Die NSA-Affäre scheint in Deutschland einiges in Gang gebracht zu haben. Aber ist das auch immer so neu und gut, wie dies die ersten Berichte glauben lassen?
Wie ein Lauffeuer verbreitete sich am 09.08.0213 folgende Nachricht:
Im Rahmen der Initiative „E-Mail Made in Germany“ (e-mail-made-in-germany.de) werden die Deutsche Telekom über ihren E-Mail-Provider T-Online E-Mail, sowie die 1&1-Töchter GMX und WEB.DE künftig alle E-Mail-Daten der teilnehmenden E-Mail-Dienste automatisch verschlüsseln. Das klingt zunächst nach einer bahnbrechenden Errungenschaft, aber ist es das tatsächlich? Kann so ein Zugriff auf E-Mail-Daten (Inhalts- sowie Verbindungsdaten) durch Dritte, insbesondere durch staatliche Einrichtungen tatsächlich ausgeschlossen werden?
Der Inhalt im Überblick
Was genau wird verschlüsselt?
Inhaltsdaten
Wie den Angaben des eigens zu dieser Initiative eingerichteten Webauftritts zu entnehmen ist, werden zunächst alle E-Mail-Inhalte auf dem Übertragungsweg vom Endgerät bis zum jeweiligen E-Mail-Server des Providers via SSL/TSL verschlüsselt und zusätzlich ausschließlich in deutschen Rechenzentren verarbeitet. Sodann werden die auf den E-Mail-Servern eingegangenen E-Mails ebenfalls, soweit der Versand an einen ebenfalls in der Initiative verbundenen Anbieter erfolgt, verschlüsselt übertragen. Der E-Mail-Versand zu den nicht in der Initiative verbundenen Providern erfolgt dagegen auch weiterhin unverschlüsselt.
Verbindungsdaten
Ebenso erfolgt der Versand der sog. Metadaten (der Absender- und Adressinformationen) auch weiterhin unverschlüsselt. Hieran ändert allerdings auch die Wahl der Verschlüsselungsmethode nichts. So ist bei beiden hier benannten Verfahren festzuhalten, dass eine Verschlüsselung von Meta-Daten, stets unterbleibt. Gerade auf diese Daten wurde jedoch im Rahmen der NSA-Affäre zugegriffen.
Und genau hier liegt die Krux
Bei dem von den Initiativunternehmen vorgestellten Verschlüsselungsvorgang handelt es sich gerade nicht um eine sogenannte End-to-End-Verschlüsselung, wie dies z.B. bei sog. Zertifikat-Lösungen, wie vor allem beim GnuPG/PGP-Verfahren (wikipedia.de – Pretty Good Privacy), oder s/Mime der Fall ist.
Bei diesem sog. Public-key-Verfahren werden die E-Mail-Inhalte nach Erstellung eines sog. Schlüsselpaares, bestehend aus einem privaten und einem öffentlichen Schlüssel, direkt beim Absender verschlüsselt und erst beim Empfänger wieder entschlüsselt. Nur bei derartigem Vorgehen ist eine Entschlüsselung der E-Mail-Inhalte auf den jeweiligen E-Mail-Servern für die Anbieter nicht möglich und ein Zugriff Dritter auf die E-Mail-Inhalte tatsächlich ausgeschlossen.
Unklar bleibt auch, wie es mit der Verschlüsselung auf dem jeweiligen E-Mail-Server bestellt ist. Nach eigener Auskunft der Telekom werden die auf den Servern verarbeiteten E-Mails zumindest mit einem Virenscanner auf Virenfreiheit überprüft. Wer dies nicht wünscht, muss wohl oder übel weiterhin die E-Mail selbst verschlüsseln und dabei auf Zertifikatslösungen zurückgreifen.
Wer profitiert von der Verschlüsselung
Von der automatischen Verschlüsselung profitieren ausschließlich die Kunden der Anbieter, die sich der Initiative angeschlossen haben. Dies sind nach ersten Schätzungen immerhin ca. 2/3 aller Versender. Ab 2014 soll eine 100%ige Abdeckung angestrebt werden.
Unklar bleibt, nach Anmerkungen des Chaos Computer Clubs vom 10.08.2013 auch, ob andere Anbieter, so vor allem versiertere Nutzer mit eigenem Mail-Client, von der Verschlüsselung profitieren können (vgl.: Chaos Computer Club – „E-Mail Made in Germany“: Das Sommermärchen von der sicheren E-Mail).
Und zu guter Letzt: Ist das wirklich neu?
Die SSL-Verschlüsselung wird bereits seit den 90er Jahren und vor allem im Bereich der Webbrowsing für sensible Übertragungsvorgänge angewendet. Auch diverse Web-Mail-Anbieter verschlüsseln den Zugriff auf das private E-Mail-Konto bereits seit Jahren. Die Initiative muss sich daher die Frage gefallen lassen, weshalb eine automatische SSL-Verschlüsselung erst jetzt umgesetzt wird.
Fazit
Es ist zu begrüßen, dass eine Verschlüsselung jeglicher E-Mail-Kommunikation auf dem Übertragungswege nun zum Standard erhoben werden soll, denn nur so kann ein Schutz personenbezogener Daten tatsächlich gewährleistet werden.
Allerdings ist das hier als besonders neu und effektiv angepriesene Mittel der SSL-Verschlüsselung gar nicht so neu und dazu nicht ausreichend. Denn letztlich verhindern die eingesetzten Technologien nicht, dass „Abhörschnittstellen“ im System, nämlich bei den Anbietern selbst, erhalten bleiben und Dritten und insbesondere staatlichen Einrichtungen der Zugriff auf die Inhaltsdaten ermöglicht wird. Hier allein auf die Gesetzestreue des Anbieters zu vertrauen, erscheint angesichts der jüngsten Geschehnisse doch etwas blauäugig.
Toller Bericht. Man kann nur hoffen das alle Anbieter die Daten mindesten so verschlüsseln.