Suchen

Verschlüsselte Kommunikation über Webmail-Dienste Scheitert „E-Mail made in Germany“ an der Realität?

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Anfang August haben die Deutsche Telekom, GMX und Web.de eine Kampagne mit dem Namen „E-Mail made in Germany“ vorgestellt. Diese Initiative wird als Antwort auf die NSA-Spähaffäre vermarktet. Stellt sich die Frage: Wie sinnvoll und sicher ist dieses Konzept wirklich?

Firmen zum Thema

E-Mail made in Germany ist ein guter Anfang, offenbart aber auch Schwächen.
E-Mail made in Germany ist ein guter Anfang, offenbart aber auch Schwächen.
(Bild: 1&1 / Deutsche Telekom)

Martin Kuppinger: „Genau genommen handelt es sich bei ‚E-Mail made in Germany‘ nicht um eine echte E-Mail-Verschlüsselung.“
Martin Kuppinger: „Genau genommen handelt es sich bei ‚E-Mail made in Germany‘ nicht um eine echte E-Mail-Verschlüsselung.“
(Bild: KuppingerCole)
Bei „E-Mail made in Germany“ sollen die elektronischen Nachrichten auf allen Datenkanälen verschlüsselt werden: Auf dem Weg zwischen dem Sender und dem E-Mail-Provider, zwischen den drei genannten Partnern und dann auf dem Weg von diesen zum Empfänger. Schon auf den ersten Blick werden zwei Schwachpunkte des Modells deutlich.

Der erste ist, dass dieser Ansatz nur funktioniert, wenn E-Mails zwischen Sendern und Empfängern versendet werden, die mit einem dieser drei Provider arbeiten. Der zweite ist, dass keine Ende-zu-Ende-Verschlüsselung erfolgt, sondern die Kommunikation beim Provider entschlüsselt und wieder verschlüsselt wird. Das bedeutet, dass die Kommunikation bei den beteiligten Providern angreifbar ist.

Genau genommen handelt es sich bei diesem Verfahren ohnehin nicht, wie man aufgrund der Verlautbarungen annehmen könnte, um eine E-Mail-Verschlüsselung. Vielmehr sind es verschlüsselte Kommunikationskanäle zwischen Sender, E-Mail-Providern und Empfängern. Aber wie gesagt: Das gilt nur insoweit, als sowohl Sender und Empfänger einen der (derzeit drei) beteiligten Provider nutzen wollen.

Umfassende Sicherheit ist nicht gegeben

Werfen wir einen kurzen Blick in meinen Ordner „Gesendete Elemente“ und lassen die firmeninterne E-Mail-Kommunikation außen vor. Schnell wird deutlich, dass selbst dann immer noch weit über 90 Prozent der von mir gesendeten E-Mails eben nicht an einen Nutzer von E-Mail-Diensten der Deutschen Telekom, von web.de oder GMX gehen.

Bei der Kommunikation von privaten Nutzern mag diese Quote etwas anders aussehen, aber auch hier ist ein großer Teil der E-Mails durch diesen Ansatz nicht oder nur teilweise geschützt. Die zweite Herausforderung liegt darin, dass es eben immer noch die Möglichkeit gibt, dass die E-Mail bei den Providern an- oder abgegriffen wird.

Hier kann man zwar argumentieren, dass die Hürden für den Zugriff auf E-Mail-Kommunikation für Sicherheitsdienste in Deutschland ungleich höher sind als in den USA. Nur ist das Vertrauen in diese Dienste – falls jemals vorhanden – durch die NSA-Spähaffäre sicher auch nicht gestärkt worden. An dieser Stelle könnte De-Mail ins Spiel kommen. Aber auch dort gibt es, abgesehen von den Restriktionen der möglichen Sender und Empfänger, keine Ende-zu-Ende-Sicherheit.

(ID:42317733)