kaimi.cc

203: Non-Authoritative Information

immer noch besser als De-Mail

CC-BY-NC-ND opacity

Deutsche Internetunternehmen sind mal wieder total innovativ. Nach nur 11½ Jahren haben T-Offline und United Internet es geschafft, RFC 3207 zu implementieren. Bravo!

Aber wie es sich für Verkäufer von heißer Luft gehört, muss das natürlich von einem Medienspektakel begleitet werden. Schließlich hat mittlerweile auch der gemeine Verbraucher mitbekommen, daß das mit der Sicherheit im Internet vielleicht doch wichtig ist. Aber mal eins nach dem anderen.

Ignorieren wir einfach die Tatsache, daß bestimmt nicht ⅔ der Deutschen bei den drei Anbietern ihre Mails lagern (ich sage nur: GMail), ignorieren wir weiterhin, daß sie es so aussehen lassen, als würde sonst niemand verschlüsseln. Sind bestimmt nur bedauerliche Fehler.

Gehen wir jetzt mal von dem (unwahrscheinlichen) Fall aus, daß die Mailserver bei Verbindungen untereinander nicht nur verschlüsseln, sondern auch den Fingerprint des Zertifikats prüfen, das sie vom Gegenüber präsentiert bekommen. Ansonsten könnte ich auch behaupten, die Telekom zu sein. Dann ist diese Aktion sogar wirklich eine Verbesserung des Status Quo. Mir wäre es aber zu peinlich, per großer Aktion darauf hinzuweisen, daß ich bisher zu blöd war, Mails meiner Kunden zu verschlüsseln. Und daß ich weiterhin nicht in der Lage bin, von Kundenseite her nur verschlüsselte Verbindungen für Empfang und Versand von Mails anzunehmen, denn das kommt erst 2014

Der Gipfel ist aber, den Nutzern zu suggerieren, auf den Servern der neuen Allianz seien die Mails der Kunden dann sicher. In der Grafik des letzten Links ist nämlich nicht nur der Transportweg grün markiert (respektive rot bei Verbindung nach „draußen“), sondern auch die Server selbst. Bitte einmal den Arm heben, wem das seltsam vorkommt. Hab’ ich mir gedacht. Man beachte die überspezifische Formulierung zur Speicherung: „Sie sichert die Geltung des strengen deutschen Datenschutzes ohne mögliche Aufweichungen oder Regelungen ausländischer Instanzen.“. Großartig. Ausländische Dienste haben also keinen direkten Zugriff auf die Hardware, die deutschen schon. Also quasi genauso wie bei allen anderen deutschen Servern auch. Na, das ist doch mal ein Sicherheitsgewinn.

Genau wie bei De-Mail wird wieder das Augenmerk auf die Transportverschlüsselung gelegt, nicht auf die Verschlüsselung der Mail selbst. Das ist in etwa so, als würde ich damit werben, daß ich Post im Umschlag verschicke und den Postboten nicht reingucken lasse. In der Leitstelle nehme ich den Brief aber natürlich raus und lagere ihn dann ohne. Damit schützt auch E-Mail made in Germany nur vor dem direkten, unverschlüsselten Abschnorcheln der Email, während sie versandt wird. Ist sie einmal in meinem Postfach gelandet, liegt sie vollkommen unverschlüsselt auf der Festplatte des Providers.

Gegen unbefugten Zugriff auf Mailinhalte kann weiterhin nur Ende-zu-Ende-Verschlüsselung helfen. Die Mail muss auf dem Rechner des Absenders ver- und auf dem Rechner des Empfängers erst wieder entschlüsselt werden. Alles andere erlaubt Befugten und im Zweifel auch Unbefugten den Zugriff auf den Klartext der Mail, der dann auf den Servern des Providers gespeichert ist. Aber seien wir mal ehrlich: das ist ja auch gewollt.

Im Gegensatz zu De-Mail ist das Ganze aber weiterhin Email, damit kompatibel zu Email anderer Anbieter, und weiterhin muss ich mich nicht ausweisen, um eine Adresse zu bekommen. Man muss auch nicht jeden Tag in sein Postfach gucken, weil man sonst vielleicht gegenüber Behörden in Verzug gerät. Das wird jetzt zwar als Nachteil dargestellt, damit ist es aber trotzdem immer noch besser als De-Mail. Immerhin. (Man beachte übrigens auch bei dieser Tabelle wieder, daß offenbar alle anderen Server im Ausland stehen und SSL erst gestern erfunden wurde.)

Netterweise sind die Macher so zuvorkommend, in ihrem illustren Kreis nicht auf Teufel komm raus alleine bleiben zu wollen. Melden kann man sich als interessierter Betreiber eines Mailservers unter teilnehmer@e-mail-made-in-germany.de. Dazu muss man nur die Sicherheitsregeln verpflichtend einhalten. Hmm. TLS? Check. Serverstandort in Deutschland? *unter den Tisch guck* Check. Datenschutz? Check. Vielleicht sollte ich da mal hinschreiben? Bekomme ich dann auch einen Platz für ein von mir ausgewähltes Logo auf der Kampagnenseite? Kann ich da wohl “Snake Oil” reinschreiben, ohne daß es unlesbar wird?

Statt sich von Marketinggetue einlullen zu lassen, sollte man also lieber mal sinnvoll Zeit investieren und eine Cryptoparty besuchen. Das Chaosdorf hier organisiert z.B. morgen heute eine. Zumindest vermutlich schon heute, wenn Du das hier liest. Wer keine Angst vor Piraten hat, kann sich auch von denen was erzählen lassen, auch wenn sie noch nicht mal „Cryptoparty“ richtig schreiben können. Z.B. am Sonntag in Düsseldorf. Das ist auch wirklich erst morgen :)

Post a comment

Your email address will not be published. The form doesn’t spit out an email? Go get a real browser and/or mail client.

Name:
Website: