mensmaximus Ihr IT-Supervisor

Was steckt hinter „E-Mail made in Germany“

Initiative E-Mail made in GermanyDas Medienecho zur Initiative „E-Mail made in Germany“ ist groß und geteilt. Während z.B. stern.de und welt.de eine dpa Meldung gleichlautend und ohne eigene Kritik veröffentlichten, klingt das bei heise.de schon anders: „E-Mail made in Germany: Vollständig umgesetzt, dennoch unzureichend“. Was ist also dran an der Initiative von GMX, Telekom und WEB.DE?

Über 30 Millionen Passwörter in nur 3 Monaten gestohlen

Den teilweise sorglosen Umgang mit der digitalen Kommunikation bemängeln wir schon lange. Es ist also grundsätzlich zu begrüßen, wenn sich große Konzerne wie die Deutsche Telekom und 1&1 in die Diskussion einbringen und Lösungen anbieten. Dank der Enthüllungen von Edward Snowden zur NSA und der Nachrichten über den millionenfachen Identitätsdiebstahl im Januar und April 2014, findet die groß angelegte Werbekampagne der Initiative „E-Mail made in Germany“ fruchtbaren Boden.

Im TV-Spot zur Initiative heißt es: „Mit E-Mail made in Germany sind Ihre Mails automatisch geschützt“. Und auf der Website ist zu lesen: „Ihre Daten werden automatisch verschlüsselt“. Leider ist das nur die halbe Wahrheit, wie auch schon vom Chaos Computer Club im August 2013 trefflich dargelegt wurde.

Geheimdienste haben weiterhin vollen Zugriff auf Inhalte von E-Mails

Die reine SSL-Verschlüsselung einer Verbindung zwischen Mail-Client und Mail-Server bzw. zwischen zwei Servern bedeutet nur, dass der Transport einer E-Mail abgesichert ist. Sobald die Nachricht beim Provider im Postfach des Kunden abgelegt wird, ist diese wieder im Klartext lesbar. Auch der Einsatz von Antispam- und Antivirus-Techniken auf der Providerseite funktioniert nur bei unverschlüsselten Nachrichten. Zwar kann auch hier die Kommunikation mit dem Antispam-Dienst über SSL erfolgen, die E-Mail selbst muss aber lesbar sein, andernfalls kann der Inhalt nicht auf Spam oder Viren geprüft werden.

Unbefugte können sich also weiterhin Zugriff auf Nachrichteninhalte verschaffen, solange nur die Verbindungswege verschlüsselt werden. Hacker nutzen hierzu im Allgemeinen Sicherheitslücken im Betriebssystem bzw. in den Zugangssystemen. Die Möglichkeiten und Praktiken der Geheimdienste sollten zwischenzeitlich hinlänglich bekannt sein. Zum jetzigen Zeitpunkt kann das unberechtigte Lesen von Nachrichten nur durch den Einsatz von Verschlüsselungsprotokollen wie OpenPGP oder S/MIME verhindert werden.

Weitere Unsicherheitsfaktoren liegen im SSL-Protokoll selbst, in der Implementation und in der Validierung von SSL-Zertifikaten. So wurde z.B. Anfang April 2014 der sogenannte Heartbleed-Exploit in OpenSSL entdeckt. Im Februar 2014 kämpfte Apple mit der „goto fail“ Lücke. Wie sicher eine SSL-Verbindung ist, hängt von vielen Faktoren ab. Die pauschale Aussage, E-Mails seien durch die Verwendung verschlüsselter Verbindungen geschützt, ist falsch. Erfreulicherweise nehmen sich die Mitglieder der Initiative bereits einigen dieser Punkte an und verbessern die Sicherheit z.B. durch den Einsatz von PFS (Perfect Forward Secrecy) zur Verhinderung der Entschlüsselung einer auf dem Transport abgefangenen E-Mail.

Die SSL-Verschlüsselung gibt es seit den 90er Jahren

1994 entwickelte Netscape SSL um eine sichere Kommunikation im Internet zu ermöglichen. Obwohl SSL bereits Ende der 90er in TLS (Transport Layer Security) umbenannt wurde, hat sich der Begriff SSL in den Köpfen festgesetzt.

Die Initiative „E-Mail made in Germany“ hat das Rad also nicht neu erfunden. Tatsächlich kann man E-Mails bei GMX, WEB.DE, T-Online und Freenet schon lange über SSL versenden. Fraglich ist allerdings, warum man diese Möglichkeit nicht viel früher zum Standard erhoben hat. Denn zumindest bei der Server zu Server Kommunikation scheinen GMX und WEB.DE bereits seit längerem auf TLS zu setzen.

Diesen Vorwurf müssen sich aber auch andere Anbieter, wie z.B. Gmail, Mail.de oder Eclipso gefallen lassen, denn obwohl dort ebenfalls seit längerer Zeit SSL zur Verschlüsselung genutzt wird, hat man den Anwender nicht an die Hand genommen.

Ein falsches Gefühl von Sicherheit ist gefährlich

Wirklichen Schutz gibt es im Internet nur bedingt und eine funktionierende SSL-Verschlüsselung ist nur eine, wenn auch sehr wichtige, Voraussetzung für den sicheren Einsatz von E-Mail. Was fehlt ist eine umfassende Aufklärung der Anwender und die Bereitstellung zusätzlicher Mechanismen, wie z.B. die einfache Erstellung und Einbindung von GPG/PGP bzw. S/MIME Zertifikaten. Wie das funktioniert macht Lavaboom vor.

Das Fehlen eines generellen Verhaltenskodex im Umgang mit E-Mails, Benutzernamen und Kennwörtern stellt neben den technischen Problemen die Hauptursache für den millionenfachen Diebstahl von Identitäten im Internet dar. Aber Aufklärung kostet Zeit und Geld. Zwei Themen die sich mit einer Massenmarktphilosophie schlecht verbinden lassen. Daran ändert auch die Einladung von Firmen zur Teilnahme an der Initiative durch Zertifizierung beim TÜV nichts.

In einem Interview spricht Ralph Dommermuth, CEO von United Internet, von einem „guten Gefühl, dass die Übertragungswege zwischen GMX, WEB.DE und T-Online SSL verschlüsselt sind, dass sie sicher sind und dass die E-Mails, die ich schreibe und empfange, nicht mitgelesen werden können.“. Ein gutes Gefühl gibt aber keine Sicherheit, denn ob Daten mitgelesen werden können hängt nicht alleine von der Verschlüsselung des Transportweges ab.

„E-Mail made in Germany“ nur ein erster Schritt

Die Initiative ist mit dem Start der TV-Kampagne zum 29.4.2014 eher ein Marketinginstrument für die Marken von United Internet (GMX, WEB.DE, 1&1) und den jahrzehntelangen Kooperationspartner Deutsche Telekom (T-Online, Strato). Die gesteigerte Aufmerksamkeit der Anwender aufgrund der NSA Affäre ist dabei sicherlich mehr als nützlich. Dennoch ist „E-Mail made in Germany“ ein erster, wenn auch längst überfälliger Schritt in die richtige Richtung.

Es wird noch einige Zeit vergehen bis die Kommunikation per E-Mail wirklich sicher ist, vielversprechende Ansätze gibt es bereits, wie z.B. DANE oder Darkmail. In der Zwischenzeit raten wir allen Anwendern folgende Regeln zu befolgen:

  1. Verwenden Sie starke und sichere Passwörter. 12 Zeichen sind gut, 20 sind besser. Besonders wichtig ist die Zusammensetzung: Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Bunt gemischt, von jedem mindestens drei. ‚Em2Gy+8Ua#3T9fZ!‘ ist einfach viel besser als ‚123456‘
  2. Verwenden Sie unterschiedliche Konten für unterschiedliche Zwecke (Privat, Geschäft, Social Media, usw) mit unterschiedlichen Kennwörtern! Sollte eines in die falschen Hände geraten sind die restlichen Adressen noch sicher
  3. Nutzen Sie einen Anbieter mit SSL-Verschlüsselung für die Client und Server Verbindung. Das darf gerne ein Mitglied von „E-Mail made in Germany“ sein aber auch Gmail. Firmen mit eigenem Mail-Server müssen auf die richtige Implementierung achten
  4. Verwenden Sie immer PGP (unser Favorit) oder S/MIME zur Verschlüsselung Ihrer E-Mails. Wenn Ihr E-Mail Programm das nicht kann, verwenden Sie ein anderes, wie z.B. Thunderbird. Bequemlichkeit darf der Sicherheit niemals im Weg stehen!
  5. Geschäftliche Korrespondenz gehört auf Dauer NICHT in die Cloud des Providers! Erstellen Sie ein revisionssicheres, lokales Archiv aller E-Mails z.B. mit Mailstore auf einem NAS (unsere Empfehlung: DS411slim)

Mit diesen fünf einfachen Regeln erhöhen Sie die Sicherheit Ihrer E-Mails deutlich, wobei die Wichtigkeit der Ende-zu-Ende Verschlüsselung, also Punkt 4, nicht oft genug betont werden kann.

Sichere E-Mail Kommunikation im Unternehmen

Ob sich der Einsatz eines eigenen Mail-Servers lohnt, hängt vom Einzelfall ab. Firmen die das größtmögliche Maß an Sicherheit wünschen, kommen aber nicht um eine eigene Lösung herum. Eine hauseigene Installation bietet zudem weitere Möglichkeiten, wie z.B. Unified Communications. E-Mail, SMS, Groupware, Videokonferenzen und VOIP können in einem sicheren Umfeld in Eigenregie betrieben werden.

Interessierte Unternehmen aus Deutschland, Österreich und der Schweiz informieren wir gerne über die Möglichkeiten zum Aufbau einer sicheren E-Mail Lösung mit dem Icewarp Server für Windows und Linux.

WordPress Experte und SpezialistAls WordPress Entwickler mit 13 Jahren Erfahrung unterstütze ich Unternehmer bei der Erstellung von Applikationen und Webseiten auf der Basis von WordPress. Als WooCommerce Spezialist konzentriere ich mich auf e-Commerce Anwendungen mit WordPress. Auf meiner Know-How Seite erfahren Sie mehr über mich.