Provider starten erste Initiativen für flächendeckenden Einsatz

E-Mail-Verschlüsselung für Alle?

Marcel Mock ist CTO und Mitbegründer des Schweizer Sicherheitsexperten totemo. In dieser Funktion verantwortet er das gesamte technologische Portfolio und berät vorwiegend Großkunden. Davor war er als Head of Software Development bei WebSemantix AG tätig sowie als Consultant bei IBM Deutschland. Er ist Inhaber mehrerer Patente zum ThemaE-Mail-Verschlüsselung.
Google hat in Zusammenarbeit mit der Universität Michigan und der Universität Illinois eine mehrjährige Studie zur globalen E-Mail-Sicherheit durchgeführt. Welche Relevanz haben die Aussagen für die flächendeckende E-Mail-Verschlüsselung?

Zentraler Ausgangspunkt der Studie „Neither Snow Nor Rain Nor MITM...An Empirical Analysis of Email Delivery Security”, die auf Google Blogspot kostenlos zum Download bereit steht, war: Das Protokoll für den Transport von E-Mails zwischen Servern, SMTP (Simple Mail Transfer Protocol), berücksichtigt keine Sicherheitsaspekte wie Verschlüsselung und Authentisierung. Das liegt daran, dass diese bei der Entwicklung des Standards im Jahr 1981 noch völlig irrelevant waren. Damit die E-Mail den heutigen Sicherheitsanforderungen dennoch gerecht wird, existieren inzwischen unterschiedliche Protokollerweiterungen für diese Aufgaben.

SponPost GBS - 2014-10-13
SponPost GBS - 2014-10-13
Foto: GBS

Die Studie beleuchtet die Akzeptanz dieser Erweiterungen für Verschlüsselung und Authentisierung elektronischer Nachrichten und neue Sicherheitsbedrohungen, die sich daraus ergeben. Nachfolgend wird die gängigste SMTP-Erweiterung STARTTLS unter die Lupe genommen. Sie sorgt für eine Verschlüsselung des Kanals, über den die E-Mail versendet wird, und ist somit eine Transportverschlüsselung.

Im Rahmen der Studie untersuchten die Mitwirkenden zwei Datenquellen. Zum einen eigene Daten von Google, nämlich E-Mails, die vom Google-E-Mail-Service Gmail im Zeitraum Januar 2014 bis April 2015 empfangen oder versandt wurden. Bei der anderen Datenquelle handelt es sich um eine Momentaufnahme der Konfiguration der Alexa-Top-Million-Domains, der eine Million meistbesuchten Domains im Internet, vom April 2015. Dies ermöglicht einen Blick auf die Situation bei einer großen Zahl von Unternehmen, die ihre eigenen Mail-Server betreiben.

Das erfreuliche Ergebnis: Insgesamt ist der Einsatz von STARTTLS signifikant angestiegen. Jedoch ergeben sich erhebliche Unterschiede im Hinblick auf die beiden Datenquellen. Der Anteil TLS-verschlüsselter E-Mails, die von Gmail empfangen wurden, lag bei insgesamt 60 Prozent. Das entspricht einem Anstieg von 82 Prozent gegenüber dem Vorjahr. Bei den von Gmail versandten E-Mails lag die Steigerung gegenüber dem Vorjahreszeitraum bei 54 Prozent – 80 Prozent der von Gmail versandten E-Mails waren verschlüsselt. Wie die Autoren der Studie anmerken, ist diese positive Entwicklung insbesondere dem Engagement einer Handvoll großer Anbieter von E-Mail-Diensten für Privatanwender wie Gmail, Yahoo und Outlook zu verdanken, die mittlerweile auf TLS-Verschlüsselung setzen.

Der Schein trügt: Bedrohungslage trotz Verbesserungen weiterhin hoch

Ein weniger positives Bild hingegen zeichnet sich bei Unternehmen ab, die ihre eigenen Mail-Server betreiben. 82 Prozent der in der Studie berücksichtigten Unternehmen unterstützen zwar TLS, aber nur 35 Prozent setzen auch vertrauenswürdige Zertifikate ein, bei denen die Adresse verifiziert werden kann – eine notwendige Voraussetzung, um die Identität des Kommunikationspartners sicherzustellen.

Außerdem sehen die Autoren im Zusammenhang mit STARTTLS eine weitere Bedrohung, die auf eine Schwäche im Design der Protokollerweiterung zurückzuführen ist. Dabei werden Pakete im Rahmen einer Downgrade-Attacke von Angreifern so manipuliert, dass der Server keine STARTTLS-Verbindung etablieren kann. Der Versand der Informationen erfolgt in Klartext, selbst wenn der Server eigentlich TLS unterstützt. Zwar ist laut Studie nur ein kleiner Anteil aller E-Mails davon betroffen, die an und von Gmail versandt wurden. Es fällt jedoch auf, dass genau diese Angriffsvariante in einigen Ländern gehäuft auftritt. So liegt die Vermutung nahe, dass dort erhöhtes Interesse an unverschlüsselter Kommunikation besteht. Trauriger Spitzenreiter ist Tunesien – über 96 Prozent aller E-Mails aus diesem Land an Gmail sind von diesem so genannten STARTTLS-Stripping betroffen.

Google hat in diesem Zusammenhang zum „Safer Internet Day“ am 9. Februar Warnungen seiner Nutzer umgesetzt, wenn diese eine E-Mail über eine unverschlüsselte Verbindung empfangen oder an einen Empfänger versenden wollen, zu dem die Verbindung nicht verschlüsselt werden kann. Die Initiative ist zu begrüßen, ebenso wie der grundsätzliche Vorstoß von Google, TLS-Verschlüsselung anzubieten. Denn diese Maßnahmen werden bei den Anwendern ein stärkeres Bewusstsein für die Notwendigkeit der Verschlüsselung hervorrufen. Im Idealfall führen sie auch dazu, dass noch mehr E-Mail-Provider nachziehen. Denn nur wenn alle Punkte auf dem Weg vom Sender zum Empfänger TLS unterstützen und auch tatsächlich verwenden, ist sichergestellt, dass eine sichere Transportverschlüsselung erfolgt.

Inhalt dieses Artikels