Schutz für E-Mails: Kleine Mail-Dienste überzeugen
c't hat untersucht, was E-Mail-Provider tun, um die Nachrichten ihrer Kunden zu schützen. Dabei fanden sich bei allen großen Anbietern signifikante Mängel, während gerade einige kleinere Dienstleister glänzen konnten.
Wer seine Privatsphäre gegen übergriffige Staatsmacht oder andere Angreifer schützen will, sollte verschlüsseln. Denn alles, was im Klartext übers Netz geht, ist leichte Beute und kann von Geheimdiensten und anderen analysiert und ausgewertet werden. Ende-zu-Ende-Verschlüsselung ist in dem Fall Pflicht: Die Nachricht lässt sich also auf ihrem gesamten Weg vom Sender zum Empfänger vor neugierigen Augen nur dann wirksam schützen, wenn der Absender sie verschlüsselt und erst der Empfänger sie entschlüsselt.
Durch die Enthüllungen von Edward Snowden wurde bekannt, dass sich die Geheimdienste auch dafür interessieren, wer wann mit wem kommuniziert hat. Genau solche Meta-Informationen fallen aber unabhängig von Verschlüsselung an, wenn Mail-Server und -Programme Nachrichten untereinander austauschen.
c't hat daher untersucht, was E-Mail-Dienste leisten, um die Nachrichten ihrer Kunden zu schützen; insgesamt 16 große und kleine Anbieter wurden überprüft. Dabei überzeugten vor allem drei kleine Unternehmen. Bei jeder einzelnen getesteten Option haben MyKolab, Posteo und Privat DE Mail das heute sinnvolle Optimum an Sicherheit umgesetzt (Privat DE Mail verwendet für seine Homepage allerdings nur ein selbstsigniertes Zertifikat). Auf der anderen Seite zeigte sich, dass gerade die großen Anbieter von E-Mail-Diensten wie GMX, Web.de, T-Online, Outlook.com und Yahoo Verschlüsselung immer noch eher schlecht als recht umsetzen und sich dabei viele Patzer leisten.
Der Test zeigt aber auch, dass in puncto Mail-Sicherheit eine Menge in Bewegung ist. So haben mehrere Anbieter während des Tests ihre Server von sich aus auf sichere Verfahren umgestellt, andere haben die c't-Ergebnisse zum Anlass genommen, ihre Server-Einstellungen kurzfristig zu ändern. Und auch die großen Anbieter wie GMX, Web.de und die Telekom wollen bis zum Frühjahr reagieren und unter anderem die fehlende Forward Secrecy nachrüsten.
Der E-Mail-Schwerpunkt in der aktuellen c't 4 zeigt auch, wie man seine Nachrichten und Adressen zu einem neuen Anbieter umzieht und stellt Alternativen zur E-Mail vor, etwa BitMessage und Dark Mail.
c't- und heise-Security-Redakteur Jürgen Schmidt, der die Tests durchgeführt hat, erklärt übrigens am nächsten Donnerstag, dem 30.1. im Live Webinar "SSL-Verschlüsselung in der Praxis", worauf es bei der Verschlüsselung auf Mail- und Web-Servern ankommt, wie man das testet und dann auch richtig einrichtet. (jo)
