Archiv für den Monat: August 2013

E-Mail made in Germany

Wow. Die Telekom und 1&1 machen E-Mails sicherer, sagen sie und sagt die Presse. Der CCC, Fefe  und netzpolitik.org sehen es etwas anders. Und auch ich war heute morgen beim Lesen der Tageszeitung doch sehr erstaunt, wie dieses Wunder „sichere E-Mail“ über Nacht passieren konnte. Dann die Ernüchterung: Man will nur TLS/SSL zwischen den Mailservern aktivieren. Immerhin.

Dass die Verschlüsselung auf dem Transportweg per TLS/SSL eigentlich längst zum „guten Ton“ gehören sollte, bisher aber anscheinend bei den großen Providern nicht passiert ist, ist erschreckend. Abgesehen davon, dass Geheimdienste und „alle Befugten der Staatsorgane“ auch weiterhin an die Mails kommen, entweder auf den Servern der Betreiber, wo sie im Klartext vorliegen, oder durch Hacken der eigentlich verschlüsselten Verbindung durch Aushebelung der bei TLS/SSL eingesetzten zentralen Vertrauensinstanz, die die Echtheit der TLS/SSL-Zertifikate garantieren soll (Man in the Middle). Alles kein Problem, wenn man „staatlich befugt“ ist oder im Geheimen arbeiten kann.

Eine nach heutigen technischen und menschlichen Maßstäben „sichere E-Mail“ ist nur durch eine Ende-zu-Ende Verschlüsselung zu erreichen. Mittels PGP/OpenPGP oder S/MIME.

Auch  „die Server stehen in Deutschland“ ist kein Qualitätsmerkmal (mehr): In Deutschland werden doch nachgewiesenermaßen von den Geheimdiensten die meisten Kommunikationsdaten abgeschöpft. Da wäre es doch sicherer, die Server stünden in Griechenland. Aber wir können ja beruhigt sein, denn unsere Regierung hat bestätigt, dass der Datenschutz in Deutschland jederzeit beachtet wurde/wird. Es ist zum Heulen …

Man muss also wohl oder übel überlegen, welche gesetzlichen Rahmenbedingungen wir hinsichtlich Sicherheit den Providern vorgeben müssen. Anders scheint es – wie bei der Netzneutralität – nicht zu gehen.

Wobei die Datenschutzrechte eigentlich schon reichen sollten, damit die Provider den Mailverkehr zwischen ihren Servern verschlüsseln müssten. Bei anderen Sachverhalten wird Verschlüsselung bereits vorgeschrieben: Ohne Verschlüsselung im WLAN haftet man als Betreiber. Und ohne Verschlüsselung von E-Mails muss man Behörden keine sensiblen Daten schicken. Warum ausgerechnet die Provider nie in die Pflicht genommen oder gar überprüft wurden, bleibt fraglich.