Verschlüsselte Kommunikation über Webmail-Dienste Scheitert „E-Mail made in Germany“ an der Realität?

Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Anfang August haben die Deutsche Telekom, GMX und Web.de eine Kampagne mit dem Namen „E-Mail made in Germany“ vorgestellt. Diese Initiative wird als Antwort auf die NSA-Spähaffäre vermarktet. Stellt sich die Frage: Wie sinnvoll und sicher ist dieses Konzept wirklich?

Firmen zum Thema

E-Mail made in Germany ist ein guter Anfang, offenbart aber auch Schwächen.
E-Mail made in Germany ist ein guter Anfang, offenbart aber auch Schwächen.
(Bild: 1&1 / Deutsche Telekom)

Martin Kuppinger: „Genau genommen handelt es sich bei ‚E-Mail made in Germany‘ nicht um eine echte E-Mail-Verschlüsselung.“
Martin Kuppinger: „Genau genommen handelt es sich bei ‚E-Mail made in Germany‘ nicht um eine echte E-Mail-Verschlüsselung.“
(Bild: KuppingerCole)
Bei „E-Mail made in Germany“ sollen die elektronischen Nachrichten auf allen Datenkanälen verschlüsselt werden: Auf dem Weg zwischen dem Sender und dem E-Mail-Provider, zwischen den drei genannten Partnern und dann auf dem Weg von diesen zum Empfänger. Schon auf den ersten Blick werden zwei Schwachpunkte des Modells deutlich.

Der erste ist, dass dieser Ansatz nur funktioniert, wenn E-Mails zwischen Sendern und Empfängern versendet werden, die mit einem dieser drei Provider arbeiten. Der zweite ist, dass keine Ende-zu-Ende-Verschlüsselung erfolgt, sondern die Kommunikation beim Provider entschlüsselt und wieder verschlüsselt wird. Das bedeutet, dass die Kommunikation bei den beteiligten Providern angreifbar ist.

Genau genommen handelt es sich bei diesem Verfahren ohnehin nicht, wie man aufgrund der Verlautbarungen annehmen könnte, um eine E-Mail-Verschlüsselung. Vielmehr sind es verschlüsselte Kommunikationskanäle zwischen Sender, E-Mail-Providern und Empfängern. Aber wie gesagt: Das gilt nur insoweit, als sowohl Sender und Empfänger einen der (derzeit drei) beteiligten Provider nutzen wollen.

Umfassende Sicherheit ist nicht gegeben

Werfen wir einen kurzen Blick in meinen Ordner „Gesendete Elemente“ und lassen die firmeninterne E-Mail-Kommunikation außen vor. Schnell wird deutlich, dass selbst dann immer noch weit über 90 Prozent der von mir gesendeten E-Mails eben nicht an einen Nutzer von E-Mail-Diensten der Deutschen Telekom, von web.de oder GMX gehen.

Bei der Kommunikation von privaten Nutzern mag diese Quote etwas anders aussehen, aber auch hier ist ein großer Teil der E-Mails durch diesen Ansatz nicht oder nur teilweise geschützt. Die zweite Herausforderung liegt darin, dass es eben immer noch die Möglichkeit gibt, dass die E-Mail bei den Providern an- oder abgegriffen wird.

Hier kann man zwar argumentieren, dass die Hürden für den Zugriff auf E-Mail-Kommunikation für Sicherheitsdienste in Deutschland ungleich höher sind als in den USA. Nur ist das Vertrauen in diese Dienste – falls jemals vorhanden – durch die NSA-Spähaffäre sicher auch nicht gestärkt worden. An dieser Stelle könnte De-Mail ins Spiel kommen. Aber auch dort gibt es, abgesehen von den Restriktionen der möglichen Sender und Empfänger, keine Ende-zu-Ende-Sicherheit.

Echte Ende-zu-Ende-Verschlüsselung

Vor dem Hintergrund dieser Einschränkungen empfiehlt sich ein Blick auf S/MIME. Es handelt sich um einen etablierten Standard für Ende-zu-Ende-Sicherheit bei E-Mail, der von den gängigen E-Mail-Clients wie Microsoft Outlook unterstützt wird. Einschränkungen gibt es naturgemäß bei Web-basierenden E-Mail-Lösungen.

Eine Herausforderung ist auch, dass natürlich nicht nur die E-Mail, sondern auch eventuell enthaltene Malware verschlüsselt wird. Server-basierende Virenscanner funktionieren hier nicht, man muss mit client-seitigen Lösungen arbeiten, die nach der Entschlüsselung arbeiten.

Außerdem braucht es für S/MIME digitale Zertifikate, die erstellt oder bestellt und verwaltet werden müssen. Das bedeutet einen nicht unerheblichen konzeptionellen und administrativen Aufwand. Aber das Resultat ist, vor allem bei einer Trennung der Schlüssel für Verschlüsselung und Signatur, eine Lösung für die sichere Ende-zu-Ende-Kommunikation über E-Mail.

Zertifikate gibt es auch für Endanwender bei vielen Zertifizierungsstellen für einen überschaubaren Preis. Bevor man sich auf Lösungen einlässt, die keine Ende-zu-Ende-Sicherheit bieten und wesentliche Teile der E-Mail-Kommunikation weiterhin ungeschützt lassen, ist es empfehlenswert, sich erst einmal mit S/MIME zu beschäftigen.

Für Unternehmen lohnt sich auch ein Blick auf den ergänzenden Einsatz von Information Rights Management-Technologien, mit denen im Anhang übertragene Dokumente zusätzliche verschlüsselt und mit Zugriffsberechtigungen geschützt werden können. Denn eine Grundregel sollte man beim Thema Informationssicherheit immer beachten: Halbe Sachen sind eben nicht sicher, weil es „ein bisschen Sicherheit“ nicht gibt.

Über den Autor

Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.

(ID:42317733)