Verschlüsselt! Oder nicht?

von Lars Meyer

Spätestens seit der NSA-Affäre ist den Benutzern die Geheimhaltung bei der Kommunikation, z.B. über E-Mail, immer wichtiger geworden. Daher ist die Verschlüsselung von E-Mails mittlerweile ein wichtiges Werbemerkmal für die E-Mail-Provider.

Allerdings zeigt sich immer wieder, dass die Werbebotschaften der Unternehmen zur sicheren Verschlüsselung hinterfragt werden sollten. Aktuelles Beispiel dafür sind die Anbieter von „E-Mail made in Germany“.

Schwächen bei „sicheren“ Providern

Die untersuchten E-Mail Provider bieten zwar Transportverschlüsselung für den sicheren Austausch von E-Mails zwischen den Providern und den sicheren Abruf von E-Mails durch den Kunden an, haben aber die Logins zu ihren Webmailern nicht immer korrekt abgesichert.

Die Login-Formulare zu den Webmailern werden teilweise unverschlüsselt über HTTP an den Browser gesendet und nur beim eigentlichen Login werden die Daten verschlüsselt über HTTPS an den Server zurückgesendet. Allerdings können Angreifer das über HTTP ausgelieferte Login-Formular verändern und die Verwendung von HTTPS zur Übertragung der Zugangsdaten deaktivieren, dieses Vorgehen ist als SSL-Stripping bekannt ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK