News
Member
mailbox.org-Sicherheitsreport: 86 Prozent aller E-Mails über verschlüsselte Transportwege verschickt
Berlin, 24.03.2015 Seit den Enthüllungen von Edward Snowden hat sich in Sachen Verschlüsselung eine Menge getan – insbesondere im Bereich der elektronischen Kommunikation. Wie sicher E-Mail-Provider inzwischen sind, zeigt der heute erstmals vorgestellte Sicherheitsreport von mailbox.org. Der Berliner E-Mail-Anbieter hat über einen Zeitraum von 7 Tagen alle Verbindungen seiner Server analysiert. Das Resultat: Zwar konnte mailbox.org bereits rund 86 Prozent aller Kunden-Mails über verschlüsselte Verbindungen an andere Anbieter zustellen, gleichzeitig trafen jedoch weniger als 60 Prozent der E-Mails anderer Anbieter bei mailbox.org auch auf verschlüsselten Verbindungen ein.
Immerhin: Die Anzahl der E-Mails, die mailbox.org auf verschlüsseltem Weg an Andere zustellen kann, hat sich seit den ersten Stichproben mehr als verdoppelt: Deren Anteil lag Anfang 2014 noch bei lediglich 40 Prozent. Sehr enttäuschend ist allerdings, dass noch weniger als ein Prozent der Nachrichten über DANE-gesicherte Verbindungen – und damit wirklich abhörsicher – auf die Reise gehen. Hier herrscht akuter Nachholbedarf, denn lediglich vier der von mailbox.org-Servern kontaktierten E-Mail-Provider setzen diese Technologie bisher konsequent ein. Das DANE-Protokoll erweitert die Transportwegverschlüsselung SSL/TLS, sodass Dritte die Sicherheitszertifikate der Provider nicht mehr unbemerkt verändern können.
Der geringere Anteil von weniger als 60 Prozent eingehender verschlüsselter Verbindungen hat zwei Gründe: Zusätzlich zum normalen Mailverkehr können auch unverschlüsselte Verbindungen von Spamversendern in die Statistik gelangen; vor allem aber werden auch E-Mail-Newsletter von Unternehmen in der Regel ohne Transportverschlüsselung verschickt – obwohl diese häufig auch sensible personenbezogene Daten der Kunden beinhalten.
Insgesamt zeigt diese Analyse der Verbindungen zu anderen Providern aber, dass schon heute fast alle Provider gesicherten SSL/TLS-Versand anbieten.
„Provider wie Freenet, GMX, T-Online und Web.de versuchen mit ‘E-Mail made in Germany‘‚ bereits seit Längerem ein geschlossenes System für sichere E-Mail-Kommunikation zu etablieren – allerdings funktioniert dieses nur zwischen den beteiligten Anbietern“, sagt Peer Heinlein, Gründer und Geschäftsführer von mailbox.org. „Unsere Analyse zeigt, dass schon heute fast alle Provider gesicherten SSL/TSL-Versand anbieten, sodass dieser Ansatz weder erforderlich noch sinnvoll ist. Es ist viel wichtiger, mittels DANE und DNSSEC die Qualität der SSL-Verbindungen anbieterübergreifend weiter zu erhöhen und so Manipulationen durch Dritte konsequent zu verhindern.“
Sicherheitsbewusstsein steigt auf Nutzerseite
Unberechtigte Zugriffsversuche auf E-Mail-Konten sind längst keine Seltenheit mehr. Doch auch auf Nutzerseite nimmt offenbar das Sicherheitsbewusstsein weiter zu. Nachdem mailbox.org vor einem Jahr als erster Anbieter die Möglichkeit eines vollständig PGP-verschlüsselten Postfaches für seine Nutzer einführte, nutzen heute bereits 10 Prozent der Kunden diese ganz besondere Schutzmöglichkeit. Vollständige Sicherheit vor Mitlesern bietet jedoch erst eine echte Ende-zu-Ende-Verschlüsselung durch die Nutzer selbst. Diese lässt sich über Open-Source-Software und E-Mail-Plugins schon heute einfach installieren, wie mailbox.org seinen Nutzern in Tutorials und Schulungs-Videos erklärt. mailbox.org arbeitet bereits an einer One-Klick-Verschlüsselung im Internetbrowser, um auch weniger technisch versierten Nutzern einen vollständig verschlüsselten E-Mail-Versand zu ermöglichen. Dieser Service wird voraussichtlich im zweiten Quartal 2015 verfügbar sein.
Der Sicherheitsreport von mailbox.org
Der komplette Sicherheitsreport mit erweiterten Statistiken ist kostenlos unter http://www.mailbox.org/sicherheitsreport verfügbar und wird regelmäßig aktualisiert. Die Statistiken beruhen auf einer Analyse der Verbindungsaufbauten zu anderen Providern über einen Zeitraum von 7 Tagen. Erfasst wurden dabei die verwendeten SSL/TLS-Versionen sowie die Provider der Zielsysteme. Um Verzerrungen durch große oder kleine E-Mail-Anbieter zu vermeiden, wurden auch SSL/TLS und DANE-Fähigkeiten aller gesichteten Server unabhängig vom jeweiligen E-Mail-Aufkommen betrachtet. Die Protokollierung von personenbezogenen Daten oder eine Analyse von E-Mails und deren Inhalten erfolgt dafür nicht.
Berlin, 24.03.2015 Seit den Enthüllungen von Edward Snowden hat sich in Sachen Verschlüsselung eine Menge getan – insbesondere im Bereich der elektronischen Kommunikation. Wie sicher E-Mail-Provider inzwischen sind, zeigt der heute erstmals vorgestellte Sicherheitsreport von mailbox.org. Der Berliner E-Mail-Anbieter hat über einen Zeitraum von 7 Tagen alle Verbindungen seiner Server analysiert. Das Resultat: Zwar konnte mailbox.org bereits rund 86 Prozent aller Kunden-Mails über verschlüsselte Verbindungen an andere Anbieter zustellen, gleichzeitig trafen jedoch weniger als 60 Prozent der E-Mails anderer Anbieter bei mailbox.org auch auf verschlüsselten Verbindungen ein.
Immerhin: Die Anzahl der E-Mails, die mailbox.org auf verschlüsseltem Weg an Andere zustellen kann, hat sich seit den ersten Stichproben mehr als verdoppelt: Deren Anteil lag Anfang 2014 noch bei lediglich 40 Prozent. Sehr enttäuschend ist allerdings, dass noch weniger als ein Prozent der Nachrichten über DANE-gesicherte Verbindungen – und damit wirklich abhörsicher – auf die Reise gehen. Hier herrscht akuter Nachholbedarf, denn lediglich vier der von mailbox.org-Servern kontaktierten E-Mail-Provider setzen diese Technologie bisher konsequent ein. Das DANE-Protokoll erweitert die Transportwegverschlüsselung SSL/TLS, sodass Dritte die Sicherheitszertifikate der Provider nicht mehr unbemerkt verändern können.
Der geringere Anteil von weniger als 60 Prozent eingehender verschlüsselter Verbindungen hat zwei Gründe: Zusätzlich zum normalen Mailverkehr können auch unverschlüsselte Verbindungen von Spamversendern in die Statistik gelangen; vor allem aber werden auch E-Mail-Newsletter von Unternehmen in der Regel ohne Transportverschlüsselung verschickt – obwohl diese häufig auch sensible personenbezogene Daten der Kunden beinhalten.
Insgesamt zeigt diese Analyse der Verbindungen zu anderen Providern aber, dass schon heute fast alle Provider gesicherten SSL/TLS-Versand anbieten.
„Provider wie Freenet, GMX, T-Online und Web.de versuchen mit ‘E-Mail made in Germany‘‚ bereits seit Längerem ein geschlossenes System für sichere E-Mail-Kommunikation zu etablieren – allerdings funktioniert dieses nur zwischen den beteiligten Anbietern“, sagt Peer Heinlein, Gründer und Geschäftsführer von mailbox.org. „Unsere Analyse zeigt, dass schon heute fast alle Provider gesicherten SSL/TSL-Versand anbieten, sodass dieser Ansatz weder erforderlich noch sinnvoll ist. Es ist viel wichtiger, mittels DANE und DNSSEC die Qualität der SSL-Verbindungen anbieterübergreifend weiter zu erhöhen und so Manipulationen durch Dritte konsequent zu verhindern.“
Sicherheitsbewusstsein steigt auf Nutzerseite
Unberechtigte Zugriffsversuche auf E-Mail-Konten sind längst keine Seltenheit mehr. Doch auch auf Nutzerseite nimmt offenbar das Sicherheitsbewusstsein weiter zu. Nachdem mailbox.org vor einem Jahr als erster Anbieter die Möglichkeit eines vollständig PGP-verschlüsselten Postfaches für seine Nutzer einführte, nutzen heute bereits 10 Prozent der Kunden diese ganz besondere Schutzmöglichkeit. Vollständige Sicherheit vor Mitlesern bietet jedoch erst eine echte Ende-zu-Ende-Verschlüsselung durch die Nutzer selbst. Diese lässt sich über Open-Source-Software und E-Mail-Plugins schon heute einfach installieren, wie mailbox.org seinen Nutzern in Tutorials und Schulungs-Videos erklärt. mailbox.org arbeitet bereits an einer One-Klick-Verschlüsselung im Internetbrowser, um auch weniger technisch versierten Nutzern einen vollständig verschlüsselten E-Mail-Versand zu ermöglichen. Dieser Service wird voraussichtlich im zweiten Quartal 2015 verfügbar sein.
Der Sicherheitsreport von mailbox.org
Der komplette Sicherheitsreport mit erweiterten Statistiken ist kostenlos unter http://www.mailbox.org/sicherheitsreport verfügbar und wird regelmäßig aktualisiert. Die Statistiken beruhen auf einer Analyse der Verbindungsaufbauten zu anderen Providern über einen Zeitraum von 7 Tagen. Erfasst wurden dabei die verwendeten SSL/TLS-Versionen sowie die Provider der Zielsysteme. Um Verzerrungen durch große oder kleine E-Mail-Anbieter zu vermeiden, wurden auch SSL/TLS und DANE-Fähigkeiten aller gesichteten Server unabhängig vom jeweiligen E-Mail-Aufkommen betrachtet. Die Protokollierung von personenbezogenen Daten oder eine Analyse von E-Mails und deren Inhalten erfolgt dafür nicht.