E-Mail-Provider im Praxistest: Verschlüsselung oft mangelhaft

Das Sicherheitsbewusstsein vieler großer E-Mail-Provider ist mangelhaft. T-Online, GMX, Google Mail, Hotmail, Web.de, Yahoo Mail und MobileMe lehnen jede verschlüsselte Übertragung von E-Mail ab. Gut machen ihre Sache hingegen Arcor, O2 und Freenet.

In der Vergangenheit war verschlüsselte E-Mail-Übertragung mit praktischen Problemen behaftet. Heute bietet das STARTTLS-Verfahren eine Möglichkeit, die für jeden Betreiber eines SMTP-Servers leicht zu implementieren ist.

Fast alle getesteten Provider mit Ausnahme von Yahoo bieten eine Verschlüsselung der Kommunikation zwischen einem E-Mail-Client und ihren IMAP- oder POP3- und SMTP-Servern an. Das bietet Schutz vor Abhörangriffen auf den eigenen Rechner, beispielsweise wenn man sich in einem öffentlichem Hotspot ohne Verschlüsselung befindet.

Durch das Internet senden viele Provider jedoch unverschlüsselt. Ebenso weigern sich viele Provider, für ihre Kunden verschlüsselte E-Mails anzunehmen. Die Einstellungen im E-Mail-Client geben Anwendern oft das Gefühl von trügerischer Sicherheit.

Damit eine E-Mail verschlüsselt übertragen wird, müssen die Provider des Absenders und des Empfängers die verschlüsselte Übertragung untereinander unterstützen. So wird beispielsweise eine Mail von einem Kabel-Deutschland-Kunden zu einem Freenet-Nutzer verschlüsselt übertragen. Auf dem umgekehrten Weg geht die E-Mail jedoch im Klartext durchs Netz, da Kabel Deutschland zwar verschlüsselt sendet, aber nur unverschlüsselte E-Mails annimmt.

Oft argumentieren die Provider, dass sie keine Verschlüsselung anbieten können, da verschlüsselte E-Mails nicht auf Malware überprüft werden können. Aber das ist so nicht richtig: Beim Versand von E-Mail trifft dieses Argument nicht zu. Beim Empfang gilt natürlich, dass ein Real-Time-Scan auf der Leitung unmöglich ist. Einen äquivalenten Schutz kann man aber durch gut abgesicherte Frontend-SMTP-Server, die E-Mails vor dem Weiterversand an die Backends überprüfen, erreichen.

Nicht unerwähnt lassen sollte man die Tatsache, dass auch verschlüsselte E-Mails nicht vor jeder Abhörmaßnahme sicher sind, da eine End-to-End-Verschlüsselung bei E-Mail nicht realisiert werden kann. Auf den SMTP-Servern der Provider befindet sich jede E-Mail unverschlüsselt. So können beispielsweise staatlich angeordnete Überwachungsmaßnahmen bei den Providern durchgeführt werden.

Ebenso schützt E-Mail-Verschlüsselung nicht vor Man-in-the-Middle-Angriffen, da die verwendeten Zertifikate nicht überprüft werden. Ein illoyaler Mitarbeiter eines Providers oder eines Carriers, der den Datenverkehr abfängt, kann jedoch nicht so einfach einen Man-in-the-Middle-Angriff durchführen. Dazu muss er Ports und IP-Adressen spoofen. Das dürften andere Mitarbeiter ziemlich schnell bemerken. Unverschlüsselte E-Mails lassen sich hingegen sehr leicht unbemerkt von jedem abgreifen, der Zugang zur Leitung hat.