Rene's Blog

GEDÄCHTNISSTÜTZEN UND SONSTIGE ERKENNTNISSE

Was ist eigentlich dieses „sichere E-Mail“ aus Deutschland?

von Rene Sasse am 17. November 2014, keine Kommentare

Mich fragte doch letztens jemand, wie sicher E-Mail sein und was dieses E-Mail made in Germany sei und ob das wirklich alles so sicher ist. Eine gute Frage, wie ich meine.

Als erstes möchte ich sagen: So lächerlich dass alles klingen mag und so spät man all das vorher da gewesene nicht umgesetzt hat,… die Aktion als solche hat schon etwas gebracht. Allerdings zeigt sie auch, dass Benutzer des Internets auch nach 20 Jahren immer noch an die Hand genommen werden müssen. Traurig, aber wahr. Letztlich mussten die User der 6 großen Mailanbieter schlicht dazu genötigt werden, denn sonst wären Sie nicht mehr an Ihre E-Mail gekommen. Man hat den Login ohne Verschlüsselung technisch einfach nicht mehr ermöglicht.

Ich behaupte einfach mal, dass über 99% der E-Mail Nutzer ihre E-Mails bis zu dieser Aktion vollständig unverschlüsselt abgerufen haben. Nach Snowden war klar: Alles wird mitgelesen, oh je, oh je, oh je… was machen wir? Richtig: Wir schalten dann jetzt mal das TLS/SSL an. Das gab’s schon vor Ewigkeiten, haben aber nur die wenigsten genutzt.

Kommen wir nun zu dieser schon sehr krassen Werbe-Kampagne. Womit wird/wurde nun geworben?

Verschlüsselte Datenübertragung
Hier wurde nichts wirklich neues erfunden… TLS/SSL gibt es schon seit…sagen wir 1999? Es bedeutet, dass Dein Client mit dem Mailserver verschlüsselt kommuniziert. Zwischendrin ist es schwer mitzulesen. Schon mal ein sehr guter Ansatz. Das zu aktivieren bedarf es keiner langen Ausbildung. Man setzt den Haken und hofft, dass der Provider SSL/TLS Unterstützung anbietet. Inzwischen sollten das wirklich alle sein.

Datenverarbeitung in Deutschland
Ein schönes und wichtiges Argument. Der Deutsche Datenschutz ist der höchste in der EU Zone wenn nicht so gar weltweit. In Deutschland ist ziemlich klar geregelt wer an welche darf und wer nicht. Eigentlich müsste man damit nicht mehr werben. Aber nun gut. Es soll ja auch Server in anderen EU Ländern geben, die Deutsche Bürger benutzen.

Sichere E-Mail-Adressen tragen das E-Mail made in Germany-Siegel
Sehr schön: Anhand der Domain erkennt Dein Client (also nicht jeder Client, outlook + Plugin oder eben die Web-Apps) ob Du sicher mit der Gegenstelle Kommunizieren wirst oder nicht. Die Adressen bekommen dann eine kleine Grüne Flagge aufgedrückt. Lustiges Gimmick, aber doch eher nutzlos. Es gaukelt Dir Sicherheit vor, die keine Sicherheit ist.

Und, ein ganz wichtiges Kriterium:  TV Kampagne
Dazu sage ich jetzt mal nichts :-)

ALLE diese großen Mailanbieter unterstehen dem Deutschen Recht. Müssen sich also an geltende Gesetzte halten. Im Telekommunikationsgesetz (TKG) § 110 und in der Telekommunikations-Überwachungsverordnung stehen passend zu diesem Thema ganz interessante Dinge. Ich beziehe mich im folgenden Absatz auf den Wikipedia Artikel E-Mail Überwachung. In diesem Artikel heißt es im Absatz Rechtslage in Deutschland:

Nach Telekommunikationsgesetz (TKG) § 110 und Telekommunikations-Überwachungsverordnung müssen seit dem Jahr 2005 alle Betreiber, die Telekommunikationsdienste für die Öffentlichkeit anbieten, d. h. in diesem Zusammenhang öffentliche E-Mail-Server betreiben, auf Anordnung eine E-Mail-Überwachung durchführen. Anbieter, die insgesamt mehr als 10.000 (vor 2008: 1.000) Teilnehmer haben, müssen technische und organisatorische Vorkehrungen zur unverzüglichen Einleitung einer Überwachung treffen, sprich „überwachungsbereit“ sein.

Ich gehe jetzt mal ganz stark davon aus, dass alle großen (T-Online, Web.de, GMX, Freenet, Strato, 1&1…) _alle_ diese Überwachungstechnik (die sogenannte SINA-Box) bereits vor Ort haben und diese auch eingesetzt wird. Wissen kann ich es natürlich nicht, da ich nicht dort arbeiten. Und selbst wenn ich da arbeiten würde, dürfte ich vermutlich nicht darüber sprechen.

Letztlich muss klar sein: Da nur die Kommunikation zwischen dem Client (Deinem Mailprogramm) und dem Mailserver als auch die Kommunikation zwischen den eigentlichen Mailservern die die E-Mails austauschen verschlüsselt ist, die E-Mail aber als solches nicht, wird die E-Mail als solche auch immer im Klartext auf diesen sicheren Mailservern gespeichert.

Nutz PGP oder S/MIME oder noch besser: Betreib Deinen eigenen Mailserver in einer Umgebung der Du vertraust. Es gibt viele kleine mittelständische ISPs, die wissen was sie tun und eben (noch) keine Überwachungstechnik aufgebaut haben. Wenn Du das nicht kannst, frage jemanden, der sich damit auskennt.

Wenn Du niemanden kennst, der sich damit auskennt, wende Dich an Posteo.de und miete dort eine Mailbox. Posteo.de ist meiner Meinung nach so ziemlich das sicherste Mail-System, dass ich aktuell kenne. Schaut mal auf den Bereich Posteo-Verschlüsselung.
Dort wird ziemlich genaue erklärt, wie sicher die Daten vor dritten sind. Posteo legte auch einen Transparenzbericht für 2013 vor. Ich habe mir gerade den Transparenzbericht der Telekom für 2013 angeschaut…. ich habe immer noch Gänsehaut. Okay; die Telekom bietet auch mehr Dienstleistungen an. Telefonie zum Beispiel. Ach ja; Posteo kann Dir leider nur eine E-Mail Adresse mit dem Domainteil @posteo.de|org|u.s.w anbieten. Datensparsam eben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.