Verschlüsselung email made in Germany
Verschlüsselung – email made in Germany
Infolge der NSA-Affäre gründeten vier große deutsche E-Mail-Anbieter zusammen die Brancheninitiative “E-Mail made in Germany”. Dass es sich hierbei um kein Gütesiegel im Sinne neuer Sicherheitsstandards handelt, liegt auf der Hand. Dabei sollten eigentlich alle Verbindungen zu den Mailanbietern GMX, Web.de, T-Online und Freenet nur noch verschlüsselt ablaufen – allerdings lediglich der Transport und nicht Ende-zu-Ende.
Gut gemeint aber schlecht gemacht
Die Mails liegen nämlich (in der Standardeinstellung) wieder unverschlüsselt auf den Servern der Provider. Weiters ist sogar die Transportverschlüsselung schlecht umgesetzt worden – Problem: für Logins auf den providereigenen Websites gilt der Schutz nur eingeschränkt, sodass damit der gesamte Sicherheitsansatz ins Leere läuft – leicht zu erkennen an der unverschlüsselten Adresse “http://”. Wenn nun die Verbindung, mit welcher dieses übertragen wird manipuliert wird (z.B. durch einen User im selben WLAN, Stichwort SSL-Stripping), kann ein Angreifer die Verschlüsselung einfach abschalten.
Sicher ist sicher
Anwender, die ihre Mails über spezielle Mailprogramme wie Thunderbird oder Apple Mail Lesen und verschicken, haben kein Problem, zumal dabei der Login über spezielle komplett verschlüsselte Mailprotokolle erfolgt. Auch die Firefox-Entwickler haben mittlerweile eine Warnfunktion implementiert (bisher allerdings nur in Testversionen), die vor derartigen unverschlüsselten Formularen warnt. Weitaus besser sind hier die US-Anbieter Gmail und Yahoo, die auf standardmäßige Verschlüsselung setzen und zusätzlich auf Strict Transport Security, welche unverschlüsselte Verbindungen komplett unterbindet.
link:
http://www.zeit.de/digital/datenschutz/2015-11/verschluesselung-email-made-in-germany-login