Mailhosting bei Mailbox.org? Nicht für mich.

Zum Jahreswechsel habe ich beschlossen, es doch noch einmal zu probieren und mit meinen E-Mails von Google Workspace bzw. Office 365 zu einem Anbieter zu wechseln, der nicht nur seine Server, sondern auch seinen Firmensitz in der EU und eine gute Reputation als sicherer Anbieter von Mail-Dienstleistungen hat. Datenschutzfreundlicher – außer E-Mails selbst hosten, aber dazu habe ich eine Meinung – geht aktuell nicht.

In diesem Beitrag möchte ich über meinen Eindruck zu den Services des Mail- und Groupwareanbieters Mailbox.org berichten. Er war zu Beginn äußerst positiv, kippte aber mit der Zeit immer mehr in eine Abwärtsspirale, die mir genügend Drehmoment verschafft hat, um mich von meiner Idee der Mail- und Datenmigration zu Mailbox.org verabschieden zu können. Leider.

Zweifel: UI, Supportdogmatik und Kompatibilität

Meinem Vorsatz, meine Mails bei einem EU-Anbieter zu hosten, standen große Zweifel und schlechte Erfahrungen entgegen, die ich in drei Punkten zusammenfassen kann.

1. User Interface

Die Web-Oberfläche ist eine Zumutung, wirkt nicht ausgereift und ist daher für die tägliche Arbeit nicht geeignet. Damit ist nicht das Layout und das Erscheinungsbild (Screendesign) gemeint, sondern das Fehlen der selbsterklärenden Kraft eines implementierten User Interfaces.

In anderen Worten: Sobald man Tooltips, Hilfetexte oder gar eine Anleitung benötigt, um einfache Funktionen nutzen zu können, ist das User Interface (UI) in meinen Augen als unausgereift und die damit einhergehende User Experience (UX) als schlecht zu bewerten. Darunter leiden europäische Projekte erstaunlich häufig. Mir kommt es immer ein wenig so vor, wie wenn europäische Dienste aus teils sehr nerdigen Liebhaberprojekten erwachsen und somit nie in ihren Grundsätzen davon ausgehen, dass unbedarfte User ohne jegliches Vorwissen mit einem User Interface arbeiten müssen.

2. Voreingenommenheit und Ziel

Das Unternehmen und dessen Support verfolgen ein Ziel oder stehen einer Technologie bzw. einem System voreingenommen gegenüber – und das teilweise dogmatisch. Das verfolgte Ziel ist häufig nicht die Zufriedenheit der Kunden, sondern der manchmal sanfte, oft aber ganz offenkundige Versuch, bestimmte Verhaltens- und Denkweisen zu erzwingen.

Die Voreingenommenheit einem System gegenüber erkennt man nicht nur am User Interface und den dort gewählten Schalt- und Verwaltungslogiken, sondern auch an den Screenshots oder der Beiläufigkeit der Erwähnung bestimmter Technologien in den Anleitungen und Hilfedateien. In anderen Worten: Es wird sehr schnell klar, ob das Unternehmen, das die Services betreibt, ein Team hat, das ausgewogen mit macOS, Windows, Linux, iOS und Android arbeitet, oder eben nicht.

3. Kompatibilitätsprobleme

Sehr zu meinem Erstaunen gibt es nicht gerade selten irgendwo eine Einschränkung in Bezug auf die Kompatibilität/Interoperabilität mit externen Services und externer Software, die es nicht möglich macht, die Angebote so zu nutzen, wie man die Angebote der großen Anbieter wie Microsoft, Google, Fastmail usw. nutzen kann. Dazu gehören vor allem Schnittstellen oder allgemein anerkannte Protokolle. Was nützt mir der beste Mail- und Groupware-Service, wenn ich keine Möglichkeit habe, meine bisherige Software-Infrastruktur damit zu koppeln?

Dieser Punkt erstaunt mich immer wieder, denn gerade darin besteht doch die Chance, ein System auf den Markt zu bringen, das gut integriert und somit unabdingbar gemacht werden kann, oder etwa nicht? Ich habe nicht schlecht geschaut als mir wieder einmal bewusst wurde, dass die Unterstützung von zB IMAP und SMTP bei Office 365, Google Workspace und Fastmail besser (und überhaupt) vorhanden ist, bei einigen der europäischen Konkurrenzprodukte aber fehlt.

Auf den Punkt

Kurzum, meine Erfahrung mit europäischen Anbietern von Mail- und Groupwarelösungen ist nicht gerade die beste. Sie entspricht bislang leider dem, womit auch ein schweizer Politiker unverhohlen die Entscheidung seines Landes, staatliche Daten in die von chinesischen und amerikanischen Firmen betriebenen Cloudangebote zu transferieren, auf den Punkt gebracht hat: Es gibt einfach keinen europäischen […] Anbieter, der „den amerikanischen und chinesischen Firmen auch nur annähernd das Wasser reichen kann“.

Das ist leider auch meine Erfahrung, insofern war ich umso motivierter, den mit so viel Vorschusslorbeeren ausgestatteten Anbieter Mailbox.org zu testen.

Kriterienkatalog: Ansprechendes Interface, Sicherheit und Kompatibilität

Damit ich anhand eines Kriterienkatalogs arbeiten konnte und mich nicht von zu viel Marketingsprech ablenken lassen würde, habe ich für mich diesen Katalog zusammengestellt:

1. Meine E-Mails müssen in der EU (besser noch in Österreich oder Deutschland) gehostet sein. Der Anbieter der Hostinglösung sollte bestenfalls seinen Firmensitz in der EU haben.
2. Das System muss in puncto Sicherheit auf dem aktuellen Stand der Dinge und mit den gegenwärtig üblichen Tools (Passwortmanager, evtl. Hardware-Keys und dergleichen) nutzbar sein. Eigene (sowohl im Sinne von „selbst entwickelte“ als auch im Sinne von „eigenartige“ oder „ungewöhnliche“) Implementierungen oder proprietäre und nicht auditierte Systeme sind ein Knock-Out-Kriterium.
3. E-Mails müssen unter meiner eigenen Domain gehostet sein.
4. Das Web-Interface soll ansprechend und selbsterklärend sein. Einerseits in der alltäglichen Benutzung (zB Mails beantworten oder als Spam markieren), andererseits in den Einstellungen; nie soll ich mich darin verloren fühlen oder soll mir unklar sein, wo ich welche Einstellung mit welchen Auswirkungen setze.
5. Die Möglichkeit, direkt über Standardprotokolle mit externen Applikationen auf meine E-Mails zuzugreifen und mit ihnen interagieren zu können, muss gegeben sein. Bridges und andere Programme, die man laden muss, um dann mit den E-Mails interagieren zu können, sind ein Knock-Out-Kriterium, weil externe Services (zb .

Sehr zu meinem Erstaunen reduzieren meine Kriterien die Anzahl der Dienste, die sie überhaupt erfüllen können, ganz drastisch. Besonders schade ist, dass auf Datenschutz fokussierte Anbieter aus Deutschland so schlecht dastehen (oder ich sie einfach nicht kenne). Was ist da los? Wollt ihr alle Unternehmen früher oder später bei Office 365 und Google Workspace sehen?! Und das, obwohl euch zumindest schon einmal die österreichische Datenschutzbehörde mit ihrer Entscheidung gegen Google Analytics so entgegenkommt?

• Tutanota, ein super Anbieter, x-fach empfohlen, fällt ganz schnell aus der Liste der möglichen Kandidaten, weil der Abruf der E-Mails über ein Standardprotokoll nicht möglich ist. Buchhaltungssoftware und andere Services können so nicht auf die E-Mails zugreifen.
• Posteo, ebenfalls ein absoluter top Anbieter, fällt noch viel früher aus der Liste der möglichen Services heraus, denn das E-Mailsystem von Posteo kann nicht unter der eigenen Domain betrieben werden.

Bleibt also Mailbox.org. Nun gut, dann sehen wir uns also Mailbox.org an!

Services von Mailbox.org: the good.

Vorbelastet wie in der Einleitung beschrieben, aber von sehr positiven Berichten über den deutschen Anbieter Mailbox.org neugierig gemacht, habe ich mich für ein Testkonto angemeldet. Das geht wirklich einfach, problemlos und schnell.

Website & Portal

Der erste Screen, mit dem man nach der Anmeldung konfrontiert wird, ist das Portal.

Es ist aufgeräumt und kann, rechts oben gibt es einen dementsprechenden Link dazu, personalisiert werden. Das passt also gut. Es ist für mich aber nicht wirklich relevant, denn ich werde die Weboberfläche nur sehr selten benutzen; ich werde meine E-Mails überwiegenden über meine Mail-Apps abrufen.

E-Mails

Im ersten Widget des Portals werden der Posteingang und darin befindliche E-Mails angezeigt. Ich klicke auf das erste E-Mail und erwarte mir, in den E-Mail-Modus zu wechseln, wo ich das E-Mail lesen und bearbeiten kann. Das passiert nicht. Stattdessen öffnet sich eine Art Pop-Up-Fenster, was – so mein persönliches Empfinden – ein designmäßiger Wink aus den späten Neunzigern ist und nicht meiner oben beschriebenen Erwartungshaltung entspricht.

Das tut aber nichts zur Sache, denn ich kenne genug Personen, die mit solchen Popups gerne arbeiten, daher bitte ich all diejenigen, die mein ästhetisches Empfinden nicht mit dem ihren in Einklang bringen können, diese, meine Anmerkung vollständig zu ignorieren. Außerdem ist die Optik, ich habe oben schon beschrieben, warum, in dem Fall ohnehin egal.

Ich habe dieses Popup-Fenster dann weggeklickt und auf die Überschrift des Widgets „Posteingang“ geklickt. Da passiert nichts. Man muss schon auf das Brief-Symbol in der grünen Leiste oben klicken, damit man in den Posteingang kommt. Der wird dann angezeigt und macht einen guten, soliden und aufgeräumten Eindruck. Das ist ein großer Pluspunkt für Mailbox.org. Kein Schnickschnack, eine in drei Panele geteilte Oberfläche (Ordner, Betreff, Inhalt), saubere Anordnung der E-Mails, die wesentlichsten Funktionen gut sichtbar, zusammengefasst: absolut top!

Auch alle Möglichkeiten zur Bearbeitung von E-Mails funktionieren gut, hier gibt es nichts zu meckern. Auch wenn es nur sehr selten so sein wird, weiß ich jetzt schon, dass ich hier, in der Weboberfläche, E-Mails gut lesen und bearbeiten kann, sollte der unwahrscheinliche Fall eintreten, dass ich keinen Zugang zu einem meiner Geräte habe, auf denen meine Mail-Applikation installiert und konfiguriert ist.

Kalender, Kontakte, To-Do-Liste und Cloudspeicher

Vorrangig habe ich das Testkonto bei Mailbox.org angelegt, um die E-Mailfunktion zu testen. Kalender, Kontakte, To-Do-Listen usw. sind mir relativ egal. Aber – das muss gesagt sein – sie machen allesamt auf den ersten Blick einen guten und aufgeräumten Eindruck, der meinem Eindruck der E-Mail-Oberfläche entspricht.

• Der Kalender ist sauber und unterscheidet sich auf den ersten Blick kaum von den Marktführern Office 365 oder Google Workspace. (Ich habe den Kalender nicht näher getestet, also weiß ich nicht, ob er alle wesentlichen Funktionen anbietet, die die eben genannten auch anbieten.)
• Das Adressbuch ist aufgeräumt und verfügt auch über alle notwendigen Funktionen.
• Wie auch schon beim Kalender, sieht die Aufgabenverwaltung („To-Do“) toll aus und spielt funktional – auch das bitte als mit dem Zusatz „auf den ersten Blick“ zu verstehen – alle Stücke.
• Die Oberfläche für den Cloudspeicher, der in allen kostenpflichtigen Plänen bei Mailbox.org nahezu lächerlich niedrig angesetzt ist, ist in Ordnung und erinnert mich an das User Interface, das man bei GMX vorgesetzt bekommt. Aber das ist in Ordnung.

Okay, soweit. Den Kalender könnte ich mir durchaus näher ansehen und überlegen, ob ich ihn nicht vielleicht doch nutze, ebenso das Adressbuch und die Aufgabenverwaltung. Geplant ist es nicht, ich benötige nur einen Mail-Anbieter und mit dem würde ich ohnehin nur über die Mailempfangs- und Sendeprotokolle IMAP und SMTP interagieren. Es ist aber gut zu wissen, dass diese über die Mail-Funktion hinausgehenden Dienste offenbar gut implementiert sind und einen sauberen Eindruck machen.

Erweiterte Groupware-Funktionen bei Mailbox.org: the bad.

Nach den sehr positiven Eindrücken der Darstellung und Implementierung von Mail, Kalender, Aufgabenliste und Adressbuch, nun die etwas weniger gut gelungenen Services, die aber heute kaum mehr wegzudenken sind.

Chat: Srsly?

Ich persönliche nutze die Chat-Funktion bei Office 365 oder Google Workspace praktisch gar nicht und wenn überhaupt, dann nur, um irrelevante, interne Nachrichten zu versenden. Diese Funktion habe ich im Jahr 2021 so selten benutzt, dass ich die paar Male, wo ich sie benutzt habe, wohl an einer Hand abzählen kann. Aber jetzt bin ich in einer Testphase, also sehe ich sie mir natürlich an, die Chat-Funktion, die Mailbox.org mit sich bringt. Und da knickt der gute Eindruck zum ersten Mal ganz massiv ein.

Der Screen, mit dem man konfrontiert wird, wenn man auf das Chat-Symbol klickt, ruft ein großes Fragezeichen bei mir hervor: Was soll das?

Ich weiß, was XMPP ist, ich weiß, was ich hier tun müsste, um mit dem Chatten beginnen zu können, aber so ein User-Interface im angemeldeten Zustand in meiner Groupware ist ein so dermaßen großes No-Go, dass ich gar nicht weiß, was ich jetzt noch dazu schreiben soll. In Google Workspace oder im leidigen Chat in Office 365 ist man sofort angemeldet und kann gleich loslegen. Bei Mailbox.org ist man mit einer Anmeldemaske konfrontiert… das geht in meinen Augen gar nicht und ist ein sehr grober Schnitzer in dem bislang aufgeräumt, selbsterklärend und logisch wirkenden User Interface.

Außerdem ist dieser Screen für Administratoren eines solchen Systems wohl Supportaufwand ohne Ende und Grund für Telefonanrufe, wenn man das System Freunden oder Bekannten empfohlen hat. Was muss ich hier eingeben? Wie ist mein Login? Wo bekomme ich mein Passwort? Albtraum!

Es hat so gut begonnen und dann dieser Bastel-Aspekt einer als vollwertig beworbenen Groupwarelösung. Warum? Wenn ich keinen Chatservice aufbauen und komplett integrieren kann, dann lasse ich es doch, oder?! Aber ruhig Blut! Ich habe mir die Chatfunktion ja nur angesehen und ich habe nicht vor, sie zu nutzen. Ich benötige nur die E-Mail-Funktion und die auch nur über meine lokale Mail-App. Ich tu weiter. Wollen wir doch mal diesen Patzer ignorieren.

Videokonferenz: LOL.

Ich klicke auf das Kamerasymbol, um in den Reiter „Videokonferenz“ zu gelangen. Die Pandemie hat gezeigt, dass diese Funktion essentiell sein kann, und ich gehe davon aus, dass sie essentiell bleiben wird. Persönliche Meetings in lächerlich gebrandeten Räumlichkeiten sind ohnehin passé. Nicht, dass ich mich bei Mailbox.org angemeldet hätte, weil mich diese Funktion interessiert hat, aber wenn sie schon mal da ist, sehe ich sie mir also an.

Was erwarte ich mir? In Office 365 bzw. Google Workspace wird sofort eine Videokonferenz erstellt und ich erhalte die Option, Gäste (oder Mitglieder meiner Organisation) einzuladen; ein oder zwei Buttons, hier ein Direktlink und los geht’s. Das Komplexitätslevel ist gleich Null. Bei Mailbox.org sieht der Screen so aus (ja, das Styling ist tatsächlich so).

Ich traue meinen Augen nicht. Das muss ein Fehler sein. Ich lade die Seite neu. Es ändert sich nichts. Ich merke, wie meine Sympathien gegenüber Mailbox.org gerade rapide schwinden. Die können doch wohl nicht allen Ernstes von mir verlangen, dass ich ein Videokonferenzsystem benutze, das mit so einem Start-Screen daherkommt?! Und nein, ich bin kein Lehrer – und niemand kann mir weismachen, nicht auch als erstes die Frage „Sie sind Lehrer*in?“ gelesen zu haben. Richtig? Eben. Genau hier liegt das Problem! – und nein, ich lese euren Textwulst da oben nicht. Ich bin einen „Jetzt starten“-Button gewohnt und den sehe ich nicht. #fail

Würde ich den Textwulst aber lesen – und natürlich habe ich ihn gelesen, aber auch nur noch, weil ich nicht wegsehen konnte -, so würde ich feststellen, dass diese Oberfläche das noch am wenigsten Komplizierte am Abhalten einer Videokonferenz ist. Es geht noch viel komplizierter. (Meine Gedanken in eckigen Klammern.)

Beim Erstellen eines neuen Raumes erhalten Sie zwei Passwörter. [Was? Wie? Zwei Passwörter?!] Geben Sie nur das Teilnehmer Passwort an die anderen Teilnehmer weiter. Loggen Sie sich selbst mit dem Moderatoren-Passwort ein. [Bin schon weg, das ist zu kompliziert.] Auf diese Weise stellen Sie sicher, dass Sie die Kontrolle über den Raum behalten. [Wie bitte? Ich kann die Kontrolle über meinen Konferenzraum verlieren?!] Sollen auch andere Personen moderieren können, geben Sie diesen ebenfalls das Moderatorenkennwort zum Einloggen.

Das ist in meinen Augen keine Anleitung, das ist eine Absprung-Garantie. Ein sicherer Weg, dass Personen, die es ehrlich versuchen und einem Unternehmen wie Mailbox.org eine Chance gegen Office 365 oder Google Workspace geben wollen, nach maximal 2 Minuten bei Skype, Google Meet, Teams oder Zoom landen. Und dass mir in einem ohnehin schon so komplizierten Screen dieser leidige Text mit der Frage „Sie sind Lehrer*in?“ gezeigt wird, trägt noch mehr zur Verwirrung bei. Das ist nämlich ein irreführender Eye-Catcher. In anderen Worten: Dieser Screen ist für mich eine Absprung- und Anbieterwechsel-Garantie.

Aber gut, denke ich mir, sei’s drum. Ich benötige nur das Mailhosting. Und meine E-Mails rufe ich sowieso über eine lokale Mail-App ab. Ist es halt Zoom, Skype, Google Meet oder ein Microsoft Teams-Call. Das tut zwar meiner Intention – Stichwort Datenschutz und europäischer Anbieter – nicht gut, aber ich muss auch damit arbeiten können und nicht meine Zeit in Supportdokumenten, FAQs oder Hilfeseiten verbringen. Egal, denke ich mir, Mail it is, also weiter!

Brechen mit Gewohntem – Einstellungen auf Mailbox.org: the ugly

Einen ganz entscheidenden Bereich habe ich mir bei Mailbox.org noch nicht angesehen: Die Einstellungen. So banal das klingt und so wenig man diesen Bereich in der alltäglichen Arbeit mit einem System benötigt, so wichtig und wesentlich ist er allerdings, um Konfigurationsfehler, die mittlerweile am häufigsten für Sicherheitslücken und andere, auf die Sicherheit bezogene Probleme verantwortlich sind, zu vermeiden.

Einstellungen: OMG

1Password zeigt mir an, dass Mailbox.org die Zwei-Faktor-Authentifizierung unterstützt (sehr großer Pluspunkt!), also will ich sie auch gleich aktivieren. Immerhin ist dann der Zugang zum System gut abgesichert und ich kann in Ruhe und sorgenfrei meine E-Mails über meine Mail-Applikation abrufen.

Für gewöhnlich aktiviert man diese Authentifizierungsart in den Konto-Einstellungen, also klicke ich aufs Zahnrad. Womit ich konfrontiert werde, hat mich hart in der Realität aufschlagen und den eingangs erwähnten, schweizer Politiker in meinem Ohr sehr, sehr, sehr laut werden lassen. So sieht der Screen „Einstellungen“ bei Mailbox.org aus. 44 Menüpunkte (Untermenüs nicht mitgezählt!) auf einem lieblos zusammengebastelten Screen, den ich persönlich als Zumutung empfinde.

Hier ist mir viel zu viel auf viel zu engem Raum abgebildet. Hier verliere ich den Überblick, hier kenne ich mich nicht aus. Es gibt es zwar so etwas wie eine Gruppierung, aber die ist in meinen Augen teils unlogisch und inhaltlich nicht konsistent. Man hätte sich bei Mailbox.org ein wenig an den Großen orientieren können.

Ich kenne mich nicht aus. Und wenn ich mich irgendwo nicht auskenne, dann fühle ich mich nicht sicher. Und wenn ich mich nicht sicher fühle, dann herrscht bei mir auch das Gefühl vor, dass dieser Service nicht sicher sei. Selten habe ich einen so dermaßen unübersichtlichen Einstellungsscreen bei einem Anbieter vorgefunden, der mit seinem Angebot Breitenwirksamkeit erreichen will.

Suche nach der Zwei-Faktor-Authentifizierung

Wir erinnern uns: ich will eigentlich nur die Zwei-Faktor-Authentifizierung aktivieren. Für gewöhnlich findet sich die zugehörige Einstellung in einem Hauptmenü (diese Menüpunkte sind bei Mailbox.org ganz links im Screen zu sehen) unter Konten oder Sicherheit; und wenn nicht da, dann im eigenen Profil. Zumindest ist das bei Gmail, Office 365 und praktisch allen anderen, halbwegs großen E-Mailanbietern so. Ich gehe nun systematischer vor und lasse mich vom ersten Eindruck und der Unmenge an Einstellungsmöglichkeiten nicht überwältigen.

• Ich nutze die Suchfunktion des Browsers und gebe „Zwei“ ein, um das Wort „Zwei-Faktor-Authentifizierung“ zu finden. Keine Ergebnisse.
• Ich nutze die Browsersuche abermals und gebe „Multi“ ein, um „Multi-Faktor-Authentifizierung“ zu finden. Ebenso keine Ergebnisse.
• Ich nutze die Browsersuche ein drittes Mal und gebe „2fa“ ein, um die 2FA zu finden. Und wieder keine Ergebnisse.
• Ich klicke auf Konten und hoffe, dort etwas zu finden. Dort kann man aber nur die E-Mailkonten bearbeiten und zum Beispiel einstellen, wie die Standardordner (Gesendet, Papierkorb, usw.) heißen sollen. Warum dieser Menüpunkt daher nicht unter „E-Mail“ einsortiert ist, weiß ich nicht.
• Ich klicke auf Sicherheit, weil, nun ja, dort muss die 2FA ja wohl zu finden sein. Mitnichten! Dort kann man einstellen, ob man automatisch vom System abgemeldet werden soll und ob man das Laden externer Bilder in E-Mails erlauben und welchen Absendern man immer vertrauen will. Das gehört doch auch zu E-Mails, denke ich mir, warum ist das also ein Hauptmenüpunkt? („Sicherheit“ hat übrigens auch noch zwei Unterpunkte – Aktive Clients und mailbox.org Guard. In den Aktiven Clients kann ich den Browser, mit dem ich angemeldet bin, sehen und was man unter mailbox.org Guard verstehen kann, weiß ich nicht, denn ich werde in diesem Reiter mit der Meldung „Vor dem Einsatz von mailbox.org Guard-Sicherheit müssen Sie ein Passwort für Ihre gesicherten Dateien einrichten.“ konfrontiert. Auch wieder eine so hilfreiche Anweisung wie beim Chat oder der Videokonferenz.)

Ich bin immer mehr überzeugt, dass dieses System gewachsen ist und nie einer gründlichen Revision unter dem Aspekt der Usability unterzogen wurde. Wenn man Einstellungen im Einstellungsfenster selbst erklären muss und sie nicht aus der Benutzung des Systems klar sind, dann stimmt doch etwas nicht, oder sehe ich das falsch? Ich zweifle und merke, dass mich das Suchen nach dieser banalen Einstellung irritiert und zu nerven beginnt. Ich will jetzt nur noch die 2FA finden und dann nichts wie raus aus diesem Interface!

Einatmen. Ausatmen. Überlegen: Ich habe beide Menüpunkte, die mir für die Zwei-Faktor-Authentifizierung plausibel erscheinen, angeklickt. Da war nichts. Ich wechsle zurück zum nichtsaussagenden Menüpunkt „mailbox.org“. Die vielen, vielen, sehr vielen Menüpunkte sind wieder da. Yeah. Not!

Nun prüfe ich in der zweiten Menüleiste (abermals links, diesmal aber im weißen Inhaltsbereich – ja, das ist in Wirklichkeit eine Hauptmenüleiste und keine Untermenüleiste!), ob dort vielleicht irgendetwas zu finden ist – und ja, ich werde fündig! Unter One Time-Passwörter findet sich endlich die Zwei-Faktor-Authentifizierung. Dazu gleich.

Ich darf aber zusammenfassend zum Thema „Einstellungen“ und zugehörige User Experience festhalten: Für mich persönlich ist so ein Screen das genaue Gegenteil von aufgeräumt und übersichtlich. Noch schlimmer: er schafft Verwirrung und Unsicherheit.

Aber auch das soll mir egal sein, denke ich mir, denn ich rufe meine E-Mails ja ohnehin über mein Mailprogramm ab, da werde ich mit diesem Screen nicht so viel zu tun haben. Nur noch die Zwei-Faktor-Authentifizierung aktivieren, die Backup-Codes und Applikationspasswörter erstellen und raus hier.

Zwei-Faktor-Authentifizierung (2FA)

Bevor ich gleich ins Detail gehe, bitte ich die werten Leserinnen und Leser sich kurz an die Einrichtung einer 2FA bei Gmail, Outlook, Office 365, Yandex, Yahoo oder sonstwo zu erinnern. Wie war das? Das Prozedere ist meiner Erfahrung nach immer gleich, die Logik dahinter auch. Fangen wir mit der Logik an. Wozu überhaupt 2FA?

Durch die Einführung eines „zweiten Faktors“ (neben dem selbst gewählten Passwort) wird die Wahrscheinlichkeit eines unrechtmäßigen Zugriffs deutlich gesenkt. Dieser zweite Faktor ist in den meisten Fällen ein von einer Applikation in regelmäßigen Zeitintervallen (meist alle 20 Sekunden) neu generierter, numerischer Code. Die Anmeldung erfolgt dann mit dem Passwort und zusätzlich mit eben diesem zweiten Faktor.

Bitte zieht nun die Vorhänge zu und lehnt euch zurück, wir sehen uns ein kurzes Lehrvideo zum Thema an.

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

YouTube immer entsperren

Dass die Zwei-Faktor-Authentifizierung einige weitere Maßnahmen benötigt, liegt auf der Hand. So muss man beispielsweise externe Dienste und Programme (wie zum Beispiel ein Mailprogramm) mit eigenen, vom Rest des Systems im Notfall abkoppelbaren Anmeldedaten, die ohne zweiten Faktor funktionieren müssen, ausstatten. Dieses Problem lösen praktisch alle großen Anbieter so, dass man applikationsspezifische Passwörter, die im besten Fall auch noch nur für Teildienste konfiguriert werden, generieren kann.

Ein Beispiel: Ich benötige für mein Buchhaltungssystem die Möglichkeit, E-Mails versenden zu können. Es muss E-Mails nicht abrufen können und braucht auch keinen Zugriff auf meinen Kalender. Also melde ich mich (mit meinem Master-Passwort und dem generierten 2FA-Code) bei meinem Mailprovider an, generiere dort ein applikationsspezifisches Passwort, das nur für den Mailversand gültig ist, und trage dieses in meinem Buchhaltungssystem ein. Sollte es kompromittiert werden, kann ich über meinen Mailprovider dieses spezifische Passwort löschen und der Zugang für das Buchhaltungssystem ist – ohne andere Services zu unterbrechen – sofort gesperrt. So wird das für jeden Dienst und jedes Programm, das Zugriff auf meine E-Mails benötigt, gemacht: Handy verloren? Kein Problem: App-Passwort für „Mail auf iPhone“ löschen. Fertig. Laptop gestohlen? Gleiches Prozedere. Software, bei der man es sich nochmal überlegt, ebenso.

Soweit zur Theorie. In der Praxis kann so ein System in den meisten Fällen sehr leicht und einfach aktiviert werden. In den meisten Fällen sieht das Aktivierungsprozedere in etwa so aus:

1. Anmelden beim jeweiligen Dienst und in „Mein Konto“ oder „Sicherheit“ wechseln.
2. Dort auf den (meist Sub-) Menüpunkt „Zwei-Faktor-Authentifizierung“ klicken und mit einem QR-Code konfrontiert werden. (Alternative: Mobiltelefonnummer für 2FA per SMS. Ist aber nicht empfohlen, also QR-Code!)
3. QR-Code (mit der dementsprechenden App) scannen und den generierten Code in ein Verifizierungsfeld kopieren.
4. Backup-Codes herunterladen, speichern und somit die 2FA aktivieren.
5. Nun gibt es in den meisten Fällen einen neuen Menüpunkt, wo man applikationsspezifische Passwörter generieren kann. Dort gibt man eine Bezeichnung ein (zB “ Buchhaltungssystem“) und erhält ein neues (zusätzliches) Passwort, das eben für eine Applikation spezifisch generiert wurde (und bestenfalls auch für die Nutzung in einem Teil-Dienst konfiguriert ist).

Die 2FA ist ohnehin eine nicht gerade leicht zu verstehende Methode der Authentifizierung, die Aktivierung sollte also so einfach wie nur irgendwie möglich sein, die Benutzung ebenso. Und wie sieht es mit eben dieser aus?

1. Ich rufe die Login-Seite des Services mit aktivierter 2FA auf.
2. Ich gebe meinen Login (meist die Mailadresse) und mein Passwort ein. Anschließend klicke ich auf auf Weiter.
3. Nun kommt entweder ein weiteres Feld oder ein neuer Screen, wo ich meinen von der 2FA-App generierten Code eingeben kann. Ist er eingegeben, klicke ich auf Weiter.
4. Ich bin nun angemeldet. Das war’s.

Ich denke, ich kann behaupten, dass die meisten dieses Prozedere auch so kennen. Es ist gelernt und die größten und potentiellen Gefahren massiv ausgesetzten Services setzen sie so oder dem Beschriebenen sehr ähnlich ein. Nicht so Mailbox.org. Dort ist alles ein wenig anders. Viel anders. Ganz, ganz anders, eigentlich.

2FA bei Mailbox.org: ganz, ganz anders

Mailbox.org bietet die Zwei-Faktor-Authentifizierung anders als alle (!) Mail- und Groupwareservices, die ich kenne, an. Einerseits ist die Aktivierung (im Vergleich zu zB Office 365, Google Workspace oder Fastmail) deutlich komplizierter, andererseits ist auch die Funktionsweise und die Implementierung eine andere.

Während sich Fastmail, Google und Microsoft bemühen, Komplexität von ihren Userinnen und Usern fernzuhalten, sieht der Screen „One-Time-Passwörter“ bei Mailbox.org so aus.

Mein erster Gedanke, mittlerweile schon etwas genervt von der unnötigen Komplexität und der Zeit, die mir davonläuft, weil die Einstellungshierarchie und -logik so dermaßen undurchsichtig ist und jeder Screen, den man anklickt noch mehr Fragezeichen vor meinem geistigen Auge produziert als der vorherige: Wo ist der QR-Code, den ich (wie sonst überall) scannen kann? Warum muss ich eine Pin (sic!) eintragen? Was ist das OTP-Sicherungslevel, die OTP-Methode und warum gibt es einen OTP Passwort Test. Und – überhaupt ganz schlimm – warum ist der Hinweis da unten rot eingerahmt?! Habe ich bereits jetzt schon etwas falsch gemacht?

Ich klicke auf das Auswahlfeld „OTP-Sicherungslevel“. Dort gibt es 3 Auswahlmöglichkeiten:

1. Aus, nur normale Passwörter verwenden.
2. Webinterface OTP, alles andere Passwort.
3. OTP nur für Webinterface, alle anderen Dienste aus.

Aha. Die User Experience hier ist für mich mit stetig steigender Frustration verbunden. Ich kann mir erklären, dass „Aus“ einfach nur „Deaktivieren/deaktiviert“ bedeutet und es eben keine 2FA gibt. Ich habe aber auch das ungute Gefühl, dass die beiden anderen Auswahlmöglichkeiten nicht das tun, was ich will (und oben als gelerntes Verstehen einer 2FA beschrieben habe). Ich mache also das, was UX-Spezialisten vermutlich einen UX-Supergau nennen würden: Ich lese den Text da oben im Bild, um zu verstehen, was man auf diesem Screen eigentlich von mir will.

Mit einer 2-Faktor-Authentifzierung bestehend aus einem PIN-Code („Wissen“) und einem One Time-Passwort aus sog. Token-Generatoren wie Google Authenticator, FreeOTP, OATH oder Yubikey können Sie sich jederzeit sicher bei mailbox.org einloggen.

Bitte lesen Sie zuerst unsere Anleitung Zwei-Faktor-Authentifizierung einrichten.

Wenn Sie einen bei mailbox.org direkt gekauften YubiKey verwenden identifiziert sich dieser gegen einen YubiKey-Dienst der direkt bei mailbox.org läuft. Ein aus anderen Quellen beschaffter YubiKey authentifiziert sich gegen die weltweite YubiCloud.

What?

Ich will doch nur meinen QR-Code und nicht einen YubiKey. Mir ist doch völlig gleich, dass ich einen YubiKey bei Mailbox.org kaufen kann und dass nur der sich bei Mailbox.org registriert.

Ich.
Will.
Meinen.
QR-Code.
Bitte!

[Wem es bereits jetzt zu viel ist und wer sich – so, zumindest erging es mir – nun allein vom Lesen schon ein wenig beruhigen muss, hier entlang! Ich warte hier. Wir sehen uns in 4:19 Minuten wieder. Langsames und stetes Ein- und Ausatmen hilft. Ja, wirklich. Beruhigt? Okay, weiter geht’s.]

Ich habe den Überblick verloren. Ich weiß nicht, wo es den QR-Code gibt. Ich gehe daher alle Punkte noch einmal Schritt für Schritt durch. Ich habe doch schon so oft eine 2FA bei allen möglichen Diensten aktiviert. Wieso ist das bei Mailbox.org so dermaßen kompliziert?!

• Pin. Kein Pflichtfeld, außerdem weiß ich ohnehin nicht, wofür das gut sein soll, also lasse ich das mal weg.
• Wiederholen. Kein Pflichtfeld, also lasse ich das ebenso mal weg. Vermutlich soll man hier den Pin – also eigentlich PIN – bestätigen. Eigenartig, weil es ja kein Pflichtfeld ist, aber egal.
• OTP-Sicherungslevel. Ich wähle die Option „Webinterface OTP, alles andere Passwort“. Ein neues, rot eingerahmtes Feld erscheint: „Führen Sie vor dem Speichern einen OTP Passwort Test durch. Generieren Sie ein One-Time-Passwort und geben Sie es im Feld OTP Passwort Test ein.“ Okay. Das sieht nach Fortschritt aus.
• OTP-Methode. Ich kann mich hier zwischen „OTP-Generatoren und andere Yubikeys“ und „YubiKey von mailbox.org“ entscheiden. Nix will ich von Mailbox.org, also wähle ich die erste Option. (Side fact: Wenn man die zweite Option wählt, erscheint doch tatsächlich die Meldung: „Sie haben doch noch keinen Yubikey von uns… Bitte richten Sie sich zuerst einen YubiKey von mailbox.org ein, bevor Sie diesen hier aktivieren.“ – Leute, DANN ZEIGT MIR DOCH BITTE DIE OPTION GAR NICHT AN, wenn ihr das ohnehin wisst!)

Ich möchte jetzt niemandem vorenthalten, was man nun zu sehen bekommt. Ich habe an diesem Bild absolut nichts verändert (außer meine Mailadresse radiert). Der Screen sieht tatsächlich so aus. Ein Screen eines modernen E-Mail- und Groupware-Services, der es mit Google Workspace und Office 365 aufnehmen will. Ready or not, here we go!

Dieses Interface ist… herausfordernd. Ab jetzt habe ich nur noch weitergemacht, weil ich mittlerweile beschlossen habe, (a) diesen Blogpost zu verfassen und weil ich der Hoffnung bin, dass der Blogpost (b) vielleicht den Menschen, die Mailbox.org betreiben, die Augen öffnet: das, was hier passiert, kann doch nur das genaue Gegenteil von positiver User Experience sein!? Das, was ich hier sehen kann, verunsichert und überfordert mich. Dieses Layout, dieses Design, diese unübersichtliche Liste von mit teils unbekannten Begriffen betitelten Reitern ist pure Überforderung für mich.

Ich besitze ein iPhone (und kein Android-Gerät), also beginne ich zu überlegen, welche der 4 (!) verbleibenden Möglichkeiten, wenn man alle Yubikey- und Token-bearbeiten-Reiter ausschließt, für meine Authenticator-App gültig sein könnte. Ich klicke mich also durch dieses graue Fremdelement inmitten eines weißen Screens und lese mir durch, was mir angezeigt wird. Ich habe die vier Screens, die ich betrachtet habe, unten in der Slideshow abgebildet. Was würdet ihr, liebe iOS-Userinnen und -User auswählen? (Android-Userinnen und User sind herzlich eingeladen, mitzuraten!)

Wer die Zwei-Faktor-Authentifizierung nutzen will, aber sich mit den verschiedenen Tokens und Keys, Algorithmen und Berechnungsmethoden nicht auskennt, ist hier aufgeschmissen. Ich habe keine Ahnung, was ich auswählen soll.

Ganz abgesehen davon, und ich erwähne das hier auch nur, bitte ich die werten Leserinnen und Leser sich diese Screens nochmals genau anzusehen! Hier wird in einem weiteren Megamenü – immerhin werden nur in dem kleinen, grauen Bereich, neun Menüpunkte angezeigt – Kraut und Rüben vermischt, denn abgesehen von den Optionen zur Auswahl eines Tokengenerators gibt es hier auch Steuerbefehle wie „Token deaktivieren„, „Token aktivieren“ oder „Token löschen„, die einfach in einer Auswahl mit angezeigt werden. 🤦‍♂️

2FA ohne RTFM? LOL. App-Passwörter: ROFL.

Ich wusste nicht weiter, also habe ich die Anleitung zur Einrichtung der Zwei-Faktor-Authentifizierung bei Mailbox.org aufgerufen. Zuerst wird irgendwas präsentiert, wo mir erklärt wird, was eine Zwei-Faktor-Authentifizierung eigentlich ist. Dann irgendwas, wo ich über Anwendungszwecke aufgeklärt werde. Dann eine Übersicht über die möglichen 2FA-Methoden bei mailbox.org. In Ordnung. Die abermalige Werbung für YubiKeys nervt, aber meinetwegen. Ich überspringe alle Kapitel und gehe direkt zu „Einrichten eines Softtokens“.

Der Text hier ist in meinen Augen etwas merkwürdig. Hier wird ganz selbstverständlich davon ausgegangen, dass ich – wir erinnern uns an die gelernte Funktionsweise eines One Time Passwords im Rahmen der 2FA bei praktisch allen anderen großen Anbietern – eine vierstellige PIN anlege. Na gut, ist in Ordnung. Ich weiß zwar nicht, wozu, aber sei’s drum. (Genau an dieser Stelle werden, so denke ich, alle Userinnen und User, die von ihren Administratoren gezwungen werden, Mailbox.org mit aktiver 2FA zu nutzen, „1234“ als PIN angeben.)

Dann erfahre ich endlich, was die zwei Optionen im Sicherungslevel bedeuten und ich ahne zum ersten Mal, dass 2FA bei Mailbox.org nicht das ist, was 2FA bei den großen Office-Diensten praktisch allen anderen, mir bekannten Services ist. Ich habe, der Dokumentation folgend, diese drei Möglichkeiten:

1. Die 2FA komplett abzuschalten und mich mit meinem Login und Passwort sowohl über die Weboberfläche als auch über Verbindungsprotokolle wie IMAP und SMTP zu verbinden.
2. Das Webinterface über die 2FA aufzurufen, aber die Verbindungsprotokolle nach wie vor mit meinem regulären Login und Passwort.
3. Das Webinterface über die 2FA aufzurufen und alle Verbindungsprotokolle zu deaktivieren.

Das ist eigenartig. In meinen Augen sogar sehr eigenartig. Diese Funktionsweise der 2FA muss man erst einmal einem von Google Workspace oder Office 365 (oder sonst irgendeinem Dienst, der 2FA implementiert hat) kommenden User erklären. Das ist nicht schön. Ich sehe Probleme auf mich zukommen. Auch stellen sich bei mir erste Bedenken hinsichtlich der Sicherheit dieser Implementierung ein, denn applikationsspezifische Passwörter haben mir nicht erst einmal Sicherheit gegeben, wo die Sicherheit potentiell kompromittiert war; doch von ihnen ist hier nicht einmal die Rede.

2FA bei Mailbox.org nur für Mailbox.org. Literally.

Offenbar ist die 2FA-Implementierung bei Mailbox.org ausschließlich (!) auf die Web-Oberfläche bezogen. So, wie es aussieht, werde ich also mein Master-Passwort in meinem E-Mailprogramm hinterlegen müssen. Das habe ich nicht mehr getan, seitdem die großen Dienste die Möglichkeit einer 2FA eingeführt haben. Also seit mehreren Jahren schon.

Ich wähle also Option 2: Das Webinterface soll mit 2FA geschützt werden, die anderen Protokolle (IMAP, SMTP) über das reguläre Login und das Master-Passwort. Als OTP-Methode wähle ich „OTP-Generatoren und andere Yubikeys“. Und jetzt wird es richtig interessant, denn wir nähern uns dem Screen, der mich vorhin überhaupt erst auf die Hilfeseiten gebracht hat. Und was lese ich da? Was steht da in der Anleitung von Mailbox.org tatsächlich geschrieben? Ich kann es kaum glauben:

Erstellen Sie nun den für Ihr Gerät geeigneten Token. Dazu können Sie die Standardeinstellungen in der Regel nutzen.

Android: FreeOTP, Google Authenticator. Dieser kann auch von iPhone Nutzern mit der iOS OTP App genutzt werden.

Hilfeseiten Mailbox.org

In anderen Worten: Hey, User, wir geben euch einen Menüpunkt namens „Android“ und einen namens „iPhone“, aber auch wenn ihr mit einem iPhone auf unsere Service zugreifen wollt, wählt doch bitte den Menüpunkt „Android“ aus.

Ich persönliche fühle mich veräppelt. Und abgesehen von dem Android/iOS-Gemenge wird, obwohl es ein durchaus nicht unwesentlicher Punkt ist, mit keinem Wort darauf eingegangen, ob man als Tokentyp den ereignis- oder den zeitbasierten wählen soll. Ich habe mich daher nach dem Screenshot gerichtet und das ausgewählt, was dort ausgewählt ist: ereignisbasiert.

One Time Passwort und Backup-Codes: Fragen über Fragen

Einmal eingestellt, kann ich einen QR-Code generieren, den ich mit Google Authenticator, Microsoft Authenticator oder jeder anderen App, die mit 2FA-Codes umgehen kann, nutzen kann. Jeder? Nicht ganz. Sehr zu meinem Erstaunen kommt 1Password mit dem QR-Code nicht klar. (Stellt man allerdings von „ereignisbasiert“ auf „zeitbasiert“ um, funktioniert es auch mit 1Password. Habe ich damit potentiell die Sicherheit des Tokens geschmälert oder hiermit eine Einstellung vorgenommen, die potentiell problematisch sein könnte? Ich weiß es nicht. Finde ich darauf im Screen selbst eine Antwort? Nein. Habe ich nun das Gefühl, unsicherer zu sein? Ja, definitiv.)

Wo bekomme ich nun Backup-Codes? Wie kann ich mich absichern, falls dieser Code nicht generiert werden kann? Oh! Moment! Ich muss wieder nach oben scrollen (!) und dort den von meiner 2FA-App generierten Code bei „OTP Passwort Test“ eingeben. Na dann mache ich das doch einmal, während ich mich wundere, wem es eingefallen ist, in einem User Interface den Ablauf nicht geradlinig (nach unten), sondern so zu konstruieren, dass ich nach unten und dann wieder nach oben scrollen muss, um den Prozess abzuschließen.

Der Test ist positiv und das erfahre ich, in dem sich der Text in einer der beiden rot umrahmten Boxen (!) unter dem Eingabefeld (!!) ändert in: „OTP Passwort Test erfolgreich. Sie können speichern.“

Jetzt erst lese ich, was drunter steht: „Hinweis: Bitte loggen Sie sich nach dem Speichern aus und wieder ein, damit Ihre Änderungen übernommen werden können.“

Na gut, dann tun wir das einmal.

Anmelden mit aktivierter 2FA: Alles anders

Ich melde mich folgsam ab und lande auf der Loginseite von Mailbox.org. Ich bin schon wirklich gespannt, wie die 2FA umgesetzt ist. Sicher nicht so, wie man es von sonst überall gewohnt ist.

Ich werde nicht enttäuscht, denn es gelingt Mailbox.org abermals, mich zu überraschen. Nachdem ich nämlich meine Daten von 1Password habe einsetzen lassen, wurde ich mit dieser Fehlermeldung konfrontiert.

Ich habe nocheinmal mein Passwort mit dem in 1Password gespeicherten verglichen. Es stimmt überein. Irgendwas passt also nicht. Ich bin mir nicht darüber bewusst, dass ich es geändert hätte.

Ganz abgesehen davon, sehe ich nirgendwo einen Hinweis darauf, wo ich hier meinen zweiten Faktor, also den von meiner 2FA-App generierten Code eingeben kann. Für gewöhnlich steht „Login“ erst da, wenn man „Weiter“ geklickt hat, um den 2FA-Code einzugeben. Nicht so bei Mailbox.org, da steht sofort „Login“.

Wie melde ich mich bei Mailbox.org mit aktivierter 2FA an?

Nach noch einem weiteren fehlgeschlagenen Anmeldeversuch habe ich abermals die Hilfeseiten aufgerufen. (Nota bene: Ich habe etliche Jahre Erfahrung mit Web-Services und rufe zum ersten Mal in meinem Leben notwendigerweise die Hilfeseiten eines Services auf, um herauszufinden, wie ich mich hier anmelden kann!) Auf den Hilfeseiten gibt es sogar ein eigenes Kapitel zu „Das erste Einloggen beim mailbox.org-Office mit PIN und Einmalkennwort“. Ich ahne Schlimmes und befürchte abermals eine ungewollte Überraschung.

Der erste Satz der Online-Hilfe im Kapitel zum Anmelden mit aktivierter 2FA ist ein Augenöffner:

Beachten Sie bitte, dass PIN und OTP Token hintereinander ins Passwortfeld eingegeben werden müssen.

Im Bildschirmabzug [damit ist, nur, falls das jemand liest, der nach 1960 geboren wurde, ein „Screenshot“ gemeint] wird dargestellt, dass zuerst die 4-stellige PIN und ohne Leerzeichen direkt dahinter das (von Ihrem YubiKey oder Token) generierte Einmalkennwort eingegeben werden muss. (PIN+Token im Feld „Passwort“)

Noch einmal, in eigenen Worten mit dementsprechendem und zur Verdeutlichung selbst erstelltem Screenshot. Die Zwei-Faktor-Authentifizierung bei Mailbox.org ergänzt das Passwort nicht, es ersetzt das Passwort durch eine Kombination (!) aus der selbstgewählten, vierstelligen PIN (ich will gar nicht wissen, wie oft hier „1234“ genutzt wird) und dem Einmalpasswort, die nacheinander eingegeben werden müssen.

Formal sind alle Bedingungen für eine 2FA erfüllt. Die 2 Faktoren sind vorhanden: Wissen (PIN) und Haben (Einmalpasswort). Aber dass diese Anmeldung so dermaßen von den gewohnten Interfaces abweicht und somit den Einsatz von Passwortmanagern verunmöglicht ist für mich ein Knock-Out-Kriterium. Das war’s, Mailbox.org, wir werden keine Freunde mehr.

Nicht nur ich zweifle…

Diese Implementierung einer 2FA ist schon sehr eigen und sorgt nicht nur bei mir, sondern auch bei einigen anderen für Verwirrung und Unsicherheit. Ein paar Beispiele:

• Warum ist die Zwei-Faktor-Authentifizierung so unglaublich umständlich und verwirrend aufgebaut? Ein Forumsbeitrag bei Mailbox.org, der praktisch alle Punkte, die ich anspreche, mit fast genau der gleichen Argumentation auch aufzählt.
• 2-Faktor-Authentifizierung bei IMAP/Mail? Noch ein Forumsbeitrag bei Mailbox.org, in dem sich auch der Geschäftsführer zu Wort meldet.
• mailbox.org und 2Faktor. Verwirrung, Suche nach Applikationspasswörtern.
• How is mailbox.org 2FA method referred to as, correctly? Verwirrung darüber, was das für eine Methode ist und Übereinstimmung darüber, wie verwirrend das für Userinnen und User sein kann.
• Special 2FA on mailbox.org. Im 1Password-Forum beklagt man, dass diese Implementierung der 2FA zu manuellem Ausfüllen der Logindaten führt. Ein wesentlicher Punkt bei der Nutzung von Passwortmanagern ist, dass sie bei Phishing ganz gut funktionieren; wenn ich meine Daten von Hand eingeben muss, fällt dieser Schutz weg.

In vielen dieser Threads werden die Bedenken derjenigen, die sie gestartet haben, beiseite geschrieben oder für nichtig erklärt. Auch andere Userinnen und User kämpfen mit dieser, in meinen Augen und unter Berücksichtigung gewohnter Services sehr spezifischen Implementierung, wie aus den Forumsbeiträgen hervorgeht. Ich fühle mich bei Mailbox.org nach so tollen ersten Eindrücken gar nicht mehr wohl. Und applikationsspezifische Passwörter, Backup-Codes und andere, sonst übliche Schutzmechanismen habe ich bislang noch gar nicht gefunden.

Vielleicht würde ich, hätte ich tiefergehendes Wissen zum Thema Security, den Service haushoch loben und sofort mit der Mailmigration starten. Immerhin, Security ist ja das Thema und die DNA der Macher von Mailbox.org, so sie selbst über sich. Und sie reagieren dementsprechend auch auf Fragen und Kritik. Ein User, der für unterschiedliche Geräte, die er im Einsatz hat, gerne applikationsspezifische Passwörter hätte (und auf Mitbewerber verweist, die das alle so zur Verfügung stellen), bekommt da zum Beispiel die folgende Antwort:

Schön, wenn einige Mitbewerber das so machen. Toll, wenn ihre Kunden das schnupsi finden. Kann auch sein, daß Mitbewerber von vornherein alle Nutzerdaten nicht in LDAP, sondern in SQL-Datenbanken speichern wo jeder alles lesen darf und das Sicherheitslevel ein ganz anderes ist. […] Für uns kommt das nicht in Frage, die Sicherheit geht vor und aktuell schätze ich die Nachteile (keine App-spezifischen Passwörter) niedriger ein, als die Vorteile. Und da ist es auch egal, ob einige User das verstehen oder nicht. Wir bewerten das nach fachlichen Kriterien.

Sollte es durch neuere Software-Versionen in Zukunft möglich sein auch bei LDAP-Binds auf mehrere Passwort-Attribute zurückzugreifen, so werden wir das gerne anbieten. Derzeit ist mir kein Softwarestand bekannt, mit dem sich das auch sicherem Weg erreichen läßt.

Peer Heinlein zum Thema applikationsspezifische Passwörter

Bedeutet so ein Statement im Umkehrschluss, dass andere Services ihren Userinnen und Usern Sicherheit vorgaukeln, wo keine (oder weniger) herrscht? Wohl kaum. Insofern bleibe ich wohl dort mit meinen E-Mails daheim, wo mein Passwortmanager funktioniert und die Implementierung einer 2FA dem gewohnten Schema folgt. Es ist schade, aber mein zuerst wirklich guter Eindruck von Mailbox.org wurde schnell getrübt und bringt mich zu folgendem…

Resümee: Leider nein, Mailbox.org. Leider nein.

Ich bin hochmotiviert, wenn auch skeptisch, an den Transfer meiner E-Mails zu einem europäischen – in dem Fall konkret: deutschen – Anbieter herangegangen. Ich wollte nicht wahrhaben, dass tatsächlich so viele europäische Unternehmen den – ich zitiere den schweizer Politiker aus der Einleitung – „US-amerikanischen und chinesischen Anbietern nicht das Wasser reichen können“.

Da Mailbox.org einen guten Ruf hat, habe ich mir ein Testkonto angelegt und mich im durchaus respektablen Angebot, immerhin bietet Mailbox.org alles an, was zB Office 365 oder Google Workspace anbietet, umgesehen. Die Oberfläche für E-Mails, Kalender, Adressbuch, To-Do-Listen und Cloudspeicher hat, bis auf ein paar optische Schnitzer, kaum Wünsche offen gelassen. Super Sache, gut gemacht, aber leider war es das auch schon für mich mit den positiven Dingen.

Die Funktionen Chat und Videokonferenz sind meiner Meinung nach für den alltäglichen Gebrauch nicht geeignet, weil sie Konfigurationsarbeit voraussetzen, die man – ich gehe nach wie vor davon aus, dass sich Mailbox.org als sichere und datenschutzfreundliche Alternative zu Google Workspace und Office 365 präsentieren will – von den Produkten der Mitbewerber einfach nicht gewohnt ist. In meinen Augen zu kompliziert und zu nah an der technophilen Boomer- und X-Generation, aber meilenweit entfernt von der Erwartungshaltung digital gut assimilierter integrierter Y- und Z-Generationen. (Und nein, wir brechen da jetzt keine Diskussion über IT-Kompetenzen der Jungen vom Zaun, nein, tun wir nicht!)

Unangenehm war für mich das Menü „Einstellungen“, weil ich mich dort nicht zurecht gefunden und so auch nicht mehr sicher gefühlt habe. Die Sorge vor Kontrollverlust, unter anderem auch über die Sicherheit des Systems, ist groß und hinterlässt bei mir ein unangenehmes, das Serviceangebot von Mailbox.org ablehnendes Gefühl.

Die Oberfläche war für mich durch die Bank unübersichtlich und verwirrend (Ausnahmen eingangs erwähnt), die zum Teil inkonsistente Benutzung verschiedener Begriffe (zB „2FA“, „OTP“, „Einmalpasswort“) nicht gerade hilfreich. Und wenn ich, der ich sicherlich schon mehr als hundert Implementierungen der Aktivierung einer 2FA gesehen und durchgeführt habe, auf die Hilfeseiten eines Services angewiesen bin, um überhaupt verstehen zu können, wie die 2FA hier funktioniert, dann ist das in meinen Augen äußerst misslungen umgesetzt.

Besonders unangenehm und für meine Ablehnung des Services den Ausschlag gebend empfand ich aber die eigene (im Sinne von „eigenartige“) Interpretation der Implementierung einer Zwei-Faktor-Authentifizierung. Mag sie technisch noch so toll sein. Wir erinnern uns? Es ist „egal, ob einige User das verstehen oder nicht. Wir bewerten das nach fachlichen Kriterien.“ Nun gut. Man muss ja kein User sein und muss das auch nicht verstehen.

Meiner Erfahrung nach macht die Einführung einer 2FA im Unternehmensumfeld ohnehin immer eine Menge Schwierigkeiten, weil Userinnen und Usern erst einmal beigebracht werden muss, warum sie diese Art des in ihrer Wahrnehmung mühsamen Logins durchführen sollen und wie das handzuhaben ist. (Soweit ich mich an Cryptopartys und andere Veranstaltungen zum Thema erinnern kann, sind auch die hartgesottensten Datenschutz- und Securityprofis der Meinung, dass Komplexität im Anmeldeprozess im Endeffekt zu Problemen und damit insgesamt zu einer Minderung der Sicherheit führt.)

Wenn man nun davon ausgeht, dass die meisten Userinnen und User ohnehin schon mit einer 2FA, wie sie in Gmail oder Outlook.com genutzt wird, in Berührung gekommen sind, dann ist die von dieser Erfahrung abweichende Implementierung der 2FA, wie sie Mailbox.org einsetzt, gewöhnungsbedürftig; dass sie auch noch die reibungslose Nutzung eines Passwortmanagers erschwert, macht die Sache umso unangenehmer und fehleranfälliger. Ob sie aus technischer Sicht besonders sicher ist oder nicht, ist an dieser Stelle und unter dem Aspekt der Usability daher auch schon egal. In meinen Augen – und ich glaube, das fasst die vielen Worte dieses Artikels auch gut zusammen – leidet Mailbox.org darunter, dass der technische Anspruch fachlicher Profis und die Adaptionsbereitschaft potentieller Nutzerinnen und Nutzer einfach zu weit auseinander liegen.

Zum Schluss: Schnupsi

Ich habe es versucht, Mailbox.org, ehrlich gemeint und mit den besten Absichten. Das ist nicht zuletzt daran zu erkennen, dass ich mir die Mühe gemacht habe, diesen Artikel zu verfassen, in dem ich auf die größten Pain-Points, die ich erlebt habe, hinweise.

Wenn ich mir den Anspruch, mit dem Mailbox.org betrieben wird, und den Zugang, der die Menschen hinter dem Service auszeichnet, ansehe, dann ist mehr als augenscheinlich, dass hier Profis am Werk sind, die ein solides Handwerk betreiben und für die Nutzerinnen und Nutzer ihres Angebots den besten Service liefern wollen. Das ist unbestritten. Das Problem vermeine ich allerdings darin zu sehen, dass dieser Zugang ein sehr technischer ist und der alltäglichen Nutzererfahrung wenig Relevanz beimisst. (Interpretiert man die Wortwahl in den Supportforen – und „schnupsi“ als Depretiativum in Bezug auf die Nutzererfahrung versus „fachliche Kriterien“ als distanziert-professionelle Bezeichnung für den eigenen, allerdings nur auf das Technische reduzierten, Zugang sind nur ein Beispiel -, dann ist das in meinen Augen schon entlarvend.)

Vielleicht hilft dieser Beitrag ja in einer möglichen Evaluierung der gesamten User Experience und ist bestenfalls ein Anstoß, das User Interface vor allem der Einstellungsseiten ein wenig massiv zu überarbeiten. Schön wäre es zumindest. Ich gebe bestimmt nicht auf und werde es sicher noch einmal probieren, aber so, wie das momentan läuft und aussieht, wird das nichts mit uns, und ich bleibe vorläufig bei Google Workspace, FastMail und Office 365.