Im Moment läuft gelegentlich ein TV-Spot um das „großartige“ E-Mail made in Germany“ zu bewerben. Ich bin mit den Aussagen im Spot ein wenig unglücklich. Bei der Suche nach dem Spot ist mir aber auch aufgefallen, das es anscheinend mehrere Versionen gibt. Im TV-Spot wird am Ende gesagt, das die Mails automatisch verschlüsselt sein. In der Version hinterm Link heißt es hingegen nur, die Mails seien automatisch „geschützt“. Auf den offziellen Kanälen der Anbieter ist hingegen weder das eine noch das andere zu hören.
Vielleicht sind sich die Anbieter im klaren darüber, das ihre Aussage streng genommen auf ziemlich dünnem Eis steht. Aber fangen wir mal – wie sollte es auch anders sein – mit mir an.
Ich verschicke meine Mails mit Thunderbird. Der Kontakt zu meinem Mailserver findet verschlüsselt statt. Und das ist sehr wichtig! Die Verbindung zwischen meinem Rechner/Thunderbird und meinem Mailserver ist verschlüsselt – die Mail an sich nicht. Wenn ich jetzt eine Mail abschicke, kann sie ein böser Mensch der mit mir zusammen im Netzwerk ist, die Mail nicht mitlesen. Die Verbindung zu Server ist für dritte (unter normalen Umständen) nicht einsehbar. Nachdem die Mail bei meinem Server angekommen ist, liegt sie aber wieder unverschlüsselt auf eben jenem Server. Jetzt kann der Staatsanwalt kommen und sie lesen. Oder der Administrator meines Mailsservers. Oder der Hausmeister… jeder der Zugriff auf den Server hat, kann die Mail lesen. Der Text an sich ist ja nicht verschlüsselt.
Irgendwann wir die Mail dann von meinem Server zum Server des Empfängers weiter verschickt. Ob die Kommunikation zwischen diesen beiden Servern verschlüsselt ist, liegt alleine bei den Anbietern. Ist sie es nicht – was auch heute noch die Regel ist – so macht man es einem Angreifer recht leicht, die Mail auf diesem Transportweg mitlesen zu können. Es ist aber wichtig zu wissen, das auf diesem Teilstück eine ganz andere Voraussetzung geschaffen sein muss um an die Mail zu kommen. Man muss den Datenstrom auf der untersten Ebene des Netzes abgreifen. Das ist technisch machbar – allerdings deutlich aufwendiger als im WLAN des Nachbarn dessen Mails abzugreifen.
Wann also, macht „E-Mail made in Germany“ jetzt diese Prozedur so viel sicherer? Meiner Meinung nach, gar nicht. Die Anbieter zwingen die Kunden, ihre Mails über eine verschlüsselte Verbindung bei ihren Servern einzureichen. Das sollte heute eh eigentlich Standard sein. Nachdem die Mail über eine verschlüsselte Verbindung beim Anbieter abgegeben wurde, liegt sie aber auch dort für jeden lesbar auf dem Server. Und hier wird es interessant. Die Telekom, GMX und Web.de sind die größten Anbieter. Diese müssen Schnittstellen für die Strafverfolgungsbehörden vorhalten. Ruft also der Staatsanwalt an, kriegt er jede Mail die er haben möchte. Ebenso die Administratoren… oder der Hausmeister. Die Firmen sagen zwar das ihre Infrastruktur besonders geschützt ist – das sagen aber alle Anbieter die irgendwas mit Hosting zu tun haben. Ist jetzt also erst mal keine besondere Leistung. Aber was ist dann das besondere an diesem Produkt?
Die Kommunikation zwischen den Mailservern ist verschlüsselt. Die NSA kann also nicht mehr so ganz leicht mitlesen. Das wurde den Anbietern aber vermutlich auch nur gestattet, weil es für die Deutschen Behörden immer noch ganz leicht ist, an die Mails heran zu kommen.
Sind meine Mails vor unbefugtem Zugriff von dritten geschützt wenn ich sie per „E-Mail made in Germany“ verschicke? Nicht mehr als wenn ich sie über einen anderen, verantwortungsvollen Anbieter versende.
Gibt es irgendeinen Vorteil für mich als Nutzer? Eigentlich nicht. Wenn man eh Kunde ist, hat man jedenfalls keinen Nachteil. Aufgrund dieser irreführende Werbung jetzt dorthin zu wechseln, wäre aber ein falscher Schritt.
„E-Mail made in Germany“ ist ein Produkt einer diffusen Angst vor einer Technik und deren Möglichkeiten, die von den meisten Menschen nicht weitrechend genug verstanden wird. Die Unternehmen haben die Gelegenheit genutzt, um eigentlich selbstverständliche Prozesse als etwas wahnsinnig innovaties zu vermarkten und sich so gegenüber den Mitbewerbern zu profilieren. Als Kunde sollte man sich dessen bewusst sein. Man kriegt nichts das andere nicht schon besser machen würden. Man kriegt nichts, das nicht eh bei den großen Anbieter schon Stand der Technik sein sollte. Tröstlich dabei ist, das man wenigstens nichts dafür bezahlen muss. Von der Werbung auf den Websites einmal abgesehen…
Was die anderen zu dem Angebot sagen, kann man hier lesen:
http://www.heise.de/netze/meldung/So-funktioniert-E-Mail-made-in-Germany-2188248.html
http://ccc.de/de/updates/2013/sommermaerchen
http://www.zeit.de/digital/datenschutz/2013-08/email-telekom-gmx-verschluesselt
Benny