Firmen und Behörden schlampen bei Mail-Verschlüsselung
Wer eine Mail an die Bundeswehr schickt, kann davon ausgehen, dass die NSA das erfährt. Ebenso bei vielen Firmen, Unis und sogar bei Datenschützern. Denn viele Mail-Eingangsserver verschlüsseln grundsätzlich nicht.
Während die Server der großen Mail-Provider mittlerweile fast durch die Bank Verschlüsselung anbieten, patzen an dieser Stelle immer noch viele Firmen und Behörden, bilanziert c't im Artikel Mail verschusselt in der aktuellen Ausgabe.
(Bild: c't)
Was hilft es, wenn die Mail-Eingangs-Server der Provider die Mails verschlüsselt entgegen nehmen, sie diese dann aber im Klartext ausliefern müssen, weil der Empfänger das optionale Verschlüsseln der Verbindung nicht unterstützt? Den Schnüfflern von NSA und GCHQ ist es egal, an welcher Stelle sie die Daten, wer wann mit wem kommuniziert, abgreifen. Selbst eventuell eingesetzte Ende-zu-Ende-Verschlüsselung etwa mit PGP schützt nur den eigentlichen Inhalt der Mails vor neugierigen Augen, nicht jedoch diese Meta-Daten.
Verschlüsselungs-Verweigerer
Bei rund einem Drittel aller Mail-Server muss etwa der Heise-Mail-Server bei der Auslieferung von Mails auf den Einsatz von Verschlüsselung verzichten. Bei einer Auswertung der Log-Dateien und zusätzlichen Stichproben stieß heise Security auf teilweise erstaunliche Verschlüsselungs-Verweigerer: Auf der Liste finden sich neben Großkonzernen wie Intel und Asus sogar Sicherheitsfirmen wie Avira, G Data, Secunet und TÜV-Nord, die es nun wirklich besser wissen müssten. Auch die öffentliche Hand kann kaum als Vorbild dienen. Neben der Bundeswehr nehmen auch Datenschützer, Finanzämter, Polizei-Behörden, Ministerien und der hessische Landtag Mails nur über unverschlüsselte Verbindungen an. Über 40 Unis und Fernsehsender wie ARD und RTL machen es nicht besser.
Dass man die Schweiz nicht zwangsläufig mit sicheren Daten assoziieren sollte, demonstriert etwa der Internet-Provider UPC Cablecom, der die Domains hispeed.ch und swissonline.ch betreibt – ohne verschlüsselnde Mail-Server. Auch die oben gelobten Provider sind keineswegs ohne Fehl. Bei kabeldeutschland.de und o2online.de sprechen die Mail-Server kein TLS. Und ausgerechnet bei den Firmenangeboten steht auch die Telekom wieder ganz schlecht da: Die für viele tausend Firmen-Mail-Domains als Mail-Exchanger (MX) eingetragenen Server mail.webpage.t-com.de, mail.tcommerce.de und mforward.dtag.de lehnen Anfragen nach Verschlüsselung ab.
Wie man unter anderem die Verschlüsselung von Mail-Servern überprüft und dann richtig einrichtet, ist auch einer der Schwerpunkte der nächsten heise-Security-Konferenz, bei der von der Redaktion ausgewählte Referenten im Mai an vier verschiedenen Orten erklären, was Firmen heute gegen die Überwachung durch NSA & Co tun können und sollten. Admins der im Artikel angeprangerten Server bekommen dabei übrigens 100 Euro Extra-Rabatt. (ju)
