Bei "E-Mail made in Germany" hat die Verschlüsselung eine Lücke

Nach der NSA-Affäre wollten die vier große deutschen E-Mail-Anbieter mit der Initiative E-Mail made in Germany "neue Sicherheitsstandards" einführen. Ab April 2014 sollten alle Verbindungen zwischen den Mailanbietern GMX, Web.de, T-Online und Freenet nur noch verschlüsselt ablaufen.

Es ist jedoch nur eine Transportverschlüsselung und keine Ende-zu-Ende-Verschlüsselung. Das wäre schon besser als nichts aber es gibt dabei ein Problem: Für Logins auf den Websites der jeweiligen Anbieter gilt der Verschlüsselungsschutz nur eingeschränkt, und dann kann der ganze Sicherheitsansatz ins Leere laufen.

Das Login auf den Websites von GMX, Web.de oder T-Online beginnt zunächst auf einer unverschlüsselten Seite. Ein Angreifer aus dem eigenen WLAN oder jemand beim Internetprovider kann dann aber die Verschlüsselung einfach abschalten (SSL-Stripping).

Alle drei Anbieter sehen darin kein Problem, T-Online weist z.B. darauf hin, dass es dem Nutzer frei steht gleich eine SSL-verschlüsselte Verbindung (https) aufzubauen, bei gmx.de geht dies nicht aber über die Schweizer Version von GMX unter https://www.gmx.ch/.

Mehr dazu bei http://www.zeit.de/digital/datenschutz/2015-11/verschluesselung-email-made-in-germany-login

Alle Artikel zu

• Arbeitnehmerdatenschutz,
• Verbraucherdatenschutz,
• Datenschutz,
• Datensicherheit,
• DE-Mail,
• Hacking,
• Trojaner,
• Cookies,
• Verschlüsselung,
• Ergonomie,
• Datenpannen,
• Datenskandale,

Comment

If you like a crypted answer you may copy your public key into this field. (Optional) Public Key

To prevent the use of this form by spam robots, please enter the portrayed character set in the left picture below into the right field.

CC license   European Civil Liberties Network   Bundesfreiwilligendienst   We don't store your data   World Beyond War   Use Tor router   Use HTTPS   No Java   For Transparency