Mehr Sicherheit in der Mail-Kommunikation
9. August 2013
Die Vorstellung, Geheimdienste könnten E-Mails mitlesen, ist unangenehm. Auch wenn man von sich selbst sagen würde, man habe nichts zu verbergen. Die meisten Nutzer haben bisher einfach darauf vertraut, dass die Unternehmen, die Email-Dienste anbieten, auch für den Schutz ihrer Daten sorgen.
Doch inwiefern etwa US-amerikanische Firmen wie Google, Microsoft oder Yahoo mit der Regierung und den Geheimdiensten zusammenarbeiten, ist immer noch nicht ganz klar. Sie dementieren, dass staatliche Organe auf die Daten ihrer Nutzer Zugriff bekommen oder dass sie freiwillig Daten herausgeben. Dem entgegen stehen die Angaben des früheren Geheimdienstmitarbeiters Edward Snowden, der mit seinen Enthüllungen über die großangelegte Internet-Ausspähung durch den Geheimdienst NSA die Frage des Datenschutzes im Netz in den Fokus gerückt hat.
"Lieber deutsche als US-Server"
Die Frage ist aktueller denn je: In den USA haben gerade zwei E-Mail-Dienste ihren Betrieb eingestellt, weil sie - wie es scheint - von den Behörden eingeforderte Nutzerdaten nicht herausrücken wollten. Einen der beiden Dienste, Lavabit, soll Edward Snowden genutzt haben.
In den USA hätten die Behörden mehr Befugnisse auf persönliche Daten zuzugreifen als in Deutschland, so der Netzjournalist Robin Cumpl im Gespräch mit der Deutschen Welle. Deutsche Unternehmen wie die Telekom betonen stets, dass sie Zugriff auf Nutzerdaten gemäß dem Telekommunikationsgesetz nur auf richterlichen Beschluss gewähren. Cumpl sagt, er würde für seine Daten "immer deutsche oder auch europäische Server gegenüber US-Servern bevorzugen", auch wenn ein Missbrauch hierzulande nicht völlig ausgeschlossen werden könne.
E-Mail Made in Germany
In Deutschland sind die größten Mail-Anbieter T-Online von der Telekom sowie Web.de und Gmx, die zum United-Internet-Konzern gehören. Rund zwei Drittel aller Internetnutzer haben bei diesen Anbietern ihr Haupt-Mailkonto.
Telekom und United Internet sind Konkurrenten, aber sie haben sich nun zusammengetan, um den Mail-Verkehr zumindest zwischen ihren Servern sicherer zu machen. Das Konzept nennt sich "E-Mail Made in Germany". Dabei werden Mails auf ihrem Weg zwischen den Rechenzentren der Unternehmen mit dem Netzwerkprotokoll SSL verschlüsselt. Zudem würden alle Daten "in sicheren Rechenzentren in Deutschland" gespeichert, teilten die beiden Firmen bei der Vorstellung des Sicherheitskonzeptes am Freitag (09.08.2013) mit.
Auf den Servern der Unternehmen liegen die Mails aber weiterhin in unverschlüsselter Form. "Wir haben Hochsicherheitsrechenzentren, in denen sichergestellt ist, dass kein Mitarbeiter Zugriff auf die Inhalte der Daten hat", sagte Thomas Tschersich, Leiter der IT-Sicherheit bei der Telekom, bei der Pressekonferenz zu "E-Mail Made in Germany". "Die Daten liegen unter den strengen Regeln des deutschen Datenschutzrechtes auf unseren Rechnern".
Ein guter Tropfen auf den heißen Stein
SSL ist nach Einschätzung der meisten Experten ein gutes Verfahren, um Daten zu verschlüsseln. Auch wenn theoretisch jeder Code knackbar sei, "wer mit TLS oder SSL - wie es früher hieß - verschlüsselt, ist auf der sicheren Seite", sagt Robin Cumpl. Die Initiative von Telekom und United Internet nennt er "zwar einen Tropfen auf den heißen Stein, aber einen guten Tropfen". Tropfen auf den heißen Stein deshalb, weil eben nur die Transportwege zwischen Mail-Nutzern von T-Online, Gmx und Web.de SSL-gesichert werden. "Wenn man ein Konto bei Googlemail hat, ist man außen vor."
Telekom und United Internet wissen das natürlich auch und hoffen, dass weitere Mail-Anbieter sich anschließen - auch wenn die Chancen, dass Google oder Yahoo das tun, wohl bei Null liegen.
"Realistischerweise wäre ich erst einmal froh, wenn wir das in Deutschland breit verankern könnten", sagte Telekom-Chef René Obermann bei der Pressekonferenz am Freitag (09.08.2013). Durch ihre Initiative werde zumindest ein Großteil des Mailverkehrs in Deutschland besser geschützt. Mit weiteren Mitbewerbern wie Arcor oder Freenet habe es schon erste Gespräche gegeben, fügte United-Internet-Chef Ralph Dommermuth hinzu.
Experte rät zu PGP
"Wenn es um die Versendung wirklich wichtiger Dokumente geht, muss der Nutzer aber selbst aktiv werden", rät Cumpl. Eine Verschlüsselungstechnik, die sich seit den Snowden-Enthüllungen wachsender Beliebtheit erfreut, ist Pretty Good Privacy (PGP). "Dabei verschlüsselt mein Rechner die Datei und nur der Empfänger mit dem passenden Schlüssel kann sie dekodieren. Dann ist es auch völlig egal, ob die Verbindung dazwischen abgehört wird oder nicht."
Die Möglichkeit einer PGP-Verschlüsselung von Mails bietet unter anderem Mozillas E-Mail-Programm Thunderbird an. Damit es funktioniert, muss der Nutzer sich allerdings etwas damit beschäftigen. "Sicherheit bedeutet auch Aufwand", sagt Cumpl.