Sicherheitsinitiative kritisiert De-Mail als anfällig für Spähprogramme

Das Verschlüsselungskonzept ist nach Ansicht der Nationalen Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) nicht ausreichend. Da Nachrichten bei Providern für die Übermittlung entschlüsselt werden, könnten Programme wie PRISM sie genau dort abgreifen.

Die Nationale Initiative für Informations- und Internet-Sicherheit e.V. (NIFIS) hat De-Mail als „offenes Scheunentor“ für Spähprogramme wie PRISM und Tempora bezeichnet. Die Kritik richtet sich insbesondere gegen das Verschlüsselungskonzept der rechtssicheren E-Mail. Das De-Mail-Gesetz sieht ausdrücklich vor, dass Nachrichten bei den Providern für die Übermittlung entschlüsselt und damit potenziell mitgelesen werden können. Die Ende-zu-Ende-Verschlüsselung, der einzig sichere Weg, wird im Gesetz lediglich als „Option“ erwähnt.

telekom_de-mail

„Angesichts der jüngsten Skandale muss man wohl ein gutgläubiger Optimist sein, um zu glauben, dass das kein Risiko ist. De-Mail sieht vor, dass die Daten im Netz bei der Übertragung genau dort entschlüsselt werden, wo sie von PRISM und Co abgegriffen werden, nämlich beim Provider“, erklärte der NIFIS-Vorsitzende Thomas Lapp.

Konkrete Erkenntnisse darüber, ob ausländische Geheimdienste sich Zugang zu De-Mail-Provider verschaffen könnten, liegen der NIFIS derzeit allerdings nicht vor. „Aber es wird immer wieder berichtet, dass die US-Behörden bei jedem Unternehmen mit mindestens einer Zweigstelle in den Vereinigten Staaten den Foreign Intelligence Surveillance Act und den Patriot Act anwenden dürfen und damit unbeschränkten Zugang zu sämtlichen Daten der jeweiligen Firmen bekommen“, so Lapp.

Da es De-Mail-Provider mit Verbindungen in die USA gibt, will der NIFIS-Vorsitzende nicht ausschließen, dass diese US-Behörden einen Zugriff ermöglichen müssen. Über Details lasse sich allerdings nur spekulieren.

Lapp geht davon aus, dass der Gesetzgeber De-Mail durch die fehlende Ende-zu-Ende-Verschlüsselung vom Absender bis zum Empfänger wenn nicht gewollt, dann doch zumindest grob fahrlässig mit einer Sicherheitslücke ausgestattet hat. Auch in Deutschland ist jeder Provider durch die Telekommunikations-Überwachungsverordnung gesetzlich verpflichtet, eine Überwachungsschnittstelle für den staatlichen Datenabgriff einzurichten.

Der NIFIS-Vorsitzende weiter: „Nimmt man jetzt noch das neue Auskunftsgesetz hinzu, nach dem Provider auf Anordnung die Log-in-Daten ihrer Kunden herausgeben müssen, bestehen ernsthafte Zweifel an der angekündigten Sicherheit der De-Mail, zumal die Äußerungen der Bundeskanzlerin zu PRISM kein besonderes Engagement für den Datenschutz erkennen lassen.“

Die Nationale Initiative für Informations- und Internet-Sicherheit e.V. bezeichnet sich selbst als neutrale Selbsthilfeorganisation, die der deutschen Wirtschaft im Kampf gegen die täglich wachsenden Bedrohungen aus dem Netz technisch, organisatorisch und rechtlich zur Seite stehen möchte. Sie wurde 2005 vom Provider Claranet, dem IT-Dienstleister Controlware, der IT-Kanzlei Dr. Lapp und der Kommunikationsagentur Euromarcom gegründet.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Datenschutz, E-Mail, National Security Agency, Secure-IT, Überwachung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Sicherheitsinitiative kritisiert De-Mail als anfällig für Spähprogramme

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *