Experten stellen Sicherheit von De-Mail in Frage

Die Nachrichten sind während der Übertragung nicht durchgehend verschlüsselt. Sie werden auf den Servern der Anbieter kurz geöffnet. Angreifer könnten dies ausnutzen, um Inhalte zu kopieren oder zu manipulieren.

De-Mail-Logo

Die von der Bundesregierung als besonders sicher beworbene elektronische Post, die sogenannte De-Mail, weist nach Ansicht von Experten erhebliche Sicherheitslücken auf. Sie raten davon ab, die rechtsverbindliche E-Mail in ihrer jetzigen Form wie geplant im kommenden Jahr einzuführen, da die Daten nicht durchgängig verschlüsselt würden.

„Ich habe schwere Bedenken und bin gegen das De-Mail-Gesetz. Die Sicherheitslücken sind nicht zu übersehen“, sagte Thomas Lapp, Anwalt und IT-Experte der Bundesrechtsanwaltskammer, der Frankfurter Rundschau.

Laut Lapp ist zwar die Übertragung der De-Mails vom Nutzer zum zentralen Server der Anbieter sicher, jedoch würden die elektronischen Briefe dort aus technischen Gründen kurz ent- und wieder verschlüsselt. Bei der Weiterleitung an einen anderen De-Mail-Anbieter wiederholt sich dieser Vorgang. In diesen Momenten könnten Angreifer, die sich – wie in der Vergangenheit bereits geschehen – Zugang zum Server des Anbieters verschafft haben, Inhalte kopieren oder manipulieren.

Gert Metternich, Projektleiter der Telekom, bestätigte gegenüber der Zeitung, dass die Nachrichten kurz geöffnet werden: „Im De-Mail-System werden die Mails für den Bruchteil einer Sekunde auf den Servern der Provider entschlüsselt und sofort wieder verschlüsselt und dann weitergeschickt.“ Dies geschehe auf Servern, die staatlich überprüften Sicherheitsstandards entsprächen und abgeschottet seien. „Insofern haben wir überhaupt keine Bedenken, dass die De-Mails nicht sicher sind.“

Lapp sieht das anders: Das System funktioniere wie ein Brief, der bis zu zweimal unterwegs geöffnet und in ein neues Kuvert gesteckt werde. „Das Versprechen, so sicher wie ein Brief zu sein, wird damit nicht eingehalten.“ Auch Elmar Müller, Vorstandschef des Deutschen Verbands für Post, Informationstechnologie und Telekommunikation (DVPT), der die De-Mail eigentlich befürwortet, vertritt die Meinung, dass „diese Lücke dringend geschlossen werden muss“.

Bitkom-Präsident August-Wilhelm Scheer hält die Sicherheitsbedenken hingegen für unbegründet: „Gegenüber der bisherigen E-Mail oder dem Einschreiben und Brief in Papierform bedeutet De-Mail einen Quantensprung in puncto Sicherheit. De-Mail macht Deutschland weltweit gesehen zum Vorreiter beim sicheren Mail-Verkehr. Wir brauchen dringend eine echte digitale Alternative zum Papierbrief. Diese Chance für mehr Effizienz in Wirtschaft und Verwaltung darf nicht durch unberechtigte Bedenken zerredet werden.“

Bei der Deutschen Telekom und United Internet (GMX, Web.de) können sich Nutzer schon um eine De-Mail-Adresse bemühen. Der Start des rechtssicheren elektronischen Briefs ist für spätestens 2011 geplant.

Die rechtliche Grundlage – das De-Mail-Gesetz – soll im vierten Quartal 2010 verabschiedet werden. Danach zertifiziert das Bundesamt für Sicherheit in der Informationstechnik (BSI) alle Provider, die einen rechtssicheren E-Mail-Dienst anbieten. Die Kriterien werden derzeit erarbeitet. Das BSI hat in seiner Richtlinie zur De-Mail eine erste Übersicht über die technischen Vorgaben (PDF) veröffentlicht.

Offizielle Partner des Projekts sind GMX, Web.de, Mentana, T-Home sowie T-Systems. Die Deutsche Post war vergangenes Jahr aus dem De-Mail-Konsortium ausgestiegen. Sie bietet seit vergangener Woche mit dem E-Postbrief ein Konkurrenzprodukt an.

Themenseiten: Big Data, Datenschutz, E-Mail, Internet, Kommunikation, Politik, Privacy

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

4 Kommentare zu Experten stellen Sicherheit von De-Mail in Frage

Kommentar hinzufügen
  • Am 22. Juli 2010 um 11:11 von U.L.

    Einwurfeinschreiben
    Worin liegt die besondere Sicherheit eines Einwurfeinschreibens der Deutschen Post? Ein X-beliebiger Zusteller quittiert die Zustellung, will heißen den Einwurf des Einschreibens in den Briefkasten des Empfängers. Das Schriftstück gilt damit als nachweislich zugestellt. Leider sind nicht alle Zusteller so zuverlässig wie sie sein sollten und nehmen schon auch mal Briefe mit nach Hause. Alles schon vorgekommen und leider keine Einzelfälle.
    Was passiert mit dem Brief, wenn einer aus Unfug den Briefkasten anzündet? Auch das kam schon öfters vor und ist auch kein Einzelfall.
    Was passiert, wenn der Brief beim Sortieren vom Tisch fällt oder der Zusteller ausgeraubt wird (Postraub)?
    In jedem dieser Fälle ist kriminelle Energie notwendig um die Zustellung eines Einschreibens zu manipulieren. Aber kein Mensch schert sich darum, ob die Zustellung auf die althergebrachte Art und Weise sicher ist. Diese Umstände werde billigend in Kauf genommen, weil keiner was dagegen machen kann.
    Anders hingegen bei der sicheren elektronischen Übertragung mit de-Mail. Hier gibt es keine korrupten Zusteller oder zündelnde Halbstarke, aber es gibt es eine verschwindend geringe Wahrscheinlichkeit, das Einschreiben zu korrumpieren. Allerdings ist hierfür eine wesentlich höhere kriminelle Energie notwendig und wesentlich mehr Knowhow als für einen Briefkastenbrand.

    Leider gibt es immer wieder Personen, die sich einen Namen machen wollen, indem sie gegen Fortschritt wettern und Hiobsbotschaften vom Weltuntergang verbreiten. Wenn es nach denen ginge, dann würden wir heute noch auf Schiefertafeln schreiben.

  • Am 25. Juli 2010 um 14:34 von Lowtech

    sonstige Fragen zu de-Mail
    Ich habe gemäß einer Präsentaion bei ePost den Eindruck bekommen, dass es ein globales de-Mail-Adressenverzeichnis geben wird. Wenn ich das mit dem Telefonbuch vergleiche: da kann man wählen, ob man da drin stehen will und ob mit voller Adressse, ob Reverse-Suche erlaubt ist etc. Da habe ich noch nichts gefunden wie das bei deMail sein soll.

    Im schlimmsten Fall könnten sich die Adressbuchverlage etc. aus dem deMail-Adressverzeichnis bedienen.

    Dann muss mann auch bedenken, dass die ganze Technik auch funktionieren muss. Es kommt ja mal vor, dass ein Interntprovider verkauft wird oder man selbst möchte wechseln oder es ist ein Defekt am eigenen PC. Da kann schon mal für einige Zeit das Interenet ausfallen. Im worst-case könnte man da Fristen versäumen.

  • Am 3. August 2010 um 20:21 von opolis

    sicheres email
    DE-Mail: Was es alles kann ? und auch nicht ?

    Es gibt schon länger Alternativen, so wie etwa Opolis Secure Mail (http://www.opolis.eu), die mehr können, global anwendbar sind und auch noch gratis sind …

    Ausserdem: Bei Opolis entscheidet der Absender, was der Empfänger mit der Nachricht machen darf (weiterleiten, kopieren, ausdrucken)

    Interessanter Artikel:
    http://www.prlog.org/10834702

    • Am 5. August 2010 um 1:30 von Norman

      AW: sicheres email
      Also ich setze lieber weiter auf PGP und andere Verfahren. Der Aufwand ist im Gegensatz zum E-Postbrief sehr überschaubar. Und die teureren Preise für z.B. Einschreiben etc. somit in meinen Augen nicht gerechtfertigt. Das z.B. TLS-E-Mailverschlüsselung alles andere als sicher ist, wenn man den möglichen Verlauf einer e-Mail sieht. Klar, TLS ist ok, aber als Garantiepferd würde ich nicht darauf setzen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *