E-Mail made in Germany
E-Mail made in Germany ist eine von verschiedenen Internetdienstanbietern in Deutschland ins Leben gerufene Initiative mit dem erklärten Ziel, den Austausch von E-Mails in Deutschland sicherer zu machen.
Hintergrund
Die Initiative wurde als Reaktion auf die Überwachungs- und Spionageaffäre 2013 im August 2013 gestartet.[1] Nach eigenen Angaben wollen die teilnehmenden Provider den Datenverkehr zwischen Mailservern und Rechenzentren der beteiligten Firmen verschlüsseln. Seit dem 29. April 2014 werden nur noch SSL-verschlüsselte Mails transportiert.[2]
Teilnehmer
Gründungsmitglieder:
- United Internet mit den Diensten Web.de und GMX
- Deutsche Telekom
Weitere zertifizierte Mitglieder:
- Freenet
- 1&1 Internet (Tochter von United Internet)
- Strato (Tochter von United Internet)
- Hornetsecurity (Cloud-Security-Anbieter aus Hannover)
Nach eigenen Angaben ist die Initiative „offen für weitere Partner, die bereit sind, sich unter ihrer E-Mail-Domain dauerhaft zur Einhaltung unserer Sicherheitsregeln zu verpflichten.“[3]
Funktion
Der E-Mail-Verkehr zwischen den teilnehmenden Providern wird nach Angaben der Initiatoren immer SSL-verschlüsselt. Dies soll automatisch geschehen, wenn ein Webmail-Dienst verwendet wird. Sofern der Nutzer ein lokales E-Mail-Programm auf seinem Rechner nutzt, ist der Datenverkehr zwischen dem Rechner des Nutzers und dem Provider eine Schwachstelle, so dass offiziell empfohlen wird, SSL in den Programmeinstellungen zu aktivieren. Seit dem 29. April 2014 sind alle Mail-Zugänge nur noch bei SSL-Verschlüsselung nutzbar.[2]
Beim Versenden einer E-Mail an einen anderen Provider, der nicht bei E-Mail made in Germany teilnimmt, insbesondere bei allen ausländischen Anbietern, kann die Verschlüsselung nicht mehr garantiert werden. Nutzt man die Webmail-Oberflächen oder die eigenen Mobile Apps der teilnehmenden Anbieter bzw. die entsprechende Erweiterung für Outlook, so werden E-Mail-Kontakte innerhalb des E-Mail made in Germany-Verbunds mit einem grünen Haken gekennzeichnet.[4] Dem Nutzer soll dies Orientierung bieten und Vertrauenswürdigkeit signalisieren.
Im Oktober 2013 wurde zudem bekannt, dass seitens der Deutschen Telekom zusätzlich auch angestrebt wird, den Datenverkehr zwischen den beteiligten Teilnehmern künftig nicht mehr über Rechenzentren mit Standort im Ausland zu transportieren.[5] Ein Großteil der deutschen Provider betrieb jedoch schon vor diesem Datum Peering.
Kritik
In zwei Pressemitteilungen kritisiert der Chaos Computer Club (CCC) die Verschlüsselung von E-Mail made in Germany als unzureichend und vorwiegend „werbewirksam“.[6][7] Insbesondere wird darauf hingewiesen, dass das zur Transportverschlüsselung genutzte Verfahren SMTPS bereits seit mehr als 10 Jahren als RFC standardisiert ist.[8][9] Somit würden nur Versäumnisse aufgeholt. Im Dezember 2013 wurde darüber hinaus vom CCC gezeigt, dass die Verschlüsselung nicht vollständig umgesetzt wurde.[10]
Die E-Mail-Anbieter Posteo[11][12] und mailbox.org[13], wie auch der Fachverlag Heise online[14][15] kritisieren außerdem, dass das Verfahren Inter Mail Provider Trust, mit dem sich Server im Verbund E-Mail made in Germany gegenseitig authentifizieren, undurchsichtig sei und eine künstliche Abschottung erzeuge. Mit DANE stünde ein offener Standard (vom August 2012) als Alternative bereit, mit dem sich Vertrauenswürdigkeit der Kommunikationspartner und Integrität der Verschlüsselung sicherstellen ließen. Mit Blick auf DANE stelle sich auch die Frage, ob die Zertifizierungskosten für Anbieter, die E-Mail made in Germany beitreten möchten, nicht eine unnötig hohe Hürde seien.
Der E-Mail-Anbieter mailbox.org hat über seine Webseite mitgeteilt[13], die Initiative könne zwar in der Theorie alle Anbieter aufnehmen, aber „in der Realität wird die Teilnahme anderer Anbieter systematisch verhindert“. Seit mehreren Monaten würde ein Antrag auf Teilnahme von den großen Initiatoren ignoriert, und man frage sich, ob das „‘E-Mail made in Germany’ lediglich eine Marketing-Luftblase“ sei.
Zudem müssen Provider in Deutschland den Datenverkehr oder einzelne Nachrichten nach einem Gerichtsbeschluss herausgeben.
Siehe auch
Weblinks
Einzelnachweise
- „E-Mail Made in Germany“: SSL-Verschlüsselung für (fast) alle, heise online, 9. August 2013. Abgerufen am 13. Oktober 2013.
- Standard für sichere E-Mails, Abgerufen am 3. September 2014.
- Offizielles Teilnehmerverzeichnis. Abgerufen am 17. April 2018.
- Kennzeichnung sicherer Kommunikation bei E-Mail made in Germany. Abgerufen am 21. Mai 2014.
- Telekom will Internetverkehr vor Geheimdiensten abschirmen, 12. Oktober 2013. Abgerufen am 13. Oktober 2013.
- „E-Mail Made in Germany“: Das Sommermärchen von der sicheren E-Mail, 9. August 2013.
- Bullshit made in Germany: Chaos Computer Club warnt vor Mogelpackung "E-Mail made in Germany", 28. Dezember 2013.
- RFC 2487 SMTP Service Extension for Secure SMTP over TLS http://tools.ietf.org/html/rfc2487
- RFC 3207 SMTP Service Extension for Secure SMTP over Transport Layer Security
- 30C3-Vortrag: Bullshit made in Germany http://media.ccc.de/browse/congress/2013/30C3_-_5210_-_de_-_saal_g_-_201312282030_-_bullshit_made_in_germany_-_linus_neumann.html
- Endlich: Verbindungsverschlüsselung auch bei anderen Mailanbietern vom 9. August 2013 bei Posteo. Abgerufen am 16. Mai 2014.
- Posteo unterstützt DANE/TLSA vom 12. Mai 2014 bei Posteo. Abgerufen am 16. Mai 2014.
- „E-Mail made in Germany“ verhindert systematisch Teilnahme anderer Provider (Memento des Originals vom 17. Mai 2014 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis. bei mailbox.org, 15. Mai 2014.
- Verschlüsselter Mail-Transport: Posteo setzt als erster Provider DANE ein vom 12. Mai 2014 auf Heise online. Abgerufen am 16. Mai 2014.
- So funktioniert E-Mail made in Germany vom 12. Mai 2014 auf Heise online. Abgerufen am 16. Mai 2014.