Das Sicherheitsbewusstsein vieler großer E-Mail-Provider ist mangelhaft. T-Online, GMX, Google Mail, Hotmail, Web.de, Yahoo Mail und MobileMe lehnen jede verschlüsselte Übertragung von E-Mail ab. Gut machen ihre Sache hingegen Arcor, O2 und Freenet.
In der Vergangenheit war verschlüsselte E-Mail-Übertragung mit praktischen Problemen behaftet. Heute bietet das STARTTLS-Verfahren eine Möglichkeit, die für jeden Betreiber eines SMTP-Servers leicht zu implementieren ist.
Fast alle getesteten Provider mit Ausnahme von Yahoo bieten eine Verschlüsselung der Kommunikation zwischen einem E-Mail-Client und ihren IMAP- oder POP3- und SMTP-Servern an. Das bietet Schutz vor Abhörangriffen auf den eigenen Rechner, beispielsweise wenn man sich in einem öffentlichem Hotspot ohne Verschlüsselung befindet.
Durch das Internet senden viele Provider jedoch unverschlüsselt. Ebenso weigern sich viele Provider, für ihre Kunden verschlüsselte E-Mails anzunehmen. Die Einstellungen im E-Mail-Client geben Anwendern oft das Gefühl von trügerischer Sicherheit.
Damit eine E-Mail verschlüsselt übertragen wird, müssen die Provider des Absenders und des Empfängers die verschlüsselte Übertragung untereinander unterstützen. So wird beispielsweise eine Mail von einem Kabel-Deutschland-Kunden zu einem Freenet-Nutzer verschlüsselt übertragen. Auf dem umgekehrten Weg geht die E-Mail jedoch im Klartext durchs Netz, da Kabel Deutschland zwar verschlüsselt sendet, aber nur unverschlüsselte E-Mails annimmt.
Oft argumentieren die Provider, dass sie keine Verschlüsselung anbieten können, da verschlüsselte E-Mails nicht auf Malware überprüft werden können. Aber das ist so nicht richtig: Beim Versand von E-Mail trifft dieses Argument nicht zu. Beim Empfang gilt natürlich, dass ein Real-Time-Scan auf der Leitung unmöglich ist. Einen äquivalenten Schutz kann man aber durch gut abgesicherte Frontend-SMTP-Server, die E-Mails vor dem Weiterversand an die Backends überprüfen, erreichen.
Nicht unerwähnt lassen sollte man die Tatsache, dass auch verschlüsselte E-Mails nicht vor jeder Abhörmaßnahme sicher sind, da eine End-to-End-Verschlüsselung bei E-Mail nicht realisiert werden kann. Auf den SMTP-Servern der Provider befindet sich jede E-Mail unverschlüsselt. So können beispielsweise staatlich angeordnete Überwachungsmaßnahmen bei den Providern durchgeführt werden.
Ebenso schützt E-Mail-Verschlüsselung nicht vor Man-in-the-Middle-Angriffen, da die verwendeten Zertifikate nicht überprüft werden. Ein illoyaler Mitarbeiter eines Providers oder eines Carriers, der den Datenverkehr abfängt, kann jedoch nicht so einfach einen Man-in-the-Middle-Angriff durchführen. Dazu muss er Ports und IP-Adressen spoofen. Das dürften andere Mitarbeiter ziemlich schnell bemerken. Unverschlüsselte E-Mails lassen sich hingegen sehr leicht unbemerkt von jedem abgreifen, der Zugang zur Leitung hat.
Neueste Kommentare
1 Kommentar zu E-Mail-Provider im Praxistest: Verschlüsselung oft mangelhaft
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
TLS-fähige Mailserver .ch und .li
In einer Studie 2004 wurden im Rahmen einer wissenschaftlichen Arbeit alle Mailserver mit .ch und .li gescannt (471’000 aktive Domänen).
Dabei handelte es sich um 33’000 physikalische Maschinen.
Davon waren gerade mal 5’570 TLS-fähig, von denen hatten ganze 2’510 ein Server-Zertifikat installiert.
Von diesen waren 117 (einhundertsiebzehn !) Zertifikate von einer vertrauenswürdigen CA ausgestellt. Dies entspricht gerade mal 0.04 Promille aller Mailserver.
Diese Erkenntnisse waren sehr bedenklich – sie lassen darauf schliessen, dass im Backbone-Bereich eine Verschlüsselung praktisch nicht stattfindet.
In der Zwischenzeit gibt es sicher viel mehr Server – doch die Anzahl der TLS-fähigen wird wohl immer noch im Promille-Bereich liegen.
siehe auch: http://security.hsr.ch/docs/IW18_KH_EMAIL.pdf
Daraus sieht man, es ist absolut notwendig, aktiv für die Sicherheit seiner Mails besorgt zu sein.