English

Calendar

Bullshit made in Germany: Chaos Computer Club warnt vor Mogelpackung "E-Mail made in Germany"

2013-12-28 18:02:00, erdgeist

Die von den Anbietern Deutsche Telekom, web.de, GMX und Freenet als besonders sicher beworbenen "E-Mails made in Germany" werden offenbar weiterhin auch unverschlüsselt über das Internet übertragen. Davor warnt der Chaos Computer Club (CCC), der anläßlich des 30. Chaos Communication Congress die Sicherheitstechniken großer deutscher Anbieter einer kritischen Betrachtung unterzogen hat.

Im August 2013 hatten deutsche Anbieter begonnen, den E-Mailverkehr zwischen ihren Servern zu verschlüsseln. In einer Pressemitteilung begrüßte der CCC diesen späten Entschluß, endlich die seit den 1990er Jahren existierenden Standards umzusetzen. [1]

Eine "E-Mail made in Germany" würde auf ihrem Weg vom Sender zum Empfänger ausschließlich verschlüsselt übertragen, lautet die Garantie der Anbieter. Gleiches soll folgerichtig auch für das zur Authentifizierung genutze Paßwort gelten. Bei der konkreten Umsetzung des Sicherheitsversprechens zeigten die Anbieter allerdings weit weniger Elan als beim großspurigen Bewerben der Maßnahme: Zwar werden Neukunden angewiesen, ihre E-Mail-Clients für verschlüsselte Verbindungen zu konfigurieren, für langjährige Bestandskunden jedoch werden weiterhin unverschlüsselte Verbindungen hergestellt. Eine Warnung der Nutzer erfolgt dabei nicht.

Das dadurch ermöglichte Mitlesen der unverschlüsselten Nachrichten und Paßwörter erfordert keine besonderen Kenntnisse und ist mit einfachen Bordmitteln möglich, betonte Dirk Engling vom CCC. Der Anteil betroffener Nutzer wird auf zwanzig bis vierzig Prozent geschätzt.

Der CCC rät zur Überprüfung der E-Mail-Konfiguration: Sowohl bei ein- als auch bei ausgehenden E-Mails müssen die Nutzer darauf achten, daß eine TLS/SSL-verschlüsselte Verbindung aufgebaut wird, um übertragene Inhalte und die Zugangsdaten zu schützen. Vorzugsweise sollten Nutzer ohnehin eine Ende-zu-Ende-Verschlüsselung mittels S/Mime oder PGP verwenden.

Im Rahmen der jährlichen Fachkonferenz Chaos Communication Congress setze sich Sicherheitsexperte Linus Neumann in seinem Vortrag "Bullshit made in Germany" mit den technischen Reaktionen deutscher Anbieter auf die Snowden-Enthüllungen auseinander. [2] Deren Konzepte bezeichnete er als "Mogelpackungen, die für einen schnellen Marketing-Erfolg mit den Ängsten der Nutzer spielen". In der Regel würden allenfalls jahrelange Versäumnisse aufgeholt, statt für eine nennenswerte Erhöhung der Sicherheit zu sorgen. So sei die bei "E-Mail made in Germany" nachgezogene Transportverschlüsselung selbst bei dem fragwürdigen US-amerikanischen Anbieter Google Mail bereits seit Jahren Standard.