„E-Mail Made in Germany“

E-Mail verschlüsselt
© vege - Fotolia.com

Seit im Juni 2013 die Ausspähaktionen der NSA ans Tageslicht kamen,  ist das Bewusstsein für Datensicherheit im Internet stark gestiegen. Da von dem Skandal um das Ausspähen von Telefondaten, E-Mails, Videos oder Fotos auch 500 Millionen Verbindungen in Deutschland betroffen waren, haben die Deutsche Telekom (T-Online), United Internet, mit den Diensten Web.de und GMX, sowie Freenet.de das Projekt „E-Mail Made in Germany“ ins Leben gerufen. Ziel der Initiative ist das sichere Versenden von E-Mails über eine verschlüsselte Verbindung zwischen den Mail-Servern und den Rechenzentren der beteiligten Firmen. Wie angekündigt, wurde das Projekt am 29.04.2014 vollständig umgesetzt. Die private Kommunikation von rund 50 Millionen Nutzern verläuft ab sofort nur noch verschlüsselt und ist damit vor Zugriffen unbefugter Dritter geschützt. Damit auch Firmenkunden von dem angebotenen Dienst profitieren können, beteiligen sich seit Ende April auch die beiden größten deutschen Hosting-Anbieter 1&1 (United Internet) und Strato (Deutsche Telekom).

Doch wie genau funktioniert „E-Mail Made in Germany“ eigentlich?

Während mit DANE, einer Erweiterung der Transportwegverschlüsselung SSL/TSL, bereits ein offener Standard für den sicheren Datenverkehr existiert, haben sich die Unternehmen der Initiative im Zuge der Planungen dazu entschieden, ein eigenes Verfahren zu entwickeln. „Inter Mail Provider Trust“ soll nach Angaben der Entwickler so ausgelegt sein, dass es sich mit den üblichen Mail Transfer Agents umsetzten lässt. Ob eine Mail verschlüsselt übertragen wird, sehen die Nutzer anhand eines grünen Häkchens bei der Eingabe der Empfänger-Adresse. Sendet man zum Beispiel von Web.de zu GMX, erscheint der Haken. Sendet man von web.de zu einer MSN-Adresse, erscheint kein Haken.
Um die größtmögliche Sicherheit für die Nutzer zu gewährleisten, hat der Verbund auch die eigenen Standards erweitert. So werden beispielsweise nur deutsche SSL-Zertifikate verwendet. Um sicherzustellen, dass E-Mails auch nachträglich nicht entschlüsselt werden können, wurde Perfect Forward Security implementiert, und Zertifikate bzw. Identitäten von Providern werden bei jeder Datenübertragung überprüft.
Trotz aller Sicherheitsvorkehrungen weist das System dennoch eine Lücke auf. So findet zwar die Übertragung der E-Mails verschlüsselt statt, das Ablegen auf den jeweiligen Servern erfolgt dagegen unverschlüsselt. Jeder, der Administratorenrechte zu den Servern hat, könnte die E-Mails lesen.

Kritische Stimmen

Obwohl der Großteil der Nutzer „E-Mail Made in Germany“ als sehr hilfreich empfindet, gibt es auch einige kritische Stimmen. Insbesondere die Aussagen des Chaos Computer Clubs, ein Zusammenschluss von Hackern, regen zum Nachdenken an. So ist die Frage nicht ganz unberechtigt, warum die Provider die Verschlüsselung von E-Mails erst jetzt zum Standard machen, obwohl es die entsprechende Technologie doch bereits seit Ende der Neunziger gibt. Der Club wirft der Initiative Folgendes vor:
„Der angebliche Vorstoß ist in Wahrheit wohl nur ein schamloses Spiel mit dem gesteigerten Problembewusstsein der Nutzer, das sich durch den NSA-Skandal verändert hat. Dass die E-Mail-Anbieter nun mit dieser betagten Technologie um die Ecke kommen und sie als bahnbrechende Innovation verkaufen wollen, hat allenfalls aber einen gewissen humoristischen Effekt.“
(Quelle: http://ccc.de/de/updates/2013/sommermaerchen)

Wie kritisch man das Ganze tatsächlich betrachtet, bleibt jedem selbst überlassen. Auch wenn ein solches Projekt schon um einiges früher hätte initiiert werden müssen, kann man sagen: besser spät als nie. Und wenn in Zukunft weitere E-Mail Provider, wie zum Beispiel Google, MSN oder Hotmail, der Initiative beitreten, besteht eine gute Chance, den Datenverkehr im Internet immer sicherer zu gestalten und den Inhalt vor Zugriffen unbefugter Dritter zu schützen.