GMX hat heute in Berlin gemeinsam mit WEB.DE und der Deutschen Telekom eine Branchen-Initiative für mehr Sicherheit bei der E-Mail-Kommunikation gestartet. Über die Initiative sprechen wir mit Jan Oetjen.

Jan Oetjen ist seit dem 1. Oktober 2008 CEO für die Portalsparte der 1&1 mit den Marken WEB.DE und GMX. Mit Wirkung zum 1.4.2013 hat der 40-Jährige zudem den Vorstandsvorsitz der United Internet Media AG übernommen

Herr Oetjen, ist „E-Mail made in Germany“ lediglich eine Marketing-Aktion?

Nein, hier wird ein neuer Sicherheits-Standard für E-Mail geschaffen. Unseres Wissens nach ist „E-Mail made in Germany“ die weltweit erste Branchen-Initiative, bei der sich große Internet-Anbieter zusammenschließen, um die Datenverschlüsselungs- und Speicherungsproblematik im Verbund zu lösen. Aktuelle Studien verdeutlichen, dass die Verbraucher nicht wissen, wie sie sich schützen sollen, den Bedarf aber ganz klar sehen.

E-Mail made in Germany ist die Fortführung von Internet made in Germany. Warum, glauben Sie, dass die Initiative ein Erfolg wird?

Insbesondere nach den Datenskandalen der letzten Wochen ist es an der Zeit, eine eigene Branchen-Initiative für mehr E-Mail-Sicherheit zu schaffen und verunsicherten Nutzern eine Chance zur Orientierung zu geben. Immer mehr  Nutzer erkennen, dass der Schutz der Privatsphäre ein hohes Gut ist. Hier setzen wir an, indem wir eine massentaugliche Lösung für eine automatisierte Verschlüsselung von Nachrichten bieten. In den letzten Wochen verzeichnen wir bei WEB.DE und GMX bereits einen Anstieg der Nutzer-Zahlen, der sich saisonal nicht erklären lässt. Das sind zum einen Kunden, die ihr Konto wieder aktiver nutzen, aber auch bei den Neukunden verzeichnen wir ein erfreuliches Wachstum.

Was nützt diese Initiative, wenn nur drei Anbieter  dabei sind?

GMX, WEB.DE und T-Online sind in Deutschland mit 2/3 Marktanteil die am stärksten verbreitesten Mail-Provider. Aus dieser herausgehobenen Stellung erwächst auch die besondere Verantwortung gegenüber Kunden, die wir mit unserer Initiative übernehmen. Die Initiative ist ausdrücklich als offene Initiative angelegt.  Wir würden uns sehr freuen, wenn weitere Teilnehmer sich zu den Sicherheitsstandards verpflichten und den Kreis der Provider erweitern.

Sind Sie im Gespräch mit weiteren Anbietern?

Ja. Aktuell wird geprüft, ob im nächsten Schritt auch die Business-Marken von 1&1 und Deutscher Telekom  zur Initiative stoßen. Wir sind ferner im Gespräch mit anderen Providern. Je mehr Provider zu einer entsprechenden Selbstverpflichtung bereit sind, desto besser.

Warum ist 1&1 nicht von Beginn an dabei?

1&1 hat Mail-Angebote für Privat- und Businesskunden. Den Beitritt der 1&1 Privatkunden werden wir aber in Kürze realisieren können. Die Lösung für  Businesskunden ist komplexer, da die Domains nicht wie bei WEB.DE und GMX uns gehören. Ein Konzept ist hier aktuell in Prüfung.

Ist diese Initiative auch offen für ausländische Anbieter?

Sofern ausländische Anbieter die erforderlichen Sicherheitsbedingungen und Speicherort in Deutschland für E-Mail made in Germany erfüllen, steht auch diesen die Teilnahme an der Initiative grundsätzlich offen.

Was genau müssen Unternehmen erfüllen, um mitmachen zu können?

Erstens: Die Rechenzentren der Anbieter stehen in Deutschland und unterliegen damit deutschem Datenschutz. Zweitens: Der Transportweg vom Nutzer zum Rechenzentrum (und umgekehrt) ist standardmäßig SSL-verschlüsselt, die Server-zu-Server-Verbindung ist mit TLS verschlüsselt. Drittens: Um den Nutzern bereits beim Schreiben einer E-Mail anzuzeigen, ober der Empfänger Teil des E-Mail- made-in-Germany-Netzes ist, ist eine Kennzeichnung dieser Adressen in die E-Mail-Programme zu integrieren.

Was nützt eine solche Kampagne, wenn nur der innerdeutsche Verkehr weniger Provider geschützt wird. Das Internet ist doch ein weltumfassendes Netz…

Der Verbund E-Mail made in Germany deckt zum Start schon mal zwei Drittel der deutschen Nutzer ab. Unser Ziel ist es vor allem, Orientierung und generelle Möglichkeit zur verschlüsselten Kommunikation zu schaffen, wo Kommunikation über gesicherte Übertragungswege stattfindet. Kernfokus ist zwar der deutsche Markt, aber das Unbehagen ist nachweislich weltweit vorhanden. Technisch ist es ohne Probleme möglich, die Initiative länderübergreifend auszurollen. Zumal sich ja schon jetzt jemand beispielsweise in Australien eine WEB.DE Adresse zulegen kann, um z.B. verschlüsselt mit einem WEB.DE oder auch T-Online Nutzer in Amerika zu kommunizieren.

Ist die Verschlüsselung auch für Mobile-Nutzer gesichert?

Ja. Sowohl die Oberflächen der Webmail-Programme als auch die Mail-Apps von GMX, T-Online und WEB.DE kommunizieren über SSL-gesicherte Verbindungen.

Eine Schwachstelle bei SSL ist der Kunde. Wie wollen Sie sicherstellen, dass alle Kunden SSL in Ihren Clients einstellen?

Aktuell gilt der Schutz bereits für 80 Prozent unserer Kunden, wer die Webseite oder die Apps von WEB.DE oder GMX nutzt ist heute schon automatisch über SSL gesichert. Die restlichen 20 Prozent, die beispielsweise Drittsoftware wie Outlook einsetzen und SSL nicht aktiviert haben, wollen wir bis Ende des Jahres über die Lücke informieren und überzeugen, SSL zu aktivieren. Dafür starten wir eine Aufklärungskampagne.

Nutzt E-Mail Made in Germany End2End-Verschlüsselung?

Wir verzichten bewusst auf die Ende-zu-Ende-Verschlüsselung, weil nur so eine automatisierte Prüfung auf Viren und Spam möglich ist. Wer die Inhalte seiner Mails neben der Übertragungsverschlüsselung noch einmal zusätzlich End2End verschlüsseln möchte, kann das selbstverständlich mit den bekannten Technologien wie PGP tun.

Was passiert mit den Nutzern, die ihre Web-Clients bis Ende des Jahres nicht auf SSL umgestellt haben?

Anfang 2014 werden aus Sicherheitsgründen alle Nicht-SSL-Zugänge konsequent auf SSL umgeschaltet, so dass die Daten auf allen Übertragungswegen im Verbund E-Mail made in Germany automatisch SSL-verschlüsselt sind.

Wie stellen Sie sicher, dass die Geheimdienste nicht direkt auf die Daten Ihrer Kunden zugreifen?

Ein willkürlicher Zugriff auf unsere eigene Server-Infrastruktur gemäß der Snowden-Enthüllungen ist in Deutschland schon rein juristisch ausgeschlossen, weil unsere Rechtsprechung nur Einzelanfragen deutscher Behörden aufgrund einer richterlichen Anordnung erlaubt. Zudem haben wir umfassende Sicherheitsmaßnahmen, um Angriffe von außen zu verhindern.

Gibt es denn offizielle Anfragen von US-Behörden zu deutschen Nutzern von GMX und WEB.DE?

Anfragen ausländischer Institution können durchaus vorkommen. Wir verweisen dann an die entsprechenden Ermittlungsbehörden in Deutschland, zum Beispiel das BKA, und teilen mit, dass sie sich dort Amtshilfe holen müssten, wir aber nie Daten ohne richterlichen Beschluss herausgeben.

Was passiert, wenn deutsche Behörden anschließend die Herausgabe der gewünschten Bestands- oder Verkehrsdaten verlangen?

Bei einem richterlichen Beschluss sind wir gesetzlich zur Herausgabe der Daten verpflichtet. Wir teilen diese jedoch nie den US-Behörden direkt mit, sondern immer nur den deutschen Behörden.