Herr Anic, ganz allgemein gefragt: Wie beurteilen Sie Deutschland in Sachen E-Mail-Sicherheit heute?
Ich denke, wir haben durch „E-Mail made in Germany” in Zusammenarbeit mit unseren Partnern Deutsche Telekom, Freenet und Strato einen Standard etabliert, bei dem wir dem Nutzer bedenkenlos Sicherheit in der Datenübertragung garantieren können, also für E-Mail-Verkehr innerhalb des Verbundes „E-Mail made in Germany“. Das bedeutet erstens eine SSL-verschlüsselte Datenübertragung mit validierten SSL-Zertifikaten, zweitens die Datenspeicherung auf Servern in Deutschland, so dass das strenge, deutsche Datenschutzgesetz gilt und drittens die Gewissheit, dass der Sender oder Empfänger auch Teil von „E-Mail made in Germany ist”. Das wird direkt in der Nutzeroberfläche angezeigt. Gerade diese, für den Nutzer sehr wichtige Information, kann aktuell kein anderer Standard vorab garantieren.
Unterschiedliche E-Mail-Standards aufsteigend nach Sicherheitsniveau
Was ist mit Anbietern, die nicht „E-Mail made in Germany”-tauglich sind?
Genau das ist die Herausforderung, vor der wir stehen. In puncto Datenschutz und digitale Privatsphäre ist unsere Gesellschaft in den letzten Jahren zunehmend sensibel geworden, und da ist es an uns, den Mailprovidern, entsprechende Lösungen bereit zu stellen. Wir haben „E-Mail made in Germany“ als offenen Standard konzipiert, für den sich jeder Anbieter qualifizieren kann. Das können aber längst nicht alle, da sie zum Beispiel ihr Rechenzentrum nicht auf deutschem Boden betreiben. Daher sind wir hier den nächsten Schritt gegangen, um unseren Nutzern die sichere Kommunikation mit Mailempfängern auch bei Anbietern außerhalb von „E-Mail made in Germany“ zu ermöglichen: Seit kurzem verwendet WEB.DE das Netzwerkprotokoll DANE. Bei der SSL-verschlüsselten Kommunikation zwischen zwei DANE-fähigen Gegenstellen werden die Verschlüsselungszertifikate per DNS auf ihre Gültigkeit hin geprüft. Dadurch werden zum Beispiel so genannte „Man in the middle“-Attacken unmöglich gemacht, bei denen Internetkriminelle sich in den Datenstrom zwischen Sender und Empfänger einklinken. Im Endeffekt wird so sichergestellt, dass sich auch ein Server außerhalb des „E-Mail made in Germany“-Verbundes einwandfrei identifizieren kann.
Bei all dem stellt sich natürlich die Frage: Gibt es seitens der Politik entsprechende Vorgaben für die Einführung eines Sicherheitsstandards?
Ja, seitens des Bundesamts für Sicherheit in der Informationstechnik läuft ein entsprechendes Vorhaben, die so genannte E-Mail-TSP-Richtlinie. Diese Richtlinie sieht unter anderem die Nutzung des DANE-Protokolls vor: Durch die Einführung von DANE bei WEB.DE erfüllen wir also jetzt schon einen wichtigen Teil der neuen Richtlinie des BSI und werden uns dementsprechend auch nach dieser Richtlinie zertifizieren lassen. Insgesamt versprechen wir uns von der E-Mail-TSP-Richtlinie einen weiteren Impuls in Richtung eines verbindlichen deutschen Mindeststandards für sicheren E-Mail-Verkehr. Mit den Spezifikationen von „E-Mail made in Germany“ übererfüllen wir diesen Standard bereits.
Und wie sieht es auf der internationalen Bühne aus? Gibt es da vergleichbare Initiativen?
Das Thema Mailsicherheit muss natürlich auch global gedacht werden: Je mehr Player allerdings dazu kommen, desto schwieriger wird es, einen Konsens zu finden. Als ersten Schritt in diese Richtung arbeitet 1&1 gerade gemeinsam mit Google, Yahoo und Microsoft daran, zumindest das E-Mail-Basisprotokoll SMTP um diverse Sicherheitsaspekte zu erweitern. Mit der SMTP STS Technologie würden zumindest Man-in-the-middle Attacken auf verschlüsselte Verbindungen effektiv verhindert. Wir arbeiten mit unseren Partnern intensiv an dieser SMTP-Erweiterung, um damit eine Standardisierung seitens der IETF zu erreichen. Damit wären wir schon einen Schritt weiter.
Welches Fazit ziehen Sie aus diesem Überblick über die bisherigen Bemühungen? Was muss noch getan werden?
Im Interview: Tino Anic, Leiter für E-Mail Anwendungen
Ich denke, wir haben schon einiges erreicht, besonders für unsere Nutzer innerhalb des „E-Mail made in Germany“-Verbundes. Wir können heute eine Verschlüsselung des Transports von Daten zu anderen Anbietern leisten, das ist das eine. Das andere muss dementsprechend die Verschlüsselung der Daten selbst sein: Hier setzen wir schon jetzt auf den Standard PGP, nach dem unsere Nutzer den Inhalt von E-Mails komplett Ende-zu-Ende verschlüsseln können. Und das wird auch gut angenommen: Seit der Einführung von PGP für alle WEB.DE Nutzer haben schon mehr als 500.000 Menschen diese Technik in ihrem Postfach eingerichtet. Bei anderen Anbietern herrscht da noch Nachholbedarf: Aus unserer Sicht sollte jeder ernsthafte E-Mail Anbieter so schnell wie möglich nachziehen, je mehr desto besser. Wenn das Angebot an PGP-fähigen E-Mail-Postfächern wächst, erhöht sich damit die Reichweite des Standards und letztendlich steigt so die Sensibilisierung der Öffentlichkeit. Übrigens kann ich nur jedem empfehlen, PGP-verschlüsseltes Mailen mal auszuprobieren – die Einrichtung ist deutlich einfacher als es klingt, und man kann sicher sein, dass auch wirklich niemand außer dem autorisierten Empfänger die Inhalte der Mail zu Gesicht bekommt; seien es nun Versicherungspolicen, Bewerbungsunterlagen oder einfach eine private Mail mit Fotos an Freunde und Bekannte.