Sichere E-Mails genau für dich

Tuta: Der sicherste E-Mail-Service, und ganz einfach zu nutzen.

Sichere E-Mails, ganz einfach

Umfassende Verschlüsselung, kein Tracking, Open Source - es gibt viele Faktoren, die Tuta zum sichersten E-Mail-Anbieter der Welt machen. Lerne die Sicherheitsmerkmale von Tuta im Detail kennen und erfahre, wie die verschiedenen Sicherheitsmaßnahmen deine sensiblen Daten schützen.

Sicherheit und Datenschutz gehen Hand in Hand

Bei der Bewertung der Sicherheit und des Datenschutzes eines Online-Dienstes, muss man immer die folgenden Fragen im Blick behalten:

  1. Wer bezahlt? Die Nutzer*innen oder die Werbetreibenden? Wenn die Antwort "die Werbetreibenden" lautet, kann der Dienst niemals eine wirklich sichere und private Lösung bieten. Seine oberste Priorität sind die Interessen der Werbetreibenden, denen er dabei hilft, auf der Grundlage von Nutzerdaten Zielgruppen zu ermitteln und ihnen Anzeigen zu präsentieren. Der Schutz der Privatsphäre steht bei einem solchen Geschäftsmodell immer an zweiter Stelle.

  2. Wer kontrolliert den Tech Stack? Dies ist eine sehr technische, aber äußerst wichtige Frage. Wenn ein Dienst "Tech" von Drittanbietern wie Dovecot, Roundcube, Google reCaptcha oder Google Push verwendet, weiß man, dass Sicherheit und Datenschutz nicht die Hauptpriorität sein können, da der Anbieter wissentlich Informationen an andere weitergibt - ohne die Nutzer*innen darüber zu informieren. Dies ist ein weiterer Grund, warum du einen Dienst wählen solltest, der quelloffen und nicht auf Integrationen mit Closed-Source-Software angewiesen ist.

  3. Welche Daten werden Ende-zu-Ende (E2E) verschlüsselt? Viele Anbieter behaupten, dass ihr Dienst sichere E-Mails bietet und dass die bei ihnen gespeicherten Daten "verschlüsselt" werden. Was diese Frage so wichtig macht, ist wie werden die Daten verschlüsselt? Denn nur wenn die Daten Ende-zu-Ende verschlüsselt sind, sind sie sowohl für den Online-Dienst als auch für andere Dritte wirklich unzugänglich. Nur dann kann der Dienst sichere E-Mail anbieten. Deshalb reicht es nicht aus, die Daten einfach nur zu "verschlüsseln", sie müssen Ende-zu-Ende-verschlüsselt sein.

Kontrolle des Software-Stacks

Viele E-Mail-Dienste, auch die sicheren, verwenden Technologien von Drittanbietern wie Dovecot, Roundcube und andere, um ihre eigenen Produkte zu entwickeln. Jedes Mal, wenn ein so genannter sicherer Dienst Anwendungen von Drittanbietern verwendet, wird es schwieriger, diesen Dienst abzusichern. Der Grund dafür ist einfach: Jeder Dienst, der in den Code eingebunden ist, führt Code aus. Die Sicherheit eines Dienstes kann nicht besser sein als die seiner Abhängigkeiten. Jede Abhängigkeit vom Code eines Drittanbieters muss gewartet werden, und Sicherheitsupdates müssen sofort eingespielt werden. Darüber hinaus kann jeder Drittanbieterdienst potenziell die Nutzer*innen ausspähen, Daten an seine eigenen Server senden usw. Deshalb verwenden wir bei Tuta nur Open-Source-Code, den wir selbst geprüft haben, bevor wir ihn verwenden. Auf diese Weise stellen wir sicher, dass die Open-Source-Tools, die Tuta verwendet sicher sind: Wir führen regelmäßig Sicherheitsüberprüfungen dieser Tools sowie unserer eigenen Clients durch, zum Beispiel als wir unsere Desktop-Clients aus der Beta-Phase entlassen haben.

Natürlich können auch wir bei Tuta das Rad nicht neu erfinden. Aber wir haben unsere gesamten Clients - Web, Android, iOS und alle Desktop-Clients - selbst entwickelt. Außerdem haben wir einen starken Fokus auf Sicherheit in unserem gesamten Entwicklungsprozess verankert. Alle Entwickler*innen teilen die gleiche DNA: Privatsphäre und Sicherheit stehen an erster Stelle.

Ein wesentliches Unterscheidungsmerkmal von Tuta ist, dass wir alle wichtigen Teile von Tuta selbst entwickeln, auch außerhalb der Kern-E-Mail-Funktionalität wie unser Captcha, unseren Push-Benachrichtigungsdienst auf Android und mehr.

Nur mit offenem Quellcode - unserer eigenen Clients und der Software, von der Tuta abhängt - können technisch versierte Menschen den Code überprüfen und sicherstellen, dass Tuta das tut, was wir versprechen: Deine privaten E-Mails maximal zu schützen.

Lies hier warum wir unsere sicheren Desktop-Clients für Linux, Windows und macOS empfehlen und warum es so wichtig ist, dass wir unser eigenes Open-Source-Captcha sowie eine Alternative zu Google Push auf Android entwickelt haben.

Sicherheit

Wir folgen dem Konzept "Security first".

Wenn man einen sicheren E-Mail-Dienst anbietet, vertrauen die Menschen darauf, dass die Versprechen zur Sicherheit eingehalten werden. Für uns bedeutet das, dass es in Sachen Sicherheit niemals einen Kompromiss geben darf. Die Sicherheit muss in den Code integriert sein, so dass man benutzerfreundliche Funktionen problemlos hinzufügen kann - nicht umgekehrt.

Dieses Konzept von "Security first" hat zu mehreren Entwicklungsentscheidungen geführt, die heute die erstklassige Sicherheit von Tuta garantieren:

  • Wir verwenden nicht PGP, sondern eine leicht abgewandelte Implementierung (initial basierend auf AES 256 und RSA 2048), die es uns ermöglicht, viel mehr Daten (Betreffzeilen) zu verschlüsseln sowie alle weiteren Funktionen zu verschlüsseln, wie z.B. Kontakte und Kalender. Wir haben RSA mit ECDH (x25519) Kyber-1024 ersetzt, um quantensichere Kryptographie zu veröffentlichen und planen Perfect Forward Secrecy zu ermöglichen.

  • Wir durchsuchen deine Daten nicht auf dem Server, weil sie dort verschlüsselt sind. Stattdessen baut Tuta einen verschlüsselten Suchindex auf, der lokal auf deinem Gerät oder in deinem Browser gespeichert ist und dort durchsucht wird. So kannst du deine gesamten E-Mails (Absender, Empfänger, Betreffzeile, Text, Anhang) lokal durchsuchen und gleichzeitig sicher sein, dass deine Privatsphäre geschützt bleibt.

  • Wir bieten kein IMAP an, da dies nur funktionieren würde, wenn wir die Daten entschlüsselt an dein Gerät senden würden. Stattdessen haben wir unsere eigenen Open-Source-Desktop-Clients entwickelt, die deine Daten verschlüsselt speichern. Die Desktop-Clients sind außerdem signiert, so dass alle überprüfen können, dass der Client genau denselben Code ausführt wie der auf GitHub veröffentlichte Code.

Wenn du eine sichere E-Mail-Adresse mit Tuta erstellst, weißt du genau, dass deine Daten sicher aufbewahrt werden.

Ende-zu-Ende-Verschlüsselung nach BSI-Standard

Verschlüsselte Mailbox, Kalender, Kontakte.

Von Anfang an haben wir bei Tuta darauf geachtet, dass so viele Daten wie möglich E2E-verschlüsselt sind. Tuta war der erste Ende-zu-Ende-verschlüsselte E-Mail-Anbieter der Welt und ist bis heute der E-Mail-Dienst, der mehr Daten verschlüsselt als jeder andere.

Tuta verschlüsselt standardmäßig alle Daten: E-Mail, Kalender, Kontakte. Die von Tuta angebotene Ende-zu-Ende-Verschlüsselung gewährleistet, dass deine Daten sicher und privat sind, auch wenn sie in die falschen Hände geraten sollten.

Auf den Servern von Tuta werden nur die verschlüsselten Daten gespeichert, und nur du kannst auf den Entschlüsselungsschlüssel zugreifen. So ist sichergestellt, dass deine Daten auch dann sicher sind, wenn deine Internetverbindung belauscht werden sollte oder in dem äußerst unwahrscheinlichen Fall, dass jemand unsere Server hackt.

Mit der eingebauten Verschlüsselung macht Tuta die Sicherheit für Privatanwender*innen und Unternehmen auf der ganzen Welt leicht zugänglich. Um deine Daten zu entschlüsseln, meldest du dich einfach mit deinem Passwort bei deiner sicheren E-Mail-Adresse an, das ist alles. Du kannst dich einfach über einen Webbrowser, über die Tuta-Apps für Android und iOS oder über die Tuta-Desktop-Clients für Windows, macOS und Linux anmelden.

Wie man eine sichere E-Mail an jeden sendet.

Mit Tuta kannst du über ein geteiltes Passwort sichere E-Mails (E2E-verschlüsselt) an alle senden. Das bedeutet, dass die Nachricht auf dem Gerät des Absenders verschlüsselt wird und nur auf dem Gerät des Empfängers entschlüsselt werden kann. Du kannst problemlos vertrauliche E-Mails oder Dateien online austauschen, da du weißt, dass alle Daten, die über Tuta gesendet werden, von Anfang bis Ende sicher verschlüsselt sind. Du kannst einfach verschlüsselte E-Mails an externe Empfänger*innen senden, indem du ein Passwort festlegst. Das Passwort gilt für alle E-Mails, die du mit dieser Person austauschst. Es muss nicht wie bei anderen sicheren Anbietern für jede E-Mail ein neues Passwort festgelegt werden.

Zero-knowledge Kalender.

Tuta verfügt über einen Ende-zu-Ende-verschlüsselten Kalender, mit dem du alle deine Termine vertraulich planen und speichern kannst. Unser Kalender ist eine herausragende Leistung, denn nicht nur alle Daten sind verschlüsselt, sondern auch die Erinnerungen. Sogar der Zeitpunkt, zu dem du eine Benachrichtigung über einen bevorstehenden Termin erhältst, wird von unseren Servern verschleiert, so dass wir über alle deine Termine absolut nichts wissen.

TLS-Verschlüsselung

Sicherung des E-Mail-Protokolls.

Wenn du E-Mails mit Tuta versendest, hast du eindeutig die sicherste Option gewählt, denn Tuta ermöglicht eine automatische Ende-zu-Ende-Verschlüsselung von E-Mails.

Es kann jedoch vorkommen, dass du unverschlüsselte E-Mails an Kontakte senden und von ihnen empfangen möchtest, die Tuta nicht verwenden. Es ist viel schwieriger, diese E-Mails zu schützen, da der E-Mail-Anbieter in einem solchen Fall nur die Übertragung, nicht aber die Daten selbst verschlüsseln kann. Außerdem sind noch andere Dienste beteiligt, wie z. B. der empfangende E-Mail-Anbieter, die dafür sorgen müssen, dass die Übertragung sicher erfolgt.

Um unverschlüsselte E-Mails so gut wie möglich zu sichern, halten wir uns an die höchstmöglichen Standards des SMTP-E-Mail-Protokolls.

Tuta unterstützt MTA-STS. Dieser Standard sollte inzwischen von allen E-Mail-Diensten unterstützt werden, denn er ist für E-Mails das, was striktes HTTPS für Webseiten ist: Er erzwingt Transportverschlüsselung (TLS), wann immer TLS möglich ist.

Tuta unterstützt auch SPF, DKIM und DMARC. Diese drei Protokolle sind notwendig, um die Infrastruktur gegen das Eindringen von Phishing- und Spam-E-Mails zu schützen.

Tuta verwendet eine strenge CSP (Content Security Policy), einen HTML-Sanitizer für die Anzeige von unbekannten Inhalten (in E-Mails), um XSS-Angriffe zu verhindern, und lädt standardmäßig keine externen Inhalte von anderen Servern (Bilder und Videos in E-Mails). Wenn du dem Absender vertraust, kannst du externe Inhalte mit einem einzigen Klick oder Tippen anzeigen.

Prüf hier, wie gut Tuta bei Securityheaders.io abschneidet.

Maximaler Login-Schutz

Tuta überträgt Passwörter niemals an den Server.

Wenn du dich einloggst, schützt Tuta dein Passwort mit den Hashfunktionen Argon2 und SHA256 (‘salted’), bevor es zum Server geschickt wird. Es ist unmöglich mithilfe des Hash das tatsächliche Passwort herauszufinden. Da das Passwort niemals dein Gerät verlässt, kann es so auch niemand abfangen, nicht einmal wir von Tuta.

Tuta unterstützt die Zwei-Faktor-Authentifizierung (2FA), um eine zusätzliche Sicherheitsebene zu schaffen. Um deine Anmeldedaten zu sichern, kannst du TOTP oder U2F verwenden. Wir empfehlen die Absicherung mit U2F – einem physikalischen Sicherheitsschlüssel – da dies die sicherste Form der Zwei-Faktor-Authentifizierung darstellt. Dadurch wird sichergestellt, dass nur der autorisierte Benutzer auf sein Konto zugreifen kann.

Schau dir unseren Online-Sicherheitsleitfaden zum Schutz deiner E-Mails vor Hackern an.

Zero-knowledge Architektur

Tuta verwendet eine Zero-Knowledge-Architektur, was bedeutet, dass deine Daten niemals im Klartext auf den Servern von Tuta gespeichert werden. Die Server von Tuta speichern nur die verschlüsselten Daten, und der Entschlüsselungsschlüssel kann nur von dir genutzt werden. Damit ist gewährleistet, dass die Daten auch dann sicher sind, wenn die Server von Tuta gehackt werden sollten.

DSGVO-konform

Die europäische Datenschutzgrundverordnung (DSGVO) verpflichtet Unternehmen, E-Mails mit sensiblen Daten von EU-Bürger*innen zu schützen. Unternehmen sind verpflichtet, personenbezogene Daten zu schützen, selbst während der Übertragung.

Jetzt kannst du mit Tuta Zeit und Geld sparen, indem du alle geschäftlichen E-Mails verschlüsselt auf den sicheren Servern von Tuta hostest. Mit Tuta brauchst du kein Plugin und keine komplizierte Verschlüsselungssoftware zusätzlich zu einer aufgeblähten Unternehmens-E-Mail-Lösung zu verwenden.

E-Mail-Verschlüsselung garantiert die Einhaltung der DSGVO, und Tuta bietet die sicherste E-Mail-Lösung für Unternehmen mit voller DSGVO-Konformität.

Tuta folgt den Grundsätzen der Datenminimierung und "Privacy by Design".

Wir sind für den Schutz deiner persönlichen Daten verantwortlich, und wir nehmen diese Verantwortung sehr ernst:

  • Tuta basiert auf den Datenschutzprinzipien "Datenminimierung" und "Privacy by Design".

  • Alle Nutzerdaten werden in Tuta Ende-zu-Ende-verschlüsselt gespeichert (mit Ausnahme von Metadaten wie E-Mail-Adressen von Absendern und Empfängern von E-Mails, da diese Informationen vom E-Mail-Protokoll benötigt werden, um die E-Mail an die richtige Adresse zuzustellen).

  • Wir haben technische und organisatorische Maßnahmen getroffen, um deine Daten so gut wie möglich zu schützen.

  • Tuta bietet eine Auftragsverarbeitungsvereinbarung mit rechtsverbindlichen Datenschutzgarantien, die dir helfen, die Einhaltung der DSGVO nachzuweisen.

Bitte lies unsere vollständige Datenschutzerklärung für Details.

Unsere eingebaute Verschlüsselung und die Tatsache, dass wir es ermöglichen, eine verschlüsselte E-Mail an jede*n in der Welt zu senden, machen Tuta zur perfekten Lösung, wenn du auf der Suche nach der besten sicheren E-Mail für dein Unternehmen bist. Tuta hilft dabei, sensible personenbezogene Daten Ende-zu-Ende-verschlüsselt zu versenden, und stellt so sicher, dass dein Unternehmen DSGVO-konform ist.

Lies auf unserem Blog, wie Tuta deinem Unternehmen helfen kann, DSGVO-Konformität zu erreichen .

Privatsphäre made in Germany

Deutschland hat eines der strengsten Datenschutzgesetze.

Die Datenschutzbestimmungen in der Europäischen Union (EU) gehören zu den strengsten der Welt, und von allen europäischen Mitgliedsstaaten hat Deutschland eine der strengsten Richtlinien: das Bundesdatenschutzgesetz. Die EU-Datenschutzgrundverordnung (DSGVO) wurde in weiten Teilen auf der Grundlage des deutschen Bundesdatenschutzgesetzes entworfen.

Dieses Gesetz schützt die Nutzer*innen von Internetdiensten. Es gibt euch die Verantwortung darüber zurück, was mit euren Daten geschehen soll: Unternehmen (=wir) dürfen ohne die ausdrückliche Erlaubnis einer Person (=Dir) keine persönlichen Daten sammeln (z.B. Name, Geburtsdatum, IP-Adresse).

Außerdem gibt es in Deutschland kein Gesetz, das uns zwingen könnte, uns einer 'Gag-Order' zu unterwerfen oder eine Backdoor einzubauen.

Einzelheiten zu den deutschen Datenschutzgesetzen findest du auf unserem Blog und in unserem Transparenzbericht.

Server in Deutschland

Tuta speichert alle Daten verschlüsselt in hochsicheren Rechenzentren in Deutschland.

Alle Daten in Tuta werden Ende-zu-Ende verschlüsselt auf unseren eigenen Servern in ISO 27001 zertifizierten Rechenzentren in Deutschland gespeichert.

Niemand hat Zugang zu unseren Servern, außer unseren ständigen Administratoren, die sich vor dem Zugriff einer Multi-Faktor-Authentifizierung unterziehen müssen. Alle produktiven Systeme werden rund um die Uhr auf unbefugten Zugriff und außergewöhnliche Aktivitäten überwacht.

Anonymer E-Mail-Dienst: Kein Tracking, keine Werbung

Tuta ist ein anonymer E-Mail-Dienst, ganz ohne Tracking.

Unser Geschäftsmodell ist anders als das der meisten E-Mail-Services: Aufgrund der Verschlüsselung können wir deine E-Mails nicht scannen. Wir verfolgen dich nicht. Wir senden keine gezielte Werbung an deine Mailbox. Das bedeutet, dass deine Daten für keinen anderen Zweck verwendet werden als für die Bereitstellung von E-Mail- und Kalenderdiensten. Dadurch wird sichergestellt, dass deine Daten niemals an dritte Werbetreibende oder andere Unternehmen weitergegeben werden, was deine Privatsphäre gefährden könnte.

Tuta speichert standardmäßig keine IP-Adressen, wenn du dich anmeldest oder eine E-Mail sendest. Bei der Anmeldung musst du keine persönlichen Daten angeben (z.B. ist keine Telefonnummer erforderlich), auch nicht bei der Anmeldung über den Tor-Browser. Tuta entfernt die IP-Adressen der gesendeten E-Mails aus den Headern der Mails, so dass dein Standort unbekannt bleibt. Trotz all dieser Schutzmaßnahmen kann es sein, dass du deine IP-Adresse auch vor uns verborgen halten möchtest, weshalb wir niemals ein VPN oder einen Browser in unser Angebot aufnehmen werden. Insbesondere das Angebot eines VPN macht keinen Sinn, da wir als E-Mail-Anbieter dann immer noch in der Lage wären, die ursprünglichen IP-Adressen der Nutzer*innen herauszufinden, wenn sie sich über dieses VPN verbinden. Aus Datenschutzgründen ist es besser, solche Dienste getrennt zu halten.

Top Datenschutzfunktionen

Tuta ist ein E-Mail-Dienst, bei dem der Datenschutz im Mittelpunkt steht.

Unternehmen lieben E-Mails für Marketingkampagnen. Denn E-Mail respektiert die Privatsphäre standardmäßig nicht. Wenn du einen Marketing-Newsletter erhältst, lädt die E-Mail normalerweise externe Inhalte (z. B. Bilder, Videos). In diesem Fall wirst du getracked: IP-Adresse, der verwendete Browser und weitere Informationen werden an den Absender übermittelt.

Tuta bietet einen E-Mail-Dienst, der automatisch vor diesen Tracking-Methoden schützt:

  • Tuta blockiert standardmäßig Bilder. Es werden keine externen Inhalte geladen, wenn du eine E-Mail öffnest, es sei denn, du erlaubst dies aktiv.

  • Tuta entfernt alle Header-Informationen (IP-Adresse) aus gesendeten E-Mails, um deine Privatsphäre zu schützen.

  • Tuta warnt dich, wenn der technische Absender vom eigentlichen Absender abweicht. Den Absender zu fälschen ist eine typische Methode bei Phishing-Angriffen. In unserem Blog findest du weitere Tipps, wie du E-Mail-Phishing verhindern kannst.

Sitzungen aus der Ferne überwachen und schließen

Prüfe, ob jemand auf dein verschlüsseltes Tuta-Postfach zugegriffen hat.

Tuta bietet dir die Möglichkeit, aktive und geschlossene Sitzungen zu überprüfen. So kannst du sicherstellen, dass sich niemand außer dir selbst in dein Konto eingeloggt hat. Geschlossene Sitzungen werden nach einer Woche automatisch gelöscht. Die Sitzungsverwaltung von Tuta ermöglicht es dir auch, Sitzungen aus der Ferne zu schließen. Wenn du dein Mobiltelefon verlierst und noch mit der Tuta-App eingeloggt bist, kannst du diese Sitzung von jedem anderen Gerät aus schließen. Indem du die Sitzung aus der Ferne schließt, stellst du sicher, dass niemand auf deine sicheren E-Mails auf dem verlorenen Telefon zugreifen kann.

IP-Adressen von offenen und geschlossenen Sitzungen werden immer verschlüsselt gespeichert und nach einer Woche automatisch gelöscht. Aufgrund der Verschlüsselung kannst nur du auf diese Informationen zugreifen. Wir von Tuta haben keinerlei Zugriff auf diese Informationen.

Wir lieben Open Source

Freie und Open Source Emails für alle.

Tuta konzentriert sich auf Sicherheit und Privatsphäre. Um beides zu erreichen, ist Open Source für uns unerlässlich. Wir haben den Tuta Web-Client, die Tuta Desktop-Clients sowie die Android- und iOS-Apps als Open-Source-Software auf GitHub veröffentlicht.

Auf diese Weise können alle den Code überprüfen und sicherstellen, dass es keine Bugs oder Sicherheitslücken gibt. Da es sich um Open-Source-Software handelt, können potenzielle Probleme viel schneller bemerkt und behoben werden, als dies bei Closed-Source-Anwendungen der Fall ist.