Im Rahmen der Brancheninitiative „E-Mail made in Germany“ erhöhen GMX, WEB.DE und weitere große deutsche Internet-Anbieter die Sicherheitsstandards beim E-Mail-Versand. Damit private Nachrichten künftig noch besser geschützt werden, müssen die meisten Nutzer gar nichts tun. Von einem kleinen Teil benötigen die Provider bei der geplanten Verschlüsselung aller Übertragungswege jedoch etwas Mithilfe. In einem intensiven Kundendialog informieren sie die Verbraucher seit August 2013 über die erforderlichen Schritte. Jan Oetjen, Geschäftsführer von WEB und GMX, zieht eine positive Zwischenbilanz.

WEB.DE und GMX stellen den Löwenanteil der insgesamt 50 Millionen E-Mail made in Germany Nutzer. Wie ist der Stand der Dinge in Ihrem Haus, Herr Oetjen?

Von unseren mehr als 30 Millionen Kunden profitieren schon heute gut 90 Prozent von einer standardmäßigen SSL-Verschlüsselung, weil sie über den Webbrowser oder per Mail-App auf ihr Postfach zugreifen. Für diese Nutzer besteht generell kein Handlungsbedarf. Weniger als 10 Prozent der WEB.DE und GMX Nutzer rufen ihre Nachrichten mit Drittsoftware wie Outlook oder Thunderbird ab. In diesem Fall muss SSL unter Umständen manuell aktiviert werden. Wie das geht, erklären FAQ-Seiten, Step-by-Step-Anleitungen, Newsroom-Artikeln und Info-Mailings.

Wie viele Menschen konnten Ihre Datensicherheit mithilfe der Initiative denn konkret erhöhen?

Zum Start der Initiative haben rund acht Millionen Deutsche unverschlüsselt auf ihre Postfächer bei den beteiligten Providern zugegriffen. Die Hälfte davon hat das notwendige Häkchen im Zuge unserer umfassenden Aufklärungskampagne inzwischen gesetzt. Jetzt wollen wir die noch verbliebenen vier Millionen ebenfalls zur Änderung ihrer Sicherheitseinstellungen motivieren. Die Mitarbeit von mehreren Millionen Nutzern ist die größte Herausforderung bei dem Projekt.

Gibt es besondere Schwierigkeiten?

Da Nutzer mit einer Vielzahl von Geräten auf ihre Mails zugreifen, müssen sie gegebenenfalls erst identifizieren, welche davon SSL noch nicht aktiviert haben. Neben den erwähnten Drittclients gibt es auch andere Anwendungen, mit denen Nutzer auf ihr WEB.DE oder GMX Postfach zugreifen können. Das können zum Beispiel Webcams sein, die automatisch Aufnahmen per E-Mail versenden oder Router, die automatisch Statusreports per E-Mail versenden. Das sind zwar eher seltene Fälle. Und die Nutzer solcher Features häufig keine Computerlaien; wir weisen aber darauf hin, auch die Einstellungen dieser Geräte zu überprüfen.

Was passiert mit Nutzern, die trotz Ihrer intensiven Bemühungen nicht bis zum Stichtag 29.04.2014 auf SSL umstellen sollten? Sie die künftig von der Kommunikation ausgeschlossen und nicht mehr per E-Mail erreichbar?   

Nein. Nach der Umstellung liefern wir auch weiterhin ALLE E-Mails gewohnt zuverlässig aus. Selbst Nutzer, die SSL bis dahin noch nicht aktiviert haben sollten, verlieren KEINE Nachricht, da lediglich der Zugriff von Drittclients nicht mehr möglich ist, das Postfach bei WEB.DE und GMX aber jederzeit z.B. über den Webbrowser oder unsere kostenlosen Mail-Apps für iOS bzw. Android abgerufen werden kann.

Sie setzen bei SSL ganz bewusst auf Zertifikate von deutschen Anbietern…  

Mit Zertifikaten aus Amerika – das haben wir von Edward Snowden gelernt – kann man nicht sicher sein, ob Geheimdienste nicht trotzdem zugreifen bzw. den verschlüsselten Verkehr für spätere Entschlüsselung speichern. Alle Partner des E-Mail made in Germany Verbunds setzen bei SSL auf deutsche Zertifikate mit einer Schlüssellänge von 2048 Bit, die nach dem aktuellen Stand der Technik als besonders sicher gelten.

Die standardmäßige SSL-Verschlüsselung ist nur ein Baustein der Initiative. Was zeichnet E-Mail made in Germany noch aus?

E-Mail made in Germany garantiert 100 Prozent Verschlüsselung und Speicherung in Deutschland, weil die Rechenzentren der beteiligten Anbieter in Deutschland stehen und damit den strengen deutschen Datenschutzgesetzen unterliegen. Wichtig ist ferner, dem Nutzer die Erkennung sicherer Accounts so einfach wie möglich zu machen. Dies schaffen wir durch eine Kennzeichnung in der Adresszeile. Wie bei allen Sicherheitsmaßnahmen werden wir selbstverständlich auch hier kontinuierlich an der weiteren Optimierung arbeiten.

Haben Sie schon konkrete Projekte in der Pipepline?

Wir werden im April die Sicherheitssoftware Perfect Forward Secrecy einführen, die die nachträgliche Entschlüsselung einer belauschten Kommunikation unmöglich macht. PFS ist eine sinnvolle Ergänzung zum E-Mail made in Germany-Verbund, da man den Mail-Inhalt damit zusätzlich schützen kann und gleichzeitig durch E-Mail made in Germany die von manchen Institutionen begehrten Metadaten – also wer kommuniziert mit wem zu welchem Thema – gesichert werden. Die bekannten Angriffspunkte zur massenhaften Überwachung durch Geheimdienste sind somit abgesichert.