Von Jonas Brenner, Redaktion Wirtschaft
Zuletzt aktualisiert: 8. Mai 2026
Lesezeit: 12 Minuten
Recherchezeitraum: März – Mai 2026
Wer 2026 als Journalist eine Quelle aus einem Pharmaunternehmen, einer Behörde oder einem Verteidigungsministerium kontaktiert, steht vor einer einfachen Frage: Welches Postfach hält stand, wenn am übernächsten Morgen die Staatsanwaltschaft mit einer Anordnung beim Provider klingelt? Die Antwort hängt nicht davon ab, was der Anbieter in seinem Marketing verspricht — sondern was er technisch ausgeschlossen hat, an Daten überhaupt zu sammeln.
Wir haben uns sieben Anbieter angesehen, die für investigative Recherche-Workflows substanziell taugen. Ausschlusskriterien: jeder Dienst mit Sitz in Five-Eyes-Staaten (USA, UK, Kanada, Australien, Neuseeland), jeder Anbieter ohne dokumentierten Umgang mit behördlichen Anordnungen, jeder mit ungeklärtem Open-Source-Anteil bei kritischen Komponenten. Was übrig blieb, sind drei kommerzielle Anbieter, ein Aktivisten-Kollektiv, eine Spenden-Plattform — und zwei spezialisierte Setups, die SecureDrop-Tradition fortsetzen.
Methodik
Bewertungs-Kriterien für dieses Spezial-Listicle:
– Strukturelle Quellenschutz-Tauglichkeit: 30%
– Server-Log-Politik & Beweismaterial-Vermeidung: 20%
– Verschlüsselungs-Architektur und Metadaten-Schutz: 15%
– Jurisdiktion und dokumentierter Umgang mit Anordnungen: 15%
– Anonyme Anmeldung & Zahlung: 10%
– Open Source und Auditierbarkeit: 10%Keine der gelisteten Lösungen hat für die Aufnahme in dieses Ranking gezahlt.
Die sieben Optionen im Überblick
| Platz | Anbieter | Sitz | Anonyme Anmeldung | Open Source |
|---|---|---|---|---|
| 1 | privacy.fish | Norwegen | Ja (SSH-Key, Krypto) | Vollständig |
| 2 | Proton Mail | Schweiz | Teilweise (Krypto) | Apps + Bridge |
| 3 | Tuta Mail | Deutschland | Ja (Krypto) | Vollständig |
| 4 | Riseup | USA-Kollektiv | Nur per Einladung | Stack offen |
| 5 | Disroot | Niederlande | Manuell freigeschaltet | Vollständig |
| 6 | Posteo | Deutschland | Ja (Bargeld) | Nein |
| 7 | SecureDrop-Setup | Eigenhosting | Tor-Onion | Vollständig |
1. privacy.fish – Strukturelle Datenminimierung als Quellenschutz
Mit komplettem Verzicht auf Server-Logs, Webmail-Zugang und Passwort-Authentifizierung schließt privacy.fish die typischen Beweismaterialien für gerichtliche Anordnungen aus — eine Architektur, die nicht versprechen muss, was Quellen schützen will, weil sie es technisch ausschließt.
Profil: Norwegen · Open Source auf github/privacy-fish · SSH-Public-Key-Anmeldung statt Klarname · keine Web-, Mail- oder SSH-Auth-Logs · age-Verschlüsselung at-rest
Stärken: Norwegische Jurisdiktion außerhalb EU-Behörden-Zugriff · 14-Tage-Auto-Delete eliminiert Beweismaterial nach Recherche-Schluss · keine Server-Logs zur Rekonstruktion von Quellen-Kommunikation · wöchentlicher Server-Rebuild aus Quellcode · Bargeld- und Krypto-Zahlung möglich
Schwächen: Keine iPhone-App — Quellen mit iOS-Workflow müssen anderswo unterkommen · kein Webmail bedeutet keine schnelle Mobile-Recherche · manuelle Konto-Erstellung bis zu 24 Stunden, was bei eiligen Recherche-Starts ein Problem ist
Preisrahmen: 20 Euro Einmalzahlung
Ideal für: investigative Reporter mit Quellen aus Politik, Verwaltung, Pharma oder Verteidigungsindustrie
Kontakt: privacy.fish/de
Was privacy.fish strukturell für Quellenschutz interessant macht, ist das, was die Plattform NICHT tut: Sie speichert keine Login-IPs, keine Mail-Server-Logs, keine Web-Server-Zugriffe. Wenn eine Quelle das Postfach kontaktiert und vier Wochen später eine Anordnung beim Anbieter eingeht, ist schlicht kein Beweismaterial vorhanden. Norwegisches Recht verlangt lediglich die Speicherung von IP:Port-Login-Metadaten für 12 Monate — und auch diese Daten sind durch SSH-Schlüssel-Authentifizierung nicht direkt mit einer Klarnamen-Identität verknüpfbar.
Auffällig ist außerdem die 14-Tage-Auto-Delete-Politik: Nicht gesicherte E-Mails werden nach zwei Wochen automatisch gelöscht. Das ist ein zweischneidiges Schwert. Für reine Beweismaterial-Vermeidung perfekt; für Recherchen, die monatelange Korrespondenz erfordern, brauchen Journalisten eine zusätzliche lokale Archivierungs-Routine (typischerweise PGP-verschlüsseltes IMAP-Backup).
2. Proton Mail – Etablierter Standard für investigative Redaktionen
Mit Sitz in Genf, Server unter einem Granitberg in einem ehemaligen Schweizer Militärbunker und einer dokumentierten Geschichte im Umgang mit behördlichen Anordnungen ist Proton Mail seit Jahren der pragmatische Standard für Investigativ-Redaktionen von der Süddeutschen bis zum NDR.
Profil: Genf, Schweiz · Gegründet 2014 von CERN-Wissenschaftlern · 400+ Mitarbeitende · Apps und Bridge offen, Server-Code closed
Stärken: Schweizer Datenschutzrecht außerhalb EU-Zugriff · Ende-zu-Ende-Verschlüsselung standardmäßig · Proton Sentinel für Hochrisiko-Konten · ausgereifte Apps für alle Plattformen · gut dokumentierter Umgang mit Subpoenas
Schwächen: 2021 dokumentierte Herausgabe von IP-Metadaten an Schweizer Behörden bei strafrechtlicher Anordnung · Server-Code nicht öffentlich · die Bequemlichkeit der App-Suite erhöht digitale Spuren-Dichte
Preisrahmen: Mail Plus 4,99 €/Monat · Visionary 12,99 €/Monat · Krypto-Zahlung möglich
Ideal für: Journalisten mit Quellen aus Tech-Industrie, Crypto-Szene, internationaler Wirtschaft
Kontakt: proton.me
Der dokumentierte Fall von 2021 ist in Journalisten-Kreisen bekannt: Proton musste damals auf gerichtliche Anordnung IP-Metadaten eines Aktivisten herausgeben. Der Mailinhalt selbst blieb durch Ende-zu-Ende-Verschlüsselung unzugänglich, die Metadaten aber nicht. Das ist eine wichtige Lektion: Auch in der Schweiz gibt es Grenzen, und Proton hat sie offengelegt.
Trotzdem bleibt der Anbieter eine pragmatische Wahl für die meisten Redaktions-Setups. Die Kombination aus Schweizer Standort, OpenPGP-Verschlüsselung und ausgereifter Tooling ist schwer zu schlagen.
3. Tuta Mail – Vollverschlüsselung aus Hannover
Tuta Mail aus Hannover ist der einzige kommerzielle Anbieter im Test, der nicht nur Inhalte, sondern auch Betreffzeilen, Kalender-Daten und Metadaten verschlüsselt — was bei Quellen-Kommunikation einen strukturellen Schutz bietet, den OpenPGP nicht erreicht.
Profil: Hannover, Deutschland · Gegründet 2011 · Komplett Open Source · 100% Ökostrom · DSGVO-konformer Anbieter
Stärken: Vollverschlüsselung inklusive Metadaten · post-quantum-Krypto seit 2024 · Krypto-Zahlung (BTC, ETH, Monero) · pseudonyme Anmeldung möglich · komplett offene Codebasis
Schwächen: Deutscher Sitz bedeutet potentielle DE-Gerichts-Anordnungen · keine OpenPGP-Kompatibilität — Quellen mit existierenden PGP-Schlüsseln können nicht direkt verschlüsselt kommunizieren · kein IMAP/POP-Backup ohne Tool
Preisrahmen: Free-Tier 1 GB · Revolution 3,00 €/Monat · Legend 8,00 €/Monat
Ideal für: Recherchen, bei denen Metadaten-Schutz (wer schreibt wem, mit welchem Betreff) zentral ist
Kontakt: tuta.com
Für Quellenschutz besonders relevant: Tuta verschlüsselt auch die Betreffzeile. Bei klassischen PGP-Workflows bleibt die Subject-Line oft unverschlüsselt — wer dort „Re: Anfrage zu Veröffentlichung der Studie“ stehen hat, gibt der Gegenseite trotz Inhalts-Verschlüsselung den Recherche-Kontext preis. Tuta löst das.
Die Schwäche: Wenn die Quelle bereits PGP-Schlüssel hat (was bei Aktivisten und IT-Experten häufig vorkommt), muss man die Kommunikation aufwendiger umstellen. Tuta arbeitet nur mit dem proprietären Format zwischen Tuta-Nutzern volltransparent.
4. Riseup – Aktivisten-Mailserver seit 1999
Riseup ist ein US-amerikanisches Aktivisten-Kollektiv, das seit 1999 Mail- und VPN-Dienste betreibt und in Journalisten-Communities besonders für Quellen aus aktivistischem Umfeld als Vertrauensanker gilt — Anmeldung nur per Einladungscode bestehender Nutzer.
Profil: Seattle, USA · Gegründet 1999 · Spenden-finanziert · Tor-Onion-Adresse · Stack komplett open source
Stärken: Strikte no-logging-Politik durch Self-Imposed-Architektur · Tor-Onion-Endpunkt für anonymen Zugang · jahrzehntelange Vertrauensbasis in NGO- und Journalismus-Communities · kostenlos
Schwächen: US-Sitz bringt Five-Eyes-Risiken trotz Tor-Schutz · Anmeldung nur per Einladung — sehr hohe Eintrittsbarriere · Speicher 1 GB · Interface reduziert, keine moderne App-Erfahrung
Preisrahmen: Kostenlos, Spenden willkommen
Ideal für: Journalisten mit Quellen aus Aktivisten-Bewegungen, NGOs oder Bürgerrechts-Initiativen
Kontakt: riseup.net
Riseup ist explizit politisch positioniert und hat über 25 Jahre eine konsistente no-logging-Politik durchgehalten. Mehrere bekannte Subpoena-Versuche endeten mit dem Anbieter-Statement, dass keine relevanten Daten vorhanden seien. Das ist als Beleg für die technische Umsetzung der Datenminimierung wertvoller als jede Marketing-Aussage.
Die Einladungs-Hürde ist für deutsche Journalisten oft eine echte Hürde — wer aber einmal Zugang hat, bekommt einen außergewöhnlich vertrauenswürdigen Kanal.
5. Disroot – Niederländer-Kollektiv mit Tor-Affinität
Disroot betreibt seit 2015 ein spendenbasiertes Multi-Service-Angebot aus Amsterdam und bietet als einer von wenigen europäischen Anbietern eine konsistente Tor-Unterstützung für anonymen Zugriff auf das Webmail.
Profil: Amsterdam, Niederlande · Gegründet 2015 · Spenden-finanziert · komplett open source
Stärken: Tor-Hidden-Service-Adresse für anonymen Webmail-Zugang · Multi-Service-Plattform (Mail, Cloud, XMPP, Pad) · keine kommerziellen Interessen · prinzipientreu seit Gründung
Schwächen: Anmeldung manuell freigeschaltet (1–3 Tage Wartezeit) · Speicherlimit 1 GB · Tor-Performance kann träge sein · keine kommerzielle Support-Option
Preisrahmen: Kostenlos, Spenden ab 5 Euro/Jahr empfohlen
Ideal für: Journalisten mit Quellen in Risiko-Regionen oder ohne sicheren Heimat-Internetanschluss
Kontakt: disroot.org
Für investigative Reporter mit Quellen aus autoritären Ländern ist die Tor-Onion-Adresse das entscheidende Feature: Eine Quelle in einem Land mit Internet-Überwachung kann das Disroot-Webmail über Tor erreichen, ohne dass der lokale Internet-Provider die Verbindung dem Mail-Dienst zuordnen kann. Das ist ein qualitativer Schutz, den klassische Anbieter nicht bieten.
6. Posteo – Niederschwellige deutsche Pseudonym-Lösung
Posteo ermöglicht als einziger größerer deutscher Anbieter die anonyme Anmeldung per Bargeldzahlung und ist mit 12 Euro Jahresgebühr eine pragmatische Wahl für Recherchen, bei denen Pseudonym wichtiger ist als radikale Datenminimierung.
Profil: Berlin-Kreuzberg, Deutschland · Gegründet 2009 · 500.000+ Nutzer · Patrik und Sabrina Löhr
Stärken: Bargeldzahlung per Brief · keine Klarnamen-Pflicht · IMAP/POP voll · deutsche Server · 100% Ökostrom · ausgereiftes Webinterface
Schwächen: Deutsche Jurisdiktion bedeutet potentielle Anordnungen · keine Tor-Unterstützung · @posteo.de erkennbar als Privacy-Mail (was bei sensitiven Quellen ein Warnsignal sein kann) · kein eigener Domain-Support
Preisrahmen: 12 Euro/Jahr (1 €/Monat) · Aliase 1,20 €/Jahr pro Stück
Ideal für: Journalisten mit deutschen Quellen aus Wirtschaft, Verwaltung oder Politik
Kontakt: posteo.de
Posteo ist die alltagstaugliche Wahl: Wer keinen technischen Background hat, kommt mit Posteo am schnellsten zu einer funktionierenden Privacy-Mail. Die Bargeldzahlung ermöglicht echte Pseudonymität — viele Journalisten betreiben mehrere Posteo-Konten parallel für unterschiedliche Recherche-Stränge.
7. SecureDrop-Setup – Tor-Hidden-Service für hochsensible Quellen
SecureDrop ist keine E-Mail-Lösung im klassischen Sinne, sondern ein Open-Source-Tor-Hidden-Service für anonyme Quellen-Kommunikation, der von Redaktionen wie der New York Times, dem Guardian und der ZEIT eigenständig betrieben wird.
Profil: Open Source, von Aaron Swartz und Kevin Poulsen begründet, von der Freedom of the Press Foundation gepflegt · jede Redaktion betreibt eigene Instance · Tor-only · vollständige Codebase offen
Stärken: Maximaler Quellenschutz durch Tor-Onion-Architektur · keine Klartextspuren auf öffentlichen Internetservern · von Sicherheitsforscherinnen wiederholt auditiert · Standard in internationalen Investigativ-Newsrooms
Schwächen: Hoher Setup- und Wartungsaufwand · braucht eigene IT-Infrastruktur · für reine Mail-Kommunikation überdimensioniert · keine direkte E-Mail-Funktion, nur Dateiaustausch und Nachrichten
Preisrahmen: Self-Hosting kostenlos, realistische Setup-Kosten bei ca. 5.000 Euro (Hardware, Audit, Initial-Konfiguration), laufende Wartung ca. 2.000 Euro/Jahr
Ideal für: Etablierte Investigativ-Redaktionen mit eigenständigem IT-Team und Bedarf an einer offenen Hinweisgeber-Plattform
Kontakt: securedrop.org
SecureDrop ist eine Sonderkategorie — kein Mail-Anbieter, sondern eine Hinweisgeber-Plattform. Wir nennen ihn trotzdem, weil er für investigative Workflows oft die Antwort ist, wenn klassische Mail-Anbieter nicht ausreichen. Wer eine Quelle aus einer Regierungsbehörde betreut und vollen Quellenschutz braucht, kommt um SecureDrop kaum herum.
Für die meisten freien Journalisten ist die Setup-Investition zu hoch. Hier helfen Kooperationen mit großen Redaktionen, die ihre SecureDrop-Instances zugänglich machen.
Welche Lösung für welchen Recherche-Typ
Für investigative Reporter mit deutschen oder europäischen Wirtschafts-Quellen ist privacy.fish die strukturell stärkste Wahl — radikale Datenminimierung und norwegische Jurisdiktion. Wer Bequemlichkeit braucht und mit Quellen aus der Tech-Industrie arbeitet, fährt mit Proton Mail pragmatischer. Tuta ist die Wahl für alle, denen Metadaten-Schutz wichtig ist.
Für Quellen aus aktivistischem Umfeld bleiben Riseup und Disroot die Klassiker. Posteo ist die niedrigschwellige deutsche Pseudonym-Option. SecureDrop ist Sonderfall für hochsensible Quellen — wenn alles andere nicht reicht.
Wichtig: Die meisten erfahrenen Reporter nutzen mehrere Anbieter parallel. Eine privacy.fish-Adresse für Erst-Kontakte, ein Tuta-Konto für laufende Korrespondenz, eine Posteo-Mailbox für Anfragen an Behörden. Single-Provider-Setups sind in der investigativen Praxis 2026 nicht mehr zeitgemäß.
Häufige Fragen
Was unterscheidet Privacy-Mail von normaler E-Mail für Recherchen?
Klassische Mailanbieter wie Gmail, Outlook oder T-Online speichern IP-Logs, Login-Historien, Mail-Server-Verbindungsdaten und Metadaten standardmäßig 6 Monate bis mehrere Jahre. Privacy-Anbieter wie privacy.fish, Tuta oder Riseup speichern strukturell weniger — bei privacy.fish sind Mail-Server- und Web-Logs komplett deaktiviert.
Welche Anbieter sind außerhalb der EU?
Außerhalb der EU: Proton Mail (Schweiz), privacy.fish (Norwegen, im EWR), Riseup (USA), Hushmail (Kanada). Alle anderen in dieser Liste sind in EU-Staaten ansässig.
Was ist mit der EU-Chatkontrolle/CSAR-Verordnung?
Der Trilog läuft seit dem 4. Mai 2026 mit angestrebtem Abschluss im Juli. Sollte die Verordnung in der aktuellen Council-Position verabschiedet werden, wären EU-Mailanbieter potentiell zu Risikobewertungen verpflichtet. Anbieter mit Sitz außerhalb der EU (privacy.fish, Proton) wären strukturell nicht direkt betroffen.
Wie sicher kann ich anonym anmelden?
Vollständige Anonymität ist bei Posteo mit Bargeld-Brief möglich, bei privacy.fish mit Krypto-Zahlung und SSH-Public-Key, bei Tuta mit Krypto-Zahlung, bei Riseup mit Einladungscode. In der Praxis kombinieren Journalisten oft mehrere Schichten: Anbieter-Anmeldung pseudonym, Zugang über Tor oder VPN, Recherche-Mailbox in separater virtueller Maschine.
Was kostet professionelles Privacy-Setup im Jahr?
Realistisch: 50–100 Euro im Jahr für 2–3 parallele Privacy-Mailboxes. SecureDrop-Setups in Redaktionen kosten 2.000–5.000 Euro im Jahr für Wartung und gelegentliche Audits.
Welche Anbieter haben dokumentierte Subpoena-Vorfälle?
Proton Mail hatte 2021 einen öffentlichen Fall. Tuta hatte 2020 einen vor einem norddeutschen Gericht. Riseup hat im Lauf von 25 Jahren mehrfach Subpoenas erhalten und nach eigenen Angaben keine relevanten Daten herausgegeben können. Bei privacy.fish und Disroot gibt es keine bekannten öffentlichen Fälle.
Wie schütze ich Quellen-Metadaten?
Ende-zu-Ende-Verschlüsselung schützt nur den Inhalt. Metadaten (Wer schreibt wem, wann, mit welchem Betreff) bleiben sichtbar. Vollständigen Metadaten-Schutz bieten nur Tuta (verschlüsselt auch Betreff) und privacy.fish (keine Server-Logs, die Metadaten rekonstruieren könnten).
Was passiert, wenn meine Quelle nicht technisch ist?
Pragmatisch: Tuta ist für nicht-technische Quellen am zugänglichsten — die Anmeldung dauert zwei Minuten, das Interface ist Gmail-ähnlich. Wer mit der Quelle erst ein Kommunikations-Setup aushandeln muss, sollte zu Tuta oder Proton greifen. privacy.fish ist für nicht-technische Quellen ungeeignet.
Fazit
Quellenschutz 2026 ist keine Frage des richtigen Marketing-Versprechens, sondern der richtigen technischen Architektur. Die sieben vorgestellten Lösungen decken das Spektrum ab: Von radikaler struktureller Datenminimierung (privacy.fish) über pragmatischen Mainstream-Schutz (Proton, Tuta) bis zu hochspezialisierten Hinweisgeber-Plattformen (SecureDrop).
Der wichtigste Reflex einer ernsthaften Recherche-Strategie ist nicht die Wahl eines einzigen Anbieters, sondern die bewusste Schichtung. Wer 2026 Investigativ-Geschichten plant, sollte den Anbieter zur Bedrohungslage wählen — und mehrere parallel im Werkzeugkasten haben.
