Vor dem Hintergrund des Überwachungsskandals versuchen einige Unternehmen technisch weniger versierte Leute als Kunden zu gewinnen, in dem sie ihnen die Illusion einer sicheren E-Mail-Kommunikation anbieten. Möglicherweise soll dies auch eine Strategie sein, um die bisher kaum erfolgreiche DE-Mail zu promoten.
Die Deutsche Telekom hat sich mit United Internet (das ist die deutsche Firma hinter GMX und Web.de) zusammengetan, um eine Initiative mit dem Titel „E-Mail made in Germany“ zu gründen. Die steile These dabei lautet, dass eine rein in Deutschland versandte E-Mail, die ausschließlich zwischend den Servern der beteiligten Firmen übermittelt wird, sicher verschlüsselt und damit vor jeglichem fremden Zugriff geschützt sei. Dafür haben sie sogar noch extra ein tolles Gütesiegel erfunden.
Das Problem an diesem eigentlich zu begrüßenden Ansatz ist, dass keine echte Sicherheit geboten wird, sondern lediglich Sicherheit vorgetäuscht wird. Um die Details des Problems zu darzustellen, möchte ich ganz grob die Funktionsweise von E-Mail umreißen.
Bei dem E-Mail-System besitzt jeder Anbieter einen eigenen Mailserver. Dieser wird durch den Teil der E-Mail definiert, der hinter dem AT („@“) steht. Die Telekom betreibt also einen Mailserver mit der Kennung „t-online.de“, Web.de einen unter der Kennung „web.de“. Möchte ein Benutzer eine E-Mail verschicken, dann benötigen sowohl er als auch der Empfänger ein Postfach (Mailaccount) auf einem Mailserver ihrer Wahl. Das Postfach selbst wird durch den vorderen Teil der E-Mail-Adresse (vor dem @) definiert.
Wird nun eine E-Mail verschickt, gibt es zwei Möglichkeiten: Der Benutzer kann ein Mailprogramm (z.B. Outlook oder Thunderbird) verwenden, oder sich auf der Webseite seines E-Mail-Anbieters anmelden. Im ersten Fall wird die Nachricht lokal auf dem Rechner des Benutzers geschrieben und dann von seinem Programm zum Mailserver seines Anbieters übertragen. Im zweiten Fall verbindet sich der Browser (z.B. Internet Explorer, Firefox oder Safari) mit einem Server des Anbieters und dorthin wird der eingegebene Text auf diesem Weg übertragen. Anschließend überträgt der Mailanbieter des Absenders die E-Mail zum Mailserver des Empfängers (identifziert durch den hinteren Teil der Empfänger-E-Mail-Adresse). Auf dem dortigen Server wird die E-Mail für den Empfänger bereitgestellt und kann von ihm abgeholt werden. Das kann ebenfalls wieder über ein Mailprogramm oder über einen Webbrowser stattfinden.
Die Initiative „E-Mail made in Germany“ wirbt nun damit, dass alle Übertragungswege verschlüsselt werden. Eingesetzt wird dazu eine gängige in den 1990ern entwickelte Technologie namens SSL (eigentlich TLS). Der Benutzer baut also eine verschlüsselte Verbindung zum Mailserver seines Anbieters auf, wenn er E-Mails verschickt oder abholt (was beides seit etlichen Jahren Standard ist!) und auch die Mailserver errichten eine verschlüsselte Verbindung untereinander, bevor sie E-Mails übertragen (was erschreckenderweise offenbar noch nicht das Normale zu sein scheint!). Das ist alles und das ist alles auch nicht neu. Wie schon angedeutet, müsste man eigentlich davon ausgehen, dass dies seit Jahren ohnehin so gemacht wird.
Das Problem an der Sache ist, dass die E-Mail bei den E-Mail-Anbietern nach wie vor unverschlüsselt vorgehalten wird. Der Anbieter selbst hat somit Zugriff auf die E-Mail und auch sämtliche Überwachungsschnittstellen von Behörden und Geheimdiensten setzen genau an diesem Punkt an und erhalten daher ebenfalls unverschlüsselten Zugriff auf sämtliche E-Mails. Den Kunden wird damit auf eine absurde Weise eine Sicherheit versprochen, die niemals eingehalten werden kann. E-Mails und andere Nachrichten sind nur dann wirklich geschützt, wenn sie Ende-zu-Ende-verschlüsselt übertragen werden. Das heißt, dass der Absender die E-Mail verschlüsselt und nur der Empfänger sie wieder entschlüsseln kann. Alles andere ist Unsinn.
Für den Kunden müssen immer dann die Alarmglocken schrillen, wenn E-Mail-Anbieter (wie auch in diesem Fall) Zusatzdienste wie Virenprüfung der E-Mails anbieten. Denn um so eine Prüfung vornehmen zu können, muss der Anbieter Zugriff auf die unverschlüsselte E-Mail erhalten. Dies ist also ein eindeutiges Zeichen dafür, dass die Nachricht nicht sicher und Ende-zu-Ende-verschlüsselt übertragen wird.
Wie bereits angedeutet, wird die Initiative offenbar auch genutzt, um die bereits vor einiger Zeit eingeführte, aber wohl bisher wenig erfolgreiche DE-Mail zu promoten. Diese ist ein vom Chaos Computer Club, dem Bundesdatenschutzbeauftragten und vielen anderen stark kritisierter Dienst, über den deutsche Bürger auf angeblich sichere Art und Weise mit Behörden kommunizieren und auch verbindliche Verträge schließen können.
Das Grundproblem in Bezug auf Überwachung: Auch hier wird keine Ende-zu-Ende-Verschlüsselung eingesetzt. Alle rechtsverbindliche Kommunikation mit Behörden (und später vielleicht auch mit Ärzten etc.) ist damit überwachbar. Das Feigenblatt der Anbieter lautet auch an dieser Stelle, dass das System so konstruiert sein muss, damit Virenchecks auf den E-Mails durchgeführt werden können. Dazu wird die sonst verschlüsselt vorgehalten E-Mail „nur ganz kurz“ entschlüsselt und danach gleich wieder verschlüsselt. Eine Bedrohung der Sicherheit ist somit natürlich nicht gegeben, da diese kurzzeitige Entschlüsselung ja auf „Hochsicherheitsrechnern“ stattfindet.
Allein die Möglichkeit der Entschlüsselung bedeutet, dass die dazu benötigten Schlüssel bei dem DE-Mail-Anbieter vorgehalten werden. Der Anbieter selbst, jede Behörde, die Zugriff auf das System hat und natürlich jeder erfolgreiche Angreifer hat damit Zugriff auf die Schlüssel und die DE-Mail. Der Inhalt der geheimen Nachricht kann eingesehen und natürlich auch unbemerkt verändert werden – was bei einem rechtsverbindlichen System äußerst beunruhigend ist! Immerhin soll so eine DE-Mail die Wirksamkeit eines unterschriebenen Vertrages besitzen.
Dieses Problem wurde übrigens auch im Bundestag diskutiert. Da es laut aktueller Gesetzeslage nicht erlaubt ist, sensible Informationen wie beispielsweise Steuer- oder Justizdaten über eine nicht ausreichend gesicherte Verbindung zu übertragen, hat das Parlament kurzerhand das DE-Mail-Gesetz entsprechend angepasst (was bei der technischen Kenntnis im Bereich E-Mail-Verschlüsselung vieler Parlamentarier nicht besonders verwunderlich ist):
Die kurzzeitige automatisierte Entschlüsselung, die beim Versenden einer De-Mail-Nachricht durch den akkreditierten Diensteanbieter zum Zweck der Überprüfung auf Schadsoftware und zum Zweck der Weiterleitung an den Adressaten der De-Mail-Nachricht erfolgt, verstößt nicht gegen das Verschlüsselungsgebot des Satzes 3. (Quelle)