Abo
  • Services:

Verschlüsselung: Riskantes Login bei E-Mail made in Germany

Alles wird verschlüsselt übertragen, behaupten GMX, Web.de, T-Online und Freenet in ihrer Kampagne "E-Mail made in Germany". Doch die Verschlüsselung hat eine Lücke.

Artikel von Hanno Böck/Zeit Online veröffentlicht am
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen.
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen. (Bild: E-Mail Made in Germany)

Es sollte eine vertrauensbildende Maßnahme sein: Infolge der NSA-Affäre gründeten vier große deutsche E-Mail-Anbieter zusammen die Initiative E-Mail made in Germany. Damit verbunden waren zahlreiche Versprechen, von "neuen Sicherheitsstandards" war die Rede. So sollten ab April 2014 alle Verbindungen zu den E-Mail-Anbietern GMX, Web.de, T-Online und Freenet nur noch verschlüsselt ablaufen.

Stellenmarkt
  1. Habermaass GmbH, Bad Rodach bei Coburg
  2. Hannover Rück SE, Hannover

Es handelt sich dabei allerdings nur um eine Transportverschlüsselung und keine Ende-zu-Ende-Verschlüsselung. Das bedeutet, die Verbindung vom Nutzer zum jeweiligen E-Mail-Anbieter ist abgesichert, jedoch liegen die Mails auf den Servern der Provider weiterhin unverschlüsselt. Eine Ende-zu-Ende-Verschlüsselung bieten einzelne Provider zwar ebenfalls an, allerdings nicht in der Standardeinstellung.

Login-Formular ungesichert

Doch auch die Transportverschlüsselung alleine wäre schon ein großer Fortschritt, wenn sie korrekt umgesetzt würde. Allerdings gibt es dabei ein Problem: Für Logins auf den Websites der jeweiligen Anbieter gilt der Verschlüsselungsschutz nur eingeschränkt, und das kann den ganzen Sicherheitsansatz ins Leere laufen lassen.

Wer die Websites von GMX, Web.de oder T-Online aufruft, landet zunächst auf einer unverschlüsselten Seite, zu erkennen an der Adresse, die mit "http://" beginnt. Bei verschlüsselten Verbindungen steht dort "https://". Auf dieser Seite befindet sich ein Formular, mit dem man sich in seinen E-Mail-Account einloggen kann. Genau hier liegt das Problem: Zwar werden die Daten von dem Formular im Normalfall verschlüsselt verschickt - aber nur, solange die Verbindung, über die das Formular übertragen wird, nicht manipuliert wurde. Ein Angreifer - das könnte beispielsweise jemand sein, der gerade im selben WLAN eingeloggt ist oder jemand beim Internetprovider - kann aber genau das tun und die Verschlüsselung einfach abschalten. Anschließend ist das Mitlesen des Passworts für ihn kein Problem mehr.

Derartige Angriffe sind unter dem Namen SSL-Stripping lange bekannt. Der Verschlüsselungsexperte Moxie Marlinspike hatte das SSL-Stripping bereits 2009 in einem Vortrag auf der Black-Hat-Konferenz ausführlich erläutert. Zahlreiche Tools, mit denen man derartige Angriffe durchführen kann, finden sich kostenlos im Netz.

Verschlüsselt - aber nur, solange kein Angreifer da ist

Doch die an E-Mail made in Germany beteiligten Unternehmen sehen darin kein Problem. "Benutzername/E-Mail-Adresse und Passwort werden bei der Übertragung der Login-Daten zur Anmeldung ins E-Mail-Postfach über eine SSL/TLS-gesicherte Verbindung übertragen. Damit ist die gesamte Übertragungsstrecke verschlüsselt und abgesichert, wie von den EmiG-Richtlinien gefordert", schreibt etwa die Pressestelle von Web.de und GMX auf Nachfrage. Das ist zwar im Prinzip korrekt - aber eben nur, solange kein Angreifer in den Datenverkehr eingreift. T-Online sieht ebenfalls kein Problem, weist aber darauf hin, dass Anwender unter der Adresse email.t-online.de das Login auch direkt verschlüsselt aufrufen können. Das dürfte den wenigsten Anwendern bekannt sein.

Freenet weist lediglich darauf hin, dass dort das Login anders implementiert ist. Auf der ebenfalls unverschlüsselten Freenet-Seite wird ein sogenannter iframe für das Login eingebunden. Doch dieser technische Unterschied macht die Konstruktion nicht sicherer, denn gegen den iframe kann ein SSL-Stripping-Angriff ebenso durchgeführt werden.

Anwender müssen sich, wenn sie beim Login sicher sein wollen, selbst behelfen. Web.de können sie verschlüsselt erreichen, wenn sie die URL manuell mittels HTTPS aufrufen, also https://www.web.de/. Die deutsche GMX-Website lässt sich nicht über HTTPS erreichen, allerdings können Anwender alternativ die Schweizer Version von GMX unter https://www.gmx.ch/ oder die internationale Seite https://www.gmx.net aufrufen und sich dort einloggen. Bei T-Online steht wie oben erwähnt unter https://email.t-online.de/ eine verschlüsselte Login-Seite zur Verfügung und bei Freenet unter der etwas schwer zu merkenden Adresse https://www.freenet.de/loginFrame/index.html.

Anwender, die ihre Mails über ein Mailprogramm wie Thunderbird oder Apple Mail lesen und verschicken, haben übrigens kein Problem mit dem unsicheren Login. Bei ihnen erfolgt das Login über spezielle Mailprotokolle, die von den betroffenen Anbietern tatsächlich nur komplett verschlüsselt bereitgestellt werden.

Firefox warnt bald vor unverschlüsselten Formularen

Die Entwickler des Firefox-Browsers haben vor kurzem eine Funktion implementiert, die vor derartigen unverschlüsselten Formularen warnen wird. Erkennt der Browser ein solches Login-Formular, so wird vor der Adresszeile ein rot durchgestrichenes Schloss als Warnsymbol angezeigt. Bislang ist diese neue Funktion nur in Testversionen von Firefox vorhanden, sie wird aber in Kürze auch in die normalen Firefox-Installationen integriert.

Bei den großen US-Mailanbietern sieht es mit der Login-Verschlüsselung weit besser aus. Gmail und Yahoo verschlüsseln ihr Formular standardmäßig und setzen zusätzlich auf eine Technologie namens Strict Transport Security. Diese sorgt dafür, dass unverschlüsselte Verbindungen komplett unterbunden werden. Warum die großen deutschen Mailanbieter ihre Logins nicht komplett samt Formular verschlüsseln, wollte keiner von ihnen erklären. In Sachen Sicherheit und Verschlüsselung ist E-Mail made in Germany offenbar kein Qualitätssiegel.



Anzeige
Spiele-Angebote
  1. 39,99€ (Release 14.11.)
  2. 59,99€ mit Vorbesteller-Preisgarantie
  3. 4,99€
  4. (-60%) 39,99€

Missingno. 07. Nov 2015

Auto-Update hat funktioniert, aber GMX behauptet immer noch, dass der Browser nicht...

Spaghetticode 05. Nov 2015

a) Wenn es ein privilegierter Account (Moderator, Administrator) ist, kann man damit...

hannob (golem.de) 05. Nov 2015

Im Artikel steht nichts was dem widerspricht. Entscheidend ist dass das Formular...

Missingno. 05. Nov 2015

Ja, wahrscheinlich sind es an die hundert Accounts, die mit der E-Mail-Adresse verknüpft...

Enter the Nexus 05. Nov 2015

Hast du Erfahrung mit den Anbietern? Kann ich bei inwx.de z.B. so etwas selbst setzen...


Folgen Sie uns
       


Motorola One angesehen (Ifa 2018)

Lenovo hat auf der Elektronikfachmesse Ifa 2018 sein neues Android-Smartphone Motorola One vorgestellt.

Motorola One angesehen (Ifa 2018) Video aufrufen
SpaceX: Milliardär will Künstler mit zum Mond nehmen
SpaceX
Milliardär will Künstler mit zum Mond nehmen

Ein japanischer Milliardär ist der mysteriöse erste Kunde von SpaceX, der um den Mond fliegen will. Er will eine Gruppe von Künstlern zu dem Flug einladen. Die Pläne für das Raumschiff stehen kurz vor der Fertigstellung.
Von Frank Wunderlich-Pfeiffer

  1. Mondwettbewerb Niemand gewinnt den Google Lunar X-Prize

Zahlen mit Smartphones im Alltagstest: Sparkassenkunden müssen nicht auf Google Pay neidisch sein
Zahlen mit Smartphones im Alltagstest
Sparkassenkunden müssen nicht auf Google Pay neidisch sein

In Deutschland gibt es mittlerweile mehrere Möglichkeiten, drahtlos mit dem Smartphone zu bezahlen. Wir haben Google Pay mit der Sparkassen-App Mobiles Bezahlen verglichen und festgestellt: In der Handhabung gleichen sich die Apps zwar, doch in den Details gibt es einige Unterschiede.
Ein Test von Tobias Költzsch

  1. Smartphone Auch Volksbanken führen mobiles Bezahlen ein
  2. Bezahldienst ausprobiert Google Pay startet in Deutschland mit vier Finanzdiensten

Red Dead Redemption 2 angespielt: Mit dem Trigger im Wilden Westen eintauchen
Red Dead Redemption 2 angespielt
Mit dem Trigger im Wilden Westen eintauchen

Überfälle und Schießereien, Pferde und Revolver - vor allem aber sehr viel Interaktion: Das Anspielen von Red Dead Redemption 2 hat uns erstaunlich tief in die Westernwelt versetzt. Aber auch bei Grafik und Sound konnte das nächste Programm von Rockstar Games schon Punkte sammeln.
Von Peter Steinlechner

  1. Red Dead Redemption 2 Von Bärten, Pferden und viel zu warmer Kleidung
  2. Rockstar Games Red Dead Online startet im November als Beta
  3. Rockstar Games Neuer Trailer zeigt Gameplay von Red Dead Redemption 2

    •  /