Sicherheitsrisiko: Deutsche Mail-Server besonders oft unverschlüsselt

Millionen Nutzer rufen ihre E-Mails von einem Server ab, um sie auf ihrem PC oder Smartphone zu lesen. Dabei sendet eine riesige Anzahl der Hosts die ausgetauschten Informationen unverschlüsselt. In Deutschland kommt das im weltweiten Vergleich besonders häufig vor.

Unverschlüsselter E-Mail-Verkehr

Um E-Mails mit einem Client von einem Server abzurufen, um sie im Anschluss lokal auf einem Smartphone oder Laptop zu lesen, können unterschiedliche Methoden zum Einsatz kommen. IMAP und POP3 sind zwei davon. Vereinfacht gesagt werden die Nachrichten bei der Verwendung von POP3 (Post Office Protocol 3), der älteren der beiden Möglichkeiten, nur auf ein einzelnes lokales Gerät heruntergeladen und in der Regel vom Server gelöscht. Ein Abgleich mit anderen Geräten findet nicht statt. Bei der Verwendung von IMAP hingegen verbleiben die Nachrichten auf dem Server, sodass sie auch über mehrere Endgeräte hinweg synchronisiert werden können.

Ein Protokoll namens TLS (Transport Layer Security) sorgt dafür, dass alle zwischen Server und Endgeräten hin und her gesendeten Daten wie Mail-Inhalte oder Nutzernamen und Passwörter für den Login verschlüsselt sind. Ist dieses Protokoll nicht aktiviert, werden alle diese Informationen im Klartext übertragen, was ein Sicherheitsrisiko darstellt.

Deutsche Server besonders häufig ohne TLS

Wie eine Erhebung von ShadowServer jetzt zeigt, verzichten weltweit etwa 3,3 Millionen Hosts auf eine Verschlüsselung mit TLS. Die Daten der Nutzer sind damit nicht vor sogenannten Sniffing Angriffen geschützt und können unter Umständen ausgelesen werden.

Wie die Statistiken der Erhebung zeigen, belegt Deutschland im weltweiten Vergleich mit ca. 1,1 Millionen ungesicherten Servern (524.000 POP3, 561.000 IMAP) einen traurigen zweiten Platz hinter den USA. In den meisten anderen europäischen Ländern wie etwa Frankreich (ca. 228.000) oder dem Vereinten Königreich (ca. 162.000) sind die Zahlen deutlich niedriger.
Wie ShadowServer auf X mitteilt, hat man damit begonnen, die Hosts über diese Sicherheitslücke zu informieren. "Wenn Sie diese Meldung von uns erhalten, aktivieren Sie bitte die TLS-Unterstützung für POP3 / IMAP und überlegen Sie, ob der Dienst überhaupt aktiviert oder hinter ein VPN verlegt werden muss", heißt es.

TLS ist nichts Neues

TLS wurde bereits 1999 eingeführt. Version 1.1 folgte 2006. Mittlerweile haben Unternehmen wie Microsoft diese beiden ursprünglichen Varianten aus Sicherheitsgründen aber schon wieder in Rente geschickt. Gleiches gilt für die Dienste von Google, Apple und Mozilla. Seit 2020 kommt unter Windows standardmäßig TLS 1.3 zum Einsatz.


Siehe auch: