Die halbsichere "E-Mail made in Germany"

Deutsche E-Mailprovider haben eine Marktlücke entdeckt: Sicherheit. "Die jüngsten Berichte über mögliche Zugriffe auf Kommunikationsdaten haben die Deutschen stark verunsichert", sagt Telekom-Chef René Obermann. Sein Kollege Jan Oetjen, Vorstandsmitglied der United Internet und dort zuständig für die E-Mail-Anbieter GMX und Web.de, stimmt mit ein: "In den letzten Wochen verzeichnen wir bereits einen Anstieg der Nutzer-Zahlen, der sich saisonal nicht erklären lässt."

Nach mehr als acht Wochen ständig neuer Enthüllungen durch den NSA-Whistleblower Edward Snowden haben amerikanische Anbieter rapide an Ansehen verloren. Die US-Politik tut ein Übriges. Die wenigen Anbieter, die sich konsequent den Überwachungsprogrammen entziehen, werden gar zur Aufgabe gebracht und zum Schweigen verdammt, wie das Beispiel Lavabit zeigt, der nun auf Druck der US-Regierung die Segel gestrichen hat. 

Offenbar löschen daher viele Kunden ihre Postfächer bei Google, Microsoft und Co. und verlagern ihre Kommunikation auf deutsche Anbieter. United Internet verzeichnet nach eigenen Angaben einen sechsstelligen Zuwachs an E-Mail-Konten.  

Diesen Trend will man offensichtlich nutzen. Am Freitag verkündeten Telekom, GMX und Web.de gemeinsam und voll stolz, es gebe nun "E-Mail made in Germany". Die seien besonders sicher, denn ab sofort werde der E-Mail-Verkehr zwischen den Servern von Web.de, GMX und Telekom verschlüsselt. Damit ist er zumindest auf dem Weg zwischen den Providern nicht mehr problemlos mitlesbar. E-Mails, die bisher auf ihrer Reise durchs Netz wie Postkarten für jeden einsehbar waren, bekommen nun wenigstens einen Umschlag.    

Neuer Sicherheitsstandard?

Zumindest auf Teilen der Strecke. Und auch nur, falls die E-Mail den richtigen Empfänger erreicht. Denn wirklich sicher ist das nicht. Einen "neuen Sicherheitsstandard", wie United Internet und Telekom verkünden, haben sie auf keinen Fall geschaffen. Im Gegenteil, sie haben endlich einen umgesetzt, der schon lange gefordert wird.

Denn die Verschlüsselung von Server zu Server ist keineswegs neu, wie Oetjen von United Internet im Gespräch mit ZEIT ONLINE einräumt – bei Konzernen oder Behörden ist sie längst gängige Praxis. Allein bei den Massenprovidern, die sich an Privatkunden richten, ist die Umsetzung bisher mangelhaft, wie die Techniknachrichtenseite Golem vor Kurzem berichtete. Provider wie Freenet bestanden den Test auf Serververschlüsselung tadellos, während Branchengrößen wie AOL, Microsoft oder auch Web.de die Post ihrer Kunden völlig offen durch das Internet schickten und damit auch anfällig für Spionageprogramme wie Tempora machten. Zumindest Web.de hat das nun geändert.

Dass sich die deutschen Provider mit der Umsetzung der Mailverschlüsselung so viel Zeit ließen, begründet Oetjen eben mit der schleppenden Einführung bei anderen Anbietern: "Das schwächste Glied der Kette bestimmt ihre Reißfestigkeit", sagt er. Nur 15 Prozent des deutschen Mailverkehres seien bisher auf diese Weise verschlüsselt übertragen worden, schätzt Oetjen.    

Gefühlte Sicherheit

Das haben Telekom und United Internet nun geändert: Schickt ein Web.de-Kunde eine E-Mail an einen Telekom-Kunden, signalisiert ein kleiner Haken neben der E-Mail-Adresse: Der Versand an diese Adresse ist verschlüsselt. Schickt er eine Mail an einen AOL-Nutzer, wird sie weiter unverschlüsselt übertragen.

Als zusätzliche Kriterien für das Siegel "Made in Germany" müssen die Rechenzentren der Betreiber in Deutschland stehen und sie dürfen sich bei ihren Angeboten nicht auf amerikanische Zertifikate verlassen. So bekommen Google-Adressen keinen Haken, obwohl der Konzern die Serververschlüsselung unterstützt.

In den Rechenzentren von United Internet und Telekom sind die E-Mails freilich unverschlüsselt abgespeichert. Dank deutscher Überwachungsgesetze haben deutsche Sicherheitsbehörden auch weiterhin im Prinzip vollen Zugriff auf die Inhalte der Kommunikation, wenn sie das wünschen und dürfen.  

De-Mail light

Damit ist "E-Mail made in Germany" eine Light-Version des amtlich zertifizierten De-Mail-Dienstes, den United Internet und Telekom ebenfalls anbieten. Auch dabei werden die Nachrichten auf dem Weg zum und zwischen den Rechenzentren verschlüsselt, dort aber wieder entschlüsselt. Begründung: Die Empfänger müssten vor Spam und Viren geschützt werden.

Wirklich sicher sind aus Sicht der Nutzer aber nur Nachrichten, die auf dem kompletten Weg von niemandem gelesen werden können – das Verfahren wird daher auch Ende-zu-Ende-Verschlüsselung genannt. Die bietet keiner der Provider und das ist auch nicht geplant. Oetjen sagt, er sehe dafür keinen Bedarf.

Der Grund sind vermutlich aber eher die Abhörmöglichkeiten für deutsche Behörden, lawful interception genannt. Die wird mit kompletter Verschlüsselung ausgesperrt. Es kann daher durchaus als Ironie verstanden werden, dass Bundesinnenminister Hans-Peter Friedrich am Freitag erklärte, er begrüße die Initiative der drei Mailanbieter für mehr Sicherheit.

Wer mit den gesetzlich vorgeschriebenen Abhörschnittstellen ein Problem habe, könne PGP einsetzen, sagt Oetjen. (Eine ausführliche Anleitung dazu findet sich hier.) Wer allerdings PGP einsetzt und seine Mails damit verschlüsselt, der braucht auch keine "sicheren E-Mails made in Germany". Denn da der Inhalt dann nicht mehr lesbar ist, kann es dem Nutzer egal sein, wenn seine Mail über unsichere Server läuft. Die Aktion von Telekom, GMX und Web.de ist also vor allem eines: Werbung. 

Oder ein Witz. Von großer Innovation will nämlich auch der Chaos Computer Club nichts wissen. "Der angebliche Vorstoß ist in Wahrheit wohl nur ein schamloses Spiel mit dem gesteigerten Problembewußtsein der Nutzer, das sich durch den NSA-Skandal verändert hat", heißt es in einer Mitteilung. "Dass die E-Mail-Anbieter nun mit dieser betagten Technologie um die Ecke kommen und sie als bahnbrechende Innovation verkaufen wollen, hat allenfalls aber einen gewissen humoristischen Effekt."