Web-Konzerne wollen E-Mail gemeinsam sicherer machen

Die US-Firmen Google, Microsoft, LinkedIn, Yahoo und Comcast sowie die in Deutschland vor allem für ihr Angebot Web.de bekannte 1&1 Mail & Media Development and Technology haben gemeinsam ein Verfahren entwickelt, dass für eine strengere Verschlüsselung über das Simple Mail Transfer Protocol (SMTP) übertragener E-Mails sorgen soll. Die sechs Firmen haben einen ersten Entwurf der SMTP Strict Transport Security genannten Technik nun der Internet Engineering Task Force (IETF) vorgelegt. Mit SMTP STS sollen demnach vor allem Nachteile des derzeit verwendeten Verfahrens StartTLS behoben werden.

Bei StartTLS beginnt die Kommunikation zwischen Mail-Server- und Client stets unverschlüsselt. Mit der Antwort “StartTLS” signalisiert der Server, dass die laufende Verbindung verschlüsselt werden kann. Es handelt sich allerdings um eine sogenannte opportunistische Verschlüsselung. Das heißt, sie kann dazu führen, dass Nachrichten im Klartext übertragen werden, obwohl eigentlich alle Voraussetzungen für die Chiffrierung erfüllt sind.

Einer von Google unterstützten Studie zufolge können dadurch Dritte beispielsweise mithilfe bestimmter Netzwerkgeräte leicht den Rückfall auf eine unverschlüsselte Verbindung erzwingen. Nutzt eine Client-Anwendung die Standardeinstellung “TLS wenn möglich”, ist es für Anwender nicht erkennbar, ob die Verbindung verschlüsselt ist oder nicht.

SMTP TLS soll dagegen vor Versand einer Nachricht die Sicherheitsrichtlinie des Empfängers prüfen können. Damit wäre es möglich, eine E-Mail nicht zu übertragen, falls sie nicht verschlüsselt an den Empfänger ausgeliefert werden kann. Bis der nun vorgelegte Entwurf aber verabschiedet und in der Praxis umgesetzt wird, kann es noch eine ganze Weile dauern.

[mit Material von Stefan Beiersamnn, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.