Wieder einmal geht es um die E-Mail, des privaten Internetnutzers zweitliebstes Kind und in der Wirtschaft gar nicht mehr wegzudenken. Dabei ist die E-Mail an und für sich so erfolgreich, dass seit ihrer Erfindung Ende der 80er Jahre nicht wesentlich verändert wurde und dies überrascht eigentlich. Während das Telefon in der gleichen Zeit von über knisternden analogen Leitungen und Wählscheiben über ISDN auf IP-Telefonie umgestellt wurde, schleicht die klassische E-Mail nach wie vor unverschlüsselt wie eine Postkarte durch das weltweite Netz.
Gut, zugegeben, eine Veränderung hat sich dann schon eingestellt, denn zum Verfassen und Lesen der E-Mails ist nun nicht zwingend mehr ein eigenes Programm, ein Mail-Client wie Microsoft Outlook oder Mozilla Thunderbird mehr erforderlich. Zahlreiche Anbieter im Netz haben Lösungen für den Internetbrowser entwickelt, so dass man überall und jederzeit seine E-Mails prüfen kann. Verglichen mit unserer Postkarte, die also nicht mehr im hauseigenen Briefkasten (Mail-Client) landet, hängt sie nun also einfach an jedem schwarzen Brett.
Um das Thema genauer zu erfassen, muss man sich den Weg der E-Mail vom Sender zum Empfänger einmal genauer ansehen. Alice, so nennen wir unsere Absenderin nun der Einfachheit halber, schreibt also nun ihre Nachricht im Browserfenster ihres E-Mail Dienstleisters. Alle Eingaben gehen dabei ab und an unverschlüsselt über die Drähte von ihrem Computer aus zum DSL Modem, zur Vermittlungsstelle, über diverse weitere Kabel und Router bis zum Server des Anbieters. Auf diesem Server wird die Nachricht dann in eine E-Mail umgewandelt und wiederum über viele Kabel undverschlüsselt durch das Netz geschickt. Dabei kann es durchaus sein, dass auch schon einmal ein Überseekabel dabei ist und die E-Mail den Weg über Großbritannien oder die USA nimmt, selbst wenn man nur seinem Nachbarn eine Mitteilung senden möchte. Zwischen diesen Kabeln sind teilweise auch weitere Server geschaltet die als Verteilstellen für die E-Mails fungieren.
In unserem Beispiel gehen wir davon aus, dass Bob die E-Mail erhalten soll. Bob hat einen anderen E-Mail Anbieter als Alice, so dass die Nachricht nun also auf einem anderen Server landet. Dieser Server lagert die E-Mail nun für Bob so lange ein, bis dieser sie sich abholen möchte. Dabei ist auch diese Ablage üblicherweise unverschlüsselt. Erst wenn Bob sich nun mit dem Mailserver seines Anbieters verbindet, wird die E-Mail (neuerlich im Klartext) durch das Netz geschickt.
Es hat also zwischenzeitlich drei Abschnitte gegeben, an denen potenzielle Lauscher ihr Ohr an das Kabel legen können und zwei Server, auf denen die E-Mail (mindestens zeitweise) gelegen hat und auf die durch gesetzlich vorgeschriebene Hintertürchen (TKÜV, BDA, Prism) diese einfach und ohne weitere Hürden mitgelesen werden können.
E-Mail Made in Germany
Was haben nun die Telekom, United Internet und Co. mit ihrem Angebot E-Mail Made in Germany vor, dass der Chaos Computer Club auch als Sommermärchen bezeichnet? Der mittlere Netzabschnitt, also derjenige, der die beiden Server miteinander verbindet, soll nun per SSL verschlüsselt werden. Dabei handelt es sich um die gleiche Technologie, die auch für den Zugriff auf das Onlinebanking und Onlineshopping in der Regel verwendet wird. Zu erkennen ist dies im Internet an dem “https://” (man beachte das “s”!) in der Adresszeile des Browsers. Damit ist ein Lauschen an der Netzverbindung nicht mehr möglich. Darüber hinaus soll dieses “Kabel” auch nur auf deutschem Boden liegen und damit dem Zugriff ausländischer Geheimdienste wie dem britischen GCHQ mit ihrem Programm Tempora entzogen werden.
Soweit so löblich. Die Vorwürfe, warum dies nicht schon längst geschieht, insbesondere da die dafür erforderliche Technik schon seit Jahren existiert, müssen sich die Anbieter dann dennoch und zurecht gefallen lassen.
Es bleiben also noch zwei weitere Strecken auf dem Weg der E-Mail zu betrachten. Dabei handelt es sich um die Wege vom jeweiligen User (Alice und Bob) zu ihrem E-Mail Anbieter. Auch hier kann und sollte man auf eine SSL Verschlüsselung setzen. Nutzt man den Internet Browser (z.B. Mozilla Firefox oder Microsoft Internetexplorer) zum Lesen und Bearbeiten von E-Mails, so sollte das E-Mail Portal grundsätzlich über “https://” aufgerufen werden. Wird dieses Protokoll von dem Anbieter nicht unterstützt, so ist dringend ein Wechsel angeraten, denn nicht nur die E-Mail an sich, sondern auch Benutzername und Passwort gehen im Klartext über das Netz.
Deutlich besser noch ist aus meiner Sicht die Nutzung eines separaten E-Mail Programms (z.B. Mozilla Thunderbird). Hier gilt allerdings Obacht bei der Konfiguration zu wahren, denn standardmäßig sind die Programme noch für die unverschlüsselte Datenübertragung eingerichtet. Auch die Angaben der E-Mail Anbieter sind üblicherweise darauf ausgerichtet und weisen nur versteckt über die Möglichkeit der Verschlüsselung hin. Zurecht, denn die Einrichtung eines verschlüsselten Postfachzugriffs bedarf leider einiger weiterer Schritte und führt bei einem Laien dann eher zu Komplikationen und diesen Mehraufwand spart man sich gerne. Fatal für den Verbraucher.
[Beispielanleitungen zur Konfiguration von einigen gängigen E-Mail Clients folgen. Alle weiteren sind ähnlich zu konfigurieren.]
Auf diese Weise ist die Kommunikation über die Netzwerke abgesichert und “E-Mail Made in Germany” abgeschlossen.
Problem 1: Die Mailserver
Nicht erwähnt wird von den Dienstanbietern, dass auch noch Mailserver im Spiel sind, auf denen die E-Mails unverschlüsselt vorliegen. Auf diese dürfen Regierungsorganisationen bei größeren E-Mail Anbietern (ab 10.000, bzw. 100.000 Nutzern) über eine separat für sie im Rahmen der TKÜV oder des BDA eingerichteten Schnittstelle zugreifen, teilweise ohne richterlichen Beschluss und ohne Kontrolle oder gar Information des Betroffenen im Nachgang und insbesondere ohne Wahrung der Privatspähre. Dabei ist es gleich, ob der Benutzer einer Verschwiegenheitspflicht (Anwälte, Priester, Ärzte) unterliegt, oder nicht.
Abhilfe schafft hier nur die Verschlüsselung der E-Mail an und für sich. Dies lässt sich über GnuPG (PGP) oder X.509 (S/MIME) realisieren. Damit ist der Nachrichtentext und auch jeder Anhang auch auf dem Server vor neugierigen Augen geschützt. Nicht geschützt sind weiterhin die sogenannten Metadaten, also das Wann, wer mit wem – Informationen, die vielen Geheimdienstorganisationen bereits ausreichen.
Problem 2: Andere Anbieter
E-Mail Made in Germany funktioniert nur, so lange man im Verbund der teilnehmenden Anbieter bleibt, also Sender und Empfänger eine E-Mail Adresse dieser Unternehmen nutzt. Und dort liegt die Hauptmotivation von Telekom, Web.de, GMX.de und Co. User, die an oder von anderen Usern bei ausländischen E-Mail Anbietern (Googlemail, Hotmail, etc.), ja sogar von Firmen in Deutschland Nachrichten empfangen, sind bei dieser Kommunikation sofort wieder auf der unsicheren Seite. Es bleibt damit jedem selber einmal überlassen zu zählen wie viele E-Mails er von Usern außerhalb dieser Gruppe erhält.
Problem 3: SSL Verschlüsselung
Unlängst wurde bekannt, dass die NSA die Masterschlüssel für die SSL Verschlüsselung bei zahlreichen Firmen in den USA einfordert und damit in der Lage ist den Datenverkehr live zu entschlüsseln und mitzulesen. Da die Netze bei E-Mail Made in Germany nur auf deutschem Boden liegen und die teilnehmenden Firmen in Deutschland angesiedelt sind, sollte uns dies vor der NSA schützen. Ob und in wie fern allerdings der Bundesnachrichtendienst und Verfassungsschutz nicht mit ähnlichen Ansinnen bei den teils noch zu einem nicht unerheblichen Teil in Staatshand liegenden Firmen vorstellig werden, ist nur als spekulativ zu betrachten.
Bedenklicher allerdings ist die Tatsache, dass das verwendete SSL Verfahren schon jetzt nicht mehr der Stand der Technik entspricht. Der Verschlüsselte Datenstrom kann auch weiterhin aufgezeichnet werden und anschließend mit ausreichend Rechenleistung und Zeit wieder entschlüsselt werden. Kleine Änderungen an der Konfiguration mit deutlicher Verbesserung der Sicherheit um genau diese Möglichkeit zu unterbinden, fehlen wieder.
Ein weiteres Manko ist eine mittlerweile Aufgedeckte Schwachstelle bei Microsoft Windows und dem zugehörigen Internetexplorer. Dabei werden fehlende SSL Zertifikate nicht mit einer Warnung versehen, sondern im Hintergrund nachgeladen, ohne dass der User dies bemerkt. Was als Feature gedacht war, kann für Angreifer ein elegantes Hintertürchen sein. Um E-Mail Made in Germany in seiner ganzen Funktionalität nutzen zu können, also mit dem Hinweis, dass die soeben erhaltene E-Mail “sicher” ist, ist man auf einen Browser angewiesen. Und eben dieser Browser ist bei der Mehrzahl der Internet User das Produkt von Microsoft auf einem Betriebssystem von Microsoft.
Zusammenfassend ist das Thema E-Mail Made in Germany mit einigen Nachbesserungen grundsätzlich zu begrüßen, bringt sie doch für einen kleinen Teil der E-Mails eine Verbesserung. Für die Masse der E-Mails reicht dies allerdings nicht. Es handelt sich um eine geschickte platzierte Marketingaktion im Zusammenhang mit den Spähskandalen, die nicht nur neue Kunden gewinnen soll, sondern auch noch die Kunden auf die Webmail-Seiten ziehen soll, die dann wieder mit ausreichend Werbung und Newslettern zugekleistert sind.
Nebenbei bemerkt erhält die E-Mail Made in Germany damit fast den gleichen “Sicherheitsstandard” wie die DE-Mail, denn auch bei ihr wird nur der Transportweg verschlüsselt – auf dem Server ist nie Nachricht per Gesetz geregelt für eine bestimmte Zeit unverschlüsselt. Riskant ist allerdings das vermeintliche Sicherheitsgefühl, dass bei den Kunden geschaffen wird. Für mich also kein ausreichender Grund um mit meinem Postfach zu einem der E-Mail Made in Germany Anbieter zu wechseln. Wer wirklich sicher sein möchte, muss weiterhin selber Hand anlegen und richtig verschlüsseln.
