E-Mail-Sicherheit 2016: WEB.DE implementiert DANE

Die Brancheninitiative "E-Mail made in Germany" garantiert WEB.DE Nutzern schon seit 2013 sicher SSL-verschlüsseltes Mailen. Mit der Integration von DANE geht das Unternehmen jetzt den nächsten Schritt. „Wir brauchen mehr sichere Kommunikation auch außerhalb des ‚E-Mail made in Germany‘-Verbundes“, sagt Tino Anic, Leiter für E-Mail-Anwendungen bei WEB.DE, im Interview.

18. Mai 2016 von Christian Friemel

Verschlüsselter Mail-Versand ist auf dem Vormarsch. (c) WEB.DE

Herr Anic, ganz allgemein gefragt: Wie beurteilen Sie Deutschland in Sachen E-Mail-Sicherheit heute?

Ich denke, wir haben durch „E-Mail made in Germany” in Zusammenarbeit mit unseren Partnern Deutsche Telekom, Freenet und Strato einen Standard etabliert, bei dem wir dem Nutzer bedenkenlos Sicherheit in der Datenübertragung garantieren können, also für E-Mail-Verkehr innerhalb des Verbundes „E-Mail made in Germany“. Das bedeutet erstens eine SSL-verschlüsselte Datenübertragung mit validierten SSL-Zertifikaten, zweitens die Datenspeicherung auf Servern in Deutschland, so dass das strenge, deutsche Datenschutzgesetz gilt und drittens die Gewissheit, dass der Sender oder Empfänger auch Teil von „E-Mail made in Germany ist”. Das wird direkt in der Nutzeroberfläche angezeigt. Gerade diese, für den Nutzer sehr wichtige Information, kann aktuell kein anderer Standard vorab garantieren.

Unterschiedliche E-Mail-Standards aufsteigend nach Sicherheitsniveau

Unterschiedliche E-Mail-Standards aufsteigend nach Sicherheitsniveau

Was ist mit Anbietern, die nicht „E-Mail made in Germany”-tauglich sind?

Genau das ist die Herausforderung, vor der wir stehen. In puncto Datenschutz und digitale Privatsphäre ist unsere Gesellschaft in den letzten Jahren zunehmend sensibel geworden, und da ist es an uns, den Mailprovidern, entsprechende Lösungen bereit zu stellen. Wir haben „E-Mail made in Germany“ als offenen Standard konzipiert, für den sich jeder Anbieter qualifizieren kann. Das können aber längst nicht alle, da sie zum Beispiel ihr Rechenzentrum nicht auf deutschem Boden betreiben. Daher sind wir hier den nächsten Schritt gegangen, um unseren Nutzern die sichere Kommunikation mit Mailempfängern auch bei Anbietern außerhalb von „E-Mail made in Germany“ zu ermöglichen: Seit kurzem verwendet WEB.DE  das Netzwerkprotokoll DANE. Bei der SSL-verschlüsselten Kommunikation zwischen zwei DANE-fähigen Gegenstellen werden die Verschlüsselungszertifikate per DNS auf ihre Gültigkeit hin geprüft. Dadurch werden zum Beispiel so genannte „Man in the middle“-Attacken unmöglich gemacht, bei denen Internetkriminelle sich in den Datenstrom zwischen Sender und Empfänger einklinken. Im Endeffekt wird so sichergestellt, dass sich auch ein Server außerhalb des „E-Mail made in Germany“-Verbundes einwandfrei identifizieren kann.

Bei all dem stellt sich natürlich die Frage: Gibt es seitens der Politik entsprechende Vorgaben für die Einführung eines Sicherheitsstandards?

Ja, seitens des Bundesamts für Sicherheit in der Informationstechnik läuft ein entsprechendes Vorhaben, die so genannte E-Mail-TSP-Richtlinie. Diese Richtlinie sieht unter anderem die Nutzung des DANE-Protokolls vor: Durch die Einführung von DANE bei WEB.DE erfüllen wir also jetzt schon einen wichtigen Teil der neuen Richtlinie des BSI und werden uns dementsprechend auch nach dieser Richtlinie zertifizieren lassen. Insgesamt versprechen wir uns von der E-Mail-TSP-Richtlinie einen weiteren Impuls in Richtung eines verbindlichen deutschen Mindeststandards für sicheren E-Mail-Verkehr. Mit den Spezifikationen von „E-Mail made in Germany“ übererfüllen wir diesen Standard bereits.

Und wie sieht es auf der internationalen Bühne aus? Gibt es da vergleichbare Initiativen?

Das Thema Mailsicherheit muss natürlich auch global gedacht werden: Je mehr Player allerdings dazu kommen, desto schwieriger wird es, einen Konsens zu finden. Als ersten Schritt in diese Richtung arbeitet 1&1 gerade gemeinsam mit Google, Yahoo und Microsoft daran, zumindest das E-Mail-Basisprotokoll SMTP um diverse Sicherheitsaspekte zu erweitern. Mit der SMTP STS Technologie würden zumindest Man-in-the-middle Attacken auf verschlüsselte Verbindungen effektiv verhindert. Wir arbeiten mit unseren Partnern intensiv an dieser SMTP-Erweiterung, um damit eine Standardisierung seitens der IETF zu erreichen. Damit wären wir schon einen Schritt weiter.

Welches Fazit ziehen Sie aus diesem Überblick über die bisherigen Bemühungen? Was muss noch getan werden?

Tino_Anic

Im Interview: Tino Anic, Leiter für E-Mail Anwendungen

Ich denke, wir haben schon einiges erreicht, besonders für unsere Nutzer innerhalb des „E-Mail made in Germany“-Verbundes. Wir können heute eine Verschlüsselung des Transports von Daten zu anderen Anbietern leisten, das ist das eine. Das andere muss dementsprechend die Verschlüsselung der Daten selbst sein:  Hier setzen wir schon jetzt auf den Standard PGP, nach dem unsere Nutzer den Inhalt von E-Mails komplett Ende-zu-Ende verschlüsseln können. Und das wird auch gut angenommen: Seit der Einführung von PGP für alle WEB.DE Nutzer haben schon mehr als 500.000 Menschen diese Technik in ihrem Postfach eingerichtet. Bei anderen Anbietern herrscht da noch Nachholbedarf: Aus unserer Sicht sollte jeder ernsthafte E-Mail Anbieter so schnell wie möglich nachziehen, je mehr desto besser. Wenn das Angebot an PGP-fähigen E-Mail-Postfächern wächst, erhöht sich damit die Reichweite des Standards und letztendlich steigt so die Sensibilisierung der Öffentlichkeit. Übrigens kann ich nur jedem empfehlen, PGP-verschlüsseltes Mailen mal auszuprobieren – die Einrichtung ist deutlich einfacher als es klingt, und man kann sicher sein, dass auch wirklich niemand außer dem autorisierten Empfänger die Inhalte der Mail zu Gesicht bekommt; seien es nun Versicherungspolicen, Bewerbungsunterlagen oder einfach eine private Mail mit Fotos an Freunde und Bekannte.

 

Kategorien: Mail, News, Sicherheit

Verwandte Themen

POP3 und IMAP: E-Mails mit externen Programmen abrufen

Für alle, die ihre E-Mails mit externen Programmen wie Microsoft Outlook oder Mozilla Thunderbird managen möchten, führt kein Weg an zwei echten Klassikern vorbei: IMAP und POP3 - Weltweite Standards, über die E-Mails-Server im Web und E-Mail-Clients auf PC, Laptop oder Smartphone miteinander kommunizieren. Beide haben Vor- und Nachteile - WEB.DE zeigt, welche Risiken berücksichtigt werden sollten und welche Alternativen es für User gibt. mehr

Digitales Startpaket fürs neue Semester: Hilfreiche Tools für Studierende

Mit dem Start ins neue Semester müssen viele Studierende ihren Alltag neu organisieren. Digitale Tools helfen dabei, nicht nur studienrelevante Dokumente wie Mitschriften oder Seminararbeiten zu strukturieren und zu speichern, sondern bringen auch Überblick in private Unterlagen wie Rechnungen oder Verträge. mehr