From aee79099309618b7d5df9260fd63745aaf1966c2 Mon Sep 17 00:00:00 2001 From: 46halbe <46halbe@berlin.ccc.de> Date: Sat, 28 Dec 2013 19:57:23 +0000 Subject: committing page revision 1 --- updates/2013/bullshit-made-in-germany.md | 55 ++++++++++++++++++++++++++++++++ 1 file changed, 55 insertions(+) create mode 100644 updates/2013/bullshit-made-in-germany.md (limited to 'updates') diff --git a/updates/2013/bullshit-made-in-germany.md b/updates/2013/bullshit-made-in-germany.md new file mode 100644 index 00000000..b0e29f86 --- /dev/null +++ b/updates/2013/bullshit-made-in-germany.md @@ -0,0 +1,55 @@ +title: Bullshit made in Germany: Chaos Computer Club warnt vor Mogelpackung "E-Mail made in Germany" +date: 2013-12-28 18:02:00 +updated: 2013-12-28 19:57:23 +author: erdgeist +tags: update, pressemitteilung, congress, 30c3, de-mail + +Die von den Anbietern Deutsche Telekom, web.de, GMX und Freenet als besonders sicher beworbenen "E-Mails made in Germany" werden offenbar weiterhin auch unverschlüsselt über das Internet übertragen. Davor warnt der Chaos Computer Club (CCC), der anläßlich des 30. Chaos Communication Congress die Sicherheitstechniken großer deutscher Anbieter einer kritischen Betrachtung unterzogen hat. + + + +Im August 2013 hatten deutsche Anbieter begonnen, den E-Mailverkehr +zwischen ihren Servern zu verschlüsseln. In einer Pressemitteilung +begrüßte der CCC diesen späten Entschluß, endlich die seit den 1990er +Jahren existierenden Standards umzusetzen. \[1\] + +Eine "E-Mail made in Germany" würde auf ihrem Weg vom Sender zum +Empfänger ausschließlich verschlüsselt übertragen, lautet die Garantie +der Anbieter. Gleiches soll folgerichtig auch für das zur +Authentifizierung genutze Paßwort gelten. Bei der konkreten Umsetzung +des Sicherheitsversprechens zeigten die Anbieter allerdings weit weniger +Elan als beim großspurigen Bewerben der Maßnahme: Zwar werden Neukunden +angewiesen, ihre E-Mail-Clients für verschlüsselte Verbindungen zu +konfigurieren, für langjährige Bestandskunden jedoch werden weiterhin +unverschlüsselte Verbindungen hergestellt. Eine Warnung der Nutzer +erfolgt dabei nicht. + +Das dadurch ermöglichte Mitlesen der unverschlüsselten Nachrichten und +Paßwörter erfordert keine besonderen Kenntnisse und ist mit einfachen +Bordmitteln möglich, betonte Dirk Engling vom CCC. Der Anteil +betroffener Nutzer wird auf zwanzig bis vierzig Prozent geschätzt. + +Der CCC rät zur Überprüfung der E-Mail-Konfiguration: Sowohl bei ein- +als auch bei ausgehenden E-Mails müssen die Nutzer darauf achten, daß +eine TLS/SSL-verschlüsselte Verbindung aufgebaut wird, um übertragene +Inhalte und die Zugangsdaten zu schützen. Vorzugsweise sollten Nutzer +ohnehin eine Ende-zu-Ende-Verschlüsselung mittels S/Mime oder PGP +verwenden. + +Im Rahmen der jährlichen Fachkonferenz Chaos Communication Congress +setze sich Sicherheitsexperte Linus Neumann in seinem Vortrag "Bullshit +made in Germany" mit den technischen Reaktionen deutscher Anbieter auf +die Snowden-Enthüllungen auseinander. \[2\] Deren Konzepte bezeichnete +er als "Mogelpackungen, die für einen schnellen Marketing-Erfolg mit den +Ängsten der Nutzer spielen". In der Regel würden allenfalls jahrelange +Versäumnisse aufgeholt, statt für eine nennenswerte Erhöhung der +Sicherheit zu sorgen. So sei die bei "E-Mail made in Germany" +nachgezogene Transportverschlüsselung selbst bei dem fragwürdigen +US-amerikanischen Anbieter Google Mail bereits seit Jahren Standard. + +- \[1\] [Pressemitteilung des CCC zur Verschlüsselung deutscher + E-Mails](http://ccc.de/de/updates/2013/sommermaerchen) +- \[2\] [Vortrag "Bullshit made in + Germany"](https://events.ccc.de/congress/2013/Fahrplan/events/5210.html) + +  -- cgit v1.2.3