Email Made in Germany – Sammeldienste im Fokus

Es war im letzten Herbst. Die NSA-Affäre köchelte schon eine Weile vor sich hin und immer wieder überschlugen sich die Meldungen, wo überall unsere Kommunikation im Netz belauscht wird. Zu dieser Zeit begab es sich nun, dass die drei großen Mailanbieter in Deutschland Web.de, GMX und T-Online die Aktion „Email Made in Germany“ vorstellten.

Ab sofort sollten Emails zwischen diesen drei Anbietern TSL/SSL-verschlüsselt übertragen werden. Klang super, außer für die Leute die sich ein wenig mit dem Internet auskennen. Die stellten sich eigentlich nur eine Frage:

„Ihr hattet das gar nicht an?“

Nun weiß nicht jeder, dass TSL/SSL eine Technologie ist, die bereits einer der ersten Browser (Mosaic) um 1994 beherrschte, aber die meisten wissen, dass man Verbindungen im Netz über TSL/SSL absichert, auch wenn nicht jeder die genaue Funktionsweise kennt. Wer mehr darüber wissen möchte, dem sei eine Recherche bei Wikipedia ans Herz gelegt.
Wer zusätzlich etwas für seine Sicherheit beim Surfen tun möchte installiert HTTPS-Everywhere von der Electronic Frontier Foundation (meiner Meinung nach Pflichtaddon für jeden Browser).

Immerhin hat es nur knapp 20 Jahre gedauert, bis die großen Internetdienstleister dieses Landes eine Technologie untereinander einführen, die fast so alt wie das WWW selbst ist. Aber man ist ja für jeden kleinen Fortschritt im Neuland dankbar.

Nun wurde also mit großem Tamtam angekündigt, dass ab demnächst bei Absendern angezeigt wird, ob die Mail sicher übertragen wurde. Es wurde eine Karenzzeit eingerichtet, damit alle Nutzer ihre Mailprogramme usw. entsprechend umstellen können. Ich kann mir zwar nur schwer vorstellen, dass Menschen unsichere Übertragungsmethoden für ihre Mailprogramme benutzen aber naja. Weil entweder haben sie keine Ahnung wie man das macht, dann lesen sie Anleitungen in Foren, in PC-Zeitungen oder beim Anbieter und die legen meist wert auf Verschlüsselung oder aber sie wissen was sie tun oder kennen eine entsprechende Person und die legt dann Wert auf Verschlüsselung, weil sie sich damit auskennt. Aber gehen wir ruhig davon aus, dass nicht alle ihr Outlook, ihren Thunderbird, ihr Pine oder Claws auf TLS/SSL konfiguriert haben und es etwas Zeit braucht, bis sich alle Nutzer umstellen.

Inzwischen ist es fast März, das Projekt „Email Made in Germany“ ist nicht mehr sonderlich präsent in den Medien und Emails spielen im Vergleich zur Debatte WhatsApp vs. Threema eine eher untergeordnete Rolle. So hatte ich das ganze auch fast schon wieder vergessen, bis ich vor ein paar Tagen plötzlich komische Emails von GMX bekam:

SSL-Verschlüsselung aktivieren

Lieber GMX Nutzer,

Sie haben vor kurzem ohne SSL-Verschlüsselung auf Ihr GMX Postfach zugegriffen. Aus Sicherheitsgründen ist der Zugriff über eine unverschlüsselte Verbindung in Kürze jedoch nicht mehr möglich.

Aktivieren Sie daher unbedingt SSL, um weiterhin E-Mails empfangen und versenden zu können:
– bei allen von Ihnen genutzten E-Mail-Programmen (Smartphone, PC und Laptop) – einfach mit unserer Schritt-für-Schritt-Anleitung
– im Postfach eines anderen E-Mail-Anbieters oder Hochschul-Accounts, welchem Sie Ihr GMX Konto hinzugefügt haben (E-Mail-Sammeldienst)
– bei Webcams und Routern, die z. B. Statusmeldungen versenden

Nun liegen meine Zeiten bei GMX lange hinter mir, allerdings habe ich bei der Ahnenforschung oft diese Adresse verwendet und hin und wieder erhalte ich da heute noch Zuschriften. Da Abschalten keine Option ist, habe ich vor Ewigkeiten mal einen Sammeldienst bei T-online eingerichtet, um die Zahl der Mailaccounts auf ein gesundes Maß zu reduzieren. Direkt abgerufen habe ich da weder mit dem Mailprogramm noch per Browser seit über einem Jahr.

Was aber nur bedeuten kann, dass der Sammeldienst von T-Online ohne TSL/SSL-Verschlüsselung meine Emails abruft und damit eine automatische Email bei GMX auslöst. Wir erinnern uns an die Gründer der Allianz „Email Made in Germany“? – Genau Web.de, GMX und T-Online!

Ganz großes Hallentennis! Da schaffen es nicht einmal die Begründer dieser merkwürdigen „Sicherheitsallianz“ ihr eigenen Versprechen einzulösen, denn wenn ich schon den Nutzern den unverschlüsselten Zugriff sperre oder sie zumindest mit solchen Emails belästige, würde ich ja im eigenen Hause anfangen, um genau diesen Fall zu verhindern. Ich finde es auch sehr schön, dass GMX kein genaues Datum nennt, an dem sie den Zugriff sperren aber aus eigener Erfahrung weiß ich, dass genaue Prognosen in der IT eher schwierig sind. 😉

Ich nutze solche Gelegenheiten ja gerne, um mit meinem Dienstleister in direkten Kontakt zu treten, so wie neulich wo ich versucht habe mit der Telekom verschlüsselt zu kommunizieren (folgt hoffentlich demnächst). Also gleich mal die sozialen Kanäle geöffnet und beim Serviceteam der Telekom auf Twitter angefragt:

@Telekom_hilft Apropos „Email made in Germany“, schaltet doch beim Sammeldienst mal SSL ein! GMX meckert schon. #telekom #schlandnet #ssl

Bisher keine Reaktion, aber gut 36h sind auf Twitter ja auch noch keine Ewigkeit (wem ich die Ironie erklären muss, benutzt offensichtlich kein Twitter).

Also heute nochmal auf Facebook das gleiche Spiel, diesmal etwas ausführlicher:

Liebe Telekom hilft,
ich habe bei euch einen Sammeldienst für Email-Konten bei GMX. Jetzt bekomme ich seit einigen Tagen von GMX den Hinweis, dass meine Abruf der Mails ohne Verschlüsselung erfolgt. Der Abruf erfolgt aber ausschließlich über euren Sammeldienst.
In den Einstellungen gibt es auch keine Optionen, wo man Verschlüsselung oder ähnliches verändern könnte.
Bisher hatte ich gedacht, dass Emails zwischen den Mitgliedern der Aktion „Email Made in Germany“ verschlüsselt übertragen werden. Dies gilt wohl leider nicht für Sammeldienste.
Da GMX bald den Zugriff ohne SSL sperrt, wäre es mir sehr wichtig, dass ich auch zukünftig meine Emails über den Sammeldienst beziehen kann.

Immerhin, die Antwort kam prompt. Keine Viertelstunde später:

Telekom-hilft Huhu Kai, uns sind eure Sicherheit sehr wichtig. Deshalb werden wir ab Ende März 2014 nur noch SSL-Verbindungen nutzen. Was du alles wissen musst, findest du hier: http://bit.ly/1cQVb3p
Hast du noch Fragen? Dann her damit. Viele Grüße N*******

Vielleicht hätte die Antwort etwas länger auf sich warten lassen können, wenn sie denn zu meiner Frage gepasst hätte. Auf der erwähnten Seite geht es natürlich nur um den Zugriff auf auf das eigene Konto. Der Sammeldienst wird nicht mal erwähnt.

Also wiederholte und präzisierte ich meine Fragestellung und warte derweil auf Antwort.

Um auch wirklich jeden Fehler auszuschließen, beschloss ich danach noch eine Passwortänderung bei GMX vorzunehmen. Nur für den unwahrscheinlichen Fall, dass jemand mein Passwort geknackt und dann ohne TSL/SSL-Verschlüsselung versucht hat meine Mails zu lesen.

Erstmal musste ich feststellen, dass ohne JavaScript auf der Seite von GMX nichts läuft. Man bekommt zwar eine minimale Version, aber dort kann man kein Passwort ändern, weil das Menü nicht existiert. Dann scheiterte die Konfigurationsseite bei T-Online für den Sammeldienst mit einem generischen Fehler, um dann völlig zu verschwinden und kurze Zeit später wieder mit generischem Fehler zu versagen. Insgeheim hoffe ich ja, dass sie grade dran basteln, aber vielleicht war das 32 Zeichen lange Passwort einfach zu viel für das ebenfalls vollkommen in JavaScript geschriebene Frontend von T-Online. Ein kürzeres Passwort ließ sich nicht ausprobieren, da GMX nur alle 24 Stunden einen Passwortwechsel erlaubt. Natürlich haben beide Seiten keine Angaben zur maximalen Passwortlänge oder zu nicht erlaubten Zeichen.

Auf jeden Fall weiß ich nach dieser kleinen Eskapade, warum ich Mailprogramme bevorzuge und warum ich in Sachen Email-Sicherheit eher nicht auf „Email Made in Germany“ vertrauen würde. Interessant finde ich ja auch, dass diese Seite nicht einmal TSL/SSL-Verschlüsselung anbietet. Vielleicht sollte man sich bei der Gelegenheit auch mal die Herkunft des „Made in Germany“ ins Gedächtnis rufen.

Es bleibt jedenfalls spannend und ich werde am Ball bleiben. Bei der Geschichte mit verschlüsselten Emails an die Telekom (folgt hoffentlich bald) hat es ja nur drei Monate gedauert, bis ich eine vernünftige Antwort bekommen habe. So viel sei schonmal verraten, die De-Mail-Adresse von vom Telekom-Kundenservice ist:

Kundenservice-De-Mail@telekom.de-mail.de

[tl:dr]

Telekom wirbt mit „Email Made in Germany“ und schafft es nicht einmal ihren Sammeldienst zum Partner GMX in diesem Projekt mit TSL/SSL abzusichern, weshalb ich seit einigen Tagen Warnmails von GMX bekomme. Der Kundenservice antwortet entweder gar nicht oder nicht sehr hilfreich.

[Update 27.02.2014]

T-Online hat tatsächlich beim Einrichten von Sammeldiensten ein Problem mit der Passwortlänge. Immerhin 16 Zeichen verkraftet das Skript für Passwörter anderer Anbieter.

[Update 2: 27.02.2014]

Jemand schreibt mir grade, dass die Telekom in einer ihrer FAQ folgendes schreibt:

Ich nutze einen Sammeldienst. Ist die Verschlüsselung dort automatisch aktiviert?

Wäre natürlich spannend zu wissen, warum ich nun solche Email von GMX bekomme.

[Update: 05.03.2014]

Der Fehler scheint inzwischen behoben bzw. der Sammeldienst scheint inzwischen auf SSL umgestellt zu sein, denn inzwischen kommen keine Warnmails mehr. Der Abruf über SSL direkt bei GMX funktionierte auch ohne Warnungen.

Advertisements
Dieser Beitrag wurde unter Computer, Software abgelegt und mit , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Email Made in Germany – Sammeldienste im Fokus

  1. Sack Gesicht schreibt:

    Ich hab TSL enabled und krieg diese Mails trotzdem. Was fuern Mist.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s