Web.de und GMX setzen auf Ende-zu-Ende-Verschlüsselungsverfahren

Die zu United Internet gehörenden Anbieter Web.de und GMX hatten in den letzten Tagen mit unschönen Nachrichten zu kämpfen. So wurde eine Sicherheitslücke entdeckt, die das Ausspähen von E-Mails möglich machte, sodass man allen Kunden momentan auch nur zum Passwortwechsel raten kann (oder: Anbieterwechsel, gab ja schon einige unschöne Dinger).

webde

Nun aber will man mit Verschlüsselung punkten. Beide Anbieter (nach eigenen Angaben hat man 30 Millionen Nutzer) haben heute das sogenannte Ende-zu-Ende-Verschlüsselungsverfahren in ihre E-Mail-Produkte integriert. Die Lösung, die beide Anbieter einsetzen, basiert auf PGP (Pretty Good Privacy). Die neue Sicherheitsstufe für E-Mail funktioniert laut Anbieter auf allen gängigen Endgeräten, steht allen Kunden der beiden Mail-Dienste kostenlos zur Verfügung und ist kompatibel zu allen bisherigen PGP-Anwendungen.

Die beiden E-Mail-Anbieter setzen auf PGP-Verschlüsselung mit der Open-Source-Software Mailvelope, die wir hier im Blog auch schon einmal vorgestellt haben. Mit ihr ist die Verschlüsselung im Browser auch für andere Web-Mailer möglich. Bei der Nutzung über den Browser wird das Plugin in die Mail-Oberfläche von WEB.DE und GMX integriert und verschlüsselt den Mailinhalt sowie Anhänge direkt vor dem Versenden. Die WEB.DE und GMX Apps für Android- oder iOS-Smartphones bzw. -Tablets verfügen automatisch über die PGP-Erweiterung, so dass der Nutzer mit allen gängigen Endgeräten ver- und entschlüsseln kann.

Auch um öffentliche Schlüssel will man sich kümmern. Alle mit der Browser-Erweiterung erzeugten öffentlichen Schlüssel werden in einem von WEB.DE und GMX gepflegten Verzeichnis abgelegt. Mit Hilfe einer Signatur wollen WEB.DE und GMX sicherstellen, dass die Schlüssel im Verzeichnis zu den jeweiligen Accounts passen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

26 Kommentare

  1. Eine Katastrophe diese Mail-Anbieter. Nie wieder dorthin zurück. Unverständlich wie viele sich heute noch für sowas entscheiden, wo es weitaus bessere Lösungen wie Gmail gibt. Vergleicht nur mal den Speicherplatz, Benutzeroberfläche, Werbung…

  2. Gmail ist da sicher ein schlechtes Beispiel. Ich denke wie so oft, sollte man überlegen, ob es einem nicht z.B. 1 Euro p.M. wert ist, sich darüber keine Gedanken mehr machen zu müssen. Ich nutze daher seit dem Start Posteo, bin über Caschy damals darauf aufmerksam geworden. Danke nochmal!

  3. Chosè Estevan Vankastuerila says:

    Kann da Heinz nur zustimmen, welche Vorteile haben die Anbieter, außer das man eine kurze Email-Adresse machen kann (wobei das auch bei vielen anderen Anbietern, bsp. AOL, möglich ist) und die aus Deutschland kommen (wobei das bei der großzügigen Kooperation der Deutschen mit der USA/ NSA die vermeintliche Sicherheit auch dahin sein dürfte… auch mit der Verschlüsselung „..dann lassen wir halt ein Hintertürchen für unsere Freunde offen..“).

  4. Ich nutze noch GMail, allerdings hast du bei GMail nicht mal mehr deutschen Datenschutz, d.h. da wird alles gescannt. Oberfläche ist OK, mittlerweile gibt es auch bessere (auch kostenlos). Speicherplatz ist super, brauch ich aber persönlich nicht so viel. Werbung pfeffert dir Google dank Monopol dann überall da rein wo sie wollen. Irgendwann wird dich vielleicht Google Maps nicht mehr perfekt navigieren sondern an McDonalds vorbei wenn du genug über Essen, Burger King oder McDonalds in deinen E-Mails schreibst.
    Persönlich würde ich zu einem Anbieter wechseln, den man bezahlt. Bzw. migriere ich von Google eben zu dem Anbieter meines Webspace – da hab ich mehrere Hundert Postfächer mit jeweils 2GB zur Verfügung mit eigener Domain, dazu brauchbare Weboberfläche und Apps sowie einen robusten Server.
    Und wo genau bietet Google PGP an? Man kann viel gegen GMX und Web.de in der kostenlosen Version sagen, aber hier für alle idiotenfreundlich PGP einzusetzen ist ein guter Schritt, den man kaum kritisieren kann.

  5. Meine Mailadresse bei Web.de wurde komprimittiert, ich kann nur Jedem abraten, diesen Dienst zu benutzen

  6. @froyo52
    Ernsthaft? Du wirfst web.de vor, dass *Du* mit unseriösen Anbietern geschäftest? Das ist schon verdammt sportlich!

  7. Schön wie niemand wirklich auf den Inhalt des Artikels eingeht.

    „E-Mail made in Germany“ war Jahre überfällig und eine riesige Mogelpackung, die eine falsche Sicherheit vorgegaukelt hat. Wenn es jetzt aber die zwei vermutlich größten deutschen E-Mail-Anbieter schaffen sollten, PGP/GPG den Massen schmackhaft zu machen, wurde endlich halbwegs angemessen auf die „Datenschutzkatastrophe“ reagiert. Nur mit wirksamer Verschlüsselung können wir den Regierungen das Heft aus der Hand nehmen und unsere Freiheiten zuverlässig schützen. Ich denke dieser Schritt kann nicht hoch genug bewertet werden, auch wenn man sicherlich schauen muss wie gut die technische Umsetzung dann wirklich ist.

  8. Ist wieder mal eine tolle Mogelpackung. Unter Safari auf dem Mac geht die Verschlüsselung nicht. Wenn man da draufklickt, kommt eine Meldung, dass es nur mit Chrome und Firefox funktioniert und man gefälligst seinen Browser wechseln soll. Wenn man auf dem Mac halbwegs mit IOS synchron bleiben will, bleibt einem leider nur Safari, so dass die ach so tolle Verschlüsselung für Mac-User für den A… ist. Schade, das war wohl nix…

  9. @Thomas Speck
    naja ist ja nur eine Minderheit die so ausgeschlossen wird oder anders, dies muss man in Kauf nehmen, wenn eine OS-Insellösung im Einsatz ist.

  10. Infopage/Anleitung – https://www.gmx.net/produkte/sicherheit/pgp/ damit die anderen Leser gleich klickern können

  11. @Thomas: Speck:
    Mailprogramm mit PGP, wo ist das Problem?

    @Thomas:
    Seit das Internet für alle zugänglich ist wird nicht mehr richtig gelesen 😉 Ich hatte zwar gehofft, daß das Internet die Allgemeinbildung anheben könnte, leider hat aber mangelnde Allgemeinbildung das Internet herabgesetzt 😉

  12. Nicht verkehrt, aber ich hätte lieber 2-Faktor-Authentifizierung als neues Feature gesehen.

  13. @Thomas Speck Wer Safari freiwillig benutzt, der ist selbst schuld und dem ist nicht mehr zu helfen… Safari ist der neue Internet Explorer.

  14. Auch wenn ich gerade dabei bin, GMX (und auch Gmail) den Rücken zu kehren, ist das doch eine ziemlich begrüßenswerte Aktion.

    Das Problem bei email Verschlüsselung ist doch primär, dass die meisten Nutzer sich nicht damit auseinander setzen können oder wollen. Wenn mehr und mehr Anbieter Ihre Kunden dazu auffordern und unterstützen, halte ich das für sehr positiv.

  15. @Anon: Nee, ist klar – bloß weil nach der Vorstellung von Google im Minutentakt in einen Browser ungeprüfte Funktionen und nicht mal in der Nähe von Standards befindliche Konzepte eingebaut werden sollen, um damit dann ein ganzes Betriebssystem zu ersetzen, sind die, die da nicht mitziehen, natürlich lahm und veraltet… warum soll man auch auf sowas wie Speicher- oder Energieverbrauch Rücksicht nehmen?

  16. @Marc: Wenn das eine OS-Insellösung ist, dann setzt einer der größten Tech-Blogger in Deutschland genau diese ein – nicht wahr Caschy ? Wenn ich es so richtig in Erinnerung habe, dann ist der Hardware-Verkauf von Apple keine Minderheit mehr, die Verkaufszahlen haben kräftig angezogen. Frag mal die ganzen Grafikdesigner und Druckereien, was sie von der sog. „Insellösung“ halten.

  17. @Anon: Safari tut treu seinen Dienst und funktioniert, sowohl auf OSX als auch auf IOS, warum sollte das der „neue“ Internet-Explorer sein ? Unter Windows ist er nicht so doll, aber integriert in OSX und IOS funktioniert er tadellos. Und ich erwarte, dass die Lösung für 18 Millionen Kunden alle gängigen Browser bedient. Der IE (jetzt dann Edge) wird ja auch ausgeschlossen, nicht nur Safari.

  18. In der Web.de App für iPhone funktioniert die Verschlüsselung nicht.
    Hat das schon jemand aktiviert bekommen?

  19. Ich bin bei GMX und habe Pro Mail. Inwieweit sind den andere anbieter vor fehler gefeit?

    Und Verschlüsselung ist sinnlos. Wie kann ich wissen ob der Empfänger zb eine Firma oder Freund PGP einsetzt?

    So leider wie immer. In der Praxis unbrauchbar.

  20. TutnichtszurSache says:

    Schaut euch Posteo an. Die sind was Datenschutz angeht den anderen Lichtjahre voraus.

  21. In Lichtjahren werden Entfernungen gemessen, hat mit Zeit nichts zu tun!

  22. Obama Bundesferkel says:

    PGP… ein zweischneidiges Schwert. Problematisch hier, dass die Schlüssel öffentlich abrufbar (und somit auch modifizierbar) sind.

    Was Posteo angeht: Die kochen auch nur mit Wasser – alleine das sollte euch der Transparenzbericht nahelegen, der die erfolgten Anfragen der Exekutive aufführt.
    Sämtliche Diensteanbieter unterstehen in erster Linie den jeweiligen Gesetzes des Landes, in dem sie ihren Firmensitz haben.

    Da können noch so rosige Worte gewählt werden: Sie verpuffen im Nichts.

    De-Mail ist doch auch so eine superdolle Sache: Entwickelt mit einem Unternehmen, das für die NSA tätig ist mit netten Klauseln in den AGB, dass übermittelte Nachrichten auf den Mailservern „entschlüsselt und auf Schädlinge geprüft“ werden.
    Der Chaos Computer Club hat darüber mal ausführlich bei einem Treffen argumentiert (Video ist online verfügbar).

    Und zu gmx / web.de muß man ja nun wirklich nichts weiter sagen, außer: Drückerkolonne, Abofalle, unfreundlicher Kundenservice, Zusammenarbeit mit Inkassofirmen.

  23. @Lichtjahr
    Schwachfug

  24. @obama
    Schwachsinn. Es ist ein Unterschied ob man als Anbieter alles tut was die Polizei gerne hätte (egal ob dies rechtmäßig ist) oder ob man sich mit allen rechtlichen Mitteln wehrt wie hier zB http://www.zeit.de/digital/datenschutz/2014-05/posteo-transparenzbericht-polizei

  25. @John
    Ähm, du erkennst, ob der Empfänger das auch nutzt, indem du seinen öffentlichen Schlüssel hast. Was Web.de und GMX dem Anwender schon halb abnehmen, denn sie verwalten für dich die öffentlichen Schlüssel. Wenn du es also nutzen solltest, und der Empfänger auch, dann bekommst du demnächst in der Web-App von denen angeboten, die Mail zu verschlüsseln.
    Was du unabhängig davon immer machen kannst, ist diene E-Mail zu signieren. Das kann dann der Empfänger automatisch verifizieren.
    ich finde das Konzept sehr alltagstauglich. Jetzt sollten sie einfach noch jedem, der in einem Monat noch keinen Schlüssel generiert hat, und jedem Neukunden ab heute Schlüssel automatisch generieren, und schon würde sich PGP verbreiten.

    @Obama Bundesferkel
    Nun die öffentlichen Schlüssel sind öffentlich, vollkommen Egal. Theoretisch kann auf einem Keyserver jeder alles hochladen. Und theoretisch könnte GMX die öffentlichen Schlüssel verfälschen. Damit sind KeyServer und das System von GMX / Web.de theoretisch angreifbar, denn würden sie einen öffentlichen Schlüssel verfälschen, könnte der Empfänger die E-Mail nicht mehr entschlüsseln, dafür eben GMX / web.de. Das ist aber kein technisches Problem von PGP. Ich verschlüssele Daten nur mit Keys, die ich persönlich abgeglichen habe, und damit kommt da auch niemand rein, es sei denn, er stielt dem Empfänger den privaten Schlüssel, und kennt sein Passwort.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.