Edward Snowdens Enthüllungen machen es möglich. Die Deutsche Telekom und die beiden 1&1-Töchter GMX und Web.de kündigten heute Vormittag an, dass sie die Daten auf allen Übertragungswegen automatisch verschlüsseln wollen. Wie der Forensiker Pascal Kurschildgen anmerkt, müsste dies auch hierzulande längst Standard sein. Mit Ausnahme der Anbieter soll so während der Übertragung niemand den Inhalt der E-Mails lesen können.
Wie E-Mail made in Germany ganz genau funktioniert, wird leider nicht in der Pressemitteilung der Telekom und der 1&1 Mail & Media GmbH erläutert. Dafür wird man die User zur Nutzung von verschlüsselten Verbindungen via SSL zwingen. Wer also künftig mit seinem E-Mail-Client (Outlook, Thunderbird etc.) oder per Webclient seine E-Mails lesen oder welche verschicken will, muss verschlüsseln, ansonsten funktioniert der Transfer nicht. Bisher war nur der Transfer der Daten über den Webclient abgesichert.
Besser spät als nie!
Durch die Zusammenarbeit werden etwa zwei Drittel aller deutschen E-Mail-Nutzer abgesichert. Die Telekom kündigte derweil an, man sei auch dazu bereit, die Kooperation auf weitere E-Mail-Dienstleister auszudehnen. Natürlich wird in der Pressemitteilung nicht erwähnt, dass beispielsweise bei GMail die Verschlüsselung sowieso schon seit langer Zeit vorgenommen wird. Die deutschen Anbieter legen nicht vor, sie ziehen nach.
Metadaten gehen unverschlüsselt auf die Reise
An der möglichen Auswertung der Metadaten durch Geheimdienste oder andere Interessenten, siehe der gestrige Bericht, ändert das Vorhaben sowieso nichts. Warum? Die Metadaten werden laut Frank Bergmann weiterhin unverschlüsselt übertragen. Auch gehen die E-Mails der restlichen deutschen Anbieter wie üblich als Klartext auf die Reise.
Kurschildgen findet, die ganze Angelegenheit hätte man mit deutlich weniger Aufsehen über die Bühne bringen sollen. Eine derartige Ankündigung wäre angemessen, hätte man einen Vorsprung gegenüber Google & Co gewonnen, anstatt endlich deren Standards zu erfüllen. Richard Joos kommentierte das Vorhaben überaus passend mit den Worten: „SSL vom Browser zum Server sagt noch gar nichts über den Zustand auf dem Mailserver selber aus. Insofern, ohne weitere Infos hat man hier ein Fenster zugemacht und weiß noch nichts über den Zustand von Haus- und Hintertür.„
Die SSL-Verschlüsselung vom Browser zum Mailserver ist auch bei den deutschen Anbietern Standard. Für die Verbindung vom Mailprogramm zum Server ist – wohl eher aus historischen Gründen – SSL nicht Pflicht. Das soll sich 2014 ändern.
Jetzt wird auch zwischen den Mailservern verschlüsselt, was bisher eher unüblich ist. Eine Mail von GMail kommt beim T-Online-Mailserver unverschlüsselt an. So habe ich die Pressekonferenz heute verstanden.
Der Login ist bei Web.de nicht verschlüsselt, danach läuft es via https, stimmt. Warum eigentlich nicht von Anfang an?
Finde ich echt interessant, wie diese Unternehmen eine Selbstverständlichkeit so groß in Szene setzen. Eine interne Mail – von denen man bei GMX und WEB.de sowieso genug bekommt – hätte doch vollkommen ausgereicht.
Der Wert der Maßnahme dürfte eher zweifelhaft sein, solange die Mails jederzeit auf den Server entschlüsselt werden können bringt es dem Endnutzer nichts. Eine Ende-zu-Ende Verschlüsselung wäre notwendig aber immer noch nur schwer realisierbar.
MfG
Mr. J