Dieser Artikel wurde aktualisiert, um die WireGuard®- und Stealth-VPN-Protokolle aufzunehmen.
Wir erklären, was ein VPN-Protokoll ist und was es tut. Wir vergleichen auch die Stärken und Schwächen der gängigsten Protokolle, einschließlich OpenVPN, WireGuard®, IKEv2, PPTP und L2TP.
Bevor du einem VPN vertraust, deine Internetaktivitäten zu schützen, musst du sicherstellen, dass sie die notwendigen Schutzmaßnahmen getroffen haben. Die technischeren Aspekte eines VPN zu bewerten, kann schwierig sein. Es bedeutet oft, sich durch einen Buchstabensalat verschiedener Akronyme zu kämpfen.
Wir haben eine Serie von Posts begonnen, in denen wir einige unserer Sicherheitsmaßnahmen erklären, damit Menschen fundiertere Entscheidungen treffen können. Unser erster Post erklärte, was HMAC SHA-384 bedeutet. Dieser Post wird VPN-Protokolle untersuchen, was sie tun, wie sie funktionieren und was es bedeutet, wenn ein VPN-Dienst zum Beispiel OpenVPN über L2TP verwendet.
Dieser Post taucht in einige der inneren Funktionsweisen von VPNs ein. Während wir versuchen, Begriffe klar zu erklären, wird dieser Post nützlicher sein, wenn du mit etwas technischem Basiswissen kommst. Wenn du dir nicht sicher bist, wie ein VPN funktioniert, könnte es hilfreich sein, den unten verlinkten Artikel zu lesen, bevor du fortfährst.
Erfahre, wie ein VPN funktioniert
VPN-Protokolle
VPNs verlassen sich auf sogenanntes „Tunneling“, um ein privates Netzwerk zwischen zwei Computern über das Internet zu erstellen. Ein VPN-Protokoll, auch bekannt als „Tunneling-Protokoll“, sind die Anweisungen, die dein Gerät verwendet, um die sichere verschlüsselte Verbindung auszuhandeln, die das Netzwerk zwischen deinem Computer und einem anderen bildet.
Ein VPN-Protokoll besteht normalerweise aus zwei Kanälen: einem Datenkanal und einem Kontrollkanal. Der Kontrollkanal ist verantwortlich für den Schlüsselaustausch, die Authentifizierung und den Parameteraustausch (wie die Bereitstellung einer IP oder von Routen und DNS-Servern). Der Datenkanal ist, wie du vielleicht erraten hast, für den Transport deiner Internetverkehrsdaten verantwortlich. Zusammen bauen diese zwei Kanäle einen sicheren VPN-Tunnel auf und erhalten ihn aufrecht. Damit deine Daten jedoch diesen sicheren Tunnel passieren können, müssen sie gekapselt werden.
Kapselung ist, wenn ein VPN-Protokoll Datenbits, bekannt als Datenpakete, aus deinem Internetverkehr nimmt und sie in ein anderes Paket platziert. Diese zusätzliche Schicht ist notwendig, weil die Protokollkonfigurationen, die dein VPN im Datenkanal verwendet, nicht unbedingt dieselben sind, die das reguläre Internet verwendet. Die zusätzliche Schicht ermöglicht es deinen Informationen, durch den VPN-Tunnel zu reisen und an ihrem korrekten Bestimmungsort anzukommen.
Das ist alles etwas technisch, also ein grober Überblick: Wenn du dich mit einem VPN-Server verbindest, nutzt das VPN seinen Kontrollkanal, um gemeinsame Schlüssel zu erstellen und eine Verbindung zwischen deinem Gerät und dem Server herzustellen. Sobald diese Verbindung hergestellt ist, beginnt der Datenkanal, deinen Internetverkehr zu übertragen. Wenn ein VPN über die Stärken und Schwächen seiner Leistung diskutiert oder über einen „sicheren VPN-Tunnel“ spricht, spricht es über seinen Datenkanal. Sobald der VPN-Tunnel aufgebaut wurde, hat der Kontrollkanal dann die Aufgabe, die Stabilität der Verbindung aufrechtzuerhalten.
PPTP
Point-to-Point Tunneling Protocol (PPTP) ist eines der älteren VPN-Protokolle. Es wurde ursprünglich mit Unterstützung von Microsoft entwickelt, weshalb alle Versionen von Windows und die meisten anderen Betriebssysteme nativen Support für PPTP bieten.
PPTP nutzt das Point-to-Point Protocol (PPP), das selbst wie ein Proto-VPN ist. Obwohl es recht alt ist, kann PPP einen Benutzer authentifizieren (meist mit MS-CHAP v2) und Daten selbst verkapseln, wodurch es sowohl die Aufgaben des Steuerkanals als auch des Datenkanals übernimmt. PPP ist jedoch nicht routbar; es kann nicht allein über das Internet gesendet werden. Daher verkapselt PPTP die PPP-verkapselten Daten erneut mittels Generic Routing Encapsulation (GRE), um seinen Datenkanal aufzubauen.
Leider verfügt PPTP über keine eigenen Verschlüsselungs- oder Authentifizierungsfunktionen. Es verlässt sich auf PPP, um diese Funktionen zu implementieren – was problematisch ist, da das Authentifizierungssystem von PPP und die von Microsoft hinzugefügte Verschlüsselung, MPPE, beide schwach sind.
Verschlüsselung: Microsofts Point-to-Point Encryption-Protokoll (MPPE(neues Fenster)), das den RSA RC4-Algorithmus verwendet. Die maximale Stärke von MPPE sind 128-Bit-Schlüssel.
Geschwindigkeit: Da seine Verschlüsselungsprotokolle nicht viel Rechenleistung erfordern (RC4 und nur 128-Bit-Schlüssel), behält PPTP schnelle Verbindungsgeschwindigkeiten bei.
Bekannte Schwachstellen: PPTP weist seit 1998 zahlreiche bekannte Sicherheitslücken auf. Eine der schwerwiegendsten Schwachstellen nutzt die nicht verkapselte MS-CHAP v2-Authentifizierung aus, um einen Man-in-the-Middle-Angriff (MITM) durchzuführen.
Firewall-Ports: TCP-Port 1723. Die Nutzung von GRE durch PPTP bedeutet, dass es keine Network Address Translation-Firewall (NAT) durchqueren kann und eines der am einfachsten zu blockierenden VPN-Protokolle ist. (Eine NAT-Firewall ermöglicht es mehreren Personen, gleichzeitig eine öffentliche IP-Adresse zu teilen. Dies ist wichtig, da die meisten einzelnen Benutzer keine eigene IP-Adresse haben.)
Stabilität: PPTP ist nicht so zuverlässig und erholt sich bei instabilen Netzwerkverbindungen nicht so schnell wie OpenVPN.
Fazit: Wenn du dir Sorgen um die Sicherheit deiner Daten machst, gibt es keinen Grund, PPTP zu verwenden. Selbst Microsoft hat seinen Benutzern geraten(neues Fenster), auf andere VPN-Protokolle umzusteigen, um ihre Daten zu schützen.
L2TP/IPSec
Layer Two Tunneling Protocol (L2TP) sollte PPTP ersetzen. L2TP kann die Authentifizierung selbst übernehmen und führt eine UDP-Verkapselung durch, sodass es gewissermaßen sowohl den Steuer- als auch den Datenkanal bilden kann. Ähnlich wie PPTP fügt es jedoch selbst keine Verschlüsselung hinzu. Während L2TP PPP senden kann, wird L2TP meist mit der Internet Protocol Security (IPSec)-Suite kombiniert, um dessen Verschlüsselung und Authentifizierung zu handhaben und die inhärenten Schwächen von PPP zu vermeiden.
IPSec ist ein flexibles Framework, das sowohl auf VPNs als auch auf Routing- und Sicherheit auf Anwendungsebene angewendet werden kann. Wenn du dich über L2TP/IPSec mit einem VPN-Server verbindest, handelt IPSec die geteilten Schlüssel aus und authentifiziert die Verbindung eines sicheren Steuerkanals zwischen deinem Gerät und dem Server.
IPSec verkapselt dann die Daten. Wenn IPSec diese Verkapselung durchführt, wendet es einen Authentifizierungs-Header an und nutzt den Encapsulation Security Payload (ESP). Diese speziellen Header fügen jedem Paket eine digitale Signatur hinzu, sodass Angreifer deine Daten nicht manipulieren können, ohne den VPN-Server zu alarmieren.
ESP verschlüsselt die verkapselten Datenpakete, sodass kein Angreifer sie lesen kann (und authentifiziert je nach Einstellungen des VPN auch das Datenpaket). Sobald IPSec die Daten verkapselt hat, verkapselt L2TP diese Daten erneut mittels UDP, damit sie den Datenkanal passieren können.
Mehrere VPN-Protokolle, einschließlich IKEv2, nutzen IPSec-Verschlüsselung. Obwohl allgemein sicher, ist IPSec sehr komplex, was zu schlechter Implementierung führen kann. L2TP/IPSec wird auf den meisten gängigen Betriebssystemen unterstützt.
Verschlüsselung: L2TP/IPSec kann entweder 3DES- oder AES-Verschlüsselung verwenden, wobei 3DES mittlerweile als schwache Chiffre gilt und selten genutzt wird.
Geschwindigkeit: L2TP/IPSec ist im Allgemeinen langsamer als OpenVPN bei gleicher Verschlüsselungsstärke. Dies liegt hauptsächlich daran, dass die von OpenVPN genutzte AES-Verschlüsselung auf den meisten gängigen Prozessoren hardwarebeschleunigt ist.
Bekannte Schwachstellen: L2TP/IPSec ist ein fortschrittliches VPN-Protokoll, aber eine geleakte NSA-Präsentation(neues Fenster) deutet darauf hin, dass der Geheimdienst bereits Wege gefunden hat, es zu manipulieren. Zudem haben aufgrund der Komplexität von IPSec viele VPN-Anbieter vorab geteilte Schlüssel (Pre-Shared Keys) verwendet(neues Fenster), um L2TP/IPSec einzurichten.
Firewall-Ports: UDP-Port 500 wird für den anfänglichen Schlüsselaustausch genutzt, UDP-Port 5500 für NAT-Traversal und UDP-Port 1701, um L2TP-Verkehr zuzulassen. Da es diese festen Ports nutzt, ist L2TP/IPSec einfacher zu blockieren als manche anderen Protokolle.
Stabilität: L2TP/IPSec ist nicht so stabil wie einige der fortschrittlicheren VPN-Protokolle. Seine Komplexität kann zu häufigen Netzwerkabbrüchen führen.
Fazit: Die Sicherheit von L2TP/IPSec ist zweifellos eine Verbesserung gegenüber PPTP, aber es schützt deine Daten möglicherweise nicht vor fortschrittlichen Angreifern. Die langsameren Geschwindigkeiten und die Instabilität bedeuten auch, dass Benutzer die Verwendung von L2TP/IPSec nur in Betracht ziehen sollten, wenn es keine anderen Optionen gibt.
IKEv2/IPSec
Internet Key Exchange Version 2 (IKEv2) ist ein relativ neues Tunneling-Protokoll, das eigentlich Teil der IPSec-Suite ist. Microsoft und Cisco arbeiteten bei der Entwicklung des ursprünglichen IKEv2/IPSec-Protokolls zusammen, aber es gibt mittlerweile viele Open-Source-Varianten.
IKEv2 richtet einen Steuerkanal ein, indem es einen sicheren Kommunikationskanal zwischen deinem Gerät und dem VPN-Server mithilfe des Diffie-Hellman-Schlüsselaustausch(neues Fenster)-Algorithmus authentifiziert. IKEv2 nutzt diesen sicheren Kommunikationskanal dann, um eine sogenannte Security Association herzustellen, was einfach bedeutet, dass dein Gerät und der VPN-Server dieselben Verschlüsselungsschlüssel und Algorithmen zur Kommunikation verwenden.
Sobald die Security Association steht, kann IPSec einen Tunnel erstellen, authentifizierte Header auf deine Datenpakete anwenden und sie mit ESP verkapseln. (Auch hier hängt es von der verwendeten Chiffre ab, ob ESP die Nachrichtenauthentifizierung übernimmt.) Die verkapselten Datenpakete werden dann erneut in UDP verkapselt, damit sie den Tunnel passieren können.
IKEv2/IPSec wird auf Windows 7 und neueren Versionen, macOS 10.11 und neueren Versionen sowie den meisten mobilen Betriebssystemen unterstützt.
Verschlüsselung: IKEv2/IPSec kann eine Reihe verschiedener kryptografischer Algorithmen verwenden, darunter AES, Blowfish und Camellia. Es unterstützt 256-Bit-Verschlüsselung.
Geschwindigkeit: IKEv2/IPSec ist ein schnelles VPN-Protokoll, wenngleich meist nicht so schnell wie hardwarebeschleunigtes OpenVPN oder WireGuard.
Bekannte Schwachstellen: IKEv2/IPSec hat keine bekannten Schwächen, und fast alle IT-Sicherheitsexperten halten es für sicher, wenn es ordnungsgemäß mit Perfect Forward Secrecy implementiert ist.
Firewall-Ports: UDP-Port 500 wird für den anfänglichen Schlüsselaustausch und UDP-Port 4500 für NAT-Traversal verwendet. Da es immer diese Ports nutzt, ist IKEv2/IPSec leichter zu blockieren als manche anderen Protokolle.
Stabilität: IKEv2/IPSec unterstützt das Mobility- und Multihoming-Protokoll, was es zuverlässiger macht als die meisten anderen VPN-Protokolle, insbesondere für Benutzer, die oft zwischen verschiedenen WLAN-Netzwerken wechseln.
Fazit: Mit starker Sicherheit, hohen Geschwindigkeiten und erhöhter Stabilität ist IKEv2/IPSec ein gutes VPN-Protokoll. Die kürzliche Einführung von WireGuard bedeutet jedoch, dass es nur wenige Gründe gibt, es dem neueren VPN-Protokoll vorzuziehen.
OpenVPN
OpenVPN ist ein Open-Source-Tunneling-Protokoll. Im Gegensatz zu VPN-Protokollen, die auf der IPSec-Suite basieren, nutzt OpenVPN SSL/TLS für den Schlüsselaustausch und die Einrichtung des Steuerkanals sowie ein einzigartiges OpenVPN-Protokoll für die Verkapselung und den Datenkanal.
Das bedeutet, dass sowohl sein Datenkanal als auch sein Steuerkanal verschlüsselt sind, was es im Vergleich zu anderen VPN-Protokollen etwas einzigartig macht. Es wird auf allen gängigen Betriebssystemen über Software von Drittanbietern unterstützt.
Verschlüsselung: OpenVPN kann jeden der verschiedenen kryptografischen Algorithmen der OpenSSL(neues Fenster)-Bibliothek verwenden, um seine Daten zu verschlüsseln, einschließlich AES, RC5 und Blowfish.
Mehr über AES-Verschlüsselung erfahren
Geschwindigkeit: Bei Verwendung von UDP behält OpenVPN schnelle Verbindungen bei, obwohl IKEv2/IPSec und WireGuard allgemein als schneller gelten.
Bekannte Schwachstellen: OpenVPN weist keine bekannten Schwachstellen auf, solange es mit einem ausreichend starken Verschlüsselungsalgorithmus und Perfect Forward Secrecy implementiert ist. Es ist der Industriestandard für VPNs, die Wert auf Datensicherheit legen.
Firewall-Ports: OpenVPN kann so konfiguriert werden, dass es auf jedem UDP- oder TCP-Port läuft, einschließlich TCP-Port 443, der den gesamten HTTPS-Verkehr abwickelt, wodurch es sehr schwer zu blockieren ist.
Stabilität: OpenVPN ist im Allgemeinen sehr stabil und verfügt über einen TCP-Modus zur Umgehung von Zensur.
Fazit: OpenVPN ist sicher, zuverlässig und Open Source. Es ist eines der besten derzeit verwendeten VPN-Protokolle, insbesondere für Benutzer, denen Datensicherheit am wichtigsten ist. Seine Fähigkeit, Verbindungen über TCP zu routen (siehe unten), macht es auch zu einer guten Wahl, um Zensur zu umgehen. Obwohl WireGuard den Anti-Zensur-Vorteil von OpenVPN nicht bietet, ist es ebenfalls sicher und schneller als OpenVPN.
WireGuard®
WireGuard(neues Fenster) ist ein Open-Source-VPN-Protokoll, das sicher, schnell und effizient ist.
Verschlüsselung: WireGuard nutzt ChaCha20 für symmetrische Verschlüsselung (RFC7539(neues Fenster)), Curve25519 für anonymen Schlüsselaustausch, Poly1305 für Datenauthentifizierung und BLAKE2s für Hashing (RFC7693(neues Fenster)). Es unterstützt automatisch Perfect Forward Secrecy.
Geschwindigkeit: WireGuard verwendet neue, schnelle kryptografische Algorithmen. ChaCha20 ist zum Beispiel viel einfacher als AES-Chiffren gleicher Stärke und fast genauso schnell, obwohl die meisten Geräte mittlerweile Anweisungen für AES in ihre Hardware integriert haben. Das Ergebnis ist, dass WireGuard schnelle Verbindungsgeschwindigkeiten bietet und geringe CPU-Anforderungen hat.
Bekannte Schwachstellen: WireGuard wurde verschiedenen formalen Verifizierungen unterzogen, und um in den Linux-Kernel aufgenommen zu werden, wurde die Linux-Codebasis von WireGuard von Dritten unabhängig geprüft(neues Fenster).
Firewall-Ports: WireGuard kann für die Nutzung beliebiger Ports konfiguriert werden und läuft normalerweise über UDP. Proton VPN bietet jedoch in den meisten unserer Apps auch WireGuard über TCP an.
Stabilität: WireGuard ist ein sehr stabiles VPN-Protokoll und führt neue Funktionen ein, die andere Tunneling-Protokolle nicht haben, wie z. B. die Aufrechterhaltung einer VPN-Verbindung beim Wechsel von VPN-Servern oder WLAN-Netzwerken.
Fazit: Als hochmodernes VPN-Protokoll ist WireGuard schnell, effizient und sicher. Es ist nicht so „schlacfterprobt“ wie OpenVPN und bietet nicht die TCP-basierten Anti-Zensur-Funktionen von OpenVPN (siehe unten), aber für die meisten Menschen ist es die meiste Zeit das VPN-Protokoll, das wir empfehlen.
Stealth
Stealth ist ein neues VPN-Protokoll, das von Proton entwickelt wurde. Damit kannst du auf zensierte Seiten zugreifen und mit Menschen in sozialen Medien kommunizieren, selbst wenn reguläre VPN-Protokolle von deiner Regierung oder Organisation blockiert werden.
Stealth basiert auf WireGuard, das über TLS getunnelt wird. Es verwendet daher dieselbe Verschlüsselung wie WireGuard, mit einer zusätzlichen Ebene der TLS-Verschlüsselung. Ansonsten ist es identisch mit WireGuard (oben beschrieben).
Weitere wichtige Begriffe
Beim Durchgehen der Vergleiche der verschiedenen VPN-Protokolle bist du vielleicht auf Abkürzungen oder technische Begriffe gestoßen, die dir nicht vertraut waren. Wir erklären hier einige der wichtigsten.
TCP vs. UDP
Das Transmission Control Protocol (TCP) und das User Datagram Protocol (UDP) sind die zwei verschiedenen Wege, auf denen Geräte über das Internet miteinander kommunizieren können. Beide laufen über das Internet Protocol, das für das Senden von Datenpaketen an und von IP-Adressen verantwortlich ist.
Wenn du siehst, dass ein Tunneling-Protokoll einen TCP-Port oder einen UDP-Port verwendet, bedeutet dies, dass es eine Verbindung zwischen deinem Computer und dem VPN-Server über eines dieser beiden Protokolle herstellt.
Ob ein VPN-Protokoll TCP, UDP oder beides verwendet, kann seine Leistung erheblich beeinflussen. TCP konzentriert sich primär auf die akkurate Datenübermittlung, indem es zusätzliche Prüfungen durchführt, um sicherzustellen, dass die Daten in der richtigen Reihenfolge sind, und sie korrigiert, falls nicht.
Das klingt nach einer guten Funktion, aber die Durchführung von Prüfungen braucht Zeit, was zu langsamerer Leistung führt. Ein VPN über TCP laufen zu lassen (TCP über TCP), kann deine Verbindung in einem sogenannten TCP-Meltdown verlangsamen.
Wenn du zum Beispiel TCP-Verkehr hast, der durch einen OpenVPN-TCP-Tunnel läuft, und die TCP-Daten im Tunnel einen Fehler erkennen, versuchen sie zu kompensieren, was dazu führen kann, dass der TCP-Tunnel überkompensiert. Dieser Prozess kann schwere Verzögerungen bei der Übermittlung deiner Daten verursachen.
Es ist jedoch auch gut, um Zensur zu umgehen. Das liegt daran, dass HTTPS(neues Fenster)-Verkehr den TCP-Port 443 nutzt. Wenn du also deine VPN-Verbindung über denselben Port routest, sieht es wie gewöhnlicher sicherer VPN-Verkehr aus.
Die Fähigkeit, VPN-Verkehr über Port 443 laufen zu lassen, ist einer der größten Vorteile der Nutzung von OpenVPN (und WireGuard, falls Proton VPNs benutzerdefinierte TCP-Implementierung des Protokolls verwendet wird).
Mehr über TCP und UDP erfahren
Perfect Forward Secrecy
Perfect Forward Secrecy ist eine kritische Sicherheitskomponente verschlüsselter Kommunikation. Es bezieht sich auf Vorgänge, die regeln, wie deine Verschlüsselungsschlüssel generiert werden. Wenn dein VPN Perfect Forward Secrecy unterstützt, erstellt es für jede Sitzung einen einzigartigen Satz Schlüssel (d. h. jedes Mal, wenn du eine neue VPN-Verbindung herstellst).
Das bedeutet, dass selbst wenn ein Angreifer irgendwie einen deiner Schlüssel bekommt, er ihn nur nutzen kann, um auf Daten dieser spezifischen VPN-Sitzung zuzugreifen. Die Daten in deinen restlichen Sitzungen bleiben sicher, da verschiedene, einzigartige Schlüssel sie schützen. Es bedeutet auch, dass dein Sitzungsschlüssel sicher bleibt, selbst wenn der private Schlüssel deines VPN offengelegt wird.
Von Proton VPN-Apps verwendete Protokolle
Wir haben Proton VPN gestartet, um sicherzustellen, dass Aktivisten, Dissidenten und Journalisten sicheren und privaten Zugriff auf das Internet haben. Um die Proton-Community sicher zu halten, verwenden wir nur vertrauenswürdige und geprüfte VPN-Protokolle. Die folgende Liste zeigt, welche VPN-Protokolle in unseren verschiedenen Apps unterstützt werden:
- Windows: OpenVPN, WireGuard® und Stealth
- macOS: OpenVPN, IKEv2, WireGuard und Stealth
- Android: OpenVPN, WireGuard und Stealth
- iOS/iPadOS: OpenVPN, IKEv2, WireGuard und Stealth
- Linux: OpenVPN und WireGuard
Du kannst OpenVPN und WireGuard im UDP- oder TCP-Modus verwenden.
Erfahre, wie du VPN-Protokolle änderst
Unsere Windows-, macOS-, Android- und iOS/iPadOS-Apps unterstützen Smart Protocol. Diese Anti-Zensur-Funktion prüft Netzwerke intelligent, um die beste VPN-Protokollkonfiguration zu entdecken, die für optimale Leistung oder zur Umgehung von Zensur erforderlich ist.
Zum Beispiel kann es automatisch von IKEv2 zu OpenVPN oder von OpenVPN UDP zu OpenVPN TCP wechseln und dabei verschiedene Ports je nach Bedarf nutzen.
Mehr über Smart Protocol erfahren
Alle unsere Apps verwenden die stärksten Sicherheitseinstellungen, die vom VPN-Protokoll unterstützt werden. OpenVPN, WireGuard und IKEv2/IPSec sind die einzigen Protokolle, bei denen sich die große Mehrheit der IT-Sicherheitsexperten einig ist, dass sie sicher sind.
Wir weigern uns, VPN-Verbindungen über PPTP oder L2TP/IPSec anzubieten (auch wenn sie günstiger im Betrieb und einfacher zu konfigurieren sind), da ihre Sicherheit nicht unseren Standards entspricht.
Wenn du dich bei Proton VPN anmeldest, kannst du darauf vertrauen, dass deine VPN-Verbindung die neuesten und stärksten Tunneling-Protokolle verwendet.
Viele Grüße,
Das Proton VPN-Team
Du kannst uns in den sozialen Medien folgen, um über die neuesten Proton VPN-Releases auf dem Laufenden zu bleiben:
Twitter(neues Fenster) | Facebook(neues Fenster) | Reddit(neues Fenster)
Um ein kostenloses verschlüsseltes E-Mail-Konto von Proton Mail zu erhalten, besuche: proton.me/mail(neues Fenster)
