Wir reden oft über Features: Sofort-Aliasse, anonyme Antworten, EU-Hosting. Aber wie funktioniert das alles unter der Haube? Dieser Artikel zieht den Vorhang zurück und zeigt dir, wie FAE deine Daten schützt — technisch, transparent, nachvollziehbar.
Das Grundprinzip: Trennung als Sicherheitsstrategie
Die zentrale Idee hinter FAE ist Trennung. Nicht Verschleierung, nicht Verschlüsselung als Alibi — echte, architektonische Trennung deiner Identitäten.
- Eigenes Postfach pro Alias
- Eigene Eingangsschlange und Metadaten
- Keine Verbindung zu anderen Aliasen
- Keine Verbindung zu deiner echten Identität
Wenn ein Alias kompromittiert wird, ist das Schadensmaximum auf diesen einen Alias begrenzt. Das ist keine Feature-Entscheidung — das ist Security by Design.
EU-Hosting: Warum der Standort wichtig ist
FAE läuft ausschließlich auf Servern in Irland, EU. Warum?
Rechtliche Sicherheit: Die DSGVO gilt durchgängig. Keine CLOUD Act-Problematik, keine Datenweitergabe an US-Behörden ohne gerichtliche Anordnung.
Technische Kontrolle: Wir wissen genau, wo unsere Server stehen. Wir haben physischen Zugang, wir kennen das Rechenzentrum, wir vertrauen dem Provider.
Verschlüsselung: AES-256-GCM für alles
Alle E-Mails werden mit AES-256-GCM verschlüsselt gespeichert. Das ist der gleiche Standard, den Regierungen und Militärs für geheime Dokumente nutzen.
Wie es funktioniert:
- E-Mail kommt auf unseren Server
- Inhalte werden mit einem eindeutigen Schlüssel verschlüsselt
- Nur die App kann mit deinem Authentifizierungs-Token den Schlüssel ableiten
- Selbst bei einem vollständigen Datenbank-Leak wären die E-Mails unlesbar
Das Reply-Only-System: Sicherheit durch Einschränkung
Unser kontroversiestes Feature ist auch unser sicherstes: Du kannst nur antworten, nicht aktiv senden.
- Spam-Prävention: Spammer können FAE nicht als Ausgangsbasis nutzen
- Vertrauenswürdigkeit: E-Mail-Anbieter vertrauen Reply-Only-Domains mehr
- Fokus: FAE ist für Empfang und gelegentliche Antworten gedacht
Wir lesen deine E-Mails nicht. Wir analysieren sie nicht. Wir verkaufen nichts. Unsere einzige Einnahmequelle ist dein Abo.
Kein Tracking, keine Analyse
Das klingt wie Marketing-Sprech, ist aber eine technische Realität:
- Keine Analyse-Tools: Kein Google Analytics, kein Mixpanel
- Keine Cookies zu Werbezwecken — nur essenzielle Session-Cookies
- Keine Verhaltensanalyse und keine Weitergabe deiner Daten
Authentifizierung und Zugriffskontrolle
Passwörter: Wir speichern keine Klartext-Passwörter. Nur bcrypt-Hashes mit Salt. Selbst bei einem Datenbank-Leak könnten deine Passwörter nicht rekonstruiert werden.
Zwei-Faktor-Authentifizierung: Optional verfügbar über TOTP (Time-based One-Time Password). Kompatibel mit Google Authenticator, Authy, 1Password und anderen.
Incident Response: Was passiert bei einem Vorfall?
Sicherheit ist nicht nur Prävention — auch Reaktion zählt. Unser Incident-Response-Plan:
- Erkennung: Automatisierte Monitoring-Systeme melden Anomalien
- Eindämmung: Sofortige Isolation betroffener Systeme
- Untersuchung: Forensische Analyse des Vorfalls
- Benachrichtigung: Innerhalb von 72 Stunden an betroffene Nutzer (DSGVO-konform)
- Nachbereitung: Maßnahmen zur Vermeidung ähnlicher Vorfälle
Fazit
Sicherheit ist kein Produkt, das man kauft. Sie ist ein Prozess, den man lebt. Bei FAE durchzieht sie jeden Aspekt unserer Architektur:
- Trennung statt Zentralisierung
- Verschlüsselung als Standard
- Einschränkung als Feature
- Transparenz als Prinzip