1&1
"In puncto sicherer Kommunikation auf jeden Fall ein Gewinn"
Fortsetzung des Artikels von Teil 2
Interview: "Neues Sicherheitslevel für den Massenmarkt"
Ein Interview mit Jan Oetjen, Geschäftsführer der beiden größten deutschen E-Mail-Anbieter Gmx und Web.de.
funkschau: Herr Oetjen, vor Kurzem haben Sie die Sicherheitsstandards Ihrer Initiative noch einmal deutlich erweitert. Was ist neu?
Jan Oetjen: Es kommen ausschließlich deutsche Zertifikate zum Einsatz. Auch die verwendeten Schlüssel wurden auf den derzeit sichersten 256-Bit-Standard (AES 256) aufgerüstet. Darüber hinaus haben alle Partner im E-Mail-made-in-Germany-Verbund „Perfect Forward Secrecy“ implementiert, was einen zusätzlichen Schutzmechanismus gegen das nachträgliche Entschlüsseln von Daten bietet. Über ein speziell entwickeltes Verfahren wird eine Zertifikatsvalidierung unter den Providern eingerichtet, so dass bei jeder Datenübertragung Zertifikat und Identität des Providers überprüft werden. Dieses Sicherheitslevel ist für den Massenmarkt neu.
funkschau: Ihre Kritiker bemängeln, dass eine verschlüsselte Übertragung nichts besonders Innovatives sei.
Oetjen: Um massenmarktfähig zu sein, setzt E-Mail made in Germany auf Standardtechnolgien auf. Das Neue ist, dass diese konsequent umgesetzt werden. Da das schwächste Glied der Kette das Sicherheitsniveau bestimmt, kann man nur so die Sicherheit gewährleisten. So haben wir 100 Prozent der Verbindungen zwischen Sender, Servern der Provider und den Empfängern verschlüsselt. Bei der Verschlüsselung zwischen den Servern haben wir zusätzlich ein Verfahren zur Verifizierung und Identifizierung der Provider entwickelt. Damit ist der derzeit größte E-Mail-Verbund entstanden, der nach Privatnutzern auch auf Domain-Kunden und Firmen ausgeweitet wurde.
funkschau: Warum haben Sie den Sicherheitsstandard denn nicht schon früher angeboten?
Oetjen: Wir haben die TLS-Option bereits seit einigen Jahren auf einem Teil der E-Mail-Infrastruktur aktiviert. Die Verschlüsselung von Einzelstrecken hilft für den gesamten Verbund nur wenig, da man dem Nutzer nicht zusichern kann, dass seine Mail auch auf der anderen Seite sicher empfangen, gespeichert und abgerufen wird. Vor dem Start unserer Initiative war nicht einmal jede sechste Mail, die von Fremdprovidern auf unseren Servern eingegangen ist, TLS-verschlüsselt. Dies ist jetzt im E-Mail-made-in-Germany-Verbund komplett anders: Zwei Drittel der deutschen Privatkunden haben automatisch die Garantie einer 100-prozentigen Transportverschlüsselung über alle Endgeräte. Zudem können auch Wunsch mehrere Millionen Freiberufler, Selbstständige, kleinere Betriebe oder Mittelständler nach den sicheren Standards kommunizieren, zum Beispiel über die Hosting-Angebote von 1&1 oder Strato.
funkschau: Trotzdem wird Ihre Lösung vereinzelt als „halbsicher“ bezeichnet. Warum verzichten Sie weiterhin auf eine Ende-zu-Ende-Verschlüsselung?
Oetjen: Alle, die noch eine weitere Stufe der Ende-zu-Ende Verschlüsselung nutzen möchten, können dies jeder Zeit tun. Wir haben hierzu eine Verlinkung zu PGP, mit dem man seinen Mailinhalt noch einmal verschlüsseln kann. Leider erfordern diese Verfahren immer, dass sich der Sender und Empfänger eine zusätzliche Software installiert und vor allem den Schlüssel nur bei sich behält, was den Kreis derer, die in der Lage und bereit sind, dies durchzuführen, sehr stark eingrenzt.
Hinzu kommt: Wer auf Ende-zu-Ende setzt, muss sich auch über einen Nachteil beim Viren- und Spamschutz im Klaren sein, da dann auch nur noch der Nutzer selbst Spam, Viren und Phishing abwehren muss, was heute die Provider zu großen Teilen erledigen. Uns war wichtig, den Sicherheitsstandard für den Massenmarkt E-Mail um vier Stufen zu erhöhen: Verschlüsselung der Nutzerverbindung zum Server für Sender wie Empfänger, Verschlüsselung von Server zu Server und Kennzeichnung sicherer Adressen, damit der Nutzer Transparenz hat, was sicher ist und was nicht. Wer als fünfte Stufe noch die Inhalte Ende zu Ende verschlüsseln möchte, kann das jederzeit tun, zur Pflicht haben wir es nicht gemacht, da uns hier die Reichweite des Standards wichtiger ist.
funkschau: Warum führen Sie nicht ein einfaches PGP ein?
Oetjen: Damit beschäftigen wir uns intensiv. Eine Kombination von E-Mail made in Germany mit PGP bietet noch eine Sicherheitsstufe mehr, erfordert aber eben Software und Schlüssel beim Nutzer. Man könnte es einfacher machen, indem man die Schlüssel zentral hält, dies stellt dann aber wieder die Herausforderung, dass damit der Schlüssel nicht mehr nur beim Nutzer liegt und man das Sicherheitsniveau aufweichen könnte.
funkschau: Wie stellen Sie sicher, dass Geheimdienste den verschlüsselten Verkehr nicht für spätere Entschlüsselung speichern?
Oetjen: Dafür haben wir „Perfect Forward Secrecy“ (PFS) eingeführt. PFS ist eine zusätzliche Hürde, um das nachträgliche Entschlüsseln von Daten zu verhindern, die über SSL-gesicherte Verbindungen versendet wurden, weil der geheime Sitzungsschlüssel zwischen den Gesprächspartnern weder über das Netz übertragen noch auf einem Rechner gespeichert wird. Der Austausch erfolgt stattdessen mit temporär-wechselnden Schlüsseln, die im Anschluss an jede Sitzung vernichtet werden. PFS ist eine sinnvolle Ergänzung zum E-Mail-made-in-Germany-Verbund, da man den Mail-Inhalt mit dieser Lösung zusätzlich schützen kann und gleichzeitig die von manchen Institutionen begehrten Metadaten – also wer kommuniziert mit wem zu welchem Thema – gesichert werden.
funkschau: Wettbewerber wie Google oder Yahoo haben angekündigt, Mails ebenfalls zu verschlüsseln. Verliert Ihre Initiative dadurch nicht an Bedeutung?
Oetjen: Eine gesicherte Übertragung zwischen zwei Servern hilft nichts, wenn der Speicherort in Ländern liegt, in denen der Geheimdienst direkten Zugriff auf die Daten hat oder der Mail-Provider sich sogar selbst vorbehält, nach eigenem Ermessen die Inhalte zu öffnen. Von daher ist es wichtig, einen Anbieter zu wählen, der außerhalb des Zugriffs solcher Institutionen liegt.
- "In puncto sicherer Kommunikation auf jeden Fall ein Gewinn"
- TÜV-Zertifizierung
- Interview: "Neues Sicherheitslevel für den Massenmarkt"
Lesen Sie mehr zum Thema
