Web.de und GMX setzen auf Ende-zu-Ende-Verschlüsselungsverfahren
von caschy | 26 Kommentare
Die zu United Internet gehörenden Anbieter Web.de und GMX hatten in den letzten Tagen mit unschönen Nachrichten zu kämpfen. So wurde eine Sicherheitslücke entdeckt, die das Ausspähen von E-Mails möglich machte, sodass man allen Kunden momentan auch nur zum Passwortwechsel raten kann (oder: Anbieterwechsel, gab ja schon einige unschöne Dinger).
Nun aber will man mit Verschlüsselung punkten. Beide Anbieter (nach eigenen Angaben hat man 30 Millionen Nutzer) haben heute das sogenannte Ende-zu-Ende-Verschlüsselungsverfahren in ihre E-Mail-Produkte integriert. Die Lösung, die beide Anbieter einsetzen, basiert auf PGP (Pretty Good Privacy). Die neue Sicherheitsstufe für E-Mail funktioniert laut Anbieter auf allen gängigen Endgeräten, steht allen Kunden der beiden Mail-Dienste kostenlos zur Verfügung und ist kompatibel zu allen bisherigen PGP-Anwendungen.
Die beiden E-Mail-Anbieter setzen auf PGP-Verschlüsselung mit der Open-Source-Software Mailvelope, die wir hier im Blog auch schon einmal vorgestellt haben. Mit ihr ist die Verschlüsselung im Browser auch für andere Web-Mailer möglich. Bei der Nutzung über den Browser wird das Plugin in die Mail-Oberfläche von WEB.DE und GMX integriert und verschlüsselt den Mailinhalt sowie Anhänge direkt vor dem Versenden. Die WEB.DE und GMX Apps für Android- oder iOS-Smartphones bzw. -Tablets verfügen automatisch über die PGP-Erweiterung, so dass der Nutzer mit allen gängigen Endgeräten ver- und entschlüsseln kann.
Auch um öffentliche Schlüssel will man sich kümmern. Alle mit der Browser-Erweiterung erzeugten öffentlichen Schlüssel werden in einem von WEB.DE und GMX gepflegten Verzeichnis abgelegt. Mit Hilfe einer Signatur wollen WEB.DE und GMX sicherstellen, dass die Schlüssel im Verzeichnis zu den jeweiligen Accounts passen.
Wird geladen ...
In Lichtjahren werden Entfernungen gemessen, hat mit Zeit nichts zu tun!
PGP… ein zweischneidiges Schwert. Problematisch hier, dass die Schlüssel öffentlich abrufbar (und somit auch modifizierbar) sind.
Was Posteo angeht: Die kochen auch nur mit Wasser – alleine das sollte euch der Transparenzbericht nahelegen, der die erfolgten Anfragen der Exekutive aufführt.
Sämtliche Diensteanbieter unterstehen in erster Linie den jeweiligen Gesetzes des Landes, in dem sie ihren Firmensitz haben.
Da können noch so rosige Worte gewählt werden: Sie verpuffen im Nichts.
De-Mail ist doch auch so eine superdolle Sache: Entwickelt mit einem Unternehmen, das für die NSA tätig ist mit netten Klauseln in den AGB, dass übermittelte Nachrichten auf den Mailservern „entschlüsselt und auf Schädlinge geprüft“ werden.
Der Chaos Computer Club hat darüber mal ausführlich bei einem Treffen argumentiert (Video ist online verfügbar).
Und zu gmx / web.de muß man ja nun wirklich nichts weiter sagen, außer: Drückerkolonne, Abofalle, unfreundlicher Kundenservice, Zusammenarbeit mit Inkassofirmen.
@Lichtjahr
Schwachfug
@obama
Schwachsinn. Es ist ein Unterschied ob man als Anbieter alles tut was die Polizei gerne hätte (egal ob dies rechtmäßig ist) oder ob man sich mit allen rechtlichen Mitteln wehrt wie hier zB http://www.zeit.de/digital/datenschutz/2014-05/posteo-transparenzbericht-polizei
@John
Ähm, du erkennst, ob der Empfänger das auch nutzt, indem du seinen öffentlichen Schlüssel hast. Was Web.de und GMX dem Anwender schon halb abnehmen, denn sie verwalten für dich die öffentlichen Schlüssel. Wenn du es also nutzen solltest, und der Empfänger auch, dann bekommst du demnächst in der Web-App von denen angeboten, die Mail zu verschlüsseln.
Was du unabhängig davon immer machen kannst, ist diene E-Mail zu signieren. Das kann dann der Empfänger automatisch verifizieren.
ich finde das Konzept sehr alltagstauglich. Jetzt sollten sie einfach noch jedem, der in einem Monat noch keinen Schlüssel generiert hat, und jedem Neukunden ab heute Schlüssel automatisch generieren, und schon würde sich PGP verbreiten.
@Obama Bundesferkel
Nun die öffentlichen Schlüssel sind öffentlich, vollkommen Egal. Theoretisch kann auf einem Keyserver jeder alles hochladen. Und theoretisch könnte GMX die öffentlichen Schlüssel verfälschen. Damit sind KeyServer und das System von GMX / Web.de theoretisch angreifbar, denn würden sie einen öffentlichen Schlüssel verfälschen, könnte der Empfänger die E-Mail nicht mehr entschlüsseln, dafür eben GMX / web.de. Das ist aber kein technisches Problem von PGP. Ich verschlüssele Daten nur mit Keys, die ich persönlich abgeglichen habe, und damit kommt da auch niemand rein, es sei denn, er stielt dem Empfänger den privaten Schlüssel, und kennt sein Passwort.