Behörden und Firmen schlampen bei Mail-Verschlüsselung

Sicherheit

Nicht nur eine Mail an die Bundeswehr sondern auch Mails an viele Firmen, Unis oder Datenschützer können auf dem Tisch der NASA landen. Noch immer verschlüsseln viele Maileingangsserver grundsätzlich nicht. Eigentlich sollte der Mail-Nutzer mit Sicherheit davon ausgehen können, dass große Firmen, Behörden oder gar das Fernsehen durch die Bank Verschlüsselung der Mails anbieten. Dem ist aber nicht so.

Die Server der großen Mail-Provider verschlüsseln mittlerweile ohne Ausnahme. Doch viele Firmen und Behörden haben das wohl noch nicht für nötig erkannt.

Was hilft es uns, wenn die Mail Eingangs-Server der großen Provider unsere Mails mittlerweile allesamt verschlüsselt entgegennehmen, wenn sie die Mails aber anschließend im Klartext ausliefern müssen, nur, weil viele Firmen oder Behörden das optionale Verschlüsseln der Verbindungen nicht unterstützen? Es ist den Ohren und Augen der NSA und GCHQ gleich, an welcher Stelle der Verbindung sie die Daten abreifen. Ihnen ist es nicht wichtig, über welche Stellen die Mails geleitet werden, wer mit wem kommuniziert, wenn sie es doch leicht haben, an der unverschlüsselten Stelle an ihre Informationen zu kommen. Selbst dann, wenn wir unsere Daten mit Ende-zu-Ende-Verschlüsselung wie PGP schützen, so ist nur der eigentliche Inhalt unserer Mails geschützt, die Meta-Daten gehen unter Umständen eins zu eins weiter an unerwünschte Empfänger.

Stichproben haben ergeben, dass etwa bei rund einem Drittel aller Mail-Server bei der Auslieferung von Mails auf den Einsatz von Verschlüsselung verzichtet werden musste. Offensichtlich stieß man nach der Auswertung der Log-Dateien auf erstaunliche Verschlüsselungs-Verweigerer. Man fand neben etlichen Großkonzernen wie Asus oder Intel sogar Sicherheitsfirmen wie G Data, Avira, Secunet oder TÜV-Nord. Diese Firmen sollten es doch nun wirklich besser wissen. Testet man bei der öffentlichen Hand, stößt man kaum auf Vorbilder. Bundeswehr genauso wie Finanzämter, Datenschützer, Polizei-Behörden, Ministerien oder gar der hessische Landtag nehmen unsere Mails nur über unverschlüsselte Verbindungen an. Ebensolche Erfahrungen wurden mit über 40 Unis sowie deutsche Fernsehsender wie ARD oder RTL gemacht.

Hat jemand Schweizer Bank- oder Firmenverbindungen? Man sollte nicht unbedingt von vornherein davon ausgehen, dass man in die Schweiz nur sichere Daten schickt. Das zeigt uns deutlich der Internet-Provider UPC Cablecom (hier findet man die Domains hispeed.ch und swissonline.ch), der auch mit unverschlüsselten Mail-Servern arbeitet. In Deutschland kann man die sonst so auf Sicherheit bedachten Provider ertappen: Bei o2online.de oder kabeldeutschland.de wird von den Servern kein TLS gesprochen.

Die Telekom hat uns doch so ans Herz gelegt, unsere Mails dringend zu verschlüsseln, anderweitig würde man sie nicht mehr befördern. Ausgerechnet hier steht sie aber ganz schlecht da: Sie Server mail.webpage.t-com.de, mforward.dtag.de oder mail.tcommerce.de lehnen die Anfrage nach Verschlüsselungen ab. Sie sind für tausende Firmen-Mail-Domains als Mail-Exchanger (MX) eingetragen.

Unternehmen wie z. B. heise oder andere prüfen gerne solche Dinge. So werden Konferenzen abgehalten, auf denen man unter anderem mitteilt, wie man die Verschlüsselung von Mail-Servern überprüft und richtig einrichtet. Ausgewählte Referenten beraten, was Firmen gegen die Überwachung durch die NSA tun können. Ein ausgewähltes Bonus-System spornt die Teilnehmer noch zusätzlich an, damit für Nutzer und Firmen schneller in Sachen Sicherheit geforscht und diese dann auch durchgesetzt werden kann.

-

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA eingeben * Das Zeitlimit ist erschöpft. Bitte CAPTCHA neu laden.