Abo
  • Services:
Anzeige
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen.
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen. (Bild: E-Mail Made in Germany)

Verschlüsselung: Riskantes Login bei E-Mail made in Germany

Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen.
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen. (Bild: E-Mail Made in Germany)

Alles wird verschlüsselt übertragen, behaupten GMX, Web.de, T-Online und Freenet in ihrer Kampagne "E-Mail made in Germany". Doch die Verschlüsselung hat eine Lücke.

Anzeige

Es sollte eine vertrauensbildende Maßnahme sein: Infolge der NSA-Affäre gründeten vier große deutsche E-Mail-Anbieter zusammen die Initiative E-Mail made in Germany. Damit verbunden waren zahlreiche Versprechen, von "neuen Sicherheitsstandards" war die Rede. So sollten ab April 2014 alle Verbindungen zu den E-Mail-Anbietern GMX, Web.de, T-Online und Freenet nur noch verschlüsselt ablaufen.

Es handelt sich dabei allerdings nur um eine Transportverschlüsselung und keine Ende-zu-Ende-Verschlüsselung. Das bedeutet, die Verbindung vom Nutzer zum jeweiligen E-Mail-Anbieter ist abgesichert, jedoch liegen die Mails auf den Servern der Provider weiterhin unverschlüsselt. Eine Ende-zu-Ende-Verschlüsselung bieten einzelne Provider zwar ebenfalls an, allerdings nicht in der Standardeinstellung.

Login-Formular ungesichert

Doch auch die Transportverschlüsselung alleine wäre schon ein großer Fortschritt, wenn sie korrekt umgesetzt würde. Allerdings gibt es dabei ein Problem: Für Logins auf den Websites der jeweiligen Anbieter gilt der Verschlüsselungsschutz nur eingeschränkt, und das kann den ganzen Sicherheitsansatz ins Leere laufen lassen.

Wer die Websites von GMX, Web.de oder T-Online aufruft, landet zunächst auf einer unverschlüsselten Seite, zu erkennen an der Adresse, die mit "http://" beginnt. Bei verschlüsselten Verbindungen steht dort "https://". Auf dieser Seite befindet sich ein Formular, mit dem man sich in seinen E-Mail-Account einloggen kann. Genau hier liegt das Problem: Zwar werden die Daten von dem Formular im Normalfall verschlüsselt verschickt - aber nur, solange die Verbindung, über die das Formular übertragen wird, nicht manipuliert wurde. Ein Angreifer - das könnte beispielsweise jemand sein, der gerade im selben WLAN eingeloggt ist oder jemand beim Internetprovider - kann aber genau das tun und die Verschlüsselung einfach abschalten. Anschließend ist das Mitlesen des Passworts für ihn kein Problem mehr.

Derartige Angriffe sind unter dem Namen SSL-Stripping lange bekannt. Der Verschlüsselungsexperte Moxie Marlinspike hatte das SSL-Stripping bereits 2009 in einem Vortrag auf der Black-Hat-Konferenz ausführlich erläutert. Zahlreiche Tools, mit denen man derartige Angriffe durchführen kann, finden sich kostenlos im Netz.

Verschlüsselt - aber nur, solange kein Angreifer da ist

Doch die an E-Mail made in Germany beteiligten Unternehmen sehen darin kein Problem. "Benutzername/E-Mail-Adresse und Passwort werden bei der Übertragung der Login-Daten zur Anmeldung ins E-Mail-Postfach über eine SSL/TLS-gesicherte Verbindung übertragen. Damit ist die gesamte Übertragungsstrecke verschlüsselt und abgesichert, wie von den EmiG-Richtlinien gefordert", schreibt etwa die Pressestelle von Web.de und GMX auf Nachfrage. Das ist zwar im Prinzip korrekt - aber eben nur, solange kein Angreifer in den Datenverkehr eingreift. T-Online sieht ebenfalls kein Problem, weist aber darauf hin, dass Anwender unter der Adresse email.t-online.de das Login auch direkt verschlüsselt aufrufen können. Das dürfte den wenigsten Anwendern bekannt sein.

Freenet weist lediglich darauf hin, dass dort das Login anders implementiert ist. Auf der ebenfalls unverschlüsselten Freenet-Seite wird ein sogenannter iframe für das Login eingebunden. Doch dieser technische Unterschied macht die Konstruktion nicht sicherer, denn gegen den iframe kann ein SSL-Stripping-Angriff ebenso durchgeführt werden.

Anwender müssen sich, wenn sie beim Login sicher sein wollen, selbst behelfen. Web.de können sie verschlüsselt erreichen, wenn sie die URL manuell mittels HTTPS aufrufen, also https://www.web.de/. Die deutsche GMX-Website lässt sich nicht über HTTPS erreichen, allerdings können Anwender alternativ die Schweizer Version von GMX unter https://www.gmx.ch/ oder die internationale Seite https://www.gmx.net aufrufen und sich dort einloggen. Bei T-Online steht wie oben erwähnt unter https://email.t-online.de/ eine verschlüsselte Login-Seite zur Verfügung und bei Freenet unter der etwas schwer zu merkenden Adresse https://www.freenet.de/loginFrame/index.html.

Anwender, die ihre Mails über ein Mailprogramm wie Thunderbird oder Apple Mail lesen und verschicken, haben übrigens kein Problem mit dem unsicheren Login. Bei ihnen erfolgt das Login über spezielle Mailprotokolle, die von den betroffenen Anbietern tatsächlich nur komplett verschlüsselt bereitgestellt werden.

Firefox warnt bald vor unverschlüsselten Formularen

Die Entwickler des Firefox-Browsers haben vor kurzem eine Funktion implementiert, die vor derartigen unverschlüsselten Formularen warnen wird. Erkennt der Browser ein solches Login-Formular, so wird vor der Adresszeile ein rot durchgestrichenes Schloss als Warnsymbol angezeigt. Bislang ist diese neue Funktion nur in Testversionen von Firefox vorhanden, sie wird aber in Kürze auch in die normalen Firefox-Installationen integriert.

Bei den großen US-Mailanbietern sieht es mit der Login-Verschlüsselung weit besser aus. Gmail und Yahoo verschlüsseln ihr Formular standardmäßig und setzen zusätzlich auf eine Technologie namens Strict Transport Security. Diese sorgt dafür, dass unverschlüsselte Verbindungen komplett unterbunden werden. Warum die großen deutschen Mailanbieter ihre Logins nicht komplett samt Formular verschlüsseln, wollte keiner von ihnen erklären. In Sachen Sicherheit und Verschlüsselung ist E-Mail made in Germany offenbar kein Qualitätssiegel.


eye home zur Startseite
Missingno. 07. Nov 2015

Auto-Update hat funktioniert, aber GMX behauptet immer noch, dass der Browser nicht...

Spaghetticode 05. Nov 2015

a) Wenn es ein privilegierter Account (Moderator, Administrator) ist, kann man damit...

hannob (golem.de) 05. Nov 2015

Im Artikel steht nichts was dem widerspricht. Entscheidend ist dass das Formular...

Missingno. 05. Nov 2015

Ja, wahrscheinlich sind es an die hundert Accounts, die mit der E-Mail-Adresse verknüpft...

Enter the Nexus 05. Nov 2015

Hast du Erfahrung mit den Anbietern? Kann ich bei inwx.de z.B. so etwas selbst setzen...



Anzeige

Stellenmarkt
  1. TUI Cruises GmbH, Hamburg
  2. TUI Deutschland GmbH, Hannover
  3. Universität zu Köln RRZK, Köln
  4. über Robert Half Technology, Berlin


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. und Gears of War 4 gratis erhalten

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Dice

    Kampagne von Battlefield 1 spielt an vielen Fronten

  2. NBase-T alias 802.3bz

    2.5GbE und 5GbE sind offizieller IEEE-Standard

  3. Samsung-Rückrufaktion

    Bereits 60 Prozent der Note-7-Geräte in Europa ausgetauscht

  4. Mavic Pro

    DJI stellt klappbaren 4K-Quadcopter für 1.200 US-Dollar vor

  5. Streamripper

    Musikindustrie will Youtube-mp3.org zerstören

  6. Jupitermond

    Nasa beobachtet Wasserdampf auf Europa

  7. Regierung

    Wie die Telekom bei Merkel ihre Interessen durchsetzt

  8. Embedded Radeon E9550

    AMD packt Polaris in 4K-Spieleautomaten

  9. Pay-TV

    Ultra-HD-Programm von Sky startet im Oktober

  10. Project Catapult

    Microsoft setzt massiv auf FPGAs



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Original und Fork im Vergleichstest: Nextcloud will das bessere Owncloud sein
Original und Fork im Vergleichstest
Nextcloud will das bessere Owncloud sein
  1. Koop mit Canonical und WDLabs Nextcloud Box soll eigenes Hosten ermöglichen
  2. Kollaborationsserver Nextcloud 10 verbessert Server-Administration
  3. Open Source Nextcloud setzt sich mit Enterprise-Support von Owncloud ab

Oliver Stones Film Snowden: Schneewittchen und die nationale Sicherheit
Oliver Stones Film Snowden
Schneewittchen und die nationale Sicherheit
  1. US-Experten im Bundestag Gegen Überwachung helfen keine Gesetze
  2. Neues BND-Gesetz Eco warnt vor unkontrolliertem Zugriff auf deutschen Traffic
  3. Datenschützerin Voßhoff Geheimbericht wirft BND schwere Gesetzesverstöße vor

Fitbit Charge 2 im Test: Fitness mit Herzschlag und Klopfgehäuse
Fitbit Charge 2 im Test
Fitness mit Herzschlag und Klopfgehäuse
  1. Fitbit Ausatmen mit dem Charge 2
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Fitnessportale Die Spielifizierung des Sports

  1. Re: Wo werden die Daten gespeichert?

    Llame | 01:47

  2. Re: 1+N-Tonnen-System

    Carlo Escobar | 01:45

  3. Re: warum Urheberrecht-Verletzung?

    Prinzeumel | 01:43

  4. Auch im incognito mode?

    Llame | 01:42

  5. Re: Andere Firmen bei Leergut nicht besser...

    Carlo Escobar | 01:27


  1. 20:57

  2. 18:35

  3. 18:03

  4. 17:50

  5. 17:41

  6. 15:51

  7. 15:35

  8. 15:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel