Abo
  • Services:
Anzeige
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen.
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen. (Bild: E-Mail Made in Germany)

Verschlüsselung: Riskantes Login bei E-Mail made in Germany

Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen.
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen. (Bild: E-Mail Made in Germany)

Alles wird verschlüsselt übertragen, behaupten GMX, Web.de, T-Online und Freenet in ihrer Kampagne "E-Mail made in Germany". Doch die Verschlüsselung hat eine Lücke.
Von Hanno Böck

Es sollte eine vertrauensbildende Maßnahme sein: Infolge der NSA-Affäre gründeten vier große deutsche E-Mail-Anbieter zusammen die Initiative E-Mail made in Germany. Damit verbunden waren zahlreiche Versprechen, von "neuen Sicherheitsstandards" war die Rede. So sollten ab April 2014 alle Verbindungen zu den E-Mail-Anbietern GMX, Web.de, T-Online und Freenet nur noch verschlüsselt ablaufen.

Anzeige

Es handelt sich dabei allerdings nur um eine Transportverschlüsselung und keine Ende-zu-Ende-Verschlüsselung. Das bedeutet, die Verbindung vom Nutzer zum jeweiligen E-Mail-Anbieter ist abgesichert, jedoch liegen die Mails auf den Servern der Provider weiterhin unverschlüsselt. Eine Ende-zu-Ende-Verschlüsselung bieten einzelne Provider zwar ebenfalls an, allerdings nicht in der Standardeinstellung.

Login-Formular ungesichert

Doch auch die Transportverschlüsselung alleine wäre schon ein großer Fortschritt, wenn sie korrekt umgesetzt würde. Allerdings gibt es dabei ein Problem: Für Logins auf den Websites der jeweiligen Anbieter gilt der Verschlüsselungsschutz nur eingeschränkt, und das kann den ganzen Sicherheitsansatz ins Leere laufen lassen.

Wer die Websites von GMX, Web.de oder T-Online aufruft, landet zunächst auf einer unverschlüsselten Seite, zu erkennen an der Adresse, die mit "http://" beginnt. Bei verschlüsselten Verbindungen steht dort "https://". Auf dieser Seite befindet sich ein Formular, mit dem man sich in seinen E-Mail-Account einloggen kann. Genau hier liegt das Problem: Zwar werden die Daten von dem Formular im Normalfall verschlüsselt verschickt - aber nur, solange die Verbindung, über die das Formular übertragen wird, nicht manipuliert wurde. Ein Angreifer - das könnte beispielsweise jemand sein, der gerade im selben WLAN eingeloggt ist oder jemand beim Internetprovider - kann aber genau das tun und die Verschlüsselung einfach abschalten. Anschließend ist das Mitlesen des Passworts für ihn kein Problem mehr.

Derartige Angriffe sind unter dem Namen SSL-Stripping lange bekannt. Der Verschlüsselungsexperte Moxie Marlinspike hatte das SSL-Stripping bereits 2009 in einem Vortrag auf der Black-Hat-Konferenz ausführlich erläutert. Zahlreiche Tools, mit denen man derartige Angriffe durchführen kann, finden sich kostenlos im Netz.

Verschlüsselt - aber nur, solange kein Angreifer da ist

Doch die an E-Mail made in Germany beteiligten Unternehmen sehen darin kein Problem. "Benutzername/E-Mail-Adresse und Passwort werden bei der Übertragung der Login-Daten zur Anmeldung ins E-Mail-Postfach über eine SSL/TLS-gesicherte Verbindung übertragen. Damit ist die gesamte Übertragungsstrecke verschlüsselt und abgesichert, wie von den EmiG-Richtlinien gefordert", schreibt etwa die Pressestelle von Web.de und GMX auf Nachfrage. Das ist zwar im Prinzip korrekt - aber eben nur, solange kein Angreifer in den Datenverkehr eingreift. T-Online sieht ebenfalls kein Problem, weist aber darauf hin, dass Anwender unter der Adresse email.t-online.de das Login auch direkt verschlüsselt aufrufen können. Das dürfte den wenigsten Anwendern bekannt sein.

Freenet weist lediglich darauf hin, dass dort das Login anders implementiert ist. Auf der ebenfalls unverschlüsselten Freenet-Seite wird ein sogenannter iframe für das Login eingebunden. Doch dieser technische Unterschied macht die Konstruktion nicht sicherer, denn gegen den iframe kann ein SSL-Stripping-Angriff ebenso durchgeführt werden.

Anwender müssen sich, wenn sie beim Login sicher sein wollen, selbst behelfen. Web.de können sie verschlüsselt erreichen, wenn sie die URL manuell mittels HTTPS aufrufen, also https://www.web.de/. Die deutsche GMX-Website lässt sich nicht über HTTPS erreichen, allerdings können Anwender alternativ die Schweizer Version von GMX unter https://www.gmx.ch/ oder die internationale Seite https://www.gmx.net aufrufen und sich dort einloggen. Bei T-Online steht wie oben erwähnt unter https://email.t-online.de/ eine verschlüsselte Login-Seite zur Verfügung und bei Freenet unter der etwas schwer zu merkenden Adresse https://www.freenet.de/loginFrame/index.html.

Anwender, die ihre Mails über ein Mailprogramm wie Thunderbird oder Apple Mail lesen und verschicken, haben übrigens kein Problem mit dem unsicheren Login. Bei ihnen erfolgt das Login über spezielle Mailprotokolle, die von den betroffenen Anbietern tatsächlich nur komplett verschlüsselt bereitgestellt werden.

Firefox warnt bald vor unverschlüsselten Formularen

Die Entwickler des Firefox-Browsers haben vor kurzem eine Funktion implementiert, die vor derartigen unverschlüsselten Formularen warnen wird. Erkennt der Browser ein solches Login-Formular, so wird vor der Adresszeile ein rot durchgestrichenes Schloss als Warnsymbol angezeigt. Bislang ist diese neue Funktion nur in Testversionen von Firefox vorhanden, sie wird aber in Kürze auch in die normalen Firefox-Installationen integriert.

Bei den großen US-Mailanbietern sieht es mit der Login-Verschlüsselung weit besser aus. Gmail und Yahoo verschlüsseln ihr Formular standardmäßig und setzen zusätzlich auf eine Technologie namens Strict Transport Security. Diese sorgt dafür, dass unverschlüsselte Verbindungen komplett unterbunden werden. Warum die großen deutschen Mailanbieter ihre Logins nicht komplett samt Formular verschlüsseln, wollte keiner von ihnen erklären. In Sachen Sicherheit und Verschlüsselung ist E-Mail made in Germany offenbar kein Qualitätssiegel.


eye home zur Startseite
Missingno. 07. Nov 2015

Auto-Update hat funktioniert, aber GMX behauptet immer noch, dass der Browser nicht...

Spaghetticode 05. Nov 2015

a) Wenn es ein privilegierter Account (Moderator, Administrator) ist, kann man damit...

hannob (golem.de) 05. Nov 2015

Im Artikel steht nichts was dem widerspricht. Entscheidend ist dass das Formular...

Missingno. 05. Nov 2015

Ja, wahrscheinlich sind es an die hundert Accounts, die mit der E-Mail-Adresse verknüpft...

Enter the Nexus 05. Nov 2015

Hast du Erfahrung mit den Anbietern? Kann ich bei inwx.de z.B. so etwas selbst setzen...



Anzeige

Stellenmarkt
  1. Fresenius Kabi Deutschland GmbH, Friedberg
  2. operational services GmbH & Co. KG, verschiedene Standorte
  3. T-Systems International GmbH, Leinfelden-Echterdingen
  4. Nestlé Deutschland AG, Ebersberg-Weiding


Anzeige
Top-Angebote
  1. 249,90€
  2. 159,90€
  3. 58,99€

Folgen Sie uns
       


  1. Building 8

    Facebook arbeitet an modularem Mobilgerät

  2. Remote Control

    Serienklassiker Das Boot wird VR-Antikriegsspiel

  3. TLS-Zertifikate

    Symantec fällt auf falschen Key herein

  4. Shipito

    Mit wenigen Mausklicks zur US-Postadresse

  5. Ausprobiert

    JPEGmini Pro komprimiert riesige JPEGs um bis zu 80 Prozent

  6. Aufstecksucher für TL2

    Leica warnt vor Leica

  7. Autonomes Fahren

    Continental will beim Kartendienst Here einsteigen

  8. Arduino 101

    Intel stellt auch das letzte Bastler-Board ein

  9. Quartalsbericht

    Microsoft kann Gewinn durch Cloud mehr als verdoppeln

  10. Mobilfunk

    Leistungsfähigkeit der 5G-Luftschnittstelle wird überschätzt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Moto Z2 Play im Test: Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
Moto Z2 Play im Test
Bessere Kamera entschädigt nicht für kürzere Akkulaufzeit
  1. Modulares Smartphone Moto Z2 Play kostet mit Lautsprecher-Mod 520 Euro
  2. Lenovo Hochleistungs-Akku-Mod für Moto Z
  3. Moto Z Schiebetastatur-Mod hat Finanzierungsziel erreicht

Razer Lancehead im Test: Drahtlose Symmetrie mit Laser
Razer Lancehead im Test
Drahtlose Symmetrie mit Laser
  1. Razer Blade Stealth 13,3- statt 12,5-Zoll-Panel im gleichen Gehäuse
  2. Razer Core im Test Grafikbox + Ultrabook = Gaming-System
  3. Razer Lancehead Symmetrische 16.000-dpi-Maus läuft ohne Cloud-Zwang

Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

  1. Re: Logische Schlussfolgerung:

    Lemo | 10:23

  2. Re: Nachhaltig?

    photoliner | 10:22

  3. Ich vermisse die Kennzeichnung "sponsored Post"

    trolling3r | 10:21

  4. Re: Wer?

    mnementh | 10:20

  5. Re: Borderlinx

    cHaOs667 | 10:19


  1. 10:31

  2. 10:09

  3. 09:51

  4. 09:05

  5. 08:03

  6. 07:38

  7. 07:29

  8. 07:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel