Interview mit Gmx/Web.de zum Thema E-Mail-Sicherheit
Verschlüsselung voranbringen
Fortsetzung des Artikels von Teil 3
Exkurs: Mail-Verschlüsselungsmethoden
Serverseitige Verschlüsselung
Verschiedene Anbieter, darunter Facebook ("WhatsApp") und Apple ("iMessage"), sowie etwa der Mailanbieter mailbox.org setzen auf eine Verschlüsselungsvariante, die erst auf den Kommunikationsservern umgesetzt wird. Das bedeutet, dass die Nachrichten auf dem Endgerät des Senders und Empfängers ohne weitere Verschlüsselung im Klartext angezeigt werden. Hier können Hacker mittels Keylogging (Aufzeichnen der Tastatureingabe) oder dem Auslesen der Mail nach der Ankunft beim Empfänger eingreifen und die Kommunikation mitverfolgen. Ein entscheidender Nachteil der Methode ist außerdem der Transportweg vom und zum Server, der oft nicht oder nur unzureichend gesichert ist. Ein weiterer wichtiger Faktor ist, dass dieses Verfahren das uneingeschränkte Vertrauen des Anwenders in den Anbieter voraussetzt, da sowohl die Daten selbst als auch die nötigen Informationen zu deren Ver‐ und Entschlüsselung auf seinen Servern liegen und er sie zur Anwendung bringen muss.
Javascript‐basierte Verschlüsselung
Der kleinere E‐Mail‐Anbieter tutanota.de nutzt eine Javascript‐basierte Verschlüsselung. Bei dieser Methode ist die jedoch das Verschlüsselungsmodul direkt in die Webseite des Anbieters integriert. Hier kann ein Hacker beispielsweise mit Hilfe eines Overlays die Anbieterseite simulieren und Mails mitlesen. Bei Gmx und Web.de finden Ver‐ und Entschlüsselung im Browser‐Addon des Partners Mailvelope statt. Daher besteht hier keine Möglichkeit, dass Dritte darauf Zugriff haben.
"E‐Mail made in Germany"
PGP ist zudem eine wichtige Ergänzung des Sicherheitsstandards "E‐Mail made in Germany", auf den sich 1&1, Freenet, Gmx, Telekom, Strato und Web.de geeinigt haben. Wer sein E‐Mail‐Konto bei einem Anbieter des Mailverbunds hat, kann sich sicher sein, dass seine E‐Mails auch auf dem Transportweg innerhalb des Verbunds per SSL/TLS vor Fremdzugriffen geschützt sind. Bei allen "E-Mail made in Germany"‐Anbietern können die Nutzer Standard‐PGP‐Lösungen verwenden und so ihre Mailinhalte schützen. Damit werden E‐Mails sowohl zwischen Endgerät des Nutzers und dem seines Kommunikationspartners als auch zwischen den Mailservern der teilnehmenden Provider verschlüsselt. Das Netzwerkprotokoll Dane, das Gmx und Web.de jetzt schrittweise einführen, stellt laut Anbieter zudem sicher, dass Zertifikate, die für die Transportverschlüsselung von Mails mit SSL/TLS verwendet werden, nicht unbemerkt von Online‐Kriminellen ausgetauscht werden können. Das verhindert so genannte "Man in the middle"‐Attacken. So werden Angriffe bezeichnet, bei denen sich Internet‐Kriminelle unbemerkt in die Kommunikation zwischen Internet‐Nutzer und Anbieter schalten, um hier Daten abgreifen zu können.
- Verschlüsselung voranbringen
- PGP-Einführung & Malware-Verbreitung
- Problematik PGP-Schlüsselserver & Rolle von "E-Mail made in Germany"
- Exkurs: Mail-Verschlüsselungsmethoden
Lesen Sie mehr zum Thema
