Blog: Google - E-Mail durch höhere Verbreitung von Verschlüsselung ‘sicherer'

16.12.2015

Laut einer neuen Studie von Google und den Universitäten von Illinois und Michigan nimmt die Nutzung von Transportverschlüsselung zu.

Bemühungen, die Wichtigkeit von E-Mail-Verschlüsselung aufzuzeigen, scheinen immer häufiger Gehör zu finden. So besagt eine neue Studie, dass der Einsatz von Verschlüsselung zugenommen hat.

Laut der Untersuchung, die von Google in Zusammenarbeit mit der University of Illinois und der University of Michigan durchgeführt wurde, gibt es ermutigende Hinweise dafür, dass das Bewusstsein für die Wichtigkeit starker Sicherheitslösungen gestiegen ist.

Insbesondere wird immer mehr Akteuren bewusst, dass SMTP – das Protokoll für die Übertragung von Nachrichten zwischen Servern – nicht unter Sicherheitsaspekten entwickelt wurde und sich daher nicht für die Authentisierung oder Verschlüsselung von E-Mails eignet. Das führt zur vermehrten Nutzung von SMTP-Erweiterungen zur Verbesserung der Sicherheit von E-Mails.

Nutzer sollen gewarnt werden

Der Bericht nennt verschiedene Bedrohungen für E-Mail-Sicherheit, darunter die „Existenz von Internet-Regionen, die Verschlüsselung von Nachrichten aktiv verhindern, indem sie Anfragen zur Initiierung von SSL-Verbindungen fälschen“. Deswegen hat Google angekündigt, Gmail-Nutzer zukünftig mit einer Warnung auf Nachrichten hinzuweisen, die über einen unverschlüsselten Kanal eingegangen sind.

Das ist eine interessante Initiative von Google, ich wollte aber noch genaueres erfahren und habe mir die Studie genauer angeschaut. Der erste Teil beschäftigt sich hauptsächlich mit der Nutzung von TLS (Transport Layer Security), einem Protokoll zur Transportverschlüsselung, sowie der damit korrespondierenden Sicherheitserweiterung STARTTLS, die E-Mails während der Übertragung zwischen Servern schützt. Hierzu gibt es einige erfreuliche Ergebnisse zu berichten.

Der zweite Teil der Studie beschäftigt sich eingehend mit Authentisierung und den dafür bestimmten SMTP-Erweiterungen wie DKIM und SPF, darauf gehe ich hier aber nicht ein.

Zunehmende Nutzung

Die gute Nachricht ist, dass die Nutzung von TLS-Verschlüsselung zunimmt. Die Studie berichtet, dass zum Zeitpunkt April 2015 von allen bei Gmail eingegangenen Nachrichten 60 Prozent eine STARTTLS-Session initiiert haben – eine Steigerung von 33 Prozent im Vergleich zu Januar 2014. Diese Zunahme ist hauptsächlich den Bemühungen grosser Mail-Anbieter wie Google, Yahoo! und Outlook geschuldet, die das Bild der Gesamtnutzung des Protokolls „stark verzerren“.

Denn lässt man die grossen Anbieter einmal ausser Acht, ist das Bild nicht ganz so positiv, da es viele Organisationen gibt, die ihre eigenen Mailserver betreiben und TLS nicht einsetzen. 82 Prozent der untersuchten Top-Millionen-Domänen, die Mailserver unterhalten, sind zwar theoretisch in der Lage, STARTTLS zu unterstützen, aber nur 35 Prozent davon haben ihre Server auch richtig dafür konfiguriert.

Die Problematik von STARTTLS

Darüber hinaus hat STARTTLS durchaus seine Schwächen, auch wenn es die Nachrichten bei der Übertragung gut schützt. Die Studie berichtet über eine Schwachstelle im Protokoll, die Angreifern die Lancierung von Downgrade-Attacken ermöglicht. Dabei werden Pakete so manipuliert, dass der Server keine STARTTLS-Verbindung etablieren kann. Die E-Mail wird im Klartext gesendet, selbst wenn der Server TLS eigentlich unterstützt.

Interessanterweise gibt es einige Länder, in denen dieses als ‚STARTTLS-Stripping’ bezeichnete Phänomen besonders verbreitet ist. Die Vermutung liegt nahe, dass es dort Akteure gibt, die besonderes Interesse daran haben, dass die E-Mail-Kommunikation unverschlüsselt erfolgt. In der Studie wird berichtet, dass zum Beispiel in Tunesien bei mehr als 96 Prozent der bei Gmail eingehenden Nachrichten ein Schutz durch TLS verhindert wurde.

Ein guter Schritt

Die Studie ist sehr interessant und es ist gut, dass Google mit Universitäten zusammenarbeitet und seine Daten für solche Analysen zur Verfügung stellt. Natürlich ist auch Googles Unterstützung von TLS-Verschlüsselung zu begrüssen, ebenso wie die geplanten Warnungen, die hoffentlich das Bewusstsein für Verschlüsselung bei den Nutzern weiter steigern werden.

Trotzdem sollten wir nicht vergessen, dass wir hier lediglich über Transportverschlüsselung reden – und nicht über eine inhaltliche Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass E-Mails vor und nach der Übertragung gelesen werden können – zum Beispiel von Google selbst während sie auf den Servern des Web-Giganten liegen. Daher ist der Einsatz einer Ende-zu-Ende-Verschlüsselung auf Basis von PGP oder S/MIME nach wie vor entscheidend, will man den vollständigen Schutz vertraulicher Informationen erreichen.

von Marcel Mock, CTO, totemo ag