Verschlüsselte Kommunikation über Webmail-Dienste

Scheitert „E-Mail made in Germany“ an der Realität?

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

E-Mail made in Germany ist ein guter Anfang, offenbart aber auch Schwächen.
E-Mail made in Germany ist ein guter Anfang, offenbart aber auch Schwächen. (Bild: 1&1 / Deutsche Telekom)

Anfang August haben die Deutsche Telekom, GMX und Web.de eine Kampagne mit dem Namen „E-Mail made in Germany“ vorgestellt. Diese Initiative wird als Antwort auf die NSA-Spähaffäre vermarktet. Stellt sich die Frage: Wie sinnvoll und sicher ist dieses Konzept wirklich?

Martin Kuppinger: „Genau genommen handelt es sich bei ‚E-Mail made in Germany‘ nicht um eine echte E-Mail-Verschlüsselung.“
Martin Kuppinger: „Genau genommen handelt es sich bei ‚E-Mail made in Germany‘ nicht um eine echte E-Mail-Verschlüsselung.“ (Bild: KuppingerCole)

Bei „E-Mail made in Germany“ sollen die elektronischen Nachrichten auf allen Datenkanälen verschlüsselt werden: Auf dem Weg zwischen dem Sender und dem E-Mail-Provider, zwischen den drei genannten Partnern und dann auf dem Weg von diesen zum Empfänger. Schon auf den ersten Blick werden zwei Schwachpunkte des Modells deutlich.

Der erste ist, dass dieser Ansatz nur funktioniert, wenn E-Mails zwischen Sendern und Empfängern versendet werden, die mit einem dieser drei Provider arbeiten. Der zweite ist, dass keine Ende-zu-Ende-Verschlüsselung erfolgt, sondern die Kommunikation beim Provider entschlüsselt und wieder verschlüsselt wird. Das bedeutet, dass die Kommunikation bei den beteiligten Providern angreifbar ist.

Genau genommen handelt es sich bei diesem Verfahren ohnehin nicht, wie man aufgrund der Verlautbarungen annehmen könnte, um eine E-Mail-Verschlüsselung. Vielmehr sind es verschlüsselte Kommunikationskanäle zwischen Sender, E-Mail-Providern und Empfängern. Aber wie gesagt: Das gilt nur insoweit, als sowohl Sender und Empfänger einen der (derzeit drei) beteiligten Provider nutzen wollen.

Umfassende Sicherheit ist nicht gegeben

Werfen wir einen kurzen Blick in meinen Ordner „Gesendete Elemente“ und lassen die firmeninterne E-Mail-Kommunikation außen vor. Schnell wird deutlich, dass selbst dann immer noch weit über 90 Prozent der von mir gesendeten E-Mails eben nicht an einen Nutzer von E-Mail-Diensten der Deutschen Telekom, von web.de oder GMX gehen.

Bei der Kommunikation von privaten Nutzern mag diese Quote etwas anders aussehen, aber auch hier ist ein großer Teil der E-Mails durch diesen Ansatz nicht oder nur teilweise geschützt. Die zweite Herausforderung liegt darin, dass es eben immer noch die Möglichkeit gibt, dass die E-Mail bei den Providern an- oder abgegriffen wird.

Hier kann man zwar argumentieren, dass die Hürden für den Zugriff auf E-Mail-Kommunikation für Sicherheitsdienste in Deutschland ungleich höher sind als in den USA. Nur ist das Vertrauen in diese Dienste – falls jemals vorhanden – durch die NSA-Spähaffäre sicher auch nicht gestärkt worden. An dieser Stelle könnte De-Mail ins Spiel kommen. Aber auch dort gibt es, abgesehen von den Restriktionen der möglichen Sender und Empfänger, keine Ende-zu-Ende-Sicherheit.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42317733 / Kommunikation)