Lavabit

Dienst für verschlüsselte E-Mail-Kommunikation

Lavabit ist ein Anbieter eines Webmail-Service und ein US-amerikanisches Unternehmen, das verschlüsselte E-Mail-Dienste anbietet. Der Dienst wurde im Jahr 2004 von Ladar Levison gegründet und betrieben. Vom 8. August 2013 bis 20. Januar 2017 stellte Levison im Zusammenhang mit der Snowden-Affäre den Betrieb von Lavabit zeitweise ein.[2][3]

Lavabit

Logo
Webmail-Anbieter
Basisdaten

Entwickler Ladar Levison
Erscheinungsjahr 2004
Betriebssystem Linux[1]
Programmier­sprache C[1]
Kategorie Webmail
lavabit.com

Lavabit wurde von Programmierern aus Texas als eine Antwort auf den Dienst Gmail gegründet, da Bedenken zur Wahrung der Privatsphäre bestanden. Die Seite bot ihren Benutzern die Möglichkeit, deren E-Mails in einem hohen Maße asymmetrisch zu verschlüsseln. Der Dienst wurde vom Weblog Ghacks als „der momentan wohl sicherste, private E-Mail-Dienst“ bezeichnet. Im Juli 2013 hatte Lavabit 350.000 Benutzer und bot kostenfreie sowie bezahlte Konten an, der mögliche Speicherplatz pro Benutzer betrug zwischen 128 Megabyte und 8 Gigabyte.[4][5]

Über Lavabit wurde in den Medien berichtet, als bekannt wurde, dass der Whistleblower Edward Snowden den Dienst verwendete, um mit den Anwälten von Human Rights Watch und Aktivisten zu kommunizieren, als er sich auf dem Flughafen Moskau-Scheremetjewo in Moskau befand.[6]

Am Tag der Vereidigung von Donald Trump zum US-Präsidenten verkündete der Eigentümer Ladar Levison, dass der Dienst wieder fortgeführt werde und alle ehemaligen Benutzer ihr E-Mail-Konto weiter nutzen könnten. Außerdem erklärte er, dass der Dienst nun die Architektur Dark Internet Mail Environment (DIME) (nicht zu verwechseln mit dem mittlerweile veralteten Nachrichtenformat DIME von Microsoft) nutze, welche nicht nur die Verschlüsselung des Inhalts einer E-Mail ermögliche, sondern auch die Verschleierung ihrer Metadaten.

Forderungen von US-Behörden

Bearbeiten

Am 8. August 2013 wurde Lavabit geschlossen und die Seite wurde durch eine Nachricht ersetzt, in der der Betreiber bedauert, seine Gründe für das Einstellen des Dienstes nicht darlegen zu dürfen. Er sammele Spenden, um am United States Court of Appeals for the Fourth Circuit – einem Bundesberufungsgericht – für seine ihm verfassungsgemäß zustehenden Rechte zu kämpfen.[7] Nachdem Edward Snowden, der Auslöser der Überwachungs- und Spionageaffäre 2013, den Dienst genutzt hatte, um während seines Aufenthalts im Transitbereich des Moskauer Flughafens ein Interview zu geben, erwirkte das FBI einen Durchsuchungsbeschluss sowie die Herausgabe aller SSL-Schlüssel, wodurch ein Zugriff auf sämtliche über Lavabit abgewickelte Kommunikation möglich gewesen wäre.[8] Das Unternehmen gab zunächst sämtliche Schlüssel als Ausdruck in Miniaturschrift (Schriftgröße 4pt) heraus, das Gericht ordnete dann aber eine Auslieferung in brauchbarer Form an. Bei Zuwiderhandlung wurde eine Strafe von 5.000 $ pro Tag angedroht.[8][9] Lavabit stellte daraufhin den Betrieb ein.[10][11][12]

Gleichzeitig warnte Levison davor, persönliche Daten irgendeinem Unternehmen mit physischer Präsenz in den Vereinigten Staaten anzuvertrauen. Außerdem habe er rechtliche Schritte veranlasst, um für die Wiedereröffnung von Lavabit zu kämpfen. Der Dienst hatte seinen Nutzern die verschlüsselte Speicherung der Mails auf seinen Servern und den Zugang zu den Nutzerdaten ausschließlich über deren Passwort zugesichert.[3] Durch die Schließung von Lavabit fiel ein wichtiger internationaler Anbieter für sichere E-Mail-Postfächer weg.

Im März 2016 wurde durch eine versehentliche Veröffentlichung entsprechender Gerichtsdokumente in ungeschwärzter Form durch die US-Regierung auch offiziell bekannt, dass das damalige massive Vorgehen der US-Regierung gegen Lavabit im Jahr 2013 darin begründet war, dass die US-Regierung Zugriff auf Edward Snowdens verschlüsselte E-Mail-Kommunikation erzwingen wollte.[13]

Kooperationsbereitschaft mit dem FBI

Bearbeiten

Aus den Gerichtsunterlagen von Lavabit wurde bekannt, dass Ladar Levison einer Kooperation mit dem FBI nicht grundsätzlich ablehnend gegenüberstand. Gegen eine Zahlung von 2000 US-Dollar wollte er ein Programm für das Auslesen von Daten schreiben und für weitere 1500 US-Dollar diese in den folgenden drei Monaten an das FBI übermitteln, um keinen National Security Letter zu bekommen.

Dem FBI ging das Entgegenkommen von Ladar Levison letztendlich jedoch nicht weit genug, denn man forderte eine offene Herausgabe von Metadaten, Passwörtern, E-Mail-Inhalten und SSL-Schlüsseln ohne richterliche Anordnung in Echtzeit. Mit „Echtzeit“ meinte das FBI einen direkten Netzwerkzugang zu Lavabit, um selbst sämtliche Daten ohne Levisons Zutun abgreifen zu können.[14][15][16]

Interview

Bearbeiten

Am 13. August 2013 sprach Levison erstmals öffentlich über das, was ihm widerfahren ist, mit dem nichtkommerziellen Rundfunk Democracy Now.[17][18]

Befristeter Zugang zu Mailarchiven für Lavabit-Kunden im Oktober 2013

Bearbeiten

Vom 15. bis zum 17. Oktober 2013 bestand für Lavabit-Nutzer die als befristet angekündigte Möglichkeit, ihr altes Benutzerpasswort zu ändern. Ab Freitag, dem 18. Oktober konnte mit diesem neuen Passwort für einen Zeitraum von einigen Tagen[19][20] auf das eigene Mailarchiv bei Lavabit zugegriffen werden, um es herunterzuladen und zu sichern. Hierzu wurde eine Webseite mit einem neuen SSL-Zertifikat veröffentlicht, die die sichere Einrichtung des neuen Passwortes und dann das sichere Herunterladen der Daten ermöglichte. Diese Seite ist derzeit nicht mehr erreichbar.

Alternativen zu Lavabit

Bearbeiten

Entsprechend der Warnung von Levison existieren inzwischen zahlreiche verschlüsselte E-Mail-Dienste, deren Server außerhalb der USA sitzen und damit nicht dem direkten Druck US-amerikanischer Behörden ausgesetzt sind.[21]

Statt eines sicheren E-Mail-Providers bieten sich E-Mail-Verschlüsselung mit Software und anonyme E-Mail-Dienste wie Wegwerf-Adressen als Alternativen an.[22]

Bearbeiten

Einzelnachweise

Bearbeiten
  1. a b web.archive.org.
  2. Lavabit.com Site Info. Alexa Internet, ehemals im Original (nicht mehr online verfügbar); abgerufen am 8. August 2013 (englisch).@1@2Vorlage:Toter Link/www.alexa.com (Seite nicht mehr abrufbar. Suche in Webarchiven)
  3. a b Spencer Ackerman: Email service Lavabit abruptly shut down citing government interference Founder of service reportedly used by Edward Snowden said he would not be complicit in 'crimes against the American people' In: theguardian.com, The Guardian, 8. August 2013. Abgerufen am 8. August 2013 (englisch). „"I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit," founder Ladar Levison wrote on the company’s website“ 
  4. Geoffrey Ingersoll: How Edward Snowden Sends His Ultra-Sensitive Emails (Memento des Originals vom 15. Juli 2013 im Internet Archive) In: Business Insider, 12. Juli 2013. Abgerufen im 8. August 2013 (englisch). 
  5. Martin Brinkmann: Lavabit is probably the most secure, private email service right now (Memento des Originals vom 25. Januar 2014 im Internet Archive) In: Ghacks, 14. Juli 2013. Abgerufen im 8. August 2013 (englisch). 
  6. Poulsen, Kevin: Edward Snowden’s Email Provider Shuts Down After Secret Court Battle. In: Wired. 8. August 2013, archiviert vom Original am 12. März 2014; abgerufen am 8. August 2013 (englisch).
  7. Xeni Jardin: Lavabit, email service Snowden reportedly used, abruptly shuts down (Memento des Originals vom 30. März 2014 im Internet Archive) In: Boing Boing, 8. August 2013 (englisch). 
  8. a b Georg Wieselsberger: NSA-Überwachungsskandal – Snowden-Provider gab SSL-Schlüssel nur als Ausdruck in Mini-Schrift heraus. GameStar.de, 4. Oktober 2013, abgerufen am 4. Oktober 2013.
  9. Kevin Poulsen: Edward Snowden’s E-Mail Provider Defied FBI Demands to Turn Over Crypto Keys, Documents Show. Wired, 2. Oktober 2013, abgerufen am 4. Oktober 2013 (englisch).
  10. E-Mail-Anbieter Lavabit schliesst wegen Snowden. Tages-Anzeiger, 9. August 2013, abgerufen am 9. August 2013.
  11. Druck der US-Behörden: E-Mail-Dienst mit Snowden-Verbindung schließt unter Protest. In: Spiegel Online. 9. August 2013, abgerufen am 18. Juni 2024.
  12. EXCLUSIVE: Owner of Snowden’s Email Service on Why He Closed Lavabit Rather Than Comply With Gov’t. In: www.democracynow.org. 13. August 2013, abgerufen am 18. Juni 2024 (englisch): „I have been forced to make a difficult decision: to become complicit in crimes against the American people, or walk away from nearly 10 years of hard work by shutting down Lavabit.“
  13. Martin Holland: Schwärzung vergessen – Edward Snowden als Ziel des Angriffs auf Lavabit enthüllt. heise.de, 18. März 2016, abgerufen am 19. März 2016.
  14. Alex Hern: Lavabit founder offered to log users’ metadata if FBI paid him $3,500. Ladar Levison, the secure email service's founder, made the offer in an effort to safeguard passwords and prevent the FBI from mining incoming data. In: The Guardian. 9. Oktober 2013, abgerufen am 18. Juni 2024 (englisch).
  15. Friedhelm Greis: Snowdens Mailprovider: Lavabit-Gründer bot dem FBI Metadaten für 3.500 Dollar an. In: Golem.de. 10. Oktober 2013, abgerufen am 18. Juni 2024.
  16. Ferdinand Thommes: Lavabit-Gründer strebte Handel mit dem FBI an. In: ComputerBase. 12. Oktober 2013, abgerufen am 18. Juni 2024.
  17. EXCLUSIVE: Owner of Snowden’s Email Service on Why He Closed Lavabit Rather Than Comply With Gov’t. In: Democracy Now! 13. August 2013, abgerufen am 18. Juni 2024 (englisch).
  18. NSA-SKandal: Lavabit-Gründer gibt Interview am Rande der Legalität. In: Zeit Online. Zeit Online GmbH, 14. August 2013, abgerufen am 18. Juni 2024.
  19. Pressemeldung Lavabit: Lavabit to Briefly Reinstate Services for Data Recovery (Memento vom 15. Oktober 2013 im Internet Archive), PR Newswire, 14. Oktober 2013
  20. Krypto-E-Mail-Dienst: Lavabit-Kunden können verlorengeglaubte Nachrichten sichern. In: SPIEGEL Online. 15. Oktober 2013, abgerufen am 18. Juni 2024.
  21. Encrypted email service once used by Edward Snowden to relaunch. In: The Intercept. 20. Januar 2017, abgerufen am 20. Januar 2017 (englisch).
  22. Markus Kasanmascheff: E-Mails und Privatsphäre: So schützen Sie sich vor Schnüfflern. Softonic, 6. August 2013, abgerufen am 9. August 2013.