Gemeinsame Brancheninitiative von GMX, WEB.DE und Deutsche Telekom: E-Mail made in Germany

E-Mail made in GermanyDie Berichte über mögliche Zugriffe auf Kommunikationsdaten durch internationale Geheimdienste haben viele Internetnutzer in Deutschland verunsichert. Einer aktuellen Studie zufolge greift die Hälfte der deutschen Internetnutzer jetzt seltener oder gar nicht mehr auf amerikanische Onlinedienste zurück. Als größter deutscher E-Mail-Anbieter mit unseren Marken GMX und WEB.DE haben wir daher heute gemeinsam mit der Deutschen Telekom AG eine Branchen-Initiative gestartet: E-Mail made in Germany. Damit etablieren wir einen neuen Sicherheitsstandard, der Nutzern von GMX, T-Online und WEB.DE erstmals eine automatische Verschlüsselung von Daten auf allen Übertragungswegen ermöglicht. Auch 1&1 wird sich in Kürze an „E-Mail made in Germany” beteiligen.

Die beteiligten Partner garantieren, dass die Daten nur gemäß deutschem Datenschutz verarbeitet werden. Die Mail-Verschlüsselung erfolgt automatisch durch die Provider, so dass technisches Know-how oder Zusatzaufwand seitens der Kunden nicht erforderlich sind. Die Speicherung aller Daten erfolgt in sicheren Rechenzentren in Deutschland. Zudem wird eine Kennzeichnung für E-Mail-Adressen  eingeführt, so dass Nutzer vor dem Mail-Versand erfahren, ob die ausgewählten Empfänger-Adressen den Sicherheitsstandards des Mailverbundes entsprechen.

E-Mails zwischen den Rechenzentren von GMX, WEB.DE und T-Online werden künftig nur noch verschlüsselt übertragen

E-Mails zwischen den Rechenzentren von GMX, WEB.DE und T-Online werden künftig nur noch verschlüsselt übertragen

Dazu übertragen GMX, T-Online und WEB.DE ab sofort E-Mails zwischen ihren Rechenzentren ausschließlich verschlüsselt. Die Übertragung vom heimischen PC zum Mail-Server des eigenen Anbeiters ist schon heute für alle Kunden verschlüsselt, die einen Webmailer einsetzen oder in ihrem E-Mail-Client die SSL-Verschlüsselung aktiviert haben. Ab 2014 werden alle Partner von E-Mail made in Germany konsequent nur noch SSL-verschlüsselte Mails transportieren, so dass der Datenverkehr im Mailverbund sicher ist.

GMX, T-Online und WEB.DE verwalten gemeinsam rund zwei Drittel aller privat genutzten E-Mail-Postfächer in Deutschland. „E-Mail made in Germany” steht auch für weitere Partner offen, die sich den Standards der Initiative verpflichten.

Alle Informationen zur neuen Initiative finden Sie unter www.e-mail-made-in-germany.de, im GMX Newsroom hat Geschäftsführer Jan Oetjen Fragen zu „E-Mail made in Germany” beantwortet.

Kategorie: Internet made in Germany
13 Kommentare13
  1. 9. August 2013 um 11:26 |

    Sehr geehrte Damen und Herren,
    ursprünglich dachte ich das das https- Protokoll ja eine Verschlüsselung schon ist oder liegt da bei mir ein grundlegender Denkfehler fest?
    Habe mich hier auch noch einmal informiert -deute ich da etwas falsch?
    http://de.wikipedia.org/wiki/Https
    Oder ist das Protokoll zu einfach zum Entschlüsseln?

    Vielen Dank für eine Antwort im Voraus.

    Mit besten Grüßen
    Jochen Habermann

    1. 14. August 2013 um 11:33 |

      Hallo Herr Habermann,

      wenn Sie eine Seite über das https-Protokoll auftrufen, bedeutet das, dass Daten SSL-verschlüsselt übertragen werden. Weitere Informationen zu SSL und TLS finden Sie hier: http://de.wikipedia.org/wiki/Transport_Layer_Security

      Viele Grüße
      Alexander Thieme, 1&1

    2. 20. August 2013 um 02:29 |

      Der Punkt ist, dass ein Login auf Ihrem Webmail-Server per https ja nur die Verbindung zwischen Ihnen und dem Server, auf dem Sie selbst Ihre E-Mails liegen haben, verschlüsselt. Wenn Sie nun von dort aus eine E-Mail an jemand anderen schreiben, muss diese E-Mail auch zum Mail-Server des Empfängers transportiert werden. Das geschieht oft über mehrere weitere Server und erfolgt in der Regel unverschlüsselt. Neu an „E-mail made in Germany” ist, dass auch auf diesem Weg der E-Mail-Verkehr nun zwingend verschlüsselt wird, und zwar sowohl E-Mail-Header (Verkehrsdaten/”Metadaten”) als auch -Inhalte – allerdings nur, wenn Sender und Empfänger Ihre E-Mail-Konten bei den teilnehmenden Unternehmen haben.

      Meine Fragen an 1&1:
      – Wann wird es die serverseitige Verschlüsselung auch für die E-Mail-Konten von 1&1-gehosteten Websites geben? (kundenserver.de)
      – Wann wird 1&1 Perfect Forward Secrecy für TLS/SSL-Verbindungen (https, pop3s, imaps, (e)smtps) anbieten?
      – Über welchen Zeitraum werden TLS-Session-Tickets bei 1&1 gespeichert?
      – End-zu-End-Verschlüsselung mit PGP oder S/MIME im Webmailer könnte für zusätzliche Sicherheit hinsichtlich der Inhalte sorgen. Gibt es bei 1&1 dahingehende Pläne? [Dabei darf der private Schlüssel natürlich nicht kompromittiert werden, wie dies beispielsweise beim Horde-Webmailer der Fall ist, wo der Schlüssel sinnigerweise auf den Server geladen werden muss. Eine javascript-basierte Lösung, bei der der private Schlüssel auf dem heimischen Rechner bleibt (ähnlich wie von Herrn Geisinger beschrieben), könnte die Schlüsselsicherheit gewährleisten.]
      Über Ihre Antwort würde ich mich freuen.

      1. 22. August 2013 um 15:00 |

        Hallo Herr Weber,

        Da wir bei 1&1 verschiedene Mailsysteme für Privat- und Geschäftskunden einsetzen, dauert die Umstellung etwas länger. Auch am Thema PFS arbeiten wir bereits. Darüber hinaus prüfen wir weitere Möglichkeiten, wie wir den E-Mail-Versand noch sicherer machen können. Einen genauen Zeitpunkt können wir derzeit noch nicht nennen, wir werden aber selbstverständlich darüber informieren, wenn 1&1 der Initiative E-Mail made in Germany beitritt.

        Wir unterstützen keine TLS-Session Tickets nach RFC 5077. Über das Ende einer TLS-Session hinaus werden keinerlei Daten bei uns gespeichert.

        Mit freundlichen Grüßen
        Inka Husmeier, 1&1

    3. 3. September 2013 um 10:47 |

      Hallo Herr Habermann,

      zu ergänzen wäre das HTTP bzw. HTTPS nur die Kommunikation von und zu Ihrem Rechner mit den entsprechenden Internetservern verantwortlich ist. Im Kontext von Web-Mail-Anbietern wird daher nur die „Anwendung” (Web-Mail-Lösung) via HTTP und im verschlüsselten Fall via HTTPS übertragen.

      E-Mails werden grundsätzlich über andere Protokolle versendet, zum Beispiel und hauptsächlich via SMTP. HTTPS ist kein Hinweis auf die Verschlüsselung von E-Mails. Via HTTPS übertragen Sie nur die Informationen zum Versenden der E-Mail (Absender, Empfänger, Betreff, Inhalt, …) zu Ihrem Anbieter. Dieser versendet dann nach einem kompatiblen Verfahren, i.d.R. via SMTP. Im Kontext von „E-Mail Made-In-Germany” wohl mit anderen Lösungen, die dann die Verschlüsselung gewährleisten sollen.

  2. 9. August 2013 um 13:33 |

    Gute Idee finde ich meine Frage ist ob die Metadaten beim Transport von Server zu Server auch verschlüsselt sind?
    Wenn Nachrichtendienste nur an diesen Daten interessiert sind müsste es doch auch sein das Absender und Empfänger verschlüsselt sind.

    1. 14. August 2013 um 11:28 |

      Hallo,

      ja, im Unterschied zu anderen Verschlüsselungsverfahren werden hier auch die Metadaten verschlüsselt übertragen.

      Mit freundlichen Grüßen
      Alexander Thieme, 1&1

  3. 9. August 2013 um 13:42 |

    Sorry, das ist Augenwischerei. Selbst wenn „E-Mail made in Germany” auf der Kommunikationsstrecke vom Anwender zum Anbieter eine sichere Verschlüsselung nutzt, ist doch die Strecke vom vermeintlich sicheren „made in Germany“-Provider zum Provider des E-Mail-Empfängers noch lange nicht sicher. Gleiches gilt für den umgekehrten weg.

    Wirklich verschlüsseln kann man auf der gesamten Kommunikationsstrecke nur mit Mitteln wie PGP:
    http://de.wikipedia.org/wiki/Pretty_Good_Privacy
    Hier jedoch werden „private-“ und „public-Keys“ eingesetzt, was den Einrichtungs- und Verwendungsaufwand in die Höhe treibt sowie die Anwenderfreundlichkeit in den Keller gehen lässt. Eine Online-Unterstützung für PGP – ohne Zusatzsoftware und Konfigurationsaufwand, private-Key-Authentifizierung via USB-Stick – seitens GMX, T-Online und Co wäre wirklich eine Meldung wert. Hier geht es nur um unnützen Tatendrang, um das Vertrauen der Nutzer stabil zu halten.

    Auch die beste Verschlüsselung kann höchsten den Zugriff auf die Daten verzögern, jedoch nicht verhindern, zumal NSA und Co wohl auch vollständige Kopien der Daten erzeugen. So ist alles nur eine Frage der Zeit und der Wahrscheinlichkeitsrechnung.

    Grüße an alle Mitlesenden 😉

    1. 14. August 2013 um 11:46 |

      Hallo Herr Geisinger,

      die Daten zwischen den beteiligten Providern und von den beteiligten Providern zu deren Endkunden werden verschlüsselt übertragen. Wird eine E-Mail an eine E-Mail-Adresse bei einem Provider außerhalb des Verbunds gesendet, kann eine entsprechende Verschlüsselung nicht gewährleistet werden, das ist richtig. Damit der Kunde stets weiß, ob sich ein Empfänger im Verbund befindet oder nicht, gibt es seitens der Provider eine entsprechende Kennzeichnung in ihren Webmailclients.

      Im Unterschied zu PGP werden bei den hier verwendeten Verfahren übrigens auch die so genannten Metadaten, also wer wem wann eine E-Mail sendet, verschlüsselt übertragen.

      Viele Grüße
      Alexander Thieme, 1&1

      1. 3. September 2013 um 10:48 |

        Hallo Herr Thieme,

        vielen Dank für Ihre Antwort und die Offenheit von 1und1 gegenüber Kritik 🙂

        Gibt es nähere Informationen zu dem eingesetzten Verschlüsselungsverfahren?

        Vielen Dank nochmals und viele Grüße,

        1. 3. September 2013 um 11:26 |

          Hallo Herr Geisinger,

          auf dem Transportweg zwischen Client und Server wird bei „E-Mail made in Germany“ standardmäßig per SSL verschlüsselt, sowohl bei den Mail-Apps als auch bei den Webmail-Programmen. Kommunikation zwischen den Servern erfolgt mit TLS-Verschlüsselung.

          Viele Grüße
          Ingrid Ewen, 1&1

  4. 10. August 2013 um 13:42 |

    … na, dann kann man ja mal gespannt sein, welche Konsequenzen diese Initiative hat.

Die Kommentare sind geschlossen.