E-Mail made in Germany

26. November 2013 um 22:24 Uhr von Sabine Becker

Schon kürzlich habe ich über die Umstellung unter anderem bei T-Online auf SSL/TLS berichtet. Gestern bekam ich nun einen Newsletter von der Deutschen Telekom, in welchem das ganze noch einmal ausführlich beworben wird. Dazu hätte ich dann doch noch so ein paar generelle Anmerkungen.

Unter dem Motto E-Mail made in Germany werben also derzeit die Anbieter T-Online, GMX, Freenet und web.de für ihre E-Mail-Dienste, die jetzt besonders sicher sein sollen. Wenn man die Werbesprüche mal wegläßt und sich die technischen Gegebenheiten anschaut, merkt man aber schnell, daß ein Teil ein alter Hut ist und der Rest nicht vor Datenspionage schützt.

Verschlüsselte Datenübertragung

Egal ob Sie unsere E-Mail-Dienste per Browser oder App auf Ihrem PC, Laptop, Smartphone (z.B. iPhone oder Android) oder Tablet nutzen, Ihre Daten werden immer SSL-verschlüsselt übermittelt und so vor dem Zugriff von Dritten geschützt.

Geschützt wird hier ausschließlich der Transport der E-Mails. Auf den Servern liegen sie natürlich weiterhin unverschlüsselt, wenn keine Ende-zu-Ende-Verschlüsselung wie GnuPG verwendet wurde. Somit kann jeder, der direkten Zugriff auf die Server hat, die E-Mails auch weiterhin lesen.

Die gesicherte Übertragung mit SSL oder TLS funktioniert im Übrigen nur, wenn beide beteiligten Mailserver diese Verschlüsselungstechnik kennen. Es nützt nichts, wenn ein Server hochaktuelles TLS spricht, wenn der andere nur veraltetes SSL oder gar keine Verschlüsselung kennt.

Ansonsten kann ich mir die Anmerkung nicht verkneifen, daß eine SSL/TLS-geschützte Kommunikation zwischen Mailservern eigentlich schon lange Standard ist – zumindest abseits dieser hochgeschätzten deutschen Provider. Die genannten deutschen E-Mail-Anbieter sind nur jetzt erst, nach der NSA-Affäre, auf den Trichter gekommen, daß sie das nun auch langsam mal machen könnten, und verkaufen es uns jetzt als ganz tolles neues Sicherheits-Feature. Die Mailserver, die wir von Nerd4U selbst aufsetzen, machen das alles schon lange.

Datenverarbeitung in Deutschland

Ihre Daten werden ausschließlich in Deutschland nach strengen deutschen Datenschutzstandards gespeichert.

Davon kann man wohl eigentlich selbstverständlich ausgehen, daß deutsche Anbieter die Daten ihrer Kunden nicht in eine US-amerikanische Cloud werfen. Allerdings sagen sie nicht dazu, daß das alles gar nichts nützt, wenn der Mailpartner seine E-Mail-Adresse bei GMail oder einem sonstigen Anbieter hat, bei dem sich NSA und/oder GCHQ ungehemmt bedienen können.

Abgesehen davon hilft das natürlich überhaupt nicht gegen die Spionage aus dem eigenen Land: Der BND schnorchelt beispielsweise bekanntermaßen Daten direkt am großen Netzknoten DeCIX in Frankfurt ab. Angeblich „nur“ bis zu 20 %, aber erstens, wer's glaubt, und zweitens: Jedes Byte ist bereits eines zu viel!

Zwar greift hier die SSL-Verschlüsselung zwischen den Servern; diese ist aber nur so gut wie die Stärke der Verschlüsselung. Ist die SSL-Verschlüsselung nur schwach, dann hilft das auch wieder nichts. Zudem besteht, wenn man es drauf ankommen lassen will, die Möglichkeit, das SSL-Zertifikat des Zielservers zu faken, um die Verschlüsselung aufzuknacken. Gerade Geheimdienste haben damit ja nicht unbedingt ein Problem.

Dazu kommt, daß jeder Anbieter von Internet-Dienstleistungen, der mehr als 10.000 Kunden hat, den deutschen Ermittlungsbehörden eine Abhörschnittstelle zur Telekommunikationsüberwachung zur Verfügung stellen muß. Das gilt natürlich insbesondere auch für die Überwachung von E-Mail. Nun ist es nichts Neues, daß der dafür eigentlich notwendige Richtervorbehalt nur ein Feigenblatt ist, weil die Richter, die generell unter Zeitdruck stehen, gar nicht die Zeit haben, zu überprüfen, ob die ihnen von der Ermittlungsbehörde vorgelegten, fertig vorformulierten Durchsuchungsbeschlüsse rechtlich einwandfrei, angemessen und verhältnismäßig sind. Ob und inwieweit deutsche oder sonstige Geheimdienste darauf Zugriff haben, ist so gar nicht bekannt. Daher ist ein Mißbrauch (auch) an dieser Stelle nicht auszuschließen. Aber das dürfen große deutsche E-Mail-Provider natürlich so nicht sagen. 😉

Kennzeichnung sicherer Kommunikation

Immer wenn Sie das Sicherheitssiegel E-Mail made in Germany an von Ihnen ausgewählten E-Mail-Adressen sehen, können Sie sicher sein, dass diese Adressen dem hohen Sicherheitsstandard von E-Mail made in Germany entsprechen.

Aus den vorgenannten Gründen ist dieses Sicherheitssiegel schlicht und einfach ein Kennzeichen für – gar nichts.

Wer sichere E-Mail möchte, verwendet starke Mailverschlüsselung, wozu auch die Verschlüsselung der Datenträger gehört, auf welchen sich private Schlüssel befinden. Wir zeigen Euch gern, wie das funktioniert.

Ein weiterer Sicherheitsfaktor ist der eigene Mailserver. Auf diesen können Spione jeglicher Herkunft nicht so einfach zugreifen wie auf den eines großen Mailanbieters – zumindest nicht, ohne daß man es merkt.

Generell bietet ein eigener Mailserver natürlich auch mehr Unabhängigkeit. Dazu gehört beispielsweise auch die Hoheit über Spamfilter (ja oder nein und wenn ja, welcher und mit welchen Kriterien arbeitend). Selbstverständlich beraten und unterstützen wir Euch auch bei der Einrichtung und Administration Eures eigenen Mailservers.

[Update 2013-12-29 13:05] Der Chaos Computer Club (CCC) bestätigt unsere Bedenken: Bullshit made in Germany: Chaos Computer Club warnt vor Mogelpackung „E-Mail made in Germany“ [/Update]

Kommentieren