Sonstiges

SecretInk: Die Nachricht, die sich selbst zerstört – nur Spielerei oder eine sichere E-Mail-Alternative?

Dass E-Mails keine wirklich private Sache sind und eher Postkarte als Brief, dürfte sich mittlerweile herumgesprochen haben. Gleichzeitig ist das Interesse an einer effektiven Sicherstellung von Privatsphäre und sicherer Kommunikation wahrscheinlich größer als je zuvor – euer Interesse am Verschlüsselungs-Tagebuch von Kollege Tobias zeigt es deutlich.

SecretInk

Eine technisch andere Herangehensweise verfolgt der neue Dienst SecretInk – hier lassen sich Nachrichten verschicken, die sich nach dem Lesen selbst löschen.

Mission Impossible – sogar mit dem Rauch

Das Ganze funktioniert im Prinzip wie bei einem toten Briefkasten. Auf der Website des Dienstes hinterlässt man die Nachricht und gibt einfach den Empfänger sowie – falls gewünscht – eine Antwortadresse an. Das Ganze beschränkt sich auf Text; Bilder sind nicht erlaubt. Anschließend kann der Adressat direkt per E-Mail, SMS oder wahlweise einen anderen Weg über die SecretInk-Nachricht informiert werden. Wichtig dabei: Der eigentliche Inhalt wird nicht verschickt und bleibt auf dem Server – lediglich ein Link geht auf die Reise.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Home Office
Senior Social Media Manager:in im Corporate Strategy Office (w/d/m)
Haufe Group SE in Freiburg im Breisgau
Senior Communication Manager – Social Media (f/m/d)
E.ON Energy Markets GmbH in Essen

Alle Stellenanzeigen


Sobald der Empfänger diesen anklickt, wird die Nachricht im Browser geöffnet. Dann heißt es zügig lesen, denn die Anzeigedauer ist begrenzt. Allerdings orientiert sich die Selbstzerstörung an der Länge der verschickten Nachricht: Kurze Texte sind nur wenige Sekunden sichtbar, längere Pamphlete mehrere Minuten. Wie viel Zeit noch bleibt, zeigt eine animierte Rauchfahne, die Zündschnur-artig vom rechten oberen Rand nach links wandert. Ist sie dort schließlich angekommen, hat das virtuelle Feuer die Nachricht unwiederbringlich zerstört. Zumindest theoretisch. Denn natürlich bleibt bis dahin genug Zeit für Copy & Paste. Eine Sicherung ist also möglich. Allerdings gibt es keinen Nachweis darüber, wer die Nachricht verschickt hat und was sie beinhaltete.

Erfreulich: Eine Begrenzung der Textlänge ist offenbar nicht vorhanden. In einem kurzen Test unsererseits mit einem 7.800-Seiten-Text gab es keine Probleme. Zudem funktioniert das Verschicken ohne Angabe eigener Daten. Nur wer Feedback erwartet, muss dafür eine E-Mail-Adresse oder Mobilfunknummer für den Linkversand angeben. Die eigentliche Antwort ist wiederum ausschließlich über SecretInk abrufbar. Für E-Mail-Clients steht allerdings ein Add-On zur Verfügung, mit dem man direkt SecretInk-Nachrichten verschicken kann.

Vertrauen muss da sein

Sieht so also die sichere Kommunikation der Zukunft aus? Um es kurz zu machen: Wohl kaum, denn alltagstauglich ist das System nicht. Nur wer tatsächlich konspirativ etwas verschicken will, hat bei SecretInk die Chance darauf, dass die Nachricht irgendwann wieder vom Server des Unternehmens verschwindet. Nicht mehr und nicht weniger. Denn natürlich kann jeder verschickte Link unterwegs abgefangen werden. Mitunter erfährt ein Empfänger so nie von der Nachricht. Oder er weiß zwar, dass es eine solche gab, aber nicht, was darin stand.

Weitere Fragen wirft die Datenschutzerklärung von PowerInbox, dem Unternehmen hinter SecretInk, auf. Dort ist vielfach von der Speicherung persönlicher Informationen wie E-Mail-Adresse die Rede. Darüber hinaus garantiert der Anbieter in seinen Nutzungsbedingungen nicht einmal, dass bei SecretInk eingegebene Texte auch tatsächlich für immer gelöscht werden:

PowerInbox has created the functionality that allows the message content sent via SecretInk.co to be erased. However, the SecretInk.co service is provided „as is“ without any warranties whatsoever regarding the security of messages or that messages are permanently erased or will be irretrievable.

Firmenchef Matt Thazhmon betont zwar gegenüber den Kollegen von TechCrunch, dass man die Inhalte wirklich und endgültig vernichte. Warum dies dann nicht auch so in den eigenen Terms of Service zu finden ist, bleibt offen. Ähnlich wachsweich ist ein weiteres Statement, demzufolge man niemals Daten an die NSA aushändigen werde. Klingt ja eigentlich gut, doch was passiert, wenn der Geheimdienst nicht artig vorn anklopft, sondern heimlich durch die Hintertür eindringt? Auch hier ist ein Blick ins Kleingedruckte aufschlussreich:

All use of SecretInk.co is at each user’s sole risk and each user hereby waives any and all right to claim against PowerInbox or its affiliates for any damages relating to (1) the failure of the SecretInk.co service to permanently erase all messages or (2) any unauthorized third party access to messages.

Selbst wenn dies teilweise der üblichen juristischen Ausschließeritis im klagefreudigen Amerika entsprechen sollte: Vertrauen schaffen solche Einschränkungen nicht gerade. Wenigstens ist SecretInk gratis und soll es auch bleiben. Allerdings soll es demnächst auch eine kostenpflichtige Premium-Stufe geben. Ein Geschäftsmodell gibt es also – bleibt abzuwarten, wie die Nutzer auf das neue Angebot reagieren.

Bild: Screenshot

Über den Autor

Thorsten Nötges

Thorsten Noetges ist Nerd, Gamer,und seit 1995 im Internet zu Hause. Er hat von 2013 bis 2014 über 100 Artikel auf BASIC thinking veröffentlicht.

6 Kommentare

  • Hm, also ich kenne schon seit Jahren den Dienst privnote.com und nutze ihn ab und zu zum Versenden von Passwörtern o.Ä.

    Macht im Prinzip das Selbe, nur hat wohl offensichtliche bessere AGB, auch werden Nachrichten, die nie gelesen wurden, nach 30 Tagen gelöscht.
    Davon steht bei secretInk auch nichts.

  • „Sobald der Empfänger diesen anklickt, wird die Nachricht im Browser geöffnet.“

    Somit nimmt die Nachricht (natürlich) doch den Weg durchs Netz und wird dabei abgeschnorchelt. Wie lange die dann beim Empfänger lesbar ist, interessiert den Geheimdienst nicht, er hat seine Kopie. Von wo auf die Nachricht stammt, dürften NSA & Co auch problemlos herausfinden.
    Ich sehe darin keinen Ansatz zur Privatsphäre.

  • Die Terms of Service und Datenschutzerklärungen scheinen ziemlich normale Ausfertigungen zur eigenen Absicherung sein – vielleicht auch nach US-Recht so nötig? Ich kenne mich im US-Recht nicht aus, aber bspw. bzgl. Datenschutzerklärungen meint mein aktueller Dozent, dass – nach geltender Rechtslage in Deutschland – die Einverständniserklärung das sicherste Mittel ist. Daher decken die deutsche Datenschutzerklärungen einfach mal alles ab, auch wenn es potentiell durch das Bundesdatenschutzgesetz sogar erlaubt wäre. Nur, wenn man eine Einverständniserklärung hat, ist man auf jeden Fall auf der sicheren Seite.

    Ähnlich dürfte es bei den ToS sein. Wenn der Dienst in den ToS einen sicheren Dienst anbietet, sind sie hierfür auch später haftbar. Tun sie dies nicht, bleiben sie im Fehlerfall geschützt. Bei einer kurz dahinprogrammierten Idee, wo ich kein riesiges Geschäft aufbauen will, würde ich es jederzeit genauso machen.
    Das Team ist zwar relativ groß, lebt aber – wie fast alle Internetunternehmen ohne sinnvolles Bezahlmodell – wohl von Investoren. Da nehme ich dann auch keine ernsthafte Geschäftsidee dahinter an, sondern etwas „Dahinprogrammiertes“.
    Das muss nichtmal unbedingt abwertend klingen, die Startup-Kultur will ja selbst so locker flockig erscheinen.

  • Die Methode ist alles andere als „Sicher“, schließlich werden die Datenpakete ja doch Verschickt und können daher „Abgefangen“ werden, auch ist der Serverbetreiber nach US Recht verpflichtet den Behörden wenn gewollt Einsicht zu geben. Das jüngste Beispiel Lavabit hat dies ja gezeigt.
    Für mich nur eine neue Masche um irgendwie von der Sicherheitsdiskussion zu Profitieren welche bei genauen Hinsehen nicht viel Taugt.
    Es gibt kaum etwas besseres als eine sichere „End to End“ Verschlüsselung auch wenn diese etwas Aufwand bedeutet, denn Sicherheit gibt es nicht mit Bequemlichkeits- Garantie , das zeigte schon die Sicherheitsgurt Diskussion beim Auto

  • Statt Copy&Paste würde ich wohl eher schnell auf die Druck Taste drücken und einen Screenshot machen. Problem gelöst.

  • Also ich vertraue auf die Newcome Kullo ( http://www.kullo.net )made in Germany, eine echte E-Mail Alternative, habe sie auf der CeBIT 2014 getroffen und warte bis sie richtig durchstarten. Vertrauenswürdig, bestmögliche Ende zu Ende Verschlüsselung und dazu so leicht zu nutzen, dass auch meine nicht IT Freunde was davon verstehen.