Datensicherheit/Verschlüsselung bei mail.de
15:38 Uhr Verfasst von Norman Schulz
Aufgrund der aktuellen Enthüllungen des Whistleblower Edward Snowden ist das Thema "E-Mail Sicherheit" allgegenwärtig. Wir möchten Ihnen gerne einen kurzen Einblick in unsere Maßnahmen im Bereich der Datensicherheit und Verschlüsselung geben.
Viele Kunden sind seit dem Bekanntwerden der Abhörtechniken von US- und anderen Geheimdiensten wach gerüttelt worden und haben ein Bewusstsein für dieses sensible Thema entwickelt. Wir finden es erfreulich, dass die Datensicherheit sowie die Verschlüsselung mittlerweile eine andere Gewichtung bei der Auswahl des E-Mail Providers hat. Wir haben diesem Bereich von Beginn unserer Entwicklungsarbeiten an ein hohes Maß an Aufmerksamkeit gewidmet. Das lässt sich unter Anderem daran bemessen, dass die serverseitige Transportverschlüsselung bei uns seit vielen Jahren zum Einsatz kommt.
Hierzu wurde erst kürzlich von dem unabhängigen Portal Golem.de ein Artikel veröffentlicht:
http://www.golem.de/news/e-mail-provider-luecken-in-der-verschluesselungskette-1307-100429.html
Dem Artikel zufolge kann festgehalten werden, dass einige große, namhafte E-Mail Provider bis zum 17. Juli 2013 keine solche Verschlüsselung der E-Mail Kommunikation eingesetzt haben. Dem Testergebnis nach sind nur die Anbieter Arcor, Freenet und mail.de positiv aufgefallen.
Erfreulicherweise haben in der letzten Woche die Provider T-Online, GMX und Web.de in einer gemeinsamen Pressemeldung unter dem Motto "E-Mail made in Germany" bekannt gegeben, künftig diese Verschlüsselung zu unterstützen. Die mediale Aufmerksamkeit, die dieser PR-Meldung seitens der Journalisten erteilt wurde, haben wir jedoch mit ein wenig Verwunderung wahrgenommen - schließlich handelte es sich unserer Meinung nach um einen längst überfälligen Schritt.
Aktuell wird neben der serverseitigen Verschlüsselung in den Medien auch über den Einsatz von "Perfect Forward Secrecy" (kurz PFS) gesprochen. Durch den Einsatz von PFS wird gewährleistet, dass auch bei Verlust unseres geheimen Hauptschlüssels die per TLS verschlüsselte E-Mail Kommunikation nicht entschlüsselt werden kann.
Wir setzen PFS in unserer Systemarchitektur seit mehreren Monaten erfolgreich ein, jedoch mit der Einschränkung, dass Nutzer eines älteren Opera- und Firefox-Browsers (Opera <=12.15 und Firefox <=21) auf Grund derer veralteten Verschlüsselungstechnologie von uns keine PFS-Unterstützung erhalten. Wir empfehlen daher immer unseren Kunden, den aktuellsten Browser einzusetzen, um maximale Sicherheit und Leistung zu erhalten.
Weiterhin arbeiten wir derzeit an der Umsetzung, PFS auch für den POP3 und IMAP-Abruf einzusetzen, da in diesem Bereich ein Serverdienst von uns verwendet wird, welcher aktuell PFS nicht unterstützt. Wir arbeiten mit dem Hersteller bereits an einer Lösung, um auch diese Protokolle noch sicherer zu machen.
Über den nachstehenden Link haben Sie die Möglichkeit, den Einsatz von PFS unsererseits zu überprüfen:
https://www.ssllabs.com/ssltest/analyze.html?d=mail.de
Wie Sie sehen, nehmen wir das Thema Datenschutz und Verschlüsselung sehr ernst und arbeiten tagtäglich an der Verbesserung unserer Dienstleistung.
Neben der erwähnten, seit Jahren aktivierten Transportverschlüsselung bei ein- und ausgehenden E-Mails bieten wir natürlich noch weitere Sicherheitsfeatures wie beispielsweise die 3-Faktor-Authentifizierung, die Signierung aller ausgehenden E-Mails via DKIM oder die Möglichkeit den eigenen Loginnamen zu ändern.
Aufgrund häufig gestellter Fragen an unseren Support möchten wir gerne zusätzlich auf die folgenden Merkmale unseres E-Mail Dienstes verweisen:
- Die Serverarchitektur von mail.de basiert auf eigener Hardware. Es kommt keine Amazon/Google Cloud zum Einsatz
- Unsere Server sind in einem Hochsicherheitsrechenzentrum in Hamburg untergebracht (biometrische Zugangskontrollen, Kameraüberwachung, mehrfach redundante Stromversorgung, Notstromaggregate, automatische Feuerlöschanlage etc.)
- Wir setzen ausschließlich Ökostrom von "Hamburg Energie" für den Betrieb unserer Server ein
- Wir unterliegen dem Deutschen Datenschutzgesetz und haben uns durch die unabhängige Firma "Datatree AG" den ordnungsgemäßen & rechtskonformen Umgang mit sensiblen Daten bestätigen lassen
- Kundenpasswörter werden "gehashed" auf unseren Servern abgelegt und können nicht, auch von uns selbst nicht, entschlüsselt werden. Wird ein Passwort vom Kunden vergessen, kann dieses lediglich durch einen Freischaltcode neu vergeben und überschrieben werden.
Falls Sie weitere Fragen zur Sicherheit unseres Dienstes haben, sprechen Sie uns gerne per E-Mail (info@mail.de) an.