"Augenwischerei": Verschlüsselung eMails durch T-Online, Web.de, GMX.de, Freenet

Die deutschen eMail-Provider T-Online, Web.de, GMX.de und Freenet bieten ab sofort eine Verschlüsselung von eMails an und zwar über eine SSL-Verschlüsselung. Allerdings ist das nicht die höchste Stufe der Verschlüsselung und wird beispielsweise vom Leipziger IT-Fachmann und Verschlüsselungsexperten Reinhard Mutz als "Augenwischerei" bezeichnet. Die Richtung sei zwar richtig, doch das genüge noch lange nicht.

Reinhard Mutz vergleicht die jetzt angebotene neue Verschlüsselungstechnik von T-Online, Web.de, GMX.de oder Freenet mit dem System des Versendens einer Postkarte. Eine normale Email entspricht dem Versand einer Postkarte. Jeder, der die Postkarte in die Hand nimmt, kann diese lesen. Eine verschlüsselte Email entspricht einem Brief. Um den Inhalt zu lesen, muss der Brief geöffnet und der chiffrierte Inhalt entziffert werden. Eine verschlüsselte Email kann nur mit dem passenden Schlüssel geöffnet und gelesen werden. Wir sprechen hier von einer "End-to-End" Verschlüsselung.

Die jetzt angebotene Verschlüsselung der eMailprovider T-Online, Web.de, GMX.de und Freenet ist eine reine Transportverschlüsselung. Das schützt vor neugierigen Augen, falls ein Kunde dieser Provider seine Emails per Tablet in einem Cafe über ein offenes WLAN abruft. "Jedoch ist die eMail selbst unverschlüsselt und könnte mitgelesen werden. Für eine End-to-End Verschlüsselung ist der Kunde immer noch selbst verantwortlich", so Verschlüsselungs-Fachmann Reinhard Mutz.

IT-Fachmann Reinhard Mutz - begrüßt die neue Verschlüsselungs-Technik von Telekom oder GMX als richtigen Schritt, aber sieht es dennoch als zu wenig an.Foto: privat

Und so schreiben die Macher von "E-Mail made in Germany" auch wörtlich:

"Um eine sichere Übertragung auf allen Übertragungswegen zu gewährleisten, werden auch zwischen den E-Mail-Servern von freenet, GMX, T-Online E-Mail und WEB.DE alle Daten ausschließlich verschlüsselt übertragen. Das Versenden zu anderen E-Mail-Anbietern wie Google, Yahoo oder Microsoft ist selbstverständlich weiter möglich, hier können aber weder die sichere Übertragung noch die Datenverarbeitung in Deutschland sichergestellt werden. Zur Verdeutlichung werden Empfänger-Adressen von freenet, GMX, T-Online E-Mail und WEB.DE Nutzern zukünftig in unseren Mail-Anwendungen besonders gekennzeichnet. So können Sie sofort erkennen, dass Sie sicher kommunizieren."

Ein einfacher Test von Netztrends bestätigt diese Aussage. Eine eMail an einen Empfänger bei Google kommt dort lesbar und unverschlüsselt an.

Georg von Wagner, Sprecher der Deutschen Telekom AG, teilte netz-trends.de zur neuen Verschlüsselung folgendes mit:

"Bei E-Mail Made in Germany erfolgt die Übertragung der E-Mails verschlüsselt. Teilnehmer der Initiative E-Mail Made in Germany verpflichten sich den Transport zwischen den Rechenzentren sowie die Strecke von Kunde zu Rechenzentrum zu verschlüsseln. Die Transportwegverschlüsselung erfolgt mittels Standardprotokollen STARTTLS sowie SSL. Eine E-Mail E2E Verschlüsselung liegt nach wie vor in Verantwortung des Kunden und ist nicht Bestandteil von E-Mail Made in Germany.
Die Transportwegverschlüsselung garantiert weiterhin eine 100% Kompatibilität zu weltweit allen Providern, die RfC konform E-Mail Systeme betreiben. Vielmehr wird durch den Einsatz der Transportwegverschlüsselung ohne Beschränkung auf ausschließlich E-Mail Made in Germany Teilnehmer die Sicherheit deutlich erhöht."

Auch Google bietet neuerdings auf Gmail eine Verschlüsselung an - wenngleich sie etwas anders gestrickt zu sein scheint als die der deutschen eMail-Provider. Konkret arbeitet Google mit einer sogenannten "encrypted HTTPS connection". Hier garantiert Google, wonach Gmail-Nutzer sicher sein könnten, dass das Senden der privaten oder geschäftlichen Mail vom privaten oder geschäftlichen PC an die Server von Google sicher sei. Auch hier handelt es sich ausschliesslich um eine reine Transportverschlüsselung.

Allerdings gilt dann auch für Gmail: Die Mail wird von Gmail nicht mehr verschlüsselt, wenn sie von den Google-Servern auf andere eMail-Provider gesendet wird. Hier ist nach wie vor ein offenes System im Einsatz und Hacker oder Behörden könnten eMails mitlesen, also abfangen. Wenigstens sagt Google, dass man nun auch dazu übergegangenen sei, eMails, welche innerhalb des Server-Systems von Google versendet oder weitergeleitet würden, verschlüsselt seien. Das war wohl bislang nicht so.

Derzeit gilt: Ob es nun sicherer ist, künftig statt über Gmail über T-online seine Mails zu versenden, darf eher bezweifelt werden. Der einzige Vorteil dürfte sein, dass die eMails nicht über die USA laufen und etwas weiter entfernt von den Stasi-Methoden der US-Behörde NSA sind.

Doch kann dessen ungeachtet davon ausgegangen werden, "dass Organisationen wie die NSA, der britische Counterpart GCHQ oder Staatsanwaltschaften aus Deutschland nach wie vor relativ problemlos eMails von Gmail, T-Online, Web.de, GMX.de oder Freenet paralle mitlesen können, da die wunde Stelle nach wie vor jene des Versendens vom eMail-Account-Server der Providers an einen anderen eMail-Account eines anderen Servers ist", so IT-Fachmann Reinhard Mutz.

Wer eine End-to-End Verschlüsselung von eMails wolle, der könne auf private Dienstleister wie zum Beispiel cacert.org zurückgreifen, für welchen auch Mutz arbeitet. Der Vorteil von cacert.org: Dieser eingetragene Verein betreibt eine Zertifizierungsstelle und stellt jedem Privatmann, Vereinen, Unternehmen oder sonstigen Organisationen auf Antrag kostenlose Verschlüsselungs-Zertifikate aus.

Ist nicht viel anders als der Verein CAcert, kostet aber Geld: IncaMail von der Schweizer Post.

Normalerweise kostet eine solche Dienstleistung Geld, mitunter sogar viel Geld. So kann es sein, dass ein Zertifikat für eine Verschlüsselung pro Nutzer 30 bis 60 Euro im Jahr kostet. Wollten also beispielsweise zwei Geschäftspartner untereinander verschlüsselte Mails schicken, müssten zwischen 60 und 120 Euro bezahlt werden. Sollten aber beispielsweise sämtliche Mitarbeiter eines Unternehmens - zum Beispiel 100 Mitarbeiter - inhouse über verschlüsselte eMails kommunizieren, könnten die Kosten pro Jahr leicht zwischen 6.000 und 12.000 Euro liegen. Geld, das man sich Dank Vereinen wie cacert.org auf jeden Fall sparen kann!

Schweizer Post und IncaMail als Verschlüsselungsdienst kostet Geld

Auch die Schweizer Post bietet – natürlich gegen Geld - beispielsweise im Rahmen ihres Dienstes "IncaMail" eine richtige Verschlüsselung von eMails an. Das heißt: Hier kann nur innerhalb des Systems der Schweizer Post eine eMail vom Sender- und Empfänger gelesen werden, da sie komplett verschlüsselt wird. Würde man also von dem verschlüsselten eMail-Account der Schweizer Post eine eMail an Gmail oder T-Online absenden, käme sie dort komplett unlesbar an. Aber: Für das System muss bezahlt werden – beispielsweise 29 Euro Jahresgebühr. Auch für Unternehmen gibt es Lösungen. So schreibt die Schweizer Post:

"Integrieren Sie IncaMail in Ihre bestehende IT-Umgebung (Outlook, Lotus Notes, GroupWise, Abacus, Soreco, WinBIZ, SAP, Microsoft Dynamics, Sage und weitere). Profitieren Sie von tiefen Initialkosten von CHF 190.– resp. CHF 490.– (je nach Lösung) und bezahlen Sie pro E-Mail ab CHF 0,46 oder pro Sender pauschal pro Jahr ab CHF 129.– (Rabatte nach Menge)".

Doch auch hier gilt: Mit dem System könnte man beispielsweise den üblichen Geschäfts-eMail-Verkehr mit anderen Firmen, die nicht über IncaMail verfügen, nicht abwickeln, da die Mails beim Empfänger, welcher nicht über IncaMail verfügt, unlesbar ankämen. Aber als eine Sicherheitslösung ist es eine Option zwischen Geschäftspartnern. Doch wer glaubt, damit beispielsweise den Zugriff von Behörden wie Staatsanwaltschaften verhindern zu können, irrt: Diese können per Anordnung – beispielsweise richterlich – die Herausgabe der Verschlüsselungs-Technik, also des Zertifikats, verlangen. Dann wären alle eMails wieder lesbar.

Es gibt mittlerweile Nachahmer dieses Modells. Man sollte jedoch wissen, dass das Thema "Emails sicher verschlüsseln" leicht zu erlernen ist und nur dann wirklich sicher ist, wenn man selbst alles in der Hand hat. Hierbei kommen Zertifikate oder Verschlüsselungsverfahren a la GnuPG in Frage. Das alles kostet kein Geld.