IT-Experte

Sicherheitslücke bei Online-Briefen

21.07.2010

Beim deutschen Online-Dienst De-Mail soll es massive Lücken geben.

Zur Vollversion des Artikels
 
Zur Vollversion des Artikels

Der für das kommende Jahr geplante Online-Brief der deutschen Bundesregierung hat nach Ansicht von Experten erhebliche Sicherheitslücken. "Die Sicherheitslücken sind nicht zu übersehen", sagte der IT-Experte der Bundesrechtsanwaltskammer, Thomas Lapp, der "Frankfurter Rundschau" (Mittwochausgabe). Die E-Mail-Anbieter hinter dem Online-Brief und andere Sachverständige hingegen relativierten die Bedenken. Bei uns ist erst kürzlich mit postserver.at ein ähnliche Dienst gestartet.

Heftige Kritik
IT-Experte Lapp kritisierte, die elektronische Post werde bei der Weiterleitung über das Internet nicht durchgängig verschlüsselt. Auf den Rechnern der Anbieter des sogenannten De-Mail-Verfahrens würden die Online-Briefe aus technischen Gründen kurz entschlüsselt und sofort wieder verschlüsselt. In diesen Momenten sei es theoretisch möglich, die De-Mails zu kopieren oder zu manipulieren. Dies könne der Fall sein, wenn es Hackern gelänge, in die Rechner einzudringen. Dies sei in der Vergangenheit schon passiert.

Bedenken äußerte auch der Chef des Deutschen Verbandes für Post, Informationstechnologie, und Telekommunikation (DVPT), Elmar Müller. "Diese Lücke muss dringend geschlossen werden", sagte Müller der "FR".

Mehrjähriges Projekt
Die Bundesregierung arbeitet zusammen mit der deutschen IT-Branche schon seit längerem am Online-Brief. Dieser soll Verbrauchern künftig den rechtssichern Schriftverkehr über das Internet ermöglichen. Technisch handelt es sich dabei um E-Mails - allerdings mit besonderen Sicherheitsvorkehrungen.

An dem Projekt sind die Deutsche Telekom und die Mail-Anbieter Web.de und GMX beteiligt. Die Deutsche Post war zunächst auch beteiligt, stieg aber aus und startete in der vergangenen Woche ihren eigenen Internet-Brief. Dieser kann theoretisch bereits verschickt werden. Allerdings sind Online-Briefe bisher noch nicht rechtssicher, weil erst noch die nötigen Gesetze verabschiedet werden müssen. Die Konkurrenten der Post starten erst im kommenden Jahr und vergeben bisher nur Mail-Adressen.

Die Deutsche Telekom bestätigte gegenüber der "FR", dass De-Mails kurz geöffnet werden. "Im De-Mail-System werden die Mails für den Bruchteil einer Sekunde auf den Servern der Provider entschlüsselt und sofort wieder verschlüsselt und dann weitergeschickt", sagte Gert Metternich, Projektleiter der Telekom. Dies geschehe aber auf Servern, die staatlich überprüften Sicherheitsstandards entsprächen und abgeschottet seien.

Gegenargumente
GMX wies ebenfalls Bedenken an De-Mail zurück. "Diese angebliche Sicherheitslücke sehen wir nicht, das System ist mit dem Bundesdatenschutzbeauftragten abgestimmt", sagte GMX-Sprecher Holger Neumann.

Auch die Deutsche Post sieht bei ihrem eigenen Verfahren keine Probleme. "Unsere Sicherheitsstandards sind höher als im Gesetzentwurf vorgesehen", sagte Post-Sprecher Uwe Bensien. "Es werden keine Inhalte unverschlüsselt abgelegt."

Sicherheitsexperte Uwe Mansmann von der Computerzeitschrift "c't" riet Computer-Nutzern, die ihre Online-Brief vor jeglichem Zugriff schützen wollten, zusätzlich auf ihrem Rechner zu verschlüsseln. Die Technologie hierfür gebe es schon sehr lange, werde aber kaum genutzt. Grund dafür sei, dass die Verfahren vergleichsweise kompliziert seien.

Bei dieser sogenannten End-to-End-Verschlüsselung verfügen nur Sender und Empfänger über den Schlüssel für die Nachricht. De-Mail erlaubt eine solche Verschlüsselung zusätzlich zur Transportverschlüsselung durch den Anbieter. Die nötige Software für eine End-to-End-Verschlüsselung gibt es kostenfrei im Internet.

Zur Vollversion des Artikels
Weitere Artikel