Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

August 16 2013

Innenminister Friedrich glaubt der NSA

tumblr_mrgtwnEq2L1rav45eo1_1280Am Montag dieser Woche trat Kanzleramtschef Ronald Pofalla vor die Presse und er erzählte, dass die Geheimdienste der USA und Großbritanniens keine deutschen Bürger überwachen würden – er habe die schriftliche Zusicherung beider Staaten. Und auch unser Innenminister Hans-Peter Friedrich scheint den Aussagen der NSA Glaube zu schenken. In einem Interview mit der Rheinischen Post gab er an, dass keine Grundrechte deutscher Bürger verletzt wurden und er sehr stolz auf die deutschen Geheimdienst sei.

Alle Verdächtigungen, die erhoben wurden, sind ausgeräumt. Fest steht: Es gab keine “massenhaften Grundrechtsverletzungen” amerikanischer Geheimdienste auf deutschem Boden, wie behauptet wurde.

Wie auch schon Ronald Pofalla lenkt Friedrich durch seine Rhetorik gezielt von bestimmten Aspekten ab, indem er einzig von “amerikanischen Geheimdiensten auf deutschem Boden” spricht. Ob deutsche Geheimdienste auf deutschem Boden Grundrechtsverletzungen begehen, wäre eine viel spannendere Frage, die Friedrich aber nicht beantwortet. Ebenso verschweigt unser Innenminister, dass beispielsweise der britische Geheimdienst GCHQ systematisch Unterseekabel anzapft und so eine Totalüberwachung des Internetverkehrs möglich wird. Sicherlich hat unser Innenminister aber schriftlich, dass der GCHQ alle Emailadressen und Internetseiten mit der Endung .de herausfiltert, wie es ja auch der BND macht, damit die deutschen Bürger geschützt werden.

Fraglich ist auch immer noch, wieso denn überhaupt eine No-Spy-Abkommen zwischen den USA und Deutschland nötig ist, wenn doch eigentlich überhaupt nichts vorgefallen ist. Friedrich dazu:

Es wird eine Klarstellung der Amerikaner geben mit der deutlichen Aussage, dass sie uns als befreundete Nation nicht ausspionieren. Dies ist ein deutliches Zeichen, dass die USA unsere Sorgen ernst nehmen. Wir haben die Zusage, dass ein solches Abkommen bald geschlossen werden kann.

Solange unsere Daten in Deutschland bleiben, sind wir also alle absolut sicher. Was aber wenn wir amerikanische Dienste nutzen oder unser Datenverkehr über amerikanische Server geleitet werden?

Welche Daten die US-Behörden in den USA von dortigen Internet-Unternehmen bekommen, richtet sich nach amerikanischen Gesetzen. Das sollte jeder wissen, der seine Daten auf den Servern ausländischer Unternehmen ablegt.

Diese Aussage ist nicht nur ignorant, sie ist auch arrogant. Und das Innenministerium arbeitet keineswegs daran, das Wissen der Bürger zu diesem Thema zu vertiefen, es verstärkt sie geradezu noch. Das Innenministerium ist nämlich Schirmherr der Seite www.sicher-im-netz.de, einem “zentralen Ansprechpartner für Verbraucher und mittelständische Unternehmen” mit dem Ziel “einen praktischen Beitrag für mehr IT-Sicherheit” zu leisten. Auf dieser Seite wird aber nicht vor der Nutzung amerikanischer Dienste gewarnt. Im Gegenteil: Die Seite wird unter anderem von Google, Microsoft und eBay gesponsort.

Zum Glück haben wir ja aber einen technisch versierten Innenminister, der uns sofort deutsche Alternativen wie die de-Mail oder die letzte Woche vorgestellte “E-Mail made in Germany” von der Telekom, GMX und web.de zu präsentieren:

Wir haben De-Mail als Angebot für sichere, verschlüsselte E-Mails. Erst vergangene Woche haben wir einen weiteren, großen Schritt in Richtung sichere E-Mail getan, indem die Telekom, web.de und GMX sichere E-Mail-Verfahren anbieten. Bisher waren die E-Mails offen wie eine Postkarte, jetzt kommt die Karte in einen versiegelten Umschlag.

Dazu sagt ein Bild mehr als tausend Worte.

E-Mail-Made-In-Germany-edit-590

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 09 2013

E-Mail made in Germany: Deutsche Telekom, Web.de und GMX machen SSL an und verkaufen das als “sicher”

e-mail-made-in-germany-teilnehmerDie Deutsche Telekom, WEB.DE und GMX wollen sich mit dem Label “E-Mail made in Germany” als “sichere” E-Mail-Anbieter verkaufen. An den Grundproblemen unsicherer E-Mails ändern sie jedoch überhaupt nichts, sondern schließen lediglich zwei existierende Sicherheitslücken. Die Initiative kann als reine Marketing-Aktion abgetan werden, wirkliche Sicherheit wird nicht gewährleistet.

Unter dem Namen E-Mail made in Germany starten die Deutsche Telekom, WEB.DE und GMX eine Initiative für “sichere” E-Mail. In der dazugehörigen Pressemitteilung werden folgende “Sicherheits-Features” versprochen:

  • Automatische Verschlüsselung von Daten auf allen Übertragungswegen
  • Sichere Speicherung am Datenstandort Deutschland
  • Kennzeichnung sicherer Mail-Adressen

Bei genauerer Betrachtung entpuppt sich das als reine Marketing-Kampagne für eine längst überfällige Einstellung im Setup der Mail-Server ohne wirklich eine neue Stufe an “Sicherheit” zu erreichen.

Das einzige, was neu ist, ist die Verwendung von Verschlüsselung auf dem Transportweg (SSL/TLS) zwischen Sender und Mail-Server sowie zwischen den Mail-Servern der zwei Firmen untereinander. Dass das Versenden von Mails vom Client an den Server überhaupt noch auf unverschlüsselten Verbindungen möglich war, ist ein Unding im Jahr 2013. Dafür gibt es keinerlei technischen Grund und viele Mail-Anbieter erlauben seit Jahren nur noch verschlüsselte Verbindungen.

Die Verschlüsselung der Übertragung zwischen den Mail-Servern @t-online.de, @gmx.de und @web.de ist ein nettes Feature. Aber auch das hätten die beteiligten Firmen schon längst machen können. Das Problem ist bekannt seit es E-Mail gibt und wurde vor über einem Monat wieder öffentlich thematisiert. Gerade Web.de und GMX schnitten in einem Test von Golem schlecht ab. Das Anschalten des Features ist daher eher ein Fix einer verantwortungslosen Lücke als das Einführen richtiger “Sicherheit”. Auch das wird seit Jahren von seriösen Mail-Anbietern getan.

(Verpflichtendes SSL/TLS zwischen Mail-Servern ist ein Problem, da es in Standard und Implementierungen meist optional ist. Viele Beispiele aus der Praxis zeigen aber, dass kooperierende Mail-Server sehr wohl seit langem verpflichtende Transport-Verschlüsselung zwischen ihren Servern implementiert haben.)

Am Grundproblem von E-Mail als von jedem lesbarer Postkarte ändert all das nichts. Weder werden die Inhalte der Mail verschlüsselt, noch werden die Mails auf verschlüsselten Festplatten gespeichert (erst recht nicht mit Entschlüsselungs-Möglichkeit nur durch User, wie Lavabit das gemacht hat). Stattdessen wird die existierende verantwortungslose Praxis jetzt als “sicher” verkauft, weil die Rechenzentren ja in Deutschland stehen und “High-Tech-Rechenzentren mit moderner Sicherheitstechnik” sind. Mal abgesehen vom Marketing-Sprech: An Vorratsdatenspeicherung, Bestandsdatenauskunft, strategischer Fernmeldeaufklärung, G10-Gesetz und SINA-Boxen ändert das gar nichts.

Vollkommen zum Witz macht sich die PR-Maßnahme durch einen Vergleich, dass die De-Mail noch sicherer ist als die “E-Mail made in Germany”:

e-mail-made-in-germany-de-mail

Über die Unsicherheit von De-Mail haben wir ausführlich berichtet und Sascha Lobo hat das nochmal treffend zusammengefasst. Laut eigener Aussage ist “E-Mail made in Germany” also unsicherer als unsicher. Wird aber als “sicher” verkauft. Alles klar?

Fazit: Unbedingt meiden.

Sucht euch stattdessen einen kleinen, sympathischen Mail-Anbieter, der diese “Features” nicht als Neuigkeit mit Marketing-Kampagne verkauft, sondern nie auf die Idee käme, das je anders zu machen. Oder betreibt euren Mail-Server am besten gleich selbst oder zusammen mit ein paar Freund/innen. Zentralisierung ist ohnehin der Feind eines freien und offenen Internets. Und verschlüsselt eure Mails Ende-zu-Ende mit OpenPGP. Noch besser ist das Versenden und Empfangen von Mails über Tor.

Alles andere ist nur Marketing.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl