Abo
  • Services:
Anzeige
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen.
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen. (Bild: E-Mail Made in Germany)

Verschlüsselung: Riskantes Login bei E-Mail made in Germany

Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen.
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen. (Bild: E-Mail Made in Germany)

Alles wird verschlüsselt übertragen, behaupten GMX, Web.de, T-Online und Freenet in ihrer Kampagne "E-Mail made in Germany". Doch die Verschlüsselung hat eine Lücke.

Anzeige

Es sollte eine vertrauensbildende Maßnahme sein: Infolge der NSA-Affäre gründeten vier große deutsche E-Mail-Anbieter zusammen die Initiative E-Mail made in Germany. Damit verbunden waren zahlreiche Versprechen, von "neuen Sicherheitsstandards" war die Rede. So sollten ab April 2014 alle Verbindungen zu den E-Mail-Anbietern GMX, Web.de, T-Online und Freenet nur noch verschlüsselt ablaufen.

Es handelt sich dabei allerdings nur um eine Transportverschlüsselung und keine Ende-zu-Ende-Verschlüsselung. Das bedeutet, die Verbindung vom Nutzer zum jeweiligen E-Mail-Anbieter ist abgesichert, jedoch liegen die Mails auf den Servern der Provider weiterhin unverschlüsselt. Eine Ende-zu-Ende-Verschlüsselung bieten einzelne Provider zwar ebenfalls an, allerdings nicht in der Standardeinstellung.

Login-Formular ungesichert

Doch auch die Transportverschlüsselung alleine wäre schon ein großer Fortschritt, wenn sie korrekt umgesetzt würde. Allerdings gibt es dabei ein Problem: Für Logins auf den Websites der jeweiligen Anbieter gilt der Verschlüsselungsschutz nur eingeschränkt, und das kann den ganzen Sicherheitsansatz ins Leere laufen lassen.

Wer die Websites von GMX, Web.de oder T-Online aufruft, landet zunächst auf einer unverschlüsselten Seite, zu erkennen an der Adresse, die mit "http://" beginnt. Bei verschlüsselten Verbindungen steht dort "https://". Auf dieser Seite befindet sich ein Formular, mit dem man sich in seinen E-Mail-Account einloggen kann. Genau hier liegt das Problem: Zwar werden die Daten von dem Formular im Normalfall verschlüsselt verschickt - aber nur, solange die Verbindung, über die das Formular übertragen wird, nicht manipuliert wurde. Ein Angreifer - das könnte beispielsweise jemand sein, der gerade im selben WLAN eingeloggt ist oder jemand beim Internetprovider - kann aber genau das tun und die Verschlüsselung einfach abschalten. Anschließend ist das Mitlesen des Passworts für ihn kein Problem mehr.

Derartige Angriffe sind unter dem Namen SSL-Stripping lange bekannt. Der Verschlüsselungsexperte Moxie Marlinspike hatte das SSL-Stripping bereits 2009 in einem Vortrag auf der Black-Hat-Konferenz ausführlich erläutert. Zahlreiche Tools, mit denen man derartige Angriffe durchführen kann, finden sich kostenlos im Netz.

Verschlüsselt - aber nur, solange kein Angreifer da ist

Doch die an E-Mail made in Germany beteiligten Unternehmen sehen darin kein Problem. "Benutzername/E-Mail-Adresse und Passwort werden bei der Übertragung der Login-Daten zur Anmeldung ins E-Mail-Postfach über eine SSL/TLS-gesicherte Verbindung übertragen. Damit ist die gesamte Übertragungsstrecke verschlüsselt und abgesichert, wie von den EmiG-Richtlinien gefordert", schreibt etwa die Pressestelle von Web.de und GMX auf Nachfrage. Das ist zwar im Prinzip korrekt - aber eben nur, solange kein Angreifer in den Datenverkehr eingreift. T-Online sieht ebenfalls kein Problem, weist aber darauf hin, dass Anwender unter der Adresse email.t-online.de das Login auch direkt verschlüsselt aufrufen können. Das dürfte den wenigsten Anwendern bekannt sein.

Freenet weist lediglich darauf hin, dass dort das Login anders implementiert ist. Auf der ebenfalls unverschlüsselten Freenet-Seite wird ein sogenannter iframe für das Login eingebunden. Doch dieser technische Unterschied macht die Konstruktion nicht sicherer, denn gegen den iframe kann ein SSL-Stripping-Angriff ebenso durchgeführt werden.

Anwender müssen sich, wenn sie beim Login sicher sein wollen, selbst behelfen. Web.de können sie verschlüsselt erreichen, wenn sie die URL manuell mittels HTTPS aufrufen, also https://www.web.de/. Die deutsche GMX-Website lässt sich nicht über HTTPS erreichen, allerdings können Anwender alternativ die Schweizer Version von GMX unter https://www.gmx.ch/ oder die internationale Seite https://www.gmx.net aufrufen und sich dort einloggen. Bei T-Online steht wie oben erwähnt unter https://email.t-online.de/ eine verschlüsselte Login-Seite zur Verfügung und bei Freenet unter der etwas schwer zu merkenden Adresse https://www.freenet.de/loginFrame/index.html.

Anwender, die ihre Mails über ein Mailprogramm wie Thunderbird oder Apple Mail lesen und verschicken, haben übrigens kein Problem mit dem unsicheren Login. Bei ihnen erfolgt das Login über spezielle Mailprotokolle, die von den betroffenen Anbietern tatsächlich nur komplett verschlüsselt bereitgestellt werden.

Firefox warnt bald vor unverschlüsselten Formularen

Die Entwickler des Firefox-Browsers haben vor kurzem eine Funktion implementiert, die vor derartigen unverschlüsselten Formularen warnen wird. Erkennt der Browser ein solches Login-Formular, so wird vor der Adresszeile ein rot durchgestrichenes Schloss als Warnsymbol angezeigt. Bislang ist diese neue Funktion nur in Testversionen von Firefox vorhanden, sie wird aber in Kürze auch in die normalen Firefox-Installationen integriert.

Bei den großen US-Mailanbietern sieht es mit der Login-Verschlüsselung weit besser aus. Gmail und Yahoo verschlüsseln ihr Formular standardmäßig und setzen zusätzlich auf eine Technologie namens Strict Transport Security. Diese sorgt dafür, dass unverschlüsselte Verbindungen komplett unterbunden werden. Warum die großen deutschen Mailanbieter ihre Logins nicht komplett samt Formular verschlüsseln, wollte keiner von ihnen erklären. In Sachen Sicherheit und Verschlüsselung ist E-Mail made in Germany offenbar kein Qualitätssiegel.


eye home zur Startseite
Missingno. 07. Nov 2015

Auto-Update hat funktioniert, aber GMX behauptet immer noch, dass der Browser nicht...

Spaghetticode 05. Nov 2015

a) Wenn es ein privilegierter Account (Moderator, Administrator) ist, kann man damit...

hannob (golem.de) 05. Nov 2015

Im Artikel steht nichts was dem widerspricht. Entscheidend ist dass das Formular...

Missingno. 05. Nov 2015

Ja, wahrscheinlich sind es an die hundert Accounts, die mit der E-Mail-Adresse verknüpft...

Enter the Nexus 05. Nov 2015

Hast du Erfahrung mit den Anbietern? Kann ich bei inwx.de z.B. so etwas selbst setzen...



Anzeige

Stellenmarkt
  1. atg Luther & Maelzer GmbH, Wertheim Raum Würzburg
  2. SoftwareONE Deutschland GmbH, deutschlandweit
  3. Media-Saturn E-Business Concepts & Services GmbH, Ingolstadt
  4. Intergraph PP&M Deutschland GmbH, Dortmund


Anzeige
Spiele-Angebote
  1. 69,99€/149,99€/79,99€ (Vorbesteller-Preisgarantie)
  2. 209,99€/219,99€ (Vorbesteller-Preisgarantie)
  3. 399,00€ (Vorbesteller-Preisgarantie) - Release 02.08.

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Sicherheitskonzeption für das App-getriebene Geschäft
  3. Tipps für IT-Engagement in Fernost


  1. Ausfall

    Störung im Netz von Netcologne

  2. Cinema 3D

    Das MIT arbeitet an 3D-Kino ohne Brille

  3. AVM

    Hersteller für volle Routerfreiheit bei Glasfaser und Kabel

  4. Hearthstone

    Blizzard feiert eine Nacht in Karazhan

  5. Gmane

    Wichtiges Mailing-Listen-Archiv offline

  6. Olympia

    Kann der Hashtag #Rio2016 verboten werden?

  7. Containerverwaltung

    Docker für Mac und Windows ist einsatzbereit

  8. Drosselung

    Telekom schafft wegen intensiver Nutzung Spotify-Option ab

  9. Quantenkrytographie

    Chinas erster Schritt zur Quantenkommunikation per Satellit

  10. Sony

    Absatz der Playstation 4 weiter stark



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Verbindungsturbo: Wie Googles Rack TCP deutlich schneller machen soll
Verbindungsturbo
Wie Googles Rack TCP deutlich schneller machen soll
  1. Black Hat 2016 Neuer Angriff schafft Zugriff auf Klartext-URLs trotz HTTPS
  2. Anniversary Update Wie Microsoft seinen Edge-Browser effizienter macht
  3. Patchday Microsoft behebt Sicherheitslücke aus Windows-95-Zeiten

Headlander im Kurztest: Galaktisches Abenteuer mit Köpfchen
Headlander im Kurztest
Galaktisches Abenteuer mit Köpfchen
  1. Hello Games No Man's Sky braucht kein Plus und keine Superformel
  2. Hello Games No Man's Sky droht Rechtsstreit um "Superformel"
  3. Necropolis im Kurztest Wo zum Teufel geht es weiter?

Elementary OS Loki im Test: Hübsch und einfach kann auch kompliziert sein
Elementary OS Loki im Test
Hübsch und einfach kann auch kompliziert sein
  1. Linux-Distribution Ubuntu diskutiert Ende der 32-Bit-Unterstützung
  2. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!
  3. Aquaris M10 Ubuntu Edition im Test Ubuntu versaut noch jedes Tablet

  1. Re: "...wird den klassischen Verbrennungsmotor...

    pierrot | 19:54

  2. Re: Ergänzende Informationen

    locke.d | 19:50

  3. Re: optische Täuschung

    pierrot | 19:47

  4. Re: Alternative: Everything Search Engine

    magnum | 19:43

  5. Re: Kompatibilität von Docker auf Linux, Windows...

    fuzzy | 19:43


  1. 18:21

  2. 18:05

  3. 17:23

  4. 17:04

  5. 16:18

  6. 14:28

  7. 13:00

  8. 12:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel