Vermeintlich sichere „E-Mails made in Germany“ doch nicht sicher? Ja und nein. Von einer Schwachstelle im System berichtet jüngst das Online-Magazin golem.de. Demnach sind Angriffe über den Web-Login denkbar. Mit den richtigen Login-Adressen kann jedoch vorgesorgt werden. Der Login über (verschlüsselte) Mail-Clientverbindungen ist übrigens nicht betroffen.
Die großen E-Mail Anbieter GMX, Web.de, T-Online und Freenet kennen die meisten von euch. Im Jahre 2014 entschieden sie die vier großen Anbieter als Folge der NSA-Affäre die Initiative „E-Mail made in Germany“ zu gründen. Die Rede war von diversen neuen Sicherheitsstandards. Ab April 2014 sollten alle Verbindungen nur noch verschlüsselt erfolgen.
Dies sei jedoch nur teilweise umgesetzt worden, berichtet nun golem.de. Bei der Verschlüsselung handle es sich um eine Transportverschlüsslung und nicht um eine Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass die Verbindung nur vom Nutzer bis zum E-Mail Anbieter verschlüsselt wird. Die versendeten E-Mails können beim E-Mail Anbieter jedoch unverschlüsselt vorliegen. Die sichere Ende-zu-Ende-Verschlüsslung ist bei einigen Providern zwar vorhanden, aber nach Aussage von golem.de nicht in den Standarteinstellungen.
Wo besteht nun das Sicherheitsrisiko?
Ein Sicherheitsrisiko bestehe im Login-Vorgang auf den einzelnen Webseiten der Anbieter. Der Verschlüsselungsschutz der Anbieter gelte hier nur eingeschränkt und dadurch wird der Sicherheitsapparat geschwächt. Grund dafür sei, dass die Webseiten nicht mit den richtigen Zertifikaten geschützt werden. Die Verbindungen werden über eine HTTP-Verbindung aufgebaut, anstatt über eine HTTPS-Verbindung. Grundsätzlich sei die Verbindung zwar sicher, schaltet sich jedoch ein Angreifer dazwischen, kann dieser die Verschlüsselung aufheben. Diese Angriffe werden SSL-Stripping genannt und sind schon länger bekannt. Bereits 2009 wurden sie vom Sicherheitsexperten Moxie Marlinspike auf der Black-Hat Konferenz vorgestellt.
Was könnt ihr dagegen tun
Golem.de rät, die Verbindung manuell über HTTPS aufzubauen. Allerdings unterstützen nicht alle bekannten Login-Seiten den HTTPS-Aufruf. Alternativen hat das Magazin daher hier aufgelistet:
Nutzt ihr ein Mailprogramm wie Thunderbird oder Outlook, betreffen euch die unsicheren Verbindungen übrigens nicht. Bei diesen findet der Login über sogenannte Mailprotokolle statt, die in der Regel von allen Anbietern nur verschlüsselt erfolgen.
Zurück zur Übersicht