E-Mail made in Germany

E-Mail made in Germany ist eine von verschiedenen Internetdienstanbietern in Deutschland ins Leben gerufene Initiative mit dem erklärten Ziel, den Austausch von E-Mails in Deutschland sicherer zu machen.

Hintergrund[Bearbeiten | Quelltext bearbeiten]

Die Initiative wurde als Reaktion auf die Überwachungs- und Spionageaffäre 2013 im August 2013 gestartet.^[1] Nach eigenen Angaben wollen die teilnehmenden Provider den Datenverkehr zwischen Mailservern und Rechenzentren der beteiligten Firmen verschlüsseln. Seit dem 29. April 2014 werden nur noch SSL-verschlüsselte Mails transportiert.^[2]

Teilnehmer[Bearbeiten | Quelltext bearbeiten]

Gründungsmitglieder:

• United Internet mit den Diensten Web.de und GMX
• Deutsche Telekom

Weitere zertifizierte Mitglieder:

• Freenet
• 1&1 Internet (Tochter von United Internet)
• Strato (Tochter von United Internet)
• Hornetsecurity (Cloud-Security-Anbieter aus Hannover)

Nach eigenen Angaben ist die Initiative „offen für weitere Partner, die bereit sind, sich unter ihrer E-Mail-Domain dauerhaft zur Einhaltung unserer Sicherheitsregeln zu verpflichten.“^[3]

Funktion[Bearbeiten | Quelltext bearbeiten]

Der E-Mail-Verkehr zwischen den teilnehmenden Providern wird nach Angaben der Initiatoren immer SSL-verschlüsselt. Dies soll automatisch geschehen, wenn ein Webmail-Dienst verwendet wird. Sofern der Nutzer ein lokales E-Mail-Programm auf seinem Rechner nutzt, ist der Datenverkehr zwischen dem Rechner des Nutzers und dem Provider eine Schwachstelle, so dass offiziell empfohlen wird, SSL in den Programmeinstellungen zu aktivieren. Seit dem 29. April 2014 sind alle Mail-Zugänge nur noch bei SSL-Verschlüsselung nutzbar.^[2]

Beim Versenden einer E-Mail an einen anderen Provider, der nicht bei E-Mail made in Germany teilnimmt, insbesondere bei allen ausländischen Anbietern, kann die Verschlüsselung nicht mehr garantiert werden. Nutzt man die Webmail-Oberflächen oder die eigenen Mobile Apps der teilnehmenden Anbieter bzw. die entsprechende Erweiterung für Outlook, so werden E-Mail-Kontakte innerhalb des E-Mail made in Germany-Verbunds mit einem grünen Haken gekennzeichnet.^[4] Dem Nutzer soll dies Orientierung bieten und Vertrauenswürdigkeit signalisieren.

Im Oktober 2013 wurde zudem bekannt, dass seitens der Deutschen Telekom zusätzlich auch angestrebt wird, den Datenverkehr zwischen den beteiligten Teilnehmern künftig nicht mehr über Rechenzentren mit Standort im Ausland zu transportieren.^[5] Ein Großteil der deutschen Provider betrieb jedoch schon vor diesem Datum Peering.

Kritik[Bearbeiten | Quelltext bearbeiten]

In zwei Pressemitteilungen kritisiert der Chaos Computer Club (CCC) die Verschlüsselung von E-Mail made in Germany als unzureichend und vorwiegend „werbewirksam“.^[6][7] Insbesondere wird darauf hingewiesen, dass das zur Transportverschlüsselung genutzte Verfahren SMTPS bereits seit mehr als 10 Jahren als RFC standardisiert ist.^[8][9] Somit würden nur Versäumnisse aufgeholt. Im Dezember 2013 wurde darüber hinaus vom CCC gezeigt, dass die Verschlüsselung nicht vollständig umgesetzt wurde.^[10]

Die E-Mail-Anbieter Posteo^[11][12] und mailbox.org,^[13] wie auch der Fachverlag Heise online^[14][15] kritisieren außerdem, dass das Verfahren Inter Mail Provider Trust, mit dem sich Server im Verbund E-Mail made in Germany gegenseitig authentifizieren, undurchsichtig sei und eine künstliche Abschottung erzeuge. Mit DANE stünde ein offener Standard (vom August 2012) als Alternative bereit, mit dem sich Vertrauenswürdigkeit der Kommunikationspartner und Integrität der Verschlüsselung sicherstellen ließen. Mit Blick auf DANE stelle sich auch die Frage, ob die Zertifizierungskosten für Anbieter, die E-Mail made in Germany beitreten möchten, nicht eine unnötig hohe Hürde seien.

Der E-Mail-Anbieter mailbox.org hat über seine Website mitgeteilt,^[13] die Initiative könne zwar in der Theorie alle Anbieter aufnehmen, aber „in der Realität wird die Teilnahme anderer Anbieter systematisch verhindert“. Seit mehreren Monaten würde ein Antrag auf Teilnahme von den großen Initiatoren ignoriert, und man frage sich, ob das „‘E-Mail made in Germany’ lediglich eine Marketing-Luftblase“ sei.

Zudem müssen Provider in Deutschland den Datenverkehr oder einzelne Nachrichten nach einem Gerichtsbeschluss herausgeben.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

• De-Mail

Weblinks[Bearbeiten | Quelltext bearbeiten]

• Website von E-Mail made in Germany

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ „E-Mail Made in Germany“: SSL-Verschlüsselung für (fast) alle. heise online, 9. August 2013; abgerufen am 13. Oktober 2013.
2. ↑ ^{a b} Standard für sichere E-Mails. newsroom.web.de; abgerufen am 3. September 2014.
3. ↑ Offizielles Teilnehmerverzeichnis. Abgerufen am 17. April 2018.
4. ↑ Kennzeichnung sicherer Kommunikation bei E-Mail made in Germany. Abgerufen am 21. Mai 2014.
5. ↑ Telekom will Internetverkehr vor Geheimdiensten abschirmen. 12. Oktober 2013. Abgerufen am 13. Oktober 2013.
6. ↑ „E-Mail Made in Germany“: Das Sommermärchen von der sicheren E-Mail. ccc.de, 9. August 2013.
7. ↑ Bullshit made in Germany: Chaos Computer Club warnt vor Mogelpackung „E-Mail made in Germany“. ccc.de, 28. Dezember 2013.
8. ↑ RFC 2487 – SMTP Service Extension for Secure SMTP over TLS. (englisch).
9. ↑ RFC 3207 – SMTP Service Extension for Secure SMTP over Transport Layer Security. (englisch).
10. ↑ Bullshit made in Germany. ccc.de, 30C3-Vortrag.
11. ↑ Endlich: Verbindungsverschlüsselung auch bei anderen Mailanbietern. Posteo, 9. August 2013; abgerufen am 16. Mai 2014.
12. ↑ Posteo unterstützt DANE/TLSA. Posteo, 12. Mai 2014; abgerufen am 16. Mai 2014.
13. ↑ ^{a b} „E-Mail made in Germany“ verhindert systematisch Teilnahme anderer Provider. (Memento vom 17. Mai 2014 im Internet Archive) mailbox.org, 15. Mai 2014.
14. ↑ Verschlüsselter Mail-Transport: Posteo setzt als erster Provider DANE ein. Heise online, 12. Mai 2014; abgerufen am 16. Mai 2014.
15. ↑ So funktioniert E-Mail made in Germany. Heise online 12. Mai 2014; abgerufen am 16. Mai 2014.