Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

August 20 2013

BSI 2005 über BlackBerry E-Mail Push-Dienst: “Britische Behörden haben Zugriff auf das gesamte Nachrichtenaufkommen”

Deckblatt: Sicherheitsaspekte des E-Mail-Push-Dienstes

Deckblatt der BSI-Analyse: Sicherheitsaspekte des E-Mail-Push-Dienstes “BlackBerry”

Das gesamte Nachrichtenaufkommen des E-Mail-Push-Dienstes von BlackBerry wird zwangsweise über Großbritannien geleitet und steht den örtlichen Sicherheitsbehörden zur Verfügung. Das schrieb das Bundesamt für Sicherheit in der Informationstechnik vor acht Jahren in einem internen Papier, das wir in Volltext veröffentlichen. Die britischen Behörden konnten demnach schon damals unter “sehr weit gefassten Voraussetzungen” auf alle Nachrichten zugreifen, unter anderem auch ganz offiziell zur Wirtschaftsspionage.

Heute Vormittag berichteten wir über die Ablehnung unserer Informationsfreiheits-Anfrage nach einem BSI-Papier über die Sicherheit von BlackBerry-Produkten. Die für IT-Sicherheit zuständige Bundesbehörde verweigerte unsere Anfrage, weil die Antwort “nachteilige Auswirkungen auf die internationalen Beziehungen haben” könnte. Das lassen wir nicht gelten und haben weiter gegraben.

Wie wir herausfinden konnten, hat die WirtschaftsWoche zum damaligen Bericht von Jürgen Berke mindestens in der Print-Ausgabe auch den Inhalt der BSI-Analyse gedruckt. Wir haben diese wieder ausgegraben und zitieren hiermit in Volltext aus dem Papier mit dem Titel “Sicherheitsaspekte des E-Mail-Push-Dienstes ‘BlackBerry’” mit Stand vom 20. September 2005:

1. Die Übertragungssicherheit beruht vollständig auf proprietären Mechanismen der Firma RIM. Der zur Verschlüsselung verwendete mathematische Algorithmus wird zwar als sicher angesehen, für die Qualität der Implementierung, der Schlüsselerzeugung und des Schlüsselmanagements liegt jedoch keine unabhängige Evaluierung vor.

2. Das gesamte Nachrichtenaufkommen wird zwangsweise über ein Mobile Routing Center (MRC) im Ausland geleitet (für Europa nach Großbritannien, Egham bei London). Damit sind dort alle Verbindungsdaten (Absender, Empfänger, Uhrzeit) sowie die (verschlüsselten) Kommunikationsinhalte verfügbar. Nach britischem Recht können die örtlichen Sicherheitsbehörden unter sehr weit gefassten Voraussetzungen (unter anderem zum Wohl der britischen Wirtschaft) Zugang zu diesen Daten Daten erhalten (RIP-Act 2000). Im Falle von (aus britischer Sicht) ausländischem Nachrichtenverkehr dürfen diese sogar ohne Personenbezug aufgeklärt werden.

3. Es ist nicht möglich, eine eigene, von RIM unabhängige Verschlüsselung zum Schutz der Kommunikationsinhalte zu realisieren. So lassen sich Mail-Anhänge, die vom Nutzer (zum Beispiel mit PGP oder Chiasmus) verschlüsselt wurden, mit BlackBerry nicht übertragen. Eine Verschlüsselung des Übertragungsweges (…) scheitert an der speziellen Blackberry-Infrastruktur.

4. Der im Unternehmensnetz installierte Synchronisationsserver BES (Blackberry Enterprise Server) wird mit einer Software der Firma RIM betrieben und benötigt hoch privilegierten Zugriff auf die Mail/Messaging-Server des Unternehmens. Er kann somit auf den gesamten dort gespeicherten Datenbestand zugreifen.

5. Alle Verfahren, Softwarekomponenten und Protokolle sind proprietär und werden von RIM als Firmengeheimnis behandelt. Das tatsächliche Betriebsverhalten des Systems lässt sich daher nicht überprüfen. Kritisch ist in diesem Zusammenhang, dass auf rund der verschlüsselten Übertragung nicht nachvollziehbar ist, welche Nachrichten zwischen Blackberry Enterprise Server und Mobile Routing Center ausgetauscht werden.

Das Fazit des Bundesamtes lautete:

Bei dieser Sicherheitseinschätzung können ausschließlich die potentiellen Möglichkeiten, die Blackberry zur nachrichtendienstlichen Informationsbeschaffung bietet, betrachtet werden. Ob und inwieweit diese Möglichkeiten tatsächlich genutzt werden, entzieht sich der Kenntnis des BSI und ist nicht Gegenstand dieser Einschätzung. Aus Sicht des BSI ist Blackberry auf Grund der oben dargestellten unsicheren Architektur für den Einsatz in sicherheitsempfindlichen Bereichen der öffentlichen Verwaltung und spionagegefährdeten Unternehmen nicht geeignet.

Zur Einordnung verweisen wir gerne noch auf ein paar weitere Meldungen der letzten Jahre:

Kann uns wer sagen, ob wir (oder die WirtschaftsWoche) jetzt die internationalen Beziehungen beschädigen?

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 09 2013

E-Mail made in Germany: Deutsche Telekom, Web.de und GMX machen SSL an und verkaufen das als “sicher”

e-mail-made-in-germany-teilnehmerDie Deutsche Telekom, WEB.DE und GMX wollen sich mit dem Label “E-Mail made in Germany” als “sichere” E-Mail-Anbieter verkaufen. An den Grundproblemen unsicherer E-Mails ändern sie jedoch überhaupt nichts, sondern schließen lediglich zwei existierende Sicherheitslücken. Die Initiative kann als reine Marketing-Aktion abgetan werden, wirkliche Sicherheit wird nicht gewährleistet.

Unter dem Namen E-Mail made in Germany starten die Deutsche Telekom, WEB.DE und GMX eine Initiative für “sichere” E-Mail. In der dazugehörigen Pressemitteilung werden folgende “Sicherheits-Features” versprochen:

  • Automatische Verschlüsselung von Daten auf allen Übertragungswegen
  • Sichere Speicherung am Datenstandort Deutschland
  • Kennzeichnung sicherer Mail-Adressen

Bei genauerer Betrachtung entpuppt sich das als reine Marketing-Kampagne für eine längst überfällige Einstellung im Setup der Mail-Server ohne wirklich eine neue Stufe an “Sicherheit” zu erreichen.

Das einzige, was neu ist, ist die Verwendung von Verschlüsselung auf dem Transportweg (SSL/TLS) zwischen Sender und Mail-Server sowie zwischen den Mail-Servern der zwei Firmen untereinander. Dass das Versenden von Mails vom Client an den Server überhaupt noch auf unverschlüsselten Verbindungen möglich war, ist ein Unding im Jahr 2013. Dafür gibt es keinerlei technischen Grund und viele Mail-Anbieter erlauben seit Jahren nur noch verschlüsselte Verbindungen.

Die Verschlüsselung der Übertragung zwischen den Mail-Servern @t-online.de, @gmx.de und @web.de ist ein nettes Feature. Aber auch das hätten die beteiligten Firmen schon längst machen können. Das Problem ist bekannt seit es E-Mail gibt und wurde vor über einem Monat wieder öffentlich thematisiert. Gerade Web.de und GMX schnitten in einem Test von Golem schlecht ab. Das Anschalten des Features ist daher eher ein Fix einer verantwortungslosen Lücke als das Einführen richtiger “Sicherheit”. Auch das wird seit Jahren von seriösen Mail-Anbietern getan.

(Verpflichtendes SSL/TLS zwischen Mail-Servern ist ein Problem, da es in Standard und Implementierungen meist optional ist. Viele Beispiele aus der Praxis zeigen aber, dass kooperierende Mail-Server sehr wohl seit langem verpflichtende Transport-Verschlüsselung zwischen ihren Servern implementiert haben.)

Am Grundproblem von E-Mail als von jedem lesbarer Postkarte ändert all das nichts. Weder werden die Inhalte der Mail verschlüsselt, noch werden die Mails auf verschlüsselten Festplatten gespeichert (erst recht nicht mit Entschlüsselungs-Möglichkeit nur durch User, wie Lavabit das gemacht hat). Stattdessen wird die existierende verantwortungslose Praxis jetzt als “sicher” verkauft, weil die Rechenzentren ja in Deutschland stehen und “High-Tech-Rechenzentren mit moderner Sicherheitstechnik” sind. Mal abgesehen vom Marketing-Sprech: An Vorratsdatenspeicherung, Bestandsdatenauskunft, strategischer Fernmeldeaufklärung, G10-Gesetz und SINA-Boxen ändert das gar nichts.

Vollkommen zum Witz macht sich die PR-Maßnahme durch einen Vergleich, dass die De-Mail noch sicherer ist als die “E-Mail made in Germany”:

e-mail-made-in-germany-de-mail

Über die Unsicherheit von De-Mail haben wir ausführlich berichtet und Sascha Lobo hat das nochmal treffend zusammengefasst. Laut eigener Aussage ist “E-Mail made in Germany” also unsicherer als unsicher. Wird aber als “sicher” verkauft. Alles klar?

Fazit: Unbedingt meiden.

Sucht euch stattdessen einen kleinen, sympathischen Mail-Anbieter, der diese “Features” nicht als Neuigkeit mit Marketing-Kampagne verkauft, sondern nie auf die Idee käme, das je anders zu machen. Oder betreibt euren Mail-Server am besten gleich selbst oder zusammen mit ein paar Freund/innen. Zentralisierung ist ohnehin der Feind eines freien und offenen Internets. Und verschlüsselt eure Mails Ende-zu-Ende mit OpenPGP. Noch besser ist das Versenden und Empfangen von Mails über Tor.

Alles andere ist nur Marketing.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 09 2013

Iran: Aufbau eines staatlichen E-Mail-Systems

Seit geraumer Zeit schon, versucht Iran seine Bürger vom internationalen Internet so gut wie möglich abzuschotten. Dazu gehört die Sperrung von Diensten wie Facebook, Twitter oder Youtube und die strenge Überwachung von VPN-Verbindungen. Andererseits versuchen sich die iranischen Behörden aber auch im Nachbau populärer westlicher Plattformen wie Youtube oder Google Earth, um die Nutzer im nationalen Netz zu behalten. Die neueste Idee der iranischen Führung ist dabei der Aufbau eines staatlichen E-Mail-Systems bei dem jeder iranische Bürger automatisch eine E-Mailadresse zugewiesen kriegt, wie Reuters berichtet.

Kommunikationsminister Mohammad Hassan Nami verkündete am Montag das neueste Projekt. iranische Videoportal Mehr zitierte Nami wie folgt:

For mutual interaction and communication between the government and the people, from now on every Iranian will receive a special email address. With the assignment of an email address to every Iranian, government interactions with the people will take place electronically.


Die E-Mailadressen mit der Domain “mail.post.ir” sollen dabei einem jeder iranischen Bürger automatisch zugeteilt werden. Nami äußerte sich jedoch nicht, ob die Nutzung der neuen Adressen verpflichtend sei oder ob es sich um ein Angebot der iranischen Regierung handele. Er kündigte jedoch an, dass die Kommunikation mit iranischen Behörden nur über jene neuen Mailadressen abgewickelt werden könne. Also quasi ein Zwang durch die Hintertür. Insgesamt kann der Schritt der Einführung dieses staatlichen Angebots vermutlich so gedeutet werden, dass Iran immer weiter versucht ein nationales Internet aufzubauen und so die Bürger vom international Netz abzuschneiden. Einerseits kann Iran so die Kontrolle über seine Bürger ausweiten, andererseits aber auch die Inhalte im Netz sehr viel gezielter steuern.

Auch wenn diese Pläne des Iran nichts Neues sind, kommt die Ankündigung doch ein wenig unerwartet. So hatte der vor knapp einem Monat neue gewählte iranische Präsident Hassan Rohani angekündigt, weniger in das Privatleben der iranischen Bürger eingreifen zu wollen. Dazu zähle auch, die Filter- und Zensuraktivitäten im Internet und anderen Medien zu begrenzen. Es bleibt also abzuwarten wie Rouhani, der Mahmud Ahmadinedschad am 3. August 2013 als iranischer Präsident ablösen wird, auf die neu vorgestellten Pläne reagieren wird.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl