• Sicherheitsbewusstsein steigt: Ein Großteil der Provider bietet verschlüsselten Mail-Transport
• 10 Prozent aller mailbox.org-Nutzer verwenden zusätzlich das PGP-verschlüsselte Postfach
• Nur Ende-zu-Ende-Verschlüsselung bietet Sicherheit – One-Klick-Lösung im 2. Quartal 2015
Berlin, 24.03.2015 – Seit den Enthüllungen von Edward Snowden hat sich in Sachen Verschlüsselung eine Menge getan – insbesondere im Bereich der elektronischen Kommunikation. Wie sicher E-Mail-Provider inzwischen sind, zeigt der heute erstmals vorgestellte Sicherheitsreport von mailbox.org. Der Berliner E-Mail-Anbieter hat über einen Zeitraum von 7 Tagen alle Verbindungen seiner Server analysiert. Das Resultat: Zwar konnte mailbox.org bereits rund 86 Prozent aller Kunden-Mails über verschlüsselte Verbindungen an andere Anbieter zustellen, gleichzeitig trafen jedoch weniger als 60 Prozent der E-Mails anderer Anbieter bei mailbox.org auch auf verschlüsselten Verbindungen ein.
Immerhin: Die Anzahl der E-Mails, die mailbox.org auf verschlüsseltem Weg an Andere zustellen kann, hat sich seit den ersten Stichproben mehr als verdoppelt: Deren Anteil lag Anfang 2014 noch bei lediglich 40 Prozent. Sehr enttäuschend ist allerdings, dass noch weniger als ein Prozent der Nachrichten über DANE-gesicherte Verbindungen – und damit wirklich abhörsicher – auf die Reise gehen. Hier herrscht akuter Nachholbedarf, denn lediglich vier der von mailbox.org-Servern kontaktierten E-Mail-Provider setzen diese Technologie bisher konsequent ein. Das DANE-Protokoll erweitert die Transportwegverschlüsselung SSL/TLS, sodass Dritte die Sicherheitszertifikate der Provider nicht mehr unbemerkt verändern können.
Der geringere Anteil von weniger als 60 Prozent eingehender verschlüsselter Verbindungen hat zwei Gründe: Zusätzlich zum normalen Mailverkehr können auch unverschlüsselte Verbindungen von Spamversendern in die Statistik gelangen; vor allem aber werden auch E-Mail-Newsletter von Unternehmen in der Regel ohne Transportverschlüsselung verschickt – obwohl diese häufig auch sensible personenbezogene Daten der Kunden beinhalten.
Insgesamt zeigt diese Analyse der Verbindungen zu anderen Providern aber, dass schon heute fast alle Provider gesicherten SSL/TLS-Versand anbieten.
„Provider wie Freenet, GMX, T-Online und Web.de versuchen mit ‘E-Mail made in Germany‘‚ bereits seit Längerem ein geschlossenes System für sichere E-Mail-Kommunikation zu etablieren – allerdings funktioniert dieses nur zwischen den beteiligten Anbietern“, sagt Peer Heinlein, Gründer und Geschäftsführer von mailbox.org. „Unsere Analyse zeigt, dass schon heute fast alle Provider gesicherten SSL/TSL-Versand anbieten, sodass dieser Ansatz weder erforderlich noch sinnvoll ist. Es ist viel wichtiger, mittels DANE und DNSSEC die Qualität der SSL-Verbindungen anbieterübergreifend weiter zu erhöhen und so Manipulationen durch Dritte konsequent zu verhindern.“
Sicherheitsbewusstsein steigt auf Nutzerseite
Unberechtigte Zugriffsversuche auf E-Mail-Konten sind längst keine Seltenheit mehr. Doch auch auf Nutzerseite nimmt offenbar das Sicherheitsbewusstsein weiter zu. Nachdem mailbox.org vor einem Jahr als erster Anbieter die Möglichkeit eines vollständig PGP-verschlüsselten Postfaches für seine Nutzer einführte, nutzen heute bereits 10 Prozent der Kunden diese ganz besondere Schutzmöglichkeit. Vollständige Sicherheit vor Mitlesern bietet jedoch erst eine echte Ende-zu-Ende-Verschlüsselung durch die Nutzer selbst. Diese lässt sich über Open-Source-Software und E-Mail-Plugins schon heute einfach installieren, wie mailbox.org seinen Nutzern in Tutorials und Schulungs-Videos erklärt. mailbox.org arbeitet bereits an einer One-Klick-Verschlüsselung im Internetbrowser, um auch weniger technisch versierten Nutzern einen vollständig verschlüsselten E-Mail-Versand zu ermöglichen. Dieser Service wird voraussichtlich im zweiten Quartal 2015 verfügbar sein.
Der Sicherheits-Report von mailbox.org
Der komplette Sicherheitsreport mit erweiterten Statistiken ist kostenlos unter http://www.mailbox.org/sicherheitsreport verfügbar und wird regelmäßig aktualisiert. Die Statistiken beruhen auf einer Analyse der Verbindungsaufbauten zu anderen Providern über einen Zeitraum von 7 Tagen. Erfasst wurden dabei die verwendeten SSL/TLS-Versionen sowie die Provider der Zielsysteme. Um Verzerrungen durch große oder kleine E-Mail-Anbieter zu vermeiden, wurden auch SSL/TLS und DANE-Fähigkeiten aller gesichteten Server unabhängig vom jeweiligen E-Mail-Aufkommen betrachtet. Die Protokollierung von personenbezogenen Daten oder eine Analyse von E-Mails und deren Inhalten erfolgt dafür nicht.
Über mailbox.org
mailbox.org bot als weltweit erster Provider automatisch PGP-verschlüsselte Postfächer an und wurde unter 14 getesteten Mailanbietern im Februar 2015 Testsieger der Stiftung Warentest. Erst Anfang 2014 gestartet, hat sich mailbox.org in kurzer Zeit als zuverlässiger E-Mail-Anbieter etabliert. Neben klassischen E-Mail-Kernfunktionen erhalten sicherheitsbewusste Kunden auf Basis der OX App Suite auch Kalender, Aufgabenverwaltung, Online-Textverarbeitung, Dateispeicher in der Cloud und nun eine Instant-Messaging-Lösung Jabber / XMPP.
mailbox.org ist ein Produkt der Heinlein Support GmbH. Geschäftsführer des Unternehmens ist der Berliner E-Mail-Experte und IT-Sicherheitsberater Peer Heinlein. Er bietet bereits seit 25 Jahren E-Mail-Dienste für sicherheitsbewusste Unternehmen und Privatanwender an. Seit 1992 betreibt Peer Heinlein den E-Mail-Provider JPBerlin.de, mit dem er Unternehmen wie beispielsweise OpenSUSE, digitale Infrastrukturen zur Verfügung stellt. Auch NGOs wie Attac, Ärzte ohne Grenzen, Arbeitskreis Vorratsdatenspeicherung, Wikimedia und X1000malquer sowie ehrenamtlich aktiven Menschen nutzen die Kommunikationslösungen seit Jahren erfolgreich für ihre Arbeit. Das Angebot reicht vom sicheren E-Mail-Postfach über Mailinglisten bis hin zu Webhosting und Domainregistrierung.