Abo
  • Services:
Anzeige
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen.
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen. (Bild: E-Mail Made in Germany)

Verschlüsselung: Riskantes Login bei E-Mail made in Germany

Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen.
Alles verschlüsselt bei "E-Mail Made in Germany"? Nein, beim Web-Login können Angreifer mitlesen. (Bild: E-Mail Made in Germany)

Alles wird verschlüsselt übertragen, behaupten GMX, Web.de, T-Online und Freenet in ihrer Kampagne "E-Mail made in Germany". Doch die Verschlüsselung hat eine Lücke.
Von Hanno Böck

Es sollte eine vertrauensbildende Maßnahme sein: Infolge der NSA-Affäre gründeten vier große deutsche E-Mail-Anbieter zusammen die Initiative E-Mail made in Germany. Damit verbunden waren zahlreiche Versprechen, von "neuen Sicherheitsstandards" war die Rede. So sollten ab April 2014 alle Verbindungen zu den E-Mail-Anbietern GMX, Web.de, T-Online und Freenet nur noch verschlüsselt ablaufen.

Anzeige

Es handelt sich dabei allerdings nur um eine Transportverschlüsselung und keine Ende-zu-Ende-Verschlüsselung. Das bedeutet, die Verbindung vom Nutzer zum jeweiligen E-Mail-Anbieter ist abgesichert, jedoch liegen die Mails auf den Servern der Provider weiterhin unverschlüsselt. Eine Ende-zu-Ende-Verschlüsselung bieten einzelne Provider zwar ebenfalls an, allerdings nicht in der Standardeinstellung.

Login-Formular ungesichert

Doch auch die Transportverschlüsselung alleine wäre schon ein großer Fortschritt, wenn sie korrekt umgesetzt würde. Allerdings gibt es dabei ein Problem: Für Logins auf den Websites der jeweiligen Anbieter gilt der Verschlüsselungsschutz nur eingeschränkt, und das kann den ganzen Sicherheitsansatz ins Leere laufen lassen.

Wer die Websites von GMX, Web.de oder T-Online aufruft, landet zunächst auf einer unverschlüsselten Seite, zu erkennen an der Adresse, die mit "http://" beginnt. Bei verschlüsselten Verbindungen steht dort "https://". Auf dieser Seite befindet sich ein Formular, mit dem man sich in seinen E-Mail-Account einloggen kann. Genau hier liegt das Problem: Zwar werden die Daten von dem Formular im Normalfall verschlüsselt verschickt - aber nur, solange die Verbindung, über die das Formular übertragen wird, nicht manipuliert wurde. Ein Angreifer - das könnte beispielsweise jemand sein, der gerade im selben WLAN eingeloggt ist oder jemand beim Internetprovider - kann aber genau das tun und die Verschlüsselung einfach abschalten. Anschließend ist das Mitlesen des Passworts für ihn kein Problem mehr.

Derartige Angriffe sind unter dem Namen SSL-Stripping lange bekannt. Der Verschlüsselungsexperte Moxie Marlinspike hatte das SSL-Stripping bereits 2009 in einem Vortrag auf der Black-Hat-Konferenz ausführlich erläutert. Zahlreiche Tools, mit denen man derartige Angriffe durchführen kann, finden sich kostenlos im Netz.

Verschlüsselt - aber nur, solange kein Angreifer da ist

Doch die an E-Mail made in Germany beteiligten Unternehmen sehen darin kein Problem. "Benutzername/E-Mail-Adresse und Passwort werden bei der Übertragung der Login-Daten zur Anmeldung ins E-Mail-Postfach über eine SSL/TLS-gesicherte Verbindung übertragen. Damit ist die gesamte Übertragungsstrecke verschlüsselt und abgesichert, wie von den EmiG-Richtlinien gefordert", schreibt etwa die Pressestelle von Web.de und GMX auf Nachfrage. Das ist zwar im Prinzip korrekt - aber eben nur, solange kein Angreifer in den Datenverkehr eingreift. T-Online sieht ebenfalls kein Problem, weist aber darauf hin, dass Anwender unter der Adresse email.t-online.de das Login auch direkt verschlüsselt aufrufen können. Das dürfte den wenigsten Anwendern bekannt sein.

Freenet weist lediglich darauf hin, dass dort das Login anders implementiert ist. Auf der ebenfalls unverschlüsselten Freenet-Seite wird ein sogenannter iframe für das Login eingebunden. Doch dieser technische Unterschied macht die Konstruktion nicht sicherer, denn gegen den iframe kann ein SSL-Stripping-Angriff ebenso durchgeführt werden.

Anwender müssen sich, wenn sie beim Login sicher sein wollen, selbst behelfen. Web.de können sie verschlüsselt erreichen, wenn sie die URL manuell mittels HTTPS aufrufen, also https://www.web.de/. Die deutsche GMX-Website lässt sich nicht über HTTPS erreichen, allerdings können Anwender alternativ die Schweizer Version von GMX unter https://www.gmx.ch/ oder die internationale Seite https://www.gmx.net aufrufen und sich dort einloggen. Bei T-Online steht wie oben erwähnt unter https://email.t-online.de/ eine verschlüsselte Login-Seite zur Verfügung und bei Freenet unter der etwas schwer zu merkenden Adresse https://www.freenet.de/loginFrame/index.html.

Anwender, die ihre Mails über ein Mailprogramm wie Thunderbird oder Apple Mail lesen und verschicken, haben übrigens kein Problem mit dem unsicheren Login. Bei ihnen erfolgt das Login über spezielle Mailprotokolle, die von den betroffenen Anbietern tatsächlich nur komplett verschlüsselt bereitgestellt werden.

Firefox warnt bald vor unverschlüsselten Formularen

Die Entwickler des Firefox-Browsers haben vor kurzem eine Funktion implementiert, die vor derartigen unverschlüsselten Formularen warnen wird. Erkennt der Browser ein solches Login-Formular, so wird vor der Adresszeile ein rot durchgestrichenes Schloss als Warnsymbol angezeigt. Bislang ist diese neue Funktion nur in Testversionen von Firefox vorhanden, sie wird aber in Kürze auch in die normalen Firefox-Installationen integriert.

Bei den großen US-Mailanbietern sieht es mit der Login-Verschlüsselung weit besser aus. Gmail und Yahoo verschlüsseln ihr Formular standardmäßig und setzen zusätzlich auf eine Technologie namens Strict Transport Security. Diese sorgt dafür, dass unverschlüsselte Verbindungen komplett unterbunden werden. Warum die großen deutschen Mailanbieter ihre Logins nicht komplett samt Formular verschlüsseln, wollte keiner von ihnen erklären. In Sachen Sicherheit und Verschlüsselung ist E-Mail made in Germany offenbar kein Qualitätssiegel.


eye home zur Startseite
Missingno. 07. Nov 2015

Auto-Update hat funktioniert, aber GMX behauptet immer noch, dass der Browser nicht...

Spaghetticode 05. Nov 2015

a) Wenn es ein privilegierter Account (Moderator, Administrator) ist, kann man damit...

hannob (golem.de) 05. Nov 2015

Im Artikel steht nichts was dem widerspricht. Entscheidend ist dass das Formular...

Missingno. 05. Nov 2015

Ja, wahrscheinlich sind es an die hundert Accounts, die mit der E-Mail-Adresse verknüpft...

Enter the Nexus 05. Nov 2015

Hast du Erfahrung mit den Anbietern? Kann ich bei inwx.de z.B. so etwas selbst setzen...



Anzeige

Stellenmarkt
  1. Bertrandt Technikum GmbH, Ehningen bei Stuttgart
  2. über Duerenhoff GmbH, Stuttgart
  3. Robert Bosch GmbH, Leonberg
  4. MAC Mode GmbH & Co. KGaA, Regensburg


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 14,99€)
  3. 74,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

  2. Antec P110 Silent

    Gedämmter Midi-Tower hat austauschbare Staubfilter

  3. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung

  4. Spielebranche

    WW 2 und Battlefront 2 gewinnen im November-Kaufrausch

  5. Bauern

    Deutlich über 80 Prozent wollen FTTH

  6. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  7. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On

  8. FTTH

    Bauern am Glasfaserpflug arbeiten mit Netzbetreibern

  9. BGP-Hijacking

    Traffic von Google, Facebook & Co. über Russland umgeleitet

  10. 360-Grad-Kameras im Vergleich

    Alles so schön rund hier



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Ticket Deutschland bei der BVG: Bewegungspunkt am Straßenstrich
E-Ticket Deutschland bei der BVG
Bewegungspunkt am Straßenstrich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

  1. Golem muss sich bei politischen Nachrichten noch...

    iSkelzor | 00:32

  2. Re: Telekom will doch nur machen, was Portugal...

    Eopia | 00:31

  3. Re: Zitat

    unbuntu | 00:26

  4. Re: AGesVG

    violator | 00:24

  5. Re: "eine Lösung im Sinne der Kunden"

    DerDy | 00:21


  1. 17:47

  2. 17:38

  3. 16:17

  4. 15:50

  5. 15:25

  6. 15:04

  7. 14:22

  8. 13:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel