Bericht

De-Mail ist unsicher

De-Mail ist nicht sicher, meldet die Frankfurter Rundschau. De-Mails würden bei dem System nicht durchgängig verschlüsselt, sondern auf den Servern entschlüsselt und neu verschlüsselt.

"Ich habe schwere Bedenken und bin gegen das De-Mail-Gesetz. Die Sicherheitslücken sind nicht zu übersehen", zitiert die Frankfurter Rundschau den Anwalt und IT-Experten der Bundesrechtsanwaltskammer Thomas Lapp. Auch Elmar Müller, Vorstandschef des Deutschen Verbands für Post, Informationstechnologie und Telekommunikation (DVPT), der der De-Mail eigentlich wohlwollend gegenüberstehe, sehe ein Problem, so der Bericht.

Worin das konkrete Problem besteht, geht aus dem Artikel nicht hervor. Dort heißt es nur, die E-Mails würden bei De-Mail zwar von den Nutzern verschlüsselt übertragen, dann aber auf dem Server aus technischen Gründen für kurze Zeit entschlüsselt und neu verschlüsselt. Bei De-Mails, die von einem Provider zum nächsten gesendet werden, geschehe das zweimal.

Was passiert genau?

De-Mail arbeitet browserbasiert, die Nutzer geben also ihre De-Mails im Browser ein. Die über das Browserformular gesendeten Daten werden dann über eine per SSL verschlüsselte Verbindung an den Server übertragen und dort entschlüsselt. Erst wird die eigentliche De-Mail auf Serverseite verschlüsselt und gegebenenfalls an einen anderen Provider übertragen. Ruft nun ein Nutzer eine so verschlüsselte De-Mail über das Browserinterface seines Providers ab, wird die De-Mail wieder serverseitig entschlüsselt und über eine mit SSL gesicherte Verbindung an den Browser geschickt.

Die von der FR zitierten Experten Lapp und Müller drängen darauf, diese Lücke zu schließen. Das aber steht der Grundidee von De-Mail entgegen, geht es doch darum, ein massentaugliches System anzubieten, das ohne individuelle Zertifikate und Schlüssel beim Nutzer auskommt. Für die geplanten Hybridmail-Produkte, bei denen die De-Mails ausgedruckt und per Briefpost zugestellt werden, kommt man nicht umhin, die De-Mails auf Seiten der Provider zu entschlüsseln.

Zudem ist es nur mit einer kurzen Entschlüsselung möglich, die De-Mails einer Spam- und Malware-Prüfung zu unterziehen.

Das Bundesinnenministerium weiß um das Problem, sieht laut Frankfurter Rundschau aber keinen Handlungsbedarf, da die De-Mail-Anbieter überprüft und zertifiziert würden. Die Idee dahinter: Es ist wahrscheinlicher, dass die Serversysteme der zertifizierten Provider abgesichert werden, als dass das für alle teilnehmenden Clientsysteme gilt.