Wie viele Menschen konnten Ihre Datensicherheit mithilfe der Initiative denn konkret erhöhen?
Zum Start der Initiative haben rund acht Millionen Deutsche unverschlüsselt auf ihre Postfächer bei den beteiligten Providern zugegriffen. Die Hälfte davon hat das notwendige Häkchen im Zuge unserer umfassenden Aufklärungskampagne inzwischen gesetzt. Jetzt wollen wir die noch verbliebenen vier Millionen ebenfalls zur Änderung ihrer Sicherheitseinstellungen motivieren. Die Mitarbeit von mehreren Millionen Nutzern ist die größte Herausforderung bei dem Projekt.
Gibt es besondere Schwierigkeiten?
Da Nutzer mit einer Vielzahl von Geräten auf ihre Mails zugreifen, müssen sie gegebenenfalls erst identifizieren, welche davon SSL noch nicht aktiviert haben. Neben den erwähnten Drittclients gibt es auch andere Anwendungen, mit denen Nutzer auf ihr WEB.DE oder GMX Postfach zugreifen können. Das können zum Beispiel Webcams sein, die automatisch Aufnahmen per E-Mail versenden oder Router, die automatisch Statusreports per E-Mail versenden. Das sind zwar eher seltene Fälle. Und die Nutzer solcher Features häufig keine Computerlaien; wir weisen aber darauf hin, auch die Einstellungen dieser Geräte zu überprüfen.
Sie setzen bei SSL ganz bewusst auf Zertifikate von deutschen Anbietern…
Mit Zertifikaten aus Amerika – das haben wir von Edward Snowden gelernt – kann man nicht sicher sein, ob Geheimdienste nicht trotzdem zugreifen bzw. den verschlüsselten Verkehr für spätere Entschlüsselung speichern. Alle Partner des E-Mail made in Germany Verbunds setzen bei SSL auf deutsche Zertifikate mit einer Schlüssellänge von 2048 Bit, die nach dem aktuellen Stand der Technik als besonders sicher gelten.
Die standardmäßige SSL-Verschlüsselung ist nur ein Baustein der Initiative. Was zeichnet E-Mail made in Germany noch aus?
E-Mail made in Germany garantiert 100 Prozent Verschlüsselung und Speicherung in Deutschland, weil die Rechenzentren der beteiligten Anbieter in Deutschland stehen und damit den strengen deutschen Datenschutzgesetzen unterliegen. Wichtig ist ferner, dem Nutzer die Erkennung sicherer Accounts so einfach wie möglich zu machen. Dies schaffen wir durch eine Kennzeichnung in der Adresszeile. Wie bei allen Sicherheitsmaßnahmen werden wir selbstverständlich auch hier kontinuierlich an der weiteren Optimierung arbeiten.
Haben Sie schon konkrete Projekte in der Pipepline?
Wir werden im April die Sicherheitssoftware Perfect Forward Secrecy einführen, die die nachträgliche Entschlüsselung einer belauschten Kommunikation unmöglich macht. PFS ist eine sinnvolle Ergänzung zum E-Mail made in Germany-Verbund, da man den Mail-Inhalt damit zusätzlich schützen kann und gleichzeitig durch E-Mail made in Germany die von manchen Institutionen begehrten Metadaten – also wer kommuniziert mit wem zu welchem Thema – gesichert werden. Die bekannten Angriffspunkte zur massenhaften Überwachung durch Geheimdienste sind somit abgesichert.
