oder eine E-Mail versendest. Die IP-Adressen von gesendeten und empfangenen E-Mails werden entfernt, so dass von deinen E-Mails nicht auf deinen Standort geschlossen werden kann.

Wir speichern ausschließlich IP-Adressen von individuellen Accounts, wenn wir aufgrund von schwerwiegenden Straftaten wie Mord, Kinderpornographie, Raub, Bombendrohung oder Erpressung einen validen Gerichtsbeschluss aus Deutschland erhalten haben. Details dazu sowie zu den deutschen Datenschutzrechten gibt es auf unserem Blog.

Lies auf unserem Blog, wie Tuta mit dem anonymen E-Mail-Service die illegale Massenüberwachung bekämpft. Bei der Registrierung werden keine persönlichen Daten erhoben (z.B. keine Telefonnummer). Tuta kann in Zukunft auch mit Bitcoin bezahlt werden.

Tuta verschlüsselt automatisch alle E-Mail, die auf unseren Servern in Deutschland gespeichert werden. E-Mails zwischen Tuta-Nutzer*innen werden automatisch Ende-zu-Ende verschlüsselt. E-Mails an externe Empfänger*innen können mithilfe eines Passworts verschlüsselt werden. Hier erklären wir den Unterschied zwischen einer vertraulichen (Ende-zu-Ende verschlüsselten) und einer nicht vertraulichen E-Mail.

Unabhängig von der Ende-zu-Ende-Verschlüsselung wird die Verbindung zwischen Client und Tuta-Server mit TLS abgesichert.

Schau dir unser E-Mail-Verschlüsselungs-Tutorial auf YouTube an - die schnellste Anleitung zur E-Mail-Verschlüsselung, die es gibt!

Ja, alle bei Tuta gespeicherten Daten sind Ende-zu-Ende verschlüsselt. Nur du hast Zugriff auf deine Daten. Ein Scannen deiner Daten ist nicht möglich.

Die gesamte Schlüsselgenerierung, Ver- und Entschlüsselung erfolgt lokal im Browser bzw. in den Apps, so dass nur verschlüsselte Daten versendet werden.

Du kannst dir Header-Information von empfangenen E-Mails mit dem Tastaturkürzel H anzeigen lassen. Tuta entfernt die Header-Informationen von gesendeten E-Mails, um deine Privatsphäre zu schützen.

Um all Shortcuts in Tuta anzuzeigen, klicke bitte F1 (Fn & F1).

Eine gelöschte Tuta-E-Mail-Adresse (auch ein gelöschter Alias) wird aus Sicherheitsgründen nicht wieder freigegeben. Es darf keine Möglichkeit bestehen, dass eine andere Person diese Adresse registriert und dann aus Versehen eine vertrauliche E-Mail erhält, die eigentlich für dich bestimmt war.

Kostenfreie Accounts werden gelöscht, wenn diese mindestens sechs Monate nicht verwendet wurden. Wir löschen diese Accounts aus Sicherheitsgründen und damit wir einen kostenfreien Service anbieten können. Allerdings kannst du die E-Mail-Adresse deines gelöschten Accounts in einen anderen bezahlten Account übernehmen und dort als E-Mail-Alias oder zusätzliche*n Benutzer *in weiterverwenden, wenn du noch die gültigen Zugangsdaten besitzt.

Um die E-Mail-Adresse eines inaktiven Kontos zurück zu bekommen, musst du

1. Ein bezahltes Konto registrieren (oder ein beliebiges bezahltes Tuta-Konto, das du bereits hast, als Zielkonto verwenden).
2. Logge dich in deinen gelöschten Account Konto ein.

3. Klicke auf 'Hilfe' wie in dem oberen Screenshot zu sehen ist.

4. Gib die 'Adresse des Ziel-Accounts' ein (und - wenn du die Zwei-Faktor-Authentifizierung aktiviert hast - den Wiederherstellungscode des gelöschten Accounts).

Dann kannst du die gelöschte(n) Adresse(n) als Alias (oder Benutzer*in) zum Ziel-Account hinzufügen. Wir nennen das Zusammenführen von Adressen.

Der private und der öffentliche Schlüssel werden lokal im Browser generiert. Der private Schlüssel wird mit deinem Passwort verschlüsselt. So erhält das Passwort sozusagen den Status des privaten Schlüssels. Der Schlüssel wird so stark verschlüsselt, dass nur du mit deinem Passwort ihn für das Ver- und Entschlüsseln verwenden kannst. Deshalb ist ein starkes Passwort essentiell. Bei der Registrierung findet lokal eine automatische Passwortprüfung statt, damit das Passwort stark genug ist. Das Passwort wird nie im Klartext an die Server übertragen, sondern es wird lokal 'salted' und mit Argon2 verhashed, so dass weder der Server noch wir auf das Passwort zugreifen können. Mit diesem innovativen Design kannst du auf deine verschlüsselte Inbox von allen Geräten aus (Desktop, mobil) ganz einfach zugreifen.

Tuta lädt Bilder nicht automatisch, wenn eine E-Mail angeklickt wird. Wenn du externe Bilder manuell lädtst, solltest du wissen, dass

• eine andere Person weiß, dass du die E-Mail liest.
• Cookies in deinen Browser einfügen werden können (außer dies wird vom Browser geblockt).
• dein Aufenthaltsort über deine IP getrackt werden kann.
• Daten über dein Gerät getrackt werden können.

Hier erklären wir, wie du externe Bilder anzeigen kannst. Bitte lies hier, wie Tuta sicherstellt, dass du einen anonymen E-Mail-Service nutzt.

Tuta verlangt, dass alle E-Mails authentifiziert sind. Wenn eine E-Mail nicht authentifiziert werden konnte, kann sie von einer beliebigen Person versendet oder verändert worden sein. Daher solltest du mit solch einer Mail sehr vorsichtig sein, da diese E-Mail gefälscht oder verändert worden sein könnte. Wenn du die Warnung siehst, dass die Echtheitsprüfung fehlgeschlagen ist (rotes Banner), solltest du besonders vorsichtig sein, da die E-Mail höchstwahrscheinlich gefälscht ist. Stell dir dies wie bei einem herkömmlichen Brief vor: Jede*r könnte dir eine E-Mail senden und beliebige Absender*innen eintragen.

Phishing ist eine Form von Online-Betrug, bei der Kriminelle versuchen, wie legitime Absender*innen auszusehen, um an deine Daten wie Anmeldeinformationen oder Kreditkartendaten zu gelangen. Diese Personen verwenden sehr ausgeklügelte psychologische Techniken und entwickeln sehr realistische Kopien von echten Webseiten und E-Mails.

Wenn du ein Phishing-Banner siehst, bedeutet dies, dass eine E-Mail wie diese als Phishing gemeldet wurde. Bitte gehe mit solchen Nachrichten äußerst vorsichtig um. Normalerweise enthalten Phishing-E-Mails einen Link zu einer Webseite, die zwar echt aussieht, es aber in Wirklichkeit nicht ist. Wenn du glaubst, dass die E-Mail legitim sein könnte und du den Link geöffnet hast, überprüfe bitte unbedingt die vollständige URL der Webseite: Überprüfe, dass du alles siehst, manchmal ist nur ein Teil oder ein Zeichen vertauscht. Hier findest du weitere Informationen dazu, wie du E-Mail-Phishing-Angriffe verhindern kannst.

Du kannst eine E-Mail als nicht phishing markieren, so dass du den Warnhinweis bei dieser E-Mail nicht mehr siehst.

Wir senden dir nie eine E-Mail mit einem Link, über den du dein Passwort angeben musst. Wir empfehlen deine Anmeldedaten immer mit 2FA zu schützen. Dies macht es Angreifer*innen nahezu unmöglich sich in dein Konto einzuloggen.

Wenn du von einem Phishing-Angriff bereits ausgetrickst worden bist, siehe bitte hier .

Die Tuta-Server stehen in ISO27001-zertifizierten Hochsicherheitsrechenzentren in Deutschland. Die gespeicherten Daten unterliegen den strengen deutschen Datenschutzgesetzen. Unabhängig davon sind die Daten nicht von der Tutao GmbH als Betreiber oder von Dritten lesbar, weil sie Ende-zu-Ende verschlüsselt sind.

Ja. Du kannst die aktiven Sessions unter Settings -> Login ansehen und aus der Ferne schließen.

Gehe zu unserer Anleitung, um zu sehen, wie du das verschlüsselte Speichern von geschlossenen Sessions aktivieren kannst. So kannst du überwachen, ob sich eine andere Person in deinen Account einloggt. Um deine Privatsphäre auch beim Aktivieren dieser Funktion maximal zu schützen, haben wir sie folgendermaßen implementiert:

• Die IP-Adresse wird verschlüsselt gespeichert. Keine anderen Personen - nicht einmal wir von Tuta - können die Daten einsehen.
• Die IP-Adresse wird für eine Woche gespeichert und dann automatisch gelöscht.

Tuta verschlüsselt automatisch den Betreff, den Inhalt und sämtliche Anhänge der E-Mails. Alle weiteren Daten in Tuta - das Adressbuch, die Signatur, Posteingangsregeln, Rechnungsdaten, Bezahlmethode, Zertifikate und private Schlüssel der eigenen Domains - werden ebenfalls verschlüsselt gespeichert.

Du kannst eine detaillierte Erklärung dazu, was in Tuta alles verschlüsselt ist, auf unserer Webseite zur Sicherheit finden.

Diese Metadaten werden nicht verschlüsselt:

• Absendeadresse der E-Mail
• Empfangsadresse der E-Mail
• E-Mail-Datum

Wir suchen bereits nach Lösungen, wie wir die Meta-Daten verschleiern können.

Vielen Dank, dass du dir die Zeit genommen hast, eine Sicherheitslücke zu melden. Wenn du Sicherheitsprobleme gefunden hast, sende uns bitte eine E-Mail in Deutsch oder Englisch mit einem detaillierten Bericht, damit wir diese beheben können.

Wir von Tuta achten sehr darauf, deine Mailbox so gut wie möglich zu schützen. Der Tuta-Code ist quelloffen und auf Github veröffentlicht, und wir laden alle Sicherheitsexperten ein, ihn zu überprüfen.

Du kannst deinen gespeicherten App-Login mit einer PIN, einem Muster oder biometrischen Daten (Fingerabdruck, Face ID usw.) sichern. Bitte gehe zur Aktivierung zu Einstellungen -> Anmeldung -> Entsperrmethode.

Diese Option wird nur angezeigt, wenn die Anmeldedaten zuvor in der Tuta-App gespeichert wurden. Zum Speichern deiner Login-Daten setze ein Häkchen bei 'Passwort speichern', wenn du dich in der App anmeldest.

Tuta überprüft die Passwortstärke bei der Registrierung automatisch, um sicherzustellen, dass das Passwort geeignet dafür ist deine sicheren E-Mails zu schützen. Weitere Tipps dazu, wie du ein starkes Passwort wählst, gibt es hier.

Tuta hat keine Limitierung bei der Passwortlänge oder bei den zu verwendenden Zeichen, alle Unicode-Zeichen sind erlaubt.

Wenn du auf 'Abmelden' klickst, wirst du abgemeldet. Bitte beachte: Wenn du das Passwort vorher im Browser gespeichert hast, bist du zwar abgemeldet, das Passwort bleibt aber gespeichert. Wenn du das rückgängig machen möchtest, melde dich ab. Wenn der Login-Bildschirm erscheint, klicke auf 'Mehr' und 'Zugangsdaten löschen'.

Ein sicheres Passwort ist ein Passwort, das so zufällig ist, dass es nicht innerhalb einer angemessenen Zeitspanne erraten werden kann. Aber zufällige alphanumerische Zeichenketten sind schwierig zu merken. Deshalb haben wir einen Passphrasen-Generator entwickelt, der ein gutes Gleichgewicht zwischen Sicherheit und Merkbarkeit findet. Der Generator wählt sechs einfache Wörter aus einer riesigen kuratierten Liste und gibt eine Passphrase aus, die sowohl sicher als auch einfach zu tippen und zu merken ist. Hier findest du weitere Tipps zum Erstellen und Merken eines sicheren Passworts.

Dein Passwort wird auf deinem Gerät 'gesalzen' und mit Argon2 verhashed, bevor es zu Tuta übermittelt wird. Argon2 ist die sicherste Methode, da Brute-Force-Attacken wesentlich mehr Zeit benötigen als bei konventionellen Methoden wie MD5 oder SHA. So garantieren wir eine integrierte Vertraulichkeit und erlauben dir gleichzeitig deine verschlüsselten E-Mails auf dem Desktop und auf mobilen Geräten schnell zu entschlüsseln.

Nein. Wenn ein Passwort für die Authentifizierung (Login) verwendet wird, ist es nicht nötig dieses dem Server zu senden. Es genügt, wenn der Server einen Fingerabdruck (Hash) des Passworts erhält. In Tuta wird dein Hash zur Authentifizierung im Browser berechnet und dann an den Server gesendet. Dein Passwort wird niemals als 'plain text' durchs Internet gesendet, auch unser Server sieht das Passwort nie. Hashes sind nicht umkehrbar, das heißt der Server kann nicht von dem Hash auf das Passwort schließen. So ist es dem Server nicht möglich, deine E-Mails zu entschlüsseln, er kann dich aber einloggen.

Auch interessant (englischer Blogpost): Learn how Tuta automatizes the encryption process while leaving you in full control of your encrypted data.

Wenn du glaubst, dass eine unberechtigte Person dein Passwort bekommen hat, du dich aber noch in deinen Account einloggen kannst, dann:

• Ändere dein Passwort in 'Einstellungen' -> 'Anmeldung' -> 'Passwort'.
• Aktualisiere deinen Wiederherstellungs-Code in 'Einstellungen' -> 'Anmeldung' -> 'Wiederherstellungs-Code'.

Wenn noch eine andere Person in deinem Account eingeloggt war, ist diese nun automatisch ausgeloggt, da du dein Passwort geändert hast.

Wir empfehlen dir einen zweiten Faktor einzurichten, da es so für Angreifer*innen nahezu unmöglich ist, sich in deinen Account einzuloggen.

Falls du dich nicht mehr in deinen Account einloggen kannst, hilft diese FAQ möglicherweise weiter.

Gehe zu Einstellungen - Login und klicke auf das Stiftsymbol bei 'Widerherstellungscode', um den Code anzuzeigen oder upzudaten. Dazu musst du dein Passwort eingeben.