E-Mail-Nutzer setzen zunehmend auf Verschlüsselung
Mailbox.org hat jetzt zum ersten Mal einen eigenen Sicherheitsreport vorgelegt. Über einen Zeitraum von sieben Tagen hat der Berliner E-Mail-Anbieter dazu alle Verbindungen respektive Verbindungsaufbauten seiner Server analysiert. Erfasst wurden neben den Providern der Zielsysteme auch die genutzten SSL/TLS-Versionen. Das Ergebnis: Zwar konnte Mailbox.org nach eigenen Angaben schon etwa 86 Prozent aller Kunden-Mails über verschlüsselte Verbindungen an andere Provider zustellen, allerdings trafen weniger als 60 Prozent der E-Mails anderer Anbieter bei ihm auch auf verschlüsselten Verbindungen ein.
Immerhin hat sich die Anzahl der E-Mails, die Mailbox.org eigenen Aussagen zufolge auf verschlüsseltem Weg an andere Provider zustellt, seit den ersten Stichproben mehr als verdoppelt: Deren Anteil habe Anfang 2014 noch bei lediglich 40 Prozent gelegen. Enttäuschend sei allerdings, dass noch weniger als ein Prozent der Nachrichten über DANE-gesicherte Verbindungen versendet würden, welche nach Ansicht des Anbieters wirklich abhörsicher sind. Hier herrsche akuter Nachholbedarf, da lediglich vier der von Mailbox.org-Servern kontaktierten E-Mail-Anbieter diese Technologie bislang auch konsequent einsetzten. Das DANE-Protokoll erweitert die SSL- beziehungsweise TLS-basierende Transportwegverschlüsselung, sodass Dritte die Sicherheitszertifikate der Provider nicht mehr unbemerkt ändern können.
Dass der Anteil eingehender verschlüsselter Verbindungen bei Mailbox.org unter 60 Prozent liegt, hat dem Anbieter zufolge zweierlei Gründe: Zum einen könnten zusätzlich zum normalen Mailverkehr auch unverschlüsselte Verbindungen von Spam-Versendern in die Statistik gelangen. Zum anderen – und das sei der Hauptgrund – verschickten Unternehmen ihre E-Mail-Newsletter in der Regel ohne jegliche Transportverschlüsselung, obwohl diese häufig auch vertrauliche, personenbezogene Kundendaten enthielten. Insgesamt zeige diese Analyse der Verbindungen zu anderen Providern jedoch aber auch, dass heute nahezu alle Anbieter gesicherten SSL/TLS-Versand anbieten.
“Provider wie Freenet, GMX, T-Online und Web.de versuchen mit ‘E-Mail made in Germany’ bereits seit Längerem ein geschlossenes System für sichere E-Mail-Kommunikation zu etablieren – allerdings funktioniert dieses nur zwischen den beteiligten Anbietern. Unsere Analyse zeigt, dass schon heute fast alle Provider gesicherten SSL/TSL-Versand anbieten, sodass dieser Ansatz weder erforderlich noch sinnvoll ist. Es ist viel wichtiger, mittels DANE und DNSSEC die Qualität der SSL-Verbindungen anbieterübergreifend weiter zu erhöhen und so Manipulationen durch Dritte konsequent zu verhindern”, erklärt Peer Heinlein, Gründer und Geschäftsführer von Mailbox.org, in einer Pressemitteilung.
Unberechtigte Zugriffsversuche auf E-Mail-Konten seien dabei längst keine Seltenheit mehr. Auf Nutzerseite nimmt das Sicherheitsbewusstsein laut Mailbox.org jedoch weiter zu. Nachdem das Unternehmen vor einem Jahr als erster Provider die Möglichkeit vollständig PGP-verschlüsselter E-Mails für die Postfächer seiner Anwender eingeführt habe, nutzten heute bereits 10 Prozent der Kunden diese Absicherungsmaßnahme.
Vollständige Sicherheit vor Mitlesern liefert Mailbox.org zufolge allerdings erst eine Ende-zu-Ende-Verschlüsselung durch die Nutzer selbst. Diese lasse sich über Open-Source-Software und E-Mail-Plug-ins installieren. Wie das genau funktioniert, erläutert der Berliner Provider seinen Anwendern im Rahmen von Tutorials und Schulungsvideos.
Zudem hat Mailbox.org bekannt gegeben, dass es bereits an einer One-Klick-Verschlüsselung im Browser arbeitet, um auch technisch weniger versierten Nutzern einen vollständig verschlüsselten E-Mail-Versand zu ermöglichen. Der Service wird voraussichtlich im zweiten Quartal 2015 verfügbar sein.
Das Anfang 2014 gegründete Mailbox.org offeriert neben klassischen E-Mail-Kernfunktionen und den erwähnten automatisch PGP-verschlüsselten Inbox-E-Mails auf Basis der OX App Suite von Open-Xchange auch Kalender, Aufgabenverwaltung, Online-Textverarbeitung, Dateispeicher in der Cloud sowie die Instant-Messaging-Lösung Jabber respektive XMPP.
Darüber hinaus hat der Berliner Provider im September 2014 sein Angebot an verschlüsselter E-Mail-Kommunikation um sogenannte “Familien-Accounts” erweitert. Mit ihnen können Gruppen von bis zu zehn Personen auf gemeinsame Kalender, Adressbücher, Aufgaben und Dateien zugreifen und die auch gemeinsam bearbeiten. Die verschlüsselten und laut Anbieter Spam-freien E-Mail-Eingänge können ferner sogar mit einem eigenen Domain-Namen ausgestattet werden.
Tipp der Redaktion: Sie möchten Ihre persönlichen Dateien nicht mehr auf fremden Servern speichern, aber dennoch überall Zugriff darauf haben und zwischen mehreren Rechnern bequem synchronisieren? Dann richten Sie eine private Cloud ein, in der nur Sie über Datenschutz und Privatsphäre entscheiden. ITespresso erklärt, wie das geht