Brasilien: Keine abhörsichere staatliche E-Mail für Deutschland
Der Plan der brasilianischen Regierung, ein staatliches E-Mail-System zu schaffen, das vor dem Zugriff der NSA und anderer ausländischer Geheimdienste sicher ist, ist offenbar kein Vorbild für das Bundesinnenministerium. Stattdessen verweist ein Sprecher auf die De-Mail und zusätzliche End-To-End-Verschlüsselung.
Als Reaktion auf Enthüllungen über die umfassende elektronische Überwachung durch die NSA hatte Brasiliens Kommunikationsminister Paulo Bernardo der Tageszeitung Folha de São Paulo erklärt(öffnet im neuen Fenster) , dass bis zur zweiten Jahreshälfte 2014 ein nationales E-Mail-System geschaffen werde. Die NSA hatte E-Mails aus der Wirtschaft des Landes und von Staatspräsidentin Dilma Rousseff angegriffen. Bernardo: "Wenn ich Ihnen eine E-Mail sende, möchte ich niemanden darin schnüffeln lassen."
Auf die Frage von Golem.de, "Brasilien will staatlich einen verschlüsselten E-Mail-Dienst anbieten. Dabei geht es wohl um End-To-End-Verschlüsselung, was die De-Mail ja nicht bietet. Ist so etwas nach Prism auch eine Option für die deutsche Bevölkerung?" , antwortete ein Sprecher des Innenministeriums: "Es ist aus dem von Ihnen zitierten Artikel nicht ersichtlich und hier auch nicht bekannt, ob der in Brasilien geplante Dienst Ende-zu-Ende-Verschlüsselung vorsieht oder andere Verschlüsselungsmechanismen."
Der Zugriff auf zentrale Netzknotenpunkte oder das Abhören von Kabeln wie in Presseartikeln über Prism und Tempora berichtet, betreffe vor allem E-Mail und andere Dienste, die unverschlüsselt Daten über das Internet übertragen. Für einen Schutz vor einem solchen Zugriff sei es entscheidend, dass die Daten während ihrer Übermittlung im Internet verschlüsselt seien.
"Die Kommunikation über De-Mail ist vor einem solchen Zugriff im Gegensatz zur unverschlüsselten Internetkommunikation in besonderer Weise geschützt, da bei De-Mail die Nachrichten auf ihrem Weg durch das Internet - also zwischen Nutzer und De-Mail-Provider sowie zwischen den De-Mail-Providern - immer über einen verschlüsselten Transportkanal übermittelt werden" , so der Sprecher. Ende-zu-Ende-Verschlüsselung schütze ebenfalls vor einem solchen Zugriff, erfordere aber auf Seiten der Nutzer die Installation von Soft- und/oder Hardware sowie die Verwaltung von Verschlüsselungszertifikaten und habe sich vor allem aus diesem Grund in der Vergangenheit nicht in der Fläche durchsetzen können. "Versierte Nutzerinnen und Nutzer können bei De-Mail zusätzlich zu der standardmäßigen Transportverschlüsselung eine Ende-zu-Ende-Verschlüsselung einrichten."
Hartmut Pohl von der Gesellschaft für Informatik hatte dazu erklärt(öffnet im neuen Fenster) : "Grundsätzlich begrüßen wir die Möglichkeit eines Kontaktes mit Behörden auf elektronischem Weg. Allerdings bietet die De-Mail in ihrer derzeitigen Form keine wirklich höhere Sicherheit gegenüber der herkömmlichen E-Mail."
Alle De-Mails werden unverschlüsselt zwischengespeichert
De-Mails werden standardmäßig nicht End-to-End-verschlüsselt. Irreführenderweise, so Pohl, sei die standardmäßig eingestellte Verschlüsselung eine reine Transportverschlüsselung, die den Datentransfer von Server zu Server gegen Abhören absichert - allerdings würden alle E-Mails in den Servern unverschlüsselt zwischengespeichert. Diese Transportverschlüsselung sei nicht neu, sondern werde vielmehr schon seit Jahren von E-Mail-Anbietern verwendet. Pohl: "Ende-zu-Ende-Verschlüsselung ist erst die Voraussetzung für einen sicheren E-Mail-Verkehr."
Ein Sprecher der Telekom sagte Golem.de: "Technisch wird die Transportverschlüsselung der De-Mail für die Prüfung auf Schadsoftware in einem nach sehr hohen Maßstäben zertifizierten Rechenzentrum aufgehoben. Nach der Überprüfung, die einen Wimpernschlag dauert, wird die De-Mail in eben jenem Zentrum wieder in den verschlüsselten Zustand versetzt und zugestellt. Wer nun behauptet, dieser Umstand mache die De-Mail per se unsicher, sagt damit latent, dass diese genannten Rechenzentren unsicher seien - oder?"
Tatsächlich sei es für die Telekom als Provider kein Problem, das Produkt De-Mail in der Ende-zu-Ende-verschlüsselten Form anzubieten. "Sollten unsere Geschäftskunden - darunter Banken, Versicherer, Kommunen - diese Form der Kommunikation ihren Privatkunden standardmäßig anbieten wollen, so können wir dies selbstverständlich ermöglichen - auch wenn dies nicht zwingend vom Gesetzgeber vorgeschrieben ist. Darauf kommt es nämlich tatsächlich gar nicht an" , sagte er.