Einige mögen es in der Tat für einen Aprilscherz gehalten haben. Seit Monatsbeginn lassen vier große deutsche E-Mail-Anbieter die Zugriffe per IMAP, POP3 und SMTP nur noch mit eingeschalteter SSL-Transportverschlüsselung zu. Wer hier von einer Selbstverständlichkeit ausgegangen ist, darf sich in der Tat ein wenig wundern.

Konkret handelt es sich bei dem Vorstoß um die E-Mail-Anbieter Freenet, T-Online und United Internet mit den Services GMX und Web.de. Die Unternehmen hatten sich 2013 zu der „Initiative E-Mail made in Germany“ zusammengeschlossen. Ihr Ziel ist – als Reaktion auf die NSA-Affäre – die Einhaltung des strengen deutschen Datenschutzes ohne mögliche Aufweichungen oder Regelungen ausländischer Instanzen.

In zwei Stufen haben die Anbieter die SSL/TSL-Verschlüsselung des E-Mail-Verkehrs umgesetzt: Zunächst zwischen den Mail-Servern und Rechenzentren der beteiligten Firmen. Anfang April erfolgte nun die zwangsweise Transportverschlüsselung auch über Dritt-Clients, so dass E-Mail made in Germany eine hundertprozentige Abdeckung auf Sender- und Empfängerseite gewährleisten kann.

Kontrollblick meist ausreichend

„Egal ob Sie unsere E-Mail-Dienste per Browser oder App auf Ihrem PC, Laptop, Smartphone (zum Beispiel iPhone oder Android) oder Tablet nutzen, Ihre Daten werden immer SSL-verschlüsselt übermittelt und so vor dem Zugriff von Dritten geschützt“, erklärt die Initiative auf ihrer Homepage. Zudem gibt es ausführliche Anleitungen für alle, die Programme wie Outlook oder die vom Smartphone-Hersteller vorinstallierten E-Mail-Anwendungen nutzen.

Im Prinzip geht es darum, in den Account-Einstellungen sicherzustellen, dass SSL oder STARTTLS aktiviert ist (meist durch ein Häkchen in der entsprechenden Checkbox) und die Einstellung eines SSL/TLS-fähigen Ports, zum Beispiel 465, 587, 993 oder 995. Der häufig verwendete Standard-Port 143 kann aber auch beibehalten werden, da in der Regel der gleiche Server dahinter kommuniziert. Viele Anwender werden feststellen, dass die Verschlüsselung von Haus aus eingestellt ist. Ein Kontrollblick kann jedoch nicht schaden.

Laut einer Studie von Convios Consulting decken GMX, Web.de und T-Online rund zwei Drittel der in Deutschland genutzten E-Mail-Adressen ab. Mit ihrem Vorstoß grenzt sich die Initiative auf ihrer Homepage werbewirksam von anderen Anbietern ab: „Das Versenden zu anderen E-Mail-Anbietern wie Google, Yahoo oder Microsoft ist selbstverständlich weiter möglich, hier können aber weder die sichere Übertragung noch die Datenverarbeitung in Deutschland sichergestellt werden.“ Was nicht genannt wird: Nutzer der genannten Dienste haben genauso die Möglichkeit, die sichere SSL-Transportverschlüsselung zu nutzen.

Unverständnis über Verschleppung

Der Chaos Computer Club (CCC) begrüßte zwar den Vorstoß, fragte aber kritisch, warum die Technologie, die immerhin seit Ende der 1990er Jahre existiert, nicht schon seit Jahren Anwendung finde: „Was bei Konkurrenten schon seit Jahren zum Standard gehört – eine erzwungene Verschlüsselung beim Zugriff auf das eigene E-Mail-Konto –, wird nun werbewirksam als technologischer Vorstoß und Novum verkauft.“

Was ebenfalls verschwiegen wird: SSL ist lediglich eine Transport-Verschlüsselung und erschwert etwa das Abhören des E-Mail-Verkehrs in einem WLAN-Netzwerk. Einen vollständigen Schutz gegen die Bespitzelung durch organisierte Überwachung etwa durch Geheimdienste bietet die Technologie nicht, da die E-Mails auch weiter unkodiert auf Servern und dem Heim-PC liegen. Hier empfiehlt der CCC zusätzlich eine Ende-zu-Ende-Verschlüsselung via GnuPG/PGP oder S/MIME als sinnvolles Mittel, um Fremdzugriffe auf E-Mails zu verhindern.