CCC: Germany-E-Mail versagt in der Praxis häufig
Anlässlich seines aktuellen Jahreskongresses hat der Chaos Computer Club (CCC) die Sicherheits-Versprechen mehrerer großer Provider einer Prüfung unterzogen und kam zu einem wenig erfreulichen Ergebnis.
Konkret ging es um die Initiative "E-Mail Made in Germany", die von der Deutschen Telekom und United Internet (1&1, GMX, Web.de) vor einiger Zeit gestartet wurde. Den Anwendern wurde dabei angesichts des aktuellen Überwachungsskandals versprochen, dass ihre E-Mail-Kommunikation zukünftig über gesicherte Kanäle laufen soll. Schon damals wurde kritisiert, dass es sich hier vor allem um eine Marketing-Aktion handelt, mit der technische Nachlässigkeiten der Vergangenheit kaschiert werden sollen.
Allerdings begrüßte man seitens des CCC auch, dass die großen deutschen Provider hier endlich auch Sicherheits-Standards einsetzen wollen, die schon seit vielen Jahren vorhanden sind. Das Versprechen der Unternehmen lautete, dass die E-Mails zukünftig verschlüsselt zum Empfänger gelangen sollen.
Bei der konkreten Umsetzung zeigten die Anbieter allerdings weit weniger Elan als beim großspurigen Bewerben der Maßnahme, lautet das aktuelle Fazit des CCC. Zwar würden Neukunden angewiesen, ihre E-Mail-Clients für verschlüsselte Verbindungen zu konfigurieren, für langjährige Bestandskunden jedoch werden weiterhin unverschlüsselte Übertragungen durchgeführt. Eine Warnung der Nutzer erfolgt dabei nicht.
Dirk Engling vom CCC schätzte den Anteil der Anwender auf 20 bis 40 Prozent, bei denen bereits das erste Stück der Übertragungsstrecke nicht verschlüsselt ist. Und dieses stellt ohnehin einen einfacheren Angriffspunkt dar als der Backbone der Provider.
Solche Konzepte bezeichnete der Sicherheitsexperte Linus Neumann daher als "Mogelpackungen, die für einen schnellen Marketing-Erfolg mit den Ängsten der Nutzer spielen". In der Regel würden allenfalls jahrelange Versäumnisse aufgeholt, statt für eine nennenswerte Erhöhung der Sicherheit zu sorgen. So sei die bei "E-Mail made in Germany" nachgezogene Transportverschlüsselung selbst bei dem fragwürdigen US-amerikanischen Anbieter Google Mail bereits seit Jahren Standard.
Der CCC empfiehlt den Nutzern der fraglichen Provider aber dann doch eine Überprüfung der E-Mail-Konfiguration: Sowohl bei ein- als auch bei ausgehenden E-Mails müssten die Nutzer darauf achten, dass eine TLS/SSL-verschlüsselte Verbindung aufgebaut wird, um übertragene Inhalte und die Zugangsdaten zu schützen. Vorzugsweise sollten Anwender allerdings ohnehin eine Ende-zu-Ende-Verschlüsselung mittels S/Mime oder PGP verwenden, hieß es.
Allerdings begrüßte man seitens des CCC auch, dass die großen deutschen Provider hier endlich auch Sicherheits-Standards einsetzen wollen, die schon seit vielen Jahren vorhanden sind. Das Versprechen der Unternehmen lautete, dass die E-Mails zukünftig verschlüsselt zum Empfänger gelangen sollen.
Bei der konkreten Umsetzung zeigten die Anbieter allerdings weit weniger Elan als beim großspurigen Bewerben der Maßnahme, lautet das aktuelle Fazit des CCC. Zwar würden Neukunden angewiesen, ihre E-Mail-Clients für verschlüsselte Verbindungen zu konfigurieren, für langjährige Bestandskunden jedoch werden weiterhin unverschlüsselte Übertragungen durchgeführt. Eine Warnung der Nutzer erfolgt dabei nicht.
Dirk Engling vom CCC schätzte den Anteil der Anwender auf 20 bis 40 Prozent, bei denen bereits das erste Stück der Übertragungsstrecke nicht verschlüsselt ist. Und dieses stellt ohnehin einen einfacheren Angriffspunkt dar als der Backbone der Provider.
Solche Konzepte bezeichnete der Sicherheitsexperte Linus Neumann daher als "Mogelpackungen, die für einen schnellen Marketing-Erfolg mit den Ängsten der Nutzer spielen". In der Regel würden allenfalls jahrelange Versäumnisse aufgeholt, statt für eine nennenswerte Erhöhung der Sicherheit zu sorgen. So sei die bei "E-Mail made in Germany" nachgezogene Transportverschlüsselung selbst bei dem fragwürdigen US-amerikanischen Anbieter Google Mail bereits seit Jahren Standard.
Der CCC empfiehlt den Nutzern der fraglichen Provider aber dann doch eine Überprüfung der E-Mail-Konfiguration: Sowohl bei ein- als auch bei ausgehenden E-Mails müssten die Nutzer darauf achten, dass eine TLS/SSL-verschlüsselte Verbindung aufgebaut wird, um übertragene Inhalte und die Zugangsdaten zu schützen. Vorzugsweise sollten Anwender allerdings ohnehin eine Ende-zu-Ende-Verschlüsselung mittels S/Mime oder PGP verwenden, hieß es.
Thema:
Beliebte Downloads
Neue Nachrichten
Beliebte Nachrichten
Videos
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
DigiKam: das Open-Source-Fotoverwaltungsprogramm
d-hubs - Gestern 13:22 Uhr -
Alpine-Linux: unter den schlanken Distris
d-hubs - Gestern 12:33 Uhr -
Pc startet im Multiboot Manager nach unstellung in MSconfig
js1 - Gestern 11:19 Uhr -
"Ohne Privatsphäre keine Demokratie" – Der Neocypherpunk Summi
d-hubs - Vorgestern 12:52 Uhr -
Datenträgerverwaltung
micro300 - 11.06. 16:50 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen