30C3: E-Mail-Unsicherheit made in Germany
Bei De-Mail habe sich die Politik "mit Händen und Füßen" gegen eine durchgehende Verschlüsselung gewehrt, die Initiative "E-Mail made in Germany" erlaube noch immer einen unverschlüsselten Zugriff, monieren Hacker.
Linus Neumann vom Chaos Computer Club (CCC) hat die "bundesdeutsche Sicherheitstechnik" im Internet vor und nach den Enthüllungen des NSA-Whistleblowers Edward Snowden scharf kritisiert. Bei De-Mail habe sich die Politik jahrelang "mit Händen und Füßen" gegen eine durchgehende Verschlüsselung gewehrt, beklagte der Experte am Samstag auf dem 30. Chaos Communication Congress (30C3) in Hamburg. Die im August gestartete Initiative "E-Mail made in Germany" erlaube derweil zumindest Bestandskunden noch immer einen unverschlüsselten Zugriff auf ihre Postfächer.
Die Deutsche Telekom und United Internet hatten im "Snowden-Sommer" angekündigt, den Verkehr zwischen Mail-Servern, Rechenzentren und Endnutzern künftig per SSL/TLS zu verschlüsseln. Reichlich spät, meint Neumann: Es sei unverzeihlich, nachlässig und verantwortungslos gewesen, dass die Konzerne ein solches besser geschütztes Transportverfahren nicht schon vorher eingeführt hätten. Die entsprechenden Standards und Empfehlungen reichten schließlich bis 1999 zurück. Google etwa habe diese bei Gmail von Anfang an berücksichtigt.
Reichlich spät
Das CCC-Mitglied kritisiert ferner, dass sich die Beteiligten lange Zeit lassen beim Umsetzen des Vorhabens. So könnten Nutzer, die nicht über die Weblösungen der Anbieter gingen, derzeit ihre Mails weiterhin unverschlüsselt abholen oder versenden. Hintergrund sei offenbar, dass die Provider ihren Kunden jahrelang erklärt hätten, wie sie ihre Client-Software ohne SSL-Aktivierung konfigurieren müssten. Das Setzen eines zusätzlichen Häkchens wollten sie dieser Gruppe nun wohl nicht zu rasch zumuten.
Der CCC warnt daher vor einer "Mogelpackung". Er rät Nutzern dringend zur Überprüfung der E-Mail-Einstellungen. Den Anbietern wirft der Hackerverein vor, bei der Umsetzung ihres Sicherheitsversprechens die "weit weniger Elan" zu zeigen "als beim großspurigen Bewerben der Maßnahme". Telekom und United Internet hatten allerdings von Anfang an klargemacht, dass die Umstellung bis Anfang 2014 laufen werde. Kunden von web.de etwa erhalten derzeit beim unverschlüsselten Abholen ihrer Mail einen Hinweis, dass dies im Januar nicht mehr möglich sein werde, nebst Erläuterungen zu den künftig nötigen Konfigurationen.
De-Mail hätte laut Neumann zudem prinzipiell die beste Möglichkeit geboten, eine Ende-zu-Ende-Verschlüsselung standardmäßig zu implementieren und so für alle Nutzer leicht anwendbar zu machen. Dies erkläre aber auch bereits, warum es anders gekommen sei. Die eigentlichen Ziele, die die Politik mit dem Dienst verfolge, bestünden in der Wirtschaftsförderung und dem Erhalt der Abhörbarkeit der Kommunikation.
Traumhaft
Mit dem vorgesehenen Virenscan beim Anbieter werde eine kurzfristige Entschlüsselung von De-Mails erlaubt, erläuterte Neumann seine Bedenken. Die elektronischen Briefe lägen auf den Servern so "faktisch unverschlüsselt", was er bei einer Anhörung im Bundestag zum späteren E-Government-Gesetz im März auch klar gemacht habe. Die Abgeordneten hätten sich davon aber nicht beeindrucken lassen und "für jedes technische Problem eine juristische Lösung" gefunden.
Letztlich bezeichnete der Hacker De-Mail so als "Traum für das Bundeskriminalamt und den Verfassungsschutz", da sich für sie die "Spam-Problematik" löse und die Behörden gezielter ermitteln und spionieren könnten. Letztlich habe der Gesetzgeber De-Mails mit dem E-Justiz-Gesetz gar für rechtsverbindlich erklärt, "weil sie vom Anbieter signiert werden". Gemäß dieser Logik müsste auch jeder Brief als Beweismittel vor Gericht anerkannt werden, den die Post "für mich unterschreibt". (vbr)
