cgX13

Digitale Unabhängigkeit: Passwörter und Mail

Digitale Souveränität ist mir schon lange ein wichtiges Anliegen. Ein erster Schritt war da sicherlich mein Heim-Server, auf dem Dienste laufen, die nicht in die Cloud gehören (z.B. Smart Home Steuerung) oder wo ich die Kontrolle über die Daten haben mag (meine Dateien). Die nächsten Schritte sind dann schon etwas unbequemer, aber durchaus sinnvoll. Vielleicht hat mich die Idee des Digital Independence Day am Ende vollends dazu bewegt; Überlegungen zu den jüngsten Maßnahmen hatte ich jedoch schon länger…

Was waren meine jüngsten Aktionen?

Ich habe mir einen eigenen Passwort-Vault und eine Email mit meiner eigenen Domain bei Mailbox.org eingerichtet.

Der Passwort-Vault

Bisher habe ich meine Passwörter im Password Manager von Google gespeichert. Es war eine einfache und bequeme Möglichkeit, meine Passwörter über unterschiedliche Geräte hinweg zu synchronisieren und deutlich besser, als einfache Passwörter zu verwenden oder wiederzuverwenden. Generell ist jeder Passwort-Manager besser, als gar kein Passwort-Manager.

Aber ich habe mich dadurch auch ziemlich von Google abhängig gemacht. Wird mein Google Konto gesperrt, habe ich keinen Zugriff mehr auf meine Passwörter. Außerdem hat Google so Zugriff auf all meine Logins. Ob ich das in der heutigen Zeit noch will?

Die wohl beste Alternative - in meiner bescheidenen Meinung - ist wohl Vaultwarden, ein Passwort-Manager mit Bitwarden-kompatibler API. Ich kann also sowohl die Bitwarden-App für mein Smartphone, wie auch die offizielle Browser-Erweiterung einfach nutzen und an meinen Server anklemmen. Passwörter werden in meiner Instanz auf meinem Server gespeichert und von dort aus an jeden Client synchronisiert.

Bitwarden registriert sich auf meinem Telefon als Autofill-Provider, sodass ich weiterhin den gleiche Komfort habe, wie bisher mit dem Google Password Manager. Nur eben mit den Daten unter meiner Hoheit.

Mail bei Mailbox.org

Bei Email habe ich das gleiche Problem wie mit Passwörtern. Gerade ist alles an ein Google Konto geknüpft. Wird mir mein Google Konto gesperrt, habe ich keinen Zugriff mehr auf meine Emails. Eine Wiederherstellung von anderen Diensten, bei denen ich meine Gmail-Adresse angegeben habe, ist dann auch nicht mehr möglich. Also musste ein neuer Mail-Anbieter her. Und da ich eh eigene Domains habe, wollte ich diese auch für meine Mail-Adresse nutzen.

Warum für Email bezahlen?

Auch wenn es Freemail-Anbieter gibt, ist Email niemals kostenlos. Gerade bei Anbietern wie GMX oder Webmail, wird man ja schon damit begrüßt, dass es im kostenlosen Tarif Werbung und Tracking gibt. Und die Werbung wird einem förmlich in die Inbox gedrückt. Außerdem hängt an einer Email-Adresse die gesamte digitale Identität, von Amtsgängen bis Einkäufen, alles läuft immer über die Email-Adresse. Das sollte einem schon ein paar Euro wert sein, zumal die Kosten für ein Standard-Konto bei Mailbox.org einen Bruchteil von den Kosten für einen Streaming-Dienst ausmachen.

Ist Email heute überhaupt noch relevant?

Ich muss ja zugeben: Anfangs war ich sehr euphorisch, dass ich nun eine coole Mail-Adresse auf meiner Domain haben werde. Doch bei genauerem Überlegen wurde ich dann etwas nüchterner. Mail ist nicht das primäre Kommunikationsmittel heute. Mit den meisten Leuten kommuniziere ich über Messenger. Allerdings wäre es ein Trugschluss, Email komplett zum alten Eisen zu legen. Viele Kommunikation mit Versicherungen, Behörden, Ämtern, Handwerkern oder anderen Dienstleistern, erfolgt auch heute noch über Email. Es ist zwar ein sehr alter, aber etablierter und renommierter Kommunikationskanal.

Außerdem ist es - wie bereits zuvor geschrieben - die digitale Identität. Mit meiner Email-Adresse authentifiziere ich mich gegen fast jeden anderen Dienst im Internet.

Mehrwerte bei Mailbox.org

Mail-Anbieter gibt es wie Sand am Meer. Auch gibt es viele kommerzielle Anbieter, die mit Datenschutz, Zuverlässigkeit oder anderen Mehrwerten positiv überzeugen können.

Primäre Treiber für mich waren wohl die einfacher Unterstützung für mehrere eigene Domains, inklusive externer Aliase (auf meiner Domain), einer großzügigen Anzahl an internen Aliase (@mailbox.org) und integrierter Wegwerfadressen. Dazu die Möglichkeit, dass man Familien-Accounts einrichten, und ich für meine Frau auch eine eigene Domain konfigurieren kann.

Sekundär überzeugt Mailbox.org dann mit weiteren Features, die für mich mehr oder weniger interessant sind:

  • Offene Standards wie CalDAV und CardDAV für Synchronisation von Terminen und Kontakten (absoluter Pluspunkt!)
  • Kalender und Adressbuch (sehr nett, muss ich mich in Zukunft mal mit beschäftigen)
  • Aufgabenverwaltung (für mich irrelevant, ich bin mit TickTick und Obsidian sehr zufrieden)
  • Cloud-Speicher (für mich irrelevant, ich habe meine Daten auf meinem Heimserver)
  • Online Office (könnte interessant werden, sofern meine Frau auch zu Mailbox.org wechseln würde)
  • Video-Konferenzen (für mich irrelevant)
  • XMPP-Server (wie geil ist das denn bitte? Nun muss ich nur meinen Bekanntenkreis von XMPP überzeugen.)

Dazu ist der Speicher für Mail und/oder Cloud jederzeit für relativ kleines Geld erweiterbar. Sehr nett, aber fraglich, ob das für mich irgendwann überhaupt relevant wird.

Mailbox.org mit eigener Domain

Die Einrichtung war denkbar simpel. Die Knowledge Base von Mailbox.org enthält einen ausführlichen Artikel zur Einrichtung. Lediglich mit der SPF Einrichtung bei HostEurope, wo ich meine Domains verwalte, hat mich vor ein paar Fragezeichen gestellt. Mit etwas Recherche habe ich aber auch dafür eine Anleitung gefunden.

Umsetzung mit Mail Aliasen

Da ich nun meine eigene Domain für Emails nutze, kann ich auch Mail-Aliase für unterschiedliche Einsatzzwecke einrichten. Das hat den Vorteil, dass ich klare Trennungen von Kontexten habe, und nicht jeder meine private Adresse erhalten muss. Das kann beim Filtern und Blockieren zum Vorteil werden.

Ich habe unterschiedliche Aliase eingerichtet für:

  • Private Kommunikation
  • Öffentliche Kommunikation
  • Arbeit und berufliche Themen
  • Finanzielle Themen (Banking, Paypal)
  • Shopping
  • Accounts bei Online-Plattformen
  • Für geteilte Zugänge mit meiner Frau
  • Benachrichtigungen von Systemen wie Fritzbox, Server, etc.

Mail Extensions für bessere Nachvollziehbarkeit und Filterung

Die Aliase werde ich um Mail Extensions erweitert nutzen, um meinen Posteingang besser zu filtern, und um eventuelle Datenleaks besser nachzuvollziehen.

Mail Extensions ist ein offizieller Standard, den man im Zusammenhang mit Google Mail sicherlich schon mal irgendwo gesehen hat. Man kann nach dem lokalen Teil (alles vor dem @-Zeichen) und der Domain (alles nach dem @-Zeichen) mit vorangestelltem Plus-Zeichen + noch weitere Informationen in der Adresse kodieren, und dennoch kommt die Mail im Hauptpostfach an. Beispiel: shopping+amazon@example.org. Das +amazon ist dann die Mail Extension.

Mailbox.org erlaubt sogar automatisches Sortieren von eingehenden Nachrichten in Ordner. Dazu muss allerdings der Ordner vor dem Erhalt der Mail existieren und muss in Kleinbuchstaben der Extension entsprechen. Für das Beispiel muss der Ordner also amazon heißen.

Sollte es bei einem Shop dann mal ein Datenleck geben, und ich bekomme Spam an shopping+amazon@example.org, dann weiß ich auf jeden Fall die Quelle des Datenlecks.

Mail und Password-Vault sind nur der Anfang eines sehr langen Weges…

Nun habe ich eine neue Email-Adresse und ein neues Password-Vault. Aber damit ist es ja noch nicht erledigt. Die Passwörter könnte ich natürlich einfach aus dem Google Password Manager exportieren und komplett in Vaultwarden importieren. Doch ich will die Gelegenheit gleichzeitig nutzen, um mal digitale Hygiene zu betreiben.

Das bedeutet, dass ich mal die bestehenden Passwörter bei Google durchgehe, nicht mehr genutzte Dienste vielleicht komplett lösche und nur noch die Login-Daten umziehe, die ich wirklich noch brauche.

In dem Zuge werde ich nach und nach die Email-Adressen überall mal aktualisieren. Auch ein Schritt, der sich wohl über längere Zeit ziehen wird.

Aber es muss ja nicht immer der dicke Big Bang sein. Jeder Schritt führt einem langsam, aber sicher zum Ziel.

Hybridlösungen und Reibungspunkte

Wahrscheinlich werde ich mich nicht ganz von Google und seinen Diensten lösen können. Zum einen benötige ich mein Google Konto weiterhin für mein Mobiltelefon und Dienste, die nur eine Anmeldung über Google erlauben. Mit jedem umgestellten Dienst bekommt Google aber weniger Daten von mir.

Doch auch im Zusammenleben mit meiner Frau werde ich noch weiterhin Google Drive nutzen. Vielleicht bekomme ich Sie in Zukunft von der Alternative überzeugt. Und wenn nicht, ist das auch nicht schlimm. Es geht hier ja nicht um ideellen Perfektionismus, sondern primär um funktionierende Prozesse und Systeme. Und solange sie mit Google Drive ihre Arbeit erledigt bekommt, warum soll ich sie dann zu etwas zwingen?