Deutsche Anbieter von E-Mail-Diensten sind dabei, die Kommunikation ihrer Kunden besser zu sichern. Das ergibt eine Umfrage von ZEIT ONLINE unter den führenden fünf E-Mail-Providern hierzulande.

Maßstab der Sicherheit sind fünf Protokolle und Verschlüsselungsstandards, die die amerikanische Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) vorgeschlagen hat. Nach Ansicht der EFF verwehren diese fünf Regeln, werden sie beachtet, Geheimdiensten den nicht richterlich genehmigten Zugriff beziehungsweise das Hacken der Mails.

Dazu müssen die Unternehmen erstens die Leitungen zwischen ihren Datenzentren verschlüsseln, zweitens den Datentransfer zwischen Nutzer und Website des Mailanbieters mit HTTPS sichern, drittens mit dem Standard HSTS erzwingen, dass nur HTTPS genutzt werden kann, viertens Perfect Forward Secrecy einsetzen, das die nachträgliche Entschlüsselung einer belauschten Kommunikation unmöglich macht und fünftens auch die Kommunikation zwischen E-Mail-Servern durch Verschlüsselung sichern.

Als einziges Unternehmen erfüllt derzeit der Berliner E-Mail-Provider Posteo all diese Anforderungen an einen sicheren E-Mail-Verkehr. Er betreibt zwar nicht verschiedene Datenzentren, aber eine Reihe von Servern in einem Frankfurter Rechenzentrum. Dabei werden sowohl die Festplatten der Server als auch die Kommunikation zwischen den Servern verschlüsselt. Außerdem weist Posteo darauf hin, dass man auch eine Adressbuch- und Kalenderverschlüsselung anbietet. Zudem werden Telefonnummern, die für eine Wiederherstellung des Passworts hinterlegt werden, verschlüsselt in einer Datenbank hinterlegt.

Alle weiteren befragten Anbieter setzen die Maßnahmen zumindest teilweise um beziehungsweise überlegen gerade, ob sie diese umsetzen werden.

Der Berliner Internet-Provider Strato verschlüsselt die Daten zwischen seinen Datenzentren sowie die Kommunikation zwischen den E-Mail-Servern. Außerdem prüft er derzeit, ob er als Telekom-Tochter der Initiative "E-Mail made in Germany" beitreten soll. Im Rahmen dieses Projekts, an dem derzeit T-Online und United Internet mit GMX und Web.de teilnehmen, werden Daten zwischen den E-Mail-Servern verschlüsselt übertragen. Strato sichert außerdem die Übertragung von sensiblen Daten sowie den Administrationsbereich und den Webmailer mit HTTPS-Verbindungen.

Strato, GMX und Web.de

Websites, die Kunden bei Strato hosten lassen, sollen ab Februar 2014 mit HTTPS gesichert werden. Derzeit kann die Kundenwebsite nur verschlüsselt abgerufen werden, wenn dem Domainnamen die URL https://www.ssl-id.de/ vorangestellt wird. Eine Absicherung über HSTS wird derzeit geprüft.

United Internet, das die E-Mail-Dienste GMX und Web.de betreibt, verschlüsselt den E-Mail-Transport sowie den Datenverkehr zwischen den Datenzentren. HTTPS-Verbindungen gibt es für sicherheitsrelevante Seiten, eine Einführung von HSTS wird geprüft. Ab März 2014 soll die Verschlüsselung mit Perfect Forward Secrecy gehärtet werden.

Die Deutsche Telekom verschlüsselt den E-Mail-Transport sowie die Kommunikation zwischen den Datenzentren. HTTPS-Verbindungen werden nur für Seiten mit vertraulichen Inhalten wie die Webmail aufgebaut. Die zusätzliche Absicherung durch HSTS soll künftig eingeführt werden. Ebenfalls geplant ist die Einführung von Perfect Forward Secrecy für verschiedene Telekom-Portale. Einen Einführungstermin nannte das Unternehmen nicht.

Vodafone ist gegen Perfect Forward Secrecy

Das Telekommunikationsunternehmen Vodafone, das auch für die E-Mail-Dienste seiner Tochter Arcor verantwortlich ist, verschlüsselt den E-Mail-Transport und den Datenverkehr zwischen seinen Datenzentren. HTTPS-Verbindungen gibt es, sobald sich ein Kunde angemeldet hat. Diese werden dann zusätzlich durch HSTS gesichert. Eine Härtung der Verschlüsselung durch Perfect Forward Secrecy ist nicht geplant. Das bringe bei dem Protokoll IPSec keinen Mehrwert, sagt Vodafone und der Aufwand dafür sei unverhältnismäßig hoch.

Vodafone ist damit das einzige der befragten Unternehmen, das sich gegen Perfect Forward Secrecy ausspricht. Ansonsten werden alle fünf Maßnahmen von allen Unternehmen bereits durchgeführt, sind in Planung oder werden zumindest geprüft. Was zeigt, dass die Unternehmen Kommunikationssicherheit ihrer Kunden inzwischen ernst nehmen und ihre Angebote technisch so gut wie möglich sichern wollen. Vorbildlich ist dabei Posteo, das teilweise schon seit Jahren alle Möglichkeiten nutzt.

Auch in den USA haben viele Firmen verstanden, dass sie ihre Kunden vor Ausspähung schützen müssen. In einer Studie der EFF zeigte sich, dass nur noch wenige Anbieter wie Amazon, Apple oder Verizon Daten ihrer Kunden unverschlüsselt übertragen.