Web.de und GMX setzen auf Ende-zu-Ende-Verschlüsselungsverfahren

Die zu United Internet gehörenden Anbieter Web.de und GMX hatten in den letzten Tagen mit unschönen Nachrichten zu kämpfen. So wurde eine Sicherheitslücke entdeckt, die das Ausspähen von E-Mails möglich machte, sodass man allen Kunden momentan auch nur zum Passwortwechsel raten kann (oder: Anbieterwechsel, gab ja schon einige unschöne Dinger).

webde

Nun aber will man mit Verschlüsselung punkten. Beide Anbieter (nach eigenen Angaben hat man 30 Millionen Nutzer) haben heute das sogenannte Ende-zu-Ende-Verschlüsselungsverfahren in ihre E-Mail-Produkte integriert. Die Lösung, die beide Anbieter einsetzen, basiert auf PGP (Pretty Good Privacy). Die neue Sicherheitsstufe für E-Mail funktioniert laut Anbieter auf allen gängigen Endgeräten, steht allen Kunden der beiden Mail-Dienste kostenlos zur Verfügung und ist kompatibel zu allen bisherigen PGP-Anwendungen.

Die beiden E-Mail-Anbieter setzen auf PGP-Verschlüsselung mit der Open-Source-Software Mailvelope, die wir hier im Blog auch schon einmal vorgestellt haben. Mit ihr ist die Verschlüsselung im Browser auch für andere Web-Mailer möglich. Bei der Nutzung über den Browser wird das Plugin in die Mail-Oberfläche von WEB.DE und GMX integriert und verschlüsselt den Mailinhalt sowie Anhänge direkt vor dem Versenden. Die WEB.DE und GMX Apps für Android- oder iOS-Smartphones bzw. -Tablets verfügen automatisch über die PGP-Erweiterung, so dass der Nutzer mit allen gängigen Endgeräten ver- und entschlüsseln kann.

Auch um öffentliche Schlüssel will man sich kümmern. Alle mit der Browser-Erweiterung erzeugten öffentlichen Schlüssel werden in einem von WEB.DE und GMX gepflegten Verzeichnis abgelegt. Mit Hilfe einer Signatur wollen WEB.DE und GMX sicherstellen, dass die Schlüssel im Verzeichnis zu den jeweiligen Accounts passen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

26 Kommentare

  1. In Lichtjahren werden Entfernungen gemessen, hat mit Zeit nichts zu tun!

  2. Obama Bundesferkel says:

    PGP… ein zweischneidiges Schwert. Problematisch hier, dass die Schlüssel öffentlich abrufbar (und somit auch modifizierbar) sind.

    Was Posteo angeht: Die kochen auch nur mit Wasser – alleine das sollte euch der Transparenzbericht nahelegen, der die erfolgten Anfragen der Exekutive aufführt.
    Sämtliche Diensteanbieter unterstehen in erster Linie den jeweiligen Gesetzes des Landes, in dem sie ihren Firmensitz haben.

    Da können noch so rosige Worte gewählt werden: Sie verpuffen im Nichts.

    De-Mail ist doch auch so eine superdolle Sache: Entwickelt mit einem Unternehmen, das für die NSA tätig ist mit netten Klauseln in den AGB, dass übermittelte Nachrichten auf den Mailservern „entschlüsselt und auf Schädlinge geprüft“ werden.
    Der Chaos Computer Club hat darüber mal ausführlich bei einem Treffen argumentiert (Video ist online verfügbar).

    Und zu gmx / web.de muß man ja nun wirklich nichts weiter sagen, außer: Drückerkolonne, Abofalle, unfreundlicher Kundenservice, Zusammenarbeit mit Inkassofirmen.

  3. @Lichtjahr
    Schwachfug

  4. @obama
    Schwachsinn. Es ist ein Unterschied ob man als Anbieter alles tut was die Polizei gerne hätte (egal ob dies rechtmäßig ist) oder ob man sich mit allen rechtlichen Mitteln wehrt wie hier zB http://www.zeit.de/digital/datenschutz/2014-05/posteo-transparenzbericht-polizei

  5. @John
    Ähm, du erkennst, ob der Empfänger das auch nutzt, indem du seinen öffentlichen Schlüssel hast. Was Web.de und GMX dem Anwender schon halb abnehmen, denn sie verwalten für dich die öffentlichen Schlüssel. Wenn du es also nutzen solltest, und der Empfänger auch, dann bekommst du demnächst in der Web-App von denen angeboten, die Mail zu verschlüsseln.
    Was du unabhängig davon immer machen kannst, ist diene E-Mail zu signieren. Das kann dann der Empfänger automatisch verifizieren.
    ich finde das Konzept sehr alltagstauglich. Jetzt sollten sie einfach noch jedem, der in einem Monat noch keinen Schlüssel generiert hat, und jedem Neukunden ab heute Schlüssel automatisch generieren, und schon würde sich PGP verbreiten.

    @Obama Bundesferkel
    Nun die öffentlichen Schlüssel sind öffentlich, vollkommen Egal. Theoretisch kann auf einem Keyserver jeder alles hochladen. Und theoretisch könnte GMX die öffentlichen Schlüssel verfälschen. Damit sind KeyServer und das System von GMX / Web.de theoretisch angreifbar, denn würden sie einen öffentlichen Schlüssel verfälschen, könnte der Empfänger die E-Mail nicht mehr entschlüsseln, dafür eben GMX / web.de. Das ist aber kein technisches Problem von PGP. Ich verschlüssele Daten nur mit Keys, die ich persönlich abgeglichen habe, und damit kommt da auch niemand rein, es sei denn, er stielt dem Empfänger den privaten Schlüssel, und kennt sein Passwort.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.