E-Mail made in Germany

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

E-Mail made in Germany ist eine von verschiedenen Internetdienstanbietern in Deutschland ins Leben gerufene Initiative mit dem erklärten Ziel, den Austausch von E-Mails in Deutschland sicherer zu machen.

Hintergrund[Bearbeiten | Quelltext bearbeiten]

Die Initiative wurde als Reaktion auf die Überwachungs- und Spionageaffäre 2013 im August 2013 gestartet.[1] Nach eigenen Angaben wollen die teilnehmenden Provider den Datenverkehr zwischen Mail-Servern und Rechenzentren der beteiligten Firmen verschlüsseln. Seit dem 29. April 2014 werden nur noch SSL-verschlüsselte Mails transportiert.[2]

Teilnehmer[Bearbeiten | Quelltext bearbeiten]

Gründungsmitglieder:

Weitere zertifizierte Mitglieder:

Nach eigenen Angaben ist die Initiative „offen für weitere Partner, die bereit sind, sich unter ihrer E-Mail-Domain dauerhaft zur Einhaltung unserer Sicherheitsregeln zu verpflichten.“[3]

Funktion[Bearbeiten | Quelltext bearbeiten]

Der E-Mail-Verkehr zwischen den teilnehmenden Providern wird nach Angaben der Initiatoren immer SSL-verschlüsselt. Dies soll automatisch geschehen, wenn ein Webmail-Dienst verwendet wird. Sofern der Nutzer ein lokales E-Mail-Programm auf seinem Rechner nutzt, ist der Datenverkehr zwischen dem Rechner des Nutzers und dem Provider eine Schwachstelle, so dass offiziell empfohlen wird, SSL in den Programmeinstellungen zu aktivieren. Seit dem 29. April 2014 sind alle Mail-Zugänge nur noch bei SSL-Verschlüsselung nutzbar.[4]

Beim Versenden einer E-Mail an einen anderen Provider, der nicht bei E-Mail made in Germany teilnimmt, insbesondere bei allen ausländischen Anbietern, kann die Verschlüsselung nicht mehr garantiert werden. Nutzt man die Webmail-Oberflächen oder die eigenen Mobile Apps der teilnehmenden Anbieter bzw. die entsprechende Erweiterung für Outlook, so werden E-Mail-Kontakte innerhalb des E-Mail made in Germany-Verbunds mit einem grünen Haken gekennzeichnet.[5] Dem Nutzer soll dies Orientierung bieten und Vertrauenswürdigkeit signalisieren.

Im Oktober 2013 wurde zudem bekannt, dass seitens der Deutschen Telekom zusätzlich auch angestrebt wird, den Datenverkehr zwischen den beteiligten Teilnehmern künftig nicht mehr über Rechenzentren mit Standort im Ausland zu transportieren.[6] Ein Großteil der deutschen Provider betrieb jedoch schon vor diesem Datum Peering.

Kritik[Bearbeiten | Quelltext bearbeiten]

In zwei Pressemitteilungen kritisiert der Chaos Computer Club (CCC) die fehlerhafte und unzureichende Verschlüsselung von E-Mail made in Germany als vorwiegend „werbewirksam“.[7][8] Insbesondere wird darauf hingewiesen, dass das zur Transportverschlüsselung genutzte Verfahren SMTPS bereits seit mehr als 10 Jahren als RFC standardisiert ist.[9][10] Somit würden nur Versäumnisse aufgeholt. Im Dezember 2013 wurde darüber hinaus vom CCC gezeigt, dass die Verschlüsselung nicht vollständig umgesetzt wurde.[11]

Die E-Mail-Anbieter Posteo[12][13] und mailbox.org[14], wie auch der Fachverlag Heise online[15][16] kritisieren außerdem, dass das Verfahren Inter Mail Provider Trust, mit dem sich Server im Verbund E-Mail made in Germany gegenseitig authentifizieren, undurchsichtig sei und eine künstliche Abschottung erzeuge. Mit DANE stünde ein offener Standard (vom August 2012) als Alternative bereit, mit dem sich Vertrauenswürdigkeit der Kommunikationspartner und Integrität der Verschlüsselung sicherstellen ließen. Mit Blick auf DANE stelle sich auch die Frage, ob die Zertifizierungskosten für Anbieter, die E-Mail made in Germany beitreten möchten, nicht eine unnötig hohe Hürde seien.

Der E-Mail-Anbieter mailbox.org hat über seine Webseite mitgeteilt[14], die Initiative könne zwar in der Theorie alle Anbieter aufnehmen, aber „in der Realität wird die Teilnahme anderer Anbieter systematisch verhindert“. Seit mehreren Monaten würde ein Antrag auf Teilnahme von den großen Initiatoren ignoriert, und man frage sich, ob das umstrittene „‘E-Mail made in Germany’ lediglich eine Marketing-Luftblase“ sei.

Zudem müssen Provider in Deutschland den Datenverkehr oder einzelne Nachrichten auf Verlangen von Behörden oder auf Zwang durch einen Gerichtsbeschluss herausgeben.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. „E-Mail Made in Germany“: SSL-Verschlüsselung für (fast) alle, heise online, 9. August 2013. Abgerufen am 13. Oktober 2013.
  2. Standard für sichere E-Mails, Abgerufen am 3. September 2014.
  3. Offizielles Teilnehmerverzeichnis. Abgerufen am 13. Oktober 2013.
  4. Standard für sichere E-Mails, Abgerufen am 3. September 2014.
  5. Kennzeichnung sicherer Kommunikation bei E-Mail made in Germany. Abgerufen am 21. Mai 2014.
  6. Telekom will Internetverkehr vor Geheimdiensten abschirmen, 12. Oktober 2013. Abgerufen am 13. Oktober 2013.
  7. „E-Mail Made in Germany“: Das Sommermärchen von der sicheren E-Mail, 9. August 2013.
  8. Bullshit made in Germany: Chaos Computer Club warnt vor Mogelpackung "E-Mail made in Germany", 28. Dezember 2013.
  9. RFC 2487 SMTP Service Extension for Secure SMTP over TLS http://tools.ietf.org/html/rfc2487
  10. RFC 3207 SMTP Service Extension for Secure SMTP over Transport Layer Security
  11. 30C3-Vortrag: Bullshit made in Germany http://media.ccc.de/browse/congress/2013/30C3_-_5210_-_de_-_saal_g_-_201312282030_-_bullshit_made_in_germany_-_linus_neumann.html
  12. Endlich: Verbindungsverschlüsselung auch bei anderen Mailanbietern vom 9. August 2013 bei Posteo. Abgerufen am 16. Mai 2014.
  13. Posteo unterstützt DANE/TLSA vom 12. Mai 2014 bei Posteo. Abgerufen am 16. Mai 2014.
  14. a b „E-Mail made in Germany“ verhindert systematisch Teilnahme anderer Provider bei mailbox.org, 15. Mai 2014.
  15. Verschlüsselter Mail-Transport: Posteo setzt als erster Provider DANE ein vom 12. Mai 2014 auf Heise online. Abgerufen am 16. Mai 2014.
  16. So funktioniert E-Mail made in Germany vom 12. Mai 2014 auf Heise online. Abgerufen am 16. Mai 2014.