20151104 Riskanter Login bei E-Mail made in Germany

04.11.2015 Riskanter Login bei E-Mail made in Germany
Sorry, most articles are not available in English yet

Bei "E-Mail made in Germany" hat die Verschlüsselung eine Lücke

Nach der NSA-Affäre wollten die vier große deutschen E-Mail-Anbieter mit der Initiative E-Mail made in Germany "neue Sicherheitsstandards" einführen. Ab April 2014 sollten alle Verbindungen zwischen den Mailanbietern GMX, Web.de, T-Online und Freenet nur noch verschlüsselt ablaufen.

Es ist jedoch nur eine Transportverschlüsselung und keine Ende-zu-Ende-Verschlüsselung. Das wäre schon besser als nichts aber es gibt dabei ein Problem: Für Logins auf den Websites der jeweiligen Anbieter gilt der Verschlüsselungsschutz nur eingeschränkt, und dann kann der ganze Sicherheitsansatz ins Leere laufen.

Das Login auf den Websites von GMX, Web.de oder T-Online beginnt zunächst auf einer unverschlüsselten Seite. Ein Angreifer aus dem eigenen WLAN oder jemand beim Internetprovider kann dann aber die Verschlüsselung einfach abschalten (SSL-Stripping).

Alle drei Anbieter sehen darin kein Problem, T-Online weist z.B. darauf hin, dass es dem Nutzer frei steht gleich eine SSL-verschlüsselte Verbindung (https) aufzubauen, bei gmx.de geht dies nicht aber über die Schweizer Version von GMX unter https://www.gmx.ch/.

Mehr dazu bei http://www.zeit.de/digital/datenschutz/2015-11/verschluesselung-email-made-in-germany-login

Alle Artikel zu