Verschlüsselt mailen (Bild: Archiv)

GMX und WEB.DE haben gerade erst das neue, stark vereinfachte Verschlüsselungsverfahren auf Basis des weltweit anerkannten Standards „Pretty Good Privacy“ (PGP) für ihre Mail-Angebote live geschaltet. Damit ermöglichen die E-Mail-Anbieter all ihren Kunden, ohne spezielle Vorkenntnisse vertrauliche Nachrichten und Dokumente selbst vor Zugriffen Dritter zu schützen. Alle sicherheitsrelevanten Informationen wie die Schlüssel zum Ver- und Entschlüsseln der Nachrichten liegen dabei außerhalb des Einflussbereichs von WEB.DE und GMX und können von den Anbietern zu keiner Zeit eingesehen werden, so dass der Nutzer die volle Datensouveränität behält. Doch es gibt auch noch andere Verschlüsselungsmethoden, die sich jedoch von dem bei GMX und WEB.DE genutzten Verfahren unterscheiden.

Serverseitige Verschlüsselung

Verschiedene Anbieter, darunter Facebook (WhatsApp) und Apple (iMessage), sowie etwa der Mailanbieter mailbox.org setzen auf eine Verschlüsselungsvariante, die erst auf den Kommunikationsservern umgesetzt wird. Das bedeutet, dass die Nachrichten auf dem Endgerät des Senders und Empfängers ohne weitere Verschlüsselung im Klartext angezeigt werden. Hier können Hacker mittels Keylogging (Aufzeichnen der Tastatureingabe) oder dem Auslesen der Mail nach der Ankunft beim Empfänger eingreifen und die Kommunikation mitverfolgen.

Ein entscheidender Nachteil der Methode ist außerdem der Transportweg vom und zum Server, der oft nicht oder nur unzureichend gesichert ist. Ein weiterer wichtiger Faktor ist, dass dieses Verfahren das uneingeschränkte Vertrauen des Anwenders in den Anbieter voraussetzt, da sowohl die Daten selbst als auch die nötigen Informationen zu deren Ver- und Entschlüsselung auf seinen Servern liegen und er sie zur Anwendung bringen muss.

Javascript-basierte Verschlüsselung

Der kleinere E-Mail-Anbieter tutanota.de nutzt eine Javascript-basierte Verschlüsselung. Bei dieser Methode ist die jedoch das Verschlüsselungsmodul direkt in die Webseite des Anbieters integriert. Hier kann ein Hacker beispielsweise mit Hilfe eines Overlays die Anbieterseite simulieren und Mails mitlesen. Bei GMX und WEB.DE finden Ver- und Entschlüsselung im Browser-Addon des Partners Mailvelope statt. Daher besteht hier keine Möglichkeit, dass Dritte darauf Zugriff haben.

„E-Mail made in Germany“

PGP ist zudem eine wichtige Ergänzung des Sicherheitsstandards „E-Mail made in Germany“, auf den sich 1&1, freenet, GMX, Telekom, Strato und WEB.DE geeinigt haben. Wer sein E-Mail-Konto bei einem Anbieter des Mailverbunds hat, kann sich sicher sein, dass seine E-Mail auch auf dem Transportweg innerhalb des Verbunds per SSL/TLS vor Fremdzugriffen geschützt sind. Bei allen „E-Mail made in Germany“-Anbietern können die Nutzer Standard-PGP-Lösungen verwenden und so ihre Mailinhalte schützen. Damit werden E-Mails sowohl zwischen Endgerät des Nutzers und dem seines Kommunikationspartners als auch zwischen den Mailservern der teilnehmenden Provider verschlüsselt.

Das Netzwerkprotokoll Dane, das GMX und WEB.DE jetzt schrittweise einführen, stellt zudem sicher, dass Zertifikate, die für die Transportverschlüsselung von Mails mit SSL/TLS verwendet werden, nicht unbemerkt von Online-Kriminellen ausgetauscht werden können. Das verhindert sogenannte „Man in the middle“-Attacken. So werden Angriffe bezeichnet, bei denen sich Internet-Kriminelle unbemerkt in die Kommunikation zwischen Internet-Nutzer und Anbieter schalten, um hier Daten abgreifen zu können.