„E-Mail made in Germany“ startet am 31. März
Neben Freenet werden am 31. März nun auch die E-Mail-Anbieter Deutsche Telekom, GMX, und Web.de die E-Mail-Verschlüsselung im Rahmen der Initiative „E-Mail made in Germany“ starten. Bereits im August 2013 hatten die Betreiber angekündigt, alle Nachrichten untereinander zukünftig verschlüsseln zu wollen.
Demnach werden die E-Mail-Server der vier Anbieter ab dem besagten Datum nur noch das verschlüsselte Versenden von Mails via SMTPS (Simple Mail Transfer Protocol over SSL) und das verschlüsselte Abrufen über POP3S (Post Office Protocol 3 over SSL) respektive IMAPS (Internet Message Access Protocol over SSL) akzeptieren.
Damit dies ab dem 31. März jedoch problemlos funktioniert, müssen Nutzer, die mit Mail-Clients auf PCs, Notebooks, Smartphones oder Tablets arbeiten, die SSL-Verschlüsselung in den Einstellungen der jeweiligen Programme aktivieren. Dafür bieten die Deutsche Telekom sowie die zu United Internet gehörenden Anbieter GMX und Web.de bereits entsprechende Anleitungen an. Wer seine E-Mails per Browser oder über die von den Betreibern zur Verfügung gestellten Anwendungen abruft, muss hingegen keine Änderungen vornehmen.
Die Initiative „E-Mail made in Germany“ folgte auf die Enthüllungen der Überwachungsprogramme von Geheimdiensten wie der NSA. Der mittlerweile ehemalige Telekom-Chef René Obermann sagte im August 2013: „Die jüngsten Berichte über mögliche Zugriffe auf Kommunikationsdaten haben die Deutschen stark verunsichert.“ Mit der Initiative wolle man den E-Mail-Versand in Deutschland ein Stück weit sicherer machen.
Beim Bundesamt für Sicherheit in der Informationstechnologie (BSI) findet die Initiative positiven Anklang. „In Verbindung mit einem sicheren PC ist dieses neue E-Mail-Angebot ein wesentlicher Beitrag zu mehr Sicherheit im Cyberraum“, sagte Lothar Eßer, Leiter des BSI-Referats Internetsicherheit. Netzaktivisten hingegen zeigten sich wenig begeistert von der Initiative und bezeichneten diese als eine Marketing-Aktion, die keine Sicherheit gewährleistet, sondern vielmehr zwei bestehende Sicherheitslücken schließt.
Denn zum Einen werden die Nachrichten nur zwischen den vier an der Initiative teilnehmenden Betreibern verschlüsselt, der Versand zu nicht angebundenen Anbietern erfolgt dagegen auch weiterhin unverschlüsselt. Zum Anderen ist die umgesetzte Lösung nur gegen die Spionage von Inhalten gewappnet, nicht aber gegen die oft für Behörden besonders interessante Spionage von Metadaten. Also die Information darüber, wer wem wann und von wo aus eine E-Mail geschickt hat.
Die ab dem 31. März aktive SSL-Verschlüsselung ist daher viel eher ein Schutz gegen Betrüger, die durch ein Abfangen von Nachrichten beispielsweise an die Kreditkarteninformationen des Nutzers gelangen möchten.