Wer unterstützt U2F? – Changelog (2024)

Seit einigen Jahren ziehen Wolken in der IT auf – man könnte auch sagen: eine ganz große, nämlich „die Cloud“. Hand in Hand gehen all die Cloud-Lösungen meist mit besonderen Dienstleistungen, die vorher „in-house“ erledigt wurden: Everything and the Kitchen Sink as a Service. Beinahe könnte man denken, es handelte sich um ein vergleichsweise junges Phänomen.

„Email as a Service“

Dagegen fällt mir eine Dienstleistung ein, die seit Jahrzehnten auf meist fremden Servern hochverfügbar ist: E-Mail. Die meisten Menschen besitzen eine oder mehrere E-Mail-Adressen bei einem oder mehreren Anbietern. Und obwohl Datenschutz und Privatsphäre auch im Internet mehr und mehr unsere Debatten und auch die Gesetzgebung beeinflussen, empfangen und senden die allermeisten von uns unverschlüsselte Nachrichten. End-to-End-Verschlüsselung (E2E), die es nur Sender und Empfängern erlaubt, eine Nachricht zu lesen, nach der Implementation von PGP konnte sich außerhalb eines überschaubaren Kreises von Interessierten nicht durchsetzen, und sowohl an PGP als auch S/MIME gibt es seit einigen Jahren grundsätzliche Zweifel. Der Transport von E-Mails zwischen den Servern untereinander und zwischen Servern und Clients ist heutzutage immerhin meistens TLS-verschlüsselt, und für gewöhnlich ist auch das Postfach beim Anbieter verschlüsselt (allerdings handelt es sich in der Regel nicht um Zero Knowledge Encryption, also kann der Anbieter zum Beispiel im Rahmen der Strafverfolgung Daten übergeben). Das ändert nichts daran, dass E-Mails möglicherweise in Postfächern von Kommunikationspartnern ruhen, die noch einmal schlechter geschützt sind als das eigene. Sei’s drum.

Obwohl viel über Ende-zu-Ende-verschlüsselte E-Mails und den Mangel an ebenderer geschrieben wurde, liest man erstaunlich wenig über die Absicherung des E-Mail-Kontos. Härter als unbefugt mitgelesene E-Mails träfe die meisten Menschen wahrscheinlich der Verlust ihres E-Mail-Kontos und potentiell aller daran geknüpften anderen Konten. Ein Kennwort allein reicht heutzutage nicht mehr aus, ein E-Mail-Konto zu schützen – Zwei-Faktor-Authentifizierung (2FA) sollte sich zum Standard entwickeln, und besonders sicher sind die Verfahren U2F und WebAuthn. Welche Spielarten von 2FA es heute gibt und warum man lieber auf physische Sicherheitsschlüssel setzen sollte, erläutere ich im Artikel U2F und WebAuthn: Die Zukunft der Zwei-Faktor-Authentifizierung.

Doch welche E-Mail-Provider bieten heute welches Verfahren für die Kontoanmeldung im Webbrowser an?

Vergleich bekannter E-Mail-Anbieter

• Die Telekom bietet für ihr FreeMail-Angebot bis heute kein 2FA an.
• GMX und Web.de (beide Marken der United Internet AG): Beide bieten 2FA erst seit Mitte 2019 an – allerdings nur TOTP von einem Software-Authenticator.
• Mailbox.org ist ein erfahrener, deutscher Anbieter unter einem neuen Namen – dort dient TOTP als Ergänzung zum Kennwort.
• Posteo, ebenfalls mit Sitz in Deutschland, beherrscht nur TOTP.
• StartMail ist ein niederländischer Anbieter und manchen vielleicht als Schwesterprojekt der Suchmaschine Startpage bekannt, welche die Privatsphäre der Anwender schützen möchte, doch U2F sucht man dort vergebens, lediglich TOTP ist möglich.
• ProtonMail ist ein auf Sicherheit und Privatsphäre spezialisierter Anbieter aus der Schweiz, bietet derzeit TOTP an, kündigt aber bereits seit Jahren die irgendwann einmal kommende U2F-Unterstützung für Security Keys an.
• Tutanota, ein deutscher Anbieter mit ähnlichem Profil, unterstützt bereits seit 2017 das U2F-Verfahren für Security Keys, aber fühlt sich wegen fehlender Import- und Export-Möglichkeiten für E-Mails ein bisschen wie ein goldener Käfig an.
• GMail vom Internet-Giganten Google unterstützt U2F – wenig überraschend, da Google den Standard mitentwickelte (daher auch die Unterstützung in anderen Google-Produkten), aber wer möchte sein U2F-geschütztes Konto ausgerechnet einem Anbieter anvertrauen, der sein Geld auch mit der automatischen Analyse von E-Mails zu Werbezwecken verdient?
• Outlook.com führt die Liste mit der Unterstützung des von Microsoft mitentworfenen FIDO-Standards WebAuthn an, der sogar eine passwortlose Anmeldung mittels eines Sicherheitsschlüssels erlaubt, aber auch rückwärtskompatibel mit U2F ist – doch auch hier muss man abwägen, ob man Microsoft auch noch seine E-Mails anvertrauen möchte.
• Fastmail mit Sitz in Australien und Rechenzentren in den USA ist ein weiterer erfahrener E-Mail-Provider, der seit einiger Zeit ebenfalls die Anmeldung mit U2F erlaubt, für seine insgesamt sehr runden Dienstleistungen aber auch entsprechende Preise berechnet.

Die Liste ließe sich noch fortsetzen und immerhin um einige Web Hoster und Domain-Registrare mit E-Mail-Paketen und U2F-Unterstützung ergänzen, aber ich wollte den Fokus auf klassischen E-Mail-Anbietern belassen.

Erfreulich ist die mittlerweile starke Verbreitung der Zwei-Faktor-Authentifizierung – bedauerlich jedoch, dass deutsche Unternehmen der technischen Entwicklung insgesamt eher hinterherrennen. Ein guter Dienstleister schützt seine Kunden auch vor Gefahren – in dieser Hinsicht haben deutsche „Email as a Service“-Anbieter noch zu tun.