1907961

Made in Germany – Bei E-Mail kein Gütesiegel

11.03.2014 | 10:00 Uhr |

Zum 31. März wird SSL-Verschlüsselung für Telekom-Kunden obligatorisch. Doch was der Bonner Konzern gemeinsam mit seinen Partnern Freenet und United Internet als deutsche Web-Revolution verkauft, ist nur eins: peinlich

Eigentlich müsste man ja froh sein, dass Deutschlands größte Telekommunikationskonzerne beim vielleicht wichtigsten IT-Thema dieser Tage gemeinsame Sache machen. Telekom, United Internet (1&1, GMX, web.de) und Freenet versuchen im Rahmen ihrer Brancheninitiative mit dem markigen Namen „E-Mail Made in Germany“ für ihre Kunden „verlässlich hohe und transparente Sicherheits- und Datenschutzstandards zu garantieren“. Das Einzige, worauf sich Nutzer und Kunden in Deutschland aber wirklich verlassen können, ist die Zuverlässigkeit der PR-Abteilungen. Neu ist das nicht – und die Sicherheit der versendeten Daten ist auf diesem Wege bei weitem nicht gewährleistet.

Warum erst jetzt?

Wenn es nur so einfach wäre, wie in diesem Schaubild aufgezeigt – tatsächlich kennt das Internet nur in sehr eingeschränktem Maße Grenzen.
Vergrößern Wenn es nur so einfach wäre, wie in diesem Schaubild aufgezeigt – tatsächlich kennt das Internet nur in sehr eingeschränktem Maße Grenzen.

Im Kern gehen die Überlegungen der deutschen Internetriesen dahin, dass die Versandwege von E-Mails zwischen Kunden per Secure Sockets Layer (SSL) beziehungsweise Transport Layer Security (TLS) verschlüsselt werden sollen. Die Initiative kommt jedoch ein paar Jahre zu spät. Die Ur-Version von SSL stammt aus dem Jahr 1994 und wurde seiner Zeit von Netscape Communications entwickelt. Mittlerweile laufen große Teile der Kommunikation im Netz über Verbindungen, die per SSL und TLS abgesichert werden. Es handelt sich bei „E-Mail Made in Germany“ also mehr darum, die Versäumnisse der Dienste-Anbieter in den letzten Jahren aufzuholen. Die Verschlüsselung des Transportwegs ist auch nur ein Puzzleteil im Gesamtbild.

Was nutzen beispielsweise verschlüsselte Transportwege, wenn die sicher transportierten Mails anschließend im Klartext auf den Servern der Betreiber liegen? Außerdem stellt sich die Frage: Was machen die Kunden und Nutzer, die ihre Mail-Konten nicht bei „E-Mail Made in Germany“-Mitgliedern haben? Diese Fragen bleiben ungeklärt. Es wäre an der Zeit, aus einer Selbstverpflichtung einzelner Dienste-Anbieter eine gesetzliche Regelung, etwa in Form einer Pflicht zur Nutzung der jeweils aktuellsten Verschlüsselungsstandards, zu machen – von einer Ausweitung des Brief- und Fernmeldegeheimnisses auf die digitale Kommunikation gar nicht zu sprechen.

De-Mail: Nicht sicher genug

Stellen Sie sich vor, Sie müssten einen Brief per „Einschreiben Eigenhändig“ versenden. Sie gehen zur Post und geben die Sendung auf. Der Dienstleister übernimmt den Transport und garantiert die Zustellung – und zwar nur an den angegebenen Adressaten. Der Post kommt dabei die Rolle der Authentifizierungsinstanz zu, denn sie prüft anhand eines Ausweisdokuments, ob der Empfänger auch wirklich der genannte Adressat ist. Ein ähnliches Konzept muss wohl den Vätern und Müttern der DE-Mail vorgeschwebt sein.

Statt die Nachrichten Ende-zu-Ende-verschlüsselt und vom Absender digital signiert zu versenden, wird mit dem zur normalen Mail nicht kompatiblen De-Mail-Standard ein Paralleluniversum aufgemacht, dass den Experten vom Chaos Computer Club (CCC) nach „kein höheres Sicherheitsniveau als eine herkömmliche E-Mail aufweist.“ Die digitale Signatur von DE-Mail übernehmen nicht wie bei S/MIME Zertifikate einer zentralen Authentifizierungsstelle, sondern der De-Mail-Provider. Einfach gesprochen, handelt es sich bei der De-Mail also um E-Mails, die zum einen bewusst mit regulären Mails inkompatibel sind und zum anderen auch noch vom Anbieter entschlüsselt und analysiert werden können. Besser wäre es, auf einheitliche Richtlinien mit gängigen Verfahren wie S/MIME oder PGP zu setzen.

Spiel mit der Angst

Der Schritt, den die an der Initiative „E-Mail Made in Germany“ beteiligten Konzerne mit der Umstellung auf verpflichtende Transportwegverschlüsselung unternehmen, ist im Grundsatz richtig. Die Mail-Provider verschweigen den Internetnutzern aber einen entscheidenden Bestandteil des Bildes: Nur weil der Versand zwischen den teilnehmenden Partnern verschlüsselt erfolgt, folgt daraus nicht, dass die Kommunikation der Kunden jetzt sicher ist.

Im Gegenteil: Die Anbieter erzeugen ein zwischen Naivität („Die werden es schon wissen“) und gefährlichem Halbwissen („Es ist doch verschlüsselt?!?“) angesiedeltes Sicherheitsgefühl, das besorgte Nutzer und Kunden vom Angebot überzeugen soll. Tatsächlich wäre es eine bessere Idee gewesen, Nutzern und Kunden ehrlich und gerade heraus zu kommunizieren, dass die SSL-Pflicht erst der Anfang weiterer Bemühungen sein kann.

Im Moment können wir allen Nutzern nur raten: Verwenden Sie für vertrauliche Mails die gängigen Ende-zu-Ende-Verfahren S/MIME oder OpenPGP, denn nur so ist gewährleistet, dass wirklich nur Sie und der Adressat mitlesen.

Glossar: Mail-Sicherheit

TLS und SSL – Verschlüsselungs-Protokolle

Ohne die Verschlüsselungs-Standards Secure Sockets Layer (SSL) beziehungsweise Transport Layer Security (TLS) geht eigentlich im Internet von heute gar nichts mehr. Umso verwunderlicher ist, dass die Telekom eine Technik, die andere Anbieter schon seit Jahren einsetzten, erst jetzt zur Pflicht macht (bislang war die Absicherung des Transportwegs von E-Mails per SSL/TLS optional). Der aktuellste Standard TLS (Version 1.2) ist dabei eine Weiterentwicklung des ursprünglich von Netscape entwickelten SSL-Standards. Diese Standards dienen zur Verschlüsselung und Authentifizierung der Kommunikation zwischen Servern Clients im Internet. Einfach ausgedrückt dienen SSL und TLS also der Transportwegverschlüsselung von Daten im Internet.

End-to-End (Ende-zu-Ende)-Verschlüsselung – garantiert sicher

Die derzeit sicherste Art der digitalen Kommunikation erfolgt über so genannte Ende-zu-Ende-Verschlüsselung. Dabei können nur der Absender und der Empfänger anhand ihrer geheimen Schlüssel den Inhalt von verschlüsselten Nachrichten aufdecken – neugierige Geheimdienste oder andere Unbefugte haben so kaum eine Chance, an die Inhalte heranzukommen. Beispiele für solche Verschlüsselungen sind S/MIME und OpenPGP für E-Mails oder der Instant-Messenger Threema.

0 Kommentare zu diesem Artikel
1907961