Die Deutsche Telekom und United Internet (Web.DE & GMX) haben heute ihr gemeinsames Projekt „E-Mail made in Germany“ vorgestellt, bei dem sie in Zukunft den Mailverkehr zwischen ihren Mail-Servern verschlüsselt übertragen werden, d.h. der Transportweg wird verschlüsselt, das ist etwas anderes als wenn die e-Mails verschlüsselt werden, denn am Ende des Weges wird wieder entschlüsselt. Es ist sicherlich nicht prinzipiell falsch was Deutsche Telekom und United Internet hier vorhaben, aber es geht im Grunde am eigentlichen Problem vorbei. Zunächst stammt der dazugehörige Standard STARTTLS (RFC 2595, RFC 3207) bereits von 1999 und 2002. Man muss sich also fragen, wieso die das erst jetzt implementieren und dies nicht schon vor zehn Jahren erfolgt ist. Bei den genannten Providern kann der Endkunde bereits seit Jahren seine e-Mails verschlüsselt über TLS (Nachfolger des veralteten SSL) einreichen, sofern er dies auf seinem Rechner in seinem e-Mailprogramm konfiguriert hat, d.h. die Technik ist bei den Unternehmen schon lange im Einsatz und wird jetzt nur auf den Austausch der E-Mails zwischen ihnen ausgedehnt. Das mediale Tamtam ist daher nur als dreist zu bezeichnen. Es ist ein reiner Marketing-Gag zur Kundengewinnung, löst doch die Einführung ein Problem, welches im Grunde aktuell gar nicht besteht. Die verschlüsselte Übertragung von e-Mails zwischen den Providern verhindert nur, daß Hans Wurst den e-Mailverkehr im Klartext mitlesen kann, wenn er sich auf der Straße an die Leitung angeklemmt hat. Insofern ist die Ansage, daß Mailen jetzt sicherer werde, nicht komplett falsch, führt aber dennoch in die Irre, weil er die Mehrheit der Kunden in falscher Sicherheit wiegt. Darüberhinaus bietet TLS selbst diverse Angriffspunkte und ist oftmals auch falsch implementiert.
Die gegenwärte Situation läßt sich am Besten dadurch beschreiben, daß sich die jeweiligen Regierungen im Kriegszustand mit ihren Staatsvölkern befinden und auf Grund ihres Gewaltmonopols die Leitungen gar nicht verdeckt auf der Straße oder am Verteilerkasten anzapfen müssen, da sie entsprechende Gesetze zum Mithören geschaffen haben. Eine sichere Kommunikation der Bürger ist von Seiten der Regierung unerwünscht (vgl. das per Gesetz kaputt gemachte DE-Mail)! In Deutschland ist jeder Provider mit mehr als 9.999 Kunden gesetzlich verpflichtet eine Abhörschnittstelle für die Behörden bereitzustellen (Stichwort SINA-Box; §110 TKG). Das bedeutet wiederum, daß die providerseitig verschlüsselte Übertragung zwar ein Schritt in die richtige Richtung ist, aber vollkommen wirkungslos gegen das Mitlesen durch Geheimdienste und andere Behörden, sowie durch Mitarbeiter (Stichwort organisierte Kriminalität) bei den Providern ist, da die Mails auf den Servern weiter im Klartet vorliegen. Es bleibt bis auf Weiteres dabei, daß der Kunde selbst durch Verschlüsselung (PGP bzw. GnuPG oder S/MIME) der e-Mails auf seinem Rechner vor dem Absenden für die Vertraulichkeit des Inhaltes sorgen muss. Nur dann ist eine Ende-zu-Ende Verschlüsselung auch wirklich gewährleistet, alles andere ist Augenwischerei. Gegen das Ausspähen der Metadaten hilft es jedoch auch nicht.
[…] keine verschlüsselten e-Mails beantworten? Zu dumm? Keine Software installiert? Auch der immer wiederkehrende, fast schon obligatorische Verweis auf DE-Mail nährt den Verdacht, daß hier auf Seiten des […]
[…] nur um so mehr. Das zweite Beispiel ist die derzeitige Werbekampgane im Fernsehen zu „e-Mail made in Germany“ von United Internet mit GMX und Web.DE und T-Online, bei der auch wahrheitswidrig behauptet […]