1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
|
title: Bullshit made in Germany: Chaos Computer Club warnt vor Mogelpackung "E-Mail made in Germany"
date: 2013-12-28 18:02:00
updated: 2014-02-12 00:52:09
author: erdgeist
tags: update, pressemitteilung, congress, 30c3, de-mail
Die von den Anbietern Deutsche Telekom, web.de, GMX und Freenet als besonders sicher beworbenen "E-Mails made in Germany" werden offenbar weiterhin auch unverschlüsselt über das Internet übertragen. Davor warnt der Chaos Computer Club (CCC), der anläßlich des 30. Chaos Communication Congress die Sicherheitstechniken großer deutscher Anbieter einer kritischen Betrachtung unterzogen hat.
<!-- TEASER_END -->
Im August 2013 hatten deutsche Anbieter begonnen, den E-Mailverkehr
zwischen ihren Servern zu verschlüsseln. In einer Pressemitteilung
begrüßte der CCC diesen späten Entschluß, endlich die seit den 1990er
Jahren existierenden Standards umzusetzen. \[1\]
Eine "E-Mail made in Germany" würde auf ihrem Weg vom Sender zum
Empfänger ausschließlich verschlüsselt übertragen, lautet die Garantie
der Anbieter. Gleiches soll folgerichtig auch für das zur
Authentifizierung genutze Paßwort gelten. Bei der konkreten Umsetzung
des Sicherheitsversprechens zeigten die Anbieter allerdings weit weniger
Elan als beim großspurigen Bewerben der Maßnahme: Zwar werden Neukunden
angewiesen, ihre E-Mail-Clients für verschlüsselte Verbindungen zu
konfigurieren, für langjährige Bestandskunden jedoch werden weiterhin
unverschlüsselte Verbindungen hergestellt. Eine Warnung der Nutzer
erfolgt dabei nicht.
Das dadurch ermöglichte Mitlesen der unverschlüsselten Nachrichten und
Paßwörter erfordert keine besonderen Kenntnisse und ist mit einfachen
Bordmitteln möglich, betonte Dirk Engling vom CCC. Der Anteil
betroffener Nutzer wird auf zwanzig bis vierzig Prozent geschätzt.
Der CCC rät zur Überprüfung der E-Mail-Konfiguration: Sowohl bei ein-
als auch bei ausgehenden E-Mails müssen die Nutzer darauf achten, daß
eine TLS/SSL-verschlüsselte Verbindung aufgebaut wird, um übertragene
Inhalte und die Zugangsdaten zu schützen. Vorzugsweise sollten Nutzer
ohnehin eine Ende-zu-Ende-Verschlüsselung mittels S/Mime oder PGP
verwenden.
Im Rahmen der jährlichen Fachkonferenz Chaos Communication Congress
setze sich Sicherheitsexperte Linus Neumann in seinem Vortrag "Bullshit
made in Germany" mit den technischen Reaktionen deutscher Anbieter auf
die Snowden-Enthüllungen auseinander. \[2\] Deren Konzepte bezeichnete
er als "Mogelpackungen, die für einen schnellen Marketing-Erfolg mit den
Ängsten der Nutzer spielen". In der Regel würden allenfalls jahrelange
Versäumnisse aufgeholt, statt für eine nennenswerte Erhöhung der
Sicherheit zu sorgen. So sei die bei "E-Mail made in Germany"
nachgezogene Transportverschlüsselung selbst bei dem fragwürdigen
US-amerikanischen Anbieter Google Mail bereits seit Jahren Standard.
- \[1\] [Pressemitteilung des CCC zur Verschlüsselung deutscher
E-Mails](http://ccc.de/de/updates/2013/sommermaerchen)
- \[2\] [Vortrag "Bullshit made in
Germany"](https://events.ccc.de/congress/2013/Fahrplan/events/5210.html)
|