Bullshit made in Germany: Chaos Computer Club warnt vor Mogelpackung „E-Mail made in Germany“

29 Dezember 2013 Kein Kommentar Autor: Jürgen (jdo)

Chaos Computer Club - CCC - Logo 150x150Hervorragend, dass sich der CCC wie immer kein Blatt vor nimmt und auf die richtigen Füße stampft. Dem Ganzen kann man wenig hinzufügen, deswegen bediene ich mich einfach frech einer Copy&Paste-Methode (also fast … 🙂 ). Der Beitrag im Original liegt hier.

Bullshit made in Germany: Chaos Computer Club warnt vor Mogelpackung „E-Mail made in Germany“

Die von den Anbietern Deutsche Telekom, web.de, GMX und Freenet als besonders sicher beworbenen „E-Mails made in Germany“ werden offenbar weiterhin auch unverschlüsselt über das Internet übertragen. Davor warnt der Chaos Computer Club (CCC), der anlässlich des 30. Chaos Communication Congress die Sicherheitstechniken großer deutscher Anbieter einer kritischen Betrachtung unterzogen hat.

Im August 2013 hatten deutsche Anbieter begonnen, den E-Mail-Verkehr zwischen ihren Servern zu verschlüsseln. In einer Pressemitteilung begrüßte der CCC diesen späten Entschluss, endlich die seit den 1990er Jahren existierenden Standards umzusetzen. [1]

Eine „E-Mail made in Germany“ würde auf ihrem Weg vom Sender zum Empfänger ausschließlich verschlüsselt übertragen, lautet die Garantie der Anbieter. Gleiches soll folgerichtig auch für das zur Authentifizierung genutzte Paßwort gelten. Bei der konkreten Umsetzung des Sicherheitsversprechens zeigten die Anbieter allerdings weit weniger Elan als beim großspurigen Bewerben der Maßnahme: Zwar werden Neukunden angewiesen, ihre E-Mail-Clients für verschlüsselte Verbindungen zu konfigurieren, für langjährige Bestandskunden jedoch werden weiterhin unverschlüsselte Verbindungen hergestellt. Eine Warnung der Nutzer erfolgt dabei nicht.

Das dadurch ermöglichte Mitlesen der unverschlüsselten Nachrichten und Paßwörter erfordert keine besonderen Kenntnisse und ist mit einfachen Bordmitteln möglich, betonte Dirk Engling vom CCC. Der Anteil betroffener Nutzer wird auf zwanzig bis vierzig Prozent geschätzt.

Der CCC rät zur Überprüfung der E-Mail-Konfiguration: Sowohl bei ein- als auch bei ausgehenden E-Mails müssen die Nutzer darauf achten, daß eine TLS/SSL-verschlüsselte Verbindung aufgebaut wird, um übertragene Inhalte und die Zugangsdaten zu schützen. Vorzugsweise sollten Nutzer ohnehin eine Ende-zu-Ende-Verschlüsselung mittels S/Mime oder PGP verwenden.

Im Rahmen der jährlichen Fachkonferenz Chaos Communication Congress setze sich Sicherheitsexperte Linus Neumann in seinem Vortrag „Bullshit made in Germany“ mit den technischen Reaktionen deutscher Anbieter auf die Snowden-Enthüllungen auseinander. [2] Deren Konzepte bezeichnete er als „Mogelpackungen, die für einen schnellen Marketing-Erfolg mit den Ängsten der Nutzer spielen“. In der Regel würden allenfalls jahrelange Versäumnisse aufgeholt, statt für eine nennenswerte Erhöhung der Sicherheit zu sorgen. So sei die bei „E-Mail made in Germany“ nachgezogene Transport-Verschlüsselung selbst bei dem fragwürdigen US-amerikanischen Anbieter Google Mail bereits seit Jahren Standard.

Du kannst gerne Deinen Senf zu diesem Beitrag geben: Hier geht es zu den Kommentaren



Schreiben macht durstig! Eine kleine Erfrischung kann daher nie schaden. Wem dieser freie Artikel gefallen hat, der darf mir gerne einen frisch gezapften Hopfen-Tee ausgeben (Paypal - der Spenden-Knopf
oder bitcoin - Adresse: 1NacVNwcLLePUVv8uSafu5Ykdwh8QyDfgK). Ich freue mich über jede noch so kleine Spende. Vielen Dank und Prost!
 Alle Kommentare als Feed abonnieren

Antworten