SECURITY - User sorglos trotz Emailüberwachung

TKÜV interessiert die meisten nicht

Seit Anfang des Jahres bekommt der Verfassungsschutz auf Wunsch Zugriff auf die Emailkommunikation, die über die großen deutschen Anbieter geht, und man sollte meinen, die "Szene", wie es so schön heisst, sei für Überwachung und Abhörschnittstellen sensibilisiert. Und so werden viele staatliche Maßnahmen auch im gulli:board exzessiv diskutiert, gerne werden auch die Illuminaten und die Weltverschwörung thematisiert, die uns bereits alle permament überwachen und hirnwaschen, erstaunlicherweise wird trotz aller Paranoia und allem Misstrauen gegenüber staatlichen Stellen an einer recht vitalen Ecke mit der Vorsicht erstaunlich gespart. Die Existenz von Überwachungsschnittstellen ist kaum bekannt, mit völlig unwirksamen Mitteln ("Ich hab falsche Adressdaten angegeben, ich bin anonym") glauben gar manche User, die heutigen rechtlichen und technischen Möglichkeiten überlisten zu können.
Seit dem ersten Januar 2005 gilt die neue Fassung der TKÜV, die große Anbieter digitaler Kommunikationsdienste dazu verpflichtet, für Institutionen wie den Verfassungsschutz Abhörschnittstellen beispielsweise für den Email - Verkehr einzurichten. Dass sich so niemand richtig dafür zu interessieren scheint, spiegelte sich auch auf dem gulli:board wieder. In Anbetracht dessen, dass auf der Wunschliste der User für Mailprovider vor allem Faktoren wie großes Postfach, gute Erreichbarkeit, Spamschutz und zuvorderst pop3-Abruf genannt werden und Anonymität bzw. erschwerter Zugriff seitens der Behörden selten genannt werden (oder bei guten anderen Leistungen offenbar biligend in Kauf genommen werden), scheint Information über Anonymität und Überwachbarkeit beim Emailverkehr durchaus von Nöten zu sein.
Anbieter von Kommunikationsdienstleistungen mit mehr als 1000 Kunden sind dazu verpflichtet, entsprechend dem Verfassungsschutz Lauschzugriff auf die Nutzerkommunikation einzurichten. Dies führte schon zu Veränderungen im Anbietermarkt, da die entsprechenden Lösungen von den Anbietern selber finanziert werden müssen und entsprechend teuer sind. In der Folge davon wurde die deutsche Version der Webmail-Software Hivemail anläßlich der TKÜV eingestellt. Die notwendige Überwachungsschnittstelle ist Hivemail zu teuer zu implementieren. (vgl. hivemail.de). In der c't 26/2004 wurden Vermutungen geäußert, dass um die Hälfte der kleinen und mittleren Provider durch die TKÜV in die Insolvenz geschickt werden (S. 100ff.).
Vollständig ist nicht geklärt, wer unter diese 1000-Kunden-Grenze fällt: muss ein Anbieter, der 800 Reseller hat, die wiederum jeweils 800 Usern Maildienste anbieten, überwachen (lassen)? Stand der Dinge: nein. Ein Freemailanbieter in Deutschland mit 1001 Usern ist jedoch in der Regel von Rechts wegen verpflichtet, dem Verfassunsgschutz eine Abhörschnittstelle zur Verfügung zu stellen, mittels der die Mailkommunikation der User zeitnah und unbemerkt überwacht werden kann.Klar ist beispielsweise weiterhin, dass der Betreiber eines eigenen Mailservers mit 20 Adressen nicht überwachen (lassen) muss. Ein kleines Hostingpaket bei 1und1 mit 10 Mailadressen hingegen wird überwacht werden können, da hier 1und1 der eigentliche Anbieter der Maildienste ist - mit im ganzen deutlich über 1000 Kunden.
Große Anbieter wie 1und1, Freenet und Strato haben ihre Abhörschnittstellen inzwischen eingerichtet. Deutsche Firmen wie web.de räumen in ihren AGBs ein, eine "Überprüfung des Inhalts der empfangenen und gesendeten sowie auf dem Server gespeicherten E-Mails nur auf Grundlage der gesetzlichen Regelungen" durchzuführen. Entsprechende gesetzliche Regelungen sind inzwischen in Kraft.
Zu Sinn und Unsinn dieser Verordnung, welche Kriminelle, die sich ohnehin auf starke Kryptografie wie PGP verlassen und/oder gleich außereuropäische Mailhoster oder eigene Server verwenden, muss man sich kaum streiten. User, die ihre Privatsphäre beim Mailen wahren wollen und nicht sofort mit PGP auffahren wollen, sollten sich jedoch in Zukunft entsprechende Gedanken beim Wahl ihres Mailproviders machen. Hier wollen wir einen - völlig unvollständigen - Überblick über einige von der TKÜV nicht direkt betroffene Anbieter geben und einige Beispiele für die völlig unterschiedliche Datenherausgabe-Politik geben. Der interessierte User sollte sich danach leichter für seine Auswahlkriterien und dann für den neuen Anbieter seiner Wahl entscheiden können.

Verschlüsselnde Anbieter

Hushmail

Funktionsweise: Hushmail verfolgt einen sehr interessanten Ansatz, der von vorneherein darauf ausgelegt war, dem TKÜV - Äquivalent in den USA, Carnivore, keinen Zugang zu den Mailinhalten zu geben. Konsequenterweise wird der Kontakt zur Webseite ausschließlich verschlüsselt per https geführt. Hushmail arbeitet mit DSA nach Diffie/Hellmann, wobei der öffentliche wie auch der geheime Schlüssel auf den Servern von Hushmail abgelegt sind. Kryptopuristen werden bei diesem Ansatz mit den Zähnen knirschen, sollte doch der private Schlüssel geheim gehalten werden. Hushmail verschlüsselt dafür die Passphrase, mit der der geheime Schlüssel angewendet werden kann, clientseitig per Java. Wer sich die technischen Details näher ansehen will, findet in diesem PDF-Dokument die detailierte Erklärung zum Hushmailsystem.
Mit anderen Hushmail-Usern kommuniziert der User mittels 2048-Bit-DSA-Verschlüsselung. Ein Angriff auf die Passphrase ist denkbar, dürfte aber bei gut gewählter Passphrase vergleichsweise schwierig sein. Kommuniziert man unverschlüsselt mit anderen Usern, fällt dieser Vorteil weg - die Mail wird wieder zum Postkartenäquivalent, welches von jeder Stelle zwischen Sender und Empfänger gelesen werden kann. Ist der Empfänger bei einem der TKÜV unterworfenen Anbieter, besteht prinzipiell wieder die Möglichkeit der Überwachung.
Features: Im kostenlosen Account inbegriffen sind ein 2 MB großes Postfach (32 MB für $2,49/Monat), dieses jedoch mit der Möglichkeit zur sicheren Verschlüsselung, welche sich explizit gegen das Carnivore - System der US - Regierung richtet. Verwendet man die Verschlüsselung, können selbst die Hushmail-Mitarbeiter selber die Mail nicht lesen. POP Acces gibt es keinen, IMAP ist kostenpflichtig, per POP3 - Sammeldienst können jedoch externe Postfächer abgehoöt werden.

Zusammenfassung: Der konsequenten Verschlüsselung mittels PGP auf dem heimischen Rechner ist Hushmail natürlich unterlegen. Für Hushmail spricht jedoch, dass sie mit einer eher geringen - und unumgänglichen - Sicherheitseinbuße ein von überall her einfach nutzbares Kommunikationssystem anbieten, welches spätestens bei der Kommunikation von zwei Hushmailusern untereinander eine Überwachung extrem aufwändig macht.

Infos: https://www.hushmail.com/help-faqs
Anmeldung: https://www.hushmail.com/login-signup

SAFe-mail

Funktionsweise: SAFe-mail arbeitet intern mit asymmetrischer Verschlüsselung, wenngleich die Details im Vergleich zu Hushmail eher knapp beschrieben werden - den Usern wird neben ihren public/private Keypaaren auch noch ein digitales Zertifikat ausgestellt, mittels der sie die Echtheit ihrer Mailadresse nachweisen können. Die Kommunikation läuft komplett über https (Webmail) oder ssl (pop3/IMAP/SMTP) verschlüsselt ab. Spätestens beim Versenden an eine externe Mailadresse stellt sich wieder das Problem, dass spätestens dort Informationen im Klartext vorliegen.
Features: Kostenlos erhält der User ein 3 MB großes Postfach, welches er per Webmail, pop3 oder IMAP und SMTP benutzen kann.

Zusammenfassung: Die interne Verschlüsselung wird weniger klar erläutert als bei Hushmail. Weiterhin behält sich SAFe-mail vor, gegebenenfalls mit den Behörden zu kooperieren - dass die TKÜV bei einer israelischen Firma angewendet wird, ist zwar nicht zu erwarten, dennoch gefällt hier Hushmails klar gegen Carnivore gerichtete Philosophie besser. Die Probleme bei der unverschlüsselten Kommunikation mit Dritten bestehen bei SAFe-mail wie bei allen anderen Providern auch.

Infos, Signup und Privacy: http://www.safe-mail.net

Nicht verschlüsselnde Anbieter

bigmailbox.com

Allgemeines: Bigmailbox soll hier weniger als anonymer Mailanbieter vorgestellt werden, sondern als Beispiel für ein Vertriebsmodell für Mailaccounts, welches große Verbreitung besitzt, dessen Auskunftsfreudigkeit dabei jedoch übersehen werden könnte. Als reiner Webmailanbieter mit 4 MB Platz dürfte er für ernsthafte Schreiber weniger interessant sein. Bigmailbox.com bietet sowohl selber Emailaccounts an als auch Partnerprogramme für Webmaster, die ihren Usern wiederum eigene Mailaccounts anbieten wollen. Ergebnis ist eine Reihe von freien Emailprovidern, welche unter unterschiedlichsten Namen Mailaccounts von bigmailbox.com vermitteln. Unter den Anbietern sind Namen wie 37.com, music.com, eminemfans.com oder vitalogy.org.
Funktion und Privatheit:bigmailbox.com ist ein rein webbasierter Emailanbieter. Benutzerdaten und -profile können an Dritte weitervertrieben werden, die Profile werden auch von bigmailbox selbst zum gezielten Werben verwendet. Features: 4 MB Mailspeicher, weder pop/IMAP noch SMTP.
Zusammenfassung: Man gibt die Rechte an den eingegebenen Daten bei der Anmeldung weitestgehend auf. Beginnend mit anonym eingeblendeter zielgruppenspezifischer Werbung, stimmt man im Folgenden auch der Weitergabe aller personenbezogenen Daten zu, die man angegeben hat. Auf unsere Anfrage, ob und wie gesetzliche Stellen unter Berufung auf welches Recht an Benutzerdaten und Mailinhalte kommen könnten, wurde in der Antwort zwar eingeräumt, dass direkt keine Daten herausgegeben werden könnten - "...however we do comply fully and swiftly to every request submitted by an officially recognized legal entity." Die "offiziell anerkannten legalen Institutionen", deren Wünschen gern und vollständig entsprochen wird, müssen sich vermutlich nicht auf die USA beschränken. Diesbezüglich dürfte mit dem Angebot von bigmailbox.com vor allem deutlich werden, wie wichtig es inzwischen ist, die entsprechenden Privacy/Security - Informationen der Anbieter genau zu lesen.

Infos mit umfangreicher Liste an Daten, die von bigmailbox.com weitergegeben werden: http://www.bigmailbox.com/privacy.html
Anmeldung: http://www.bigmailbox.com

gawab.com

Allgemeines: gawab.com bietet seit über 4 Jahren Mailadressen an und kann so als etablierter Anbieter gelten. Mit über 2 Millionen Usern verfügt er über einen ernstzunehmenden Kundenstamm und bietet sowohl für einzelne User wie auch für Webmaster Emailaccounts und -dienste an.
Funktion und Privatheit: gawab.com bietet sowohl Webmail als auch pop3/SMTP - Mailboxen kostenlos an. Die Privacyvereinbarung beinhaltet die Nichtweitergabe der Userangaben, die ausschließlich anonym ausgewertet und für entsprechende Werbung durch gawab.com selbst genutzt wird. Auf Antrag werden Benutzerdaten den Behörden zugänglich gemacht. Rechtlich bindend ist diese Erklärung nur für die US-amerikanischen Behörden.
Features: 1001 MB im Webmail-, 15 MB im pop3/SMTP-Account.

Privacy Statement: http://www.gawab.com/webfront/main.php?doc=privacy
Anmeldung: http://www.gawab.com/

hotPOP

Allgemeines: Auch HotPOP ist bereits seit 1998 am Markt und kündigt explizit an, auf Kontinuität zu setzen. Über Werbung finanziert können die Benutzer pop3/SMTP - Accounts gratis nutzen.
Funktion und Privatheit: HotPOP gibt keine persönlichen Informationen an Dritte weiter, wenn es ihnen nicht ausdrücklich erlaubt wurde. Sie treten als "Mittelsmann" zwischen Usern und Werbekunden auf - userbezogene Werbung wird eingeblendet, entsprechende Profile aber nur bei ausdrücklicher Genehmigung durch die User weitergegeben. Rechtlich behalten sich HotPOP die Möglichkeit vor, Daten weiterzuleiten, wenn dies "gesetzlich vorgeschrieben" ist. Dies bezieht sich auf die US - Gesetzgebung. HotPOP scheinen Wert auf die Aufklärung ihrer User in Bezug auf ihre Persönlichkeitsrechte und Datenschutz zu legen: als einzige hier betrachtete Seite weisen sie beispielsweise auf die Seiten der Electronic Frontier Foundation und anderer Bürgerrechtsgruppen im Netz hin.
Features: 10 MB im pop3/SMTP-Account, Mailgröße 500kB max., Möglichkeit zur Nutzung verschiedener Aliasse

Privacy Statement: http://hotpop.com/privacy.jsp
Anmeldung: http://hotpop.com/signup.jsp

Abschliessendes

Nachdem flächendeckend bei den großen deutschen Mailanbietern Überwachungsschnittstellen eingepflegt wurden, scheint es angebracht, sich für manche vertrauliche Kommunikation Mailanbieter anzuschaffen, welche einerseits nicht zum Abhören durch deutsche Institutionen verpflichtet sind und weiterhin Wert auf ihr Image als vertrauenswürdige Hüter der Kommunikation ihrer User legen. Optimal sind hierbei natürlich Anbieter, die es dem User leicht machen, selbst den Zugriff des Dienstbetreibers selbst von vorne herein zu unterbinden. Die paranoideren unter den Usern werden sich weiterhin mit der Zeit Gedanken machen, inwieweit sie ihre eigene Anonymität dadurch gefährden, indem sie mit leicht zu überwachenden Usern per Email kommunizieren. Für diese Anlässe eine sichere Mailbox zu haben, könnte mit der Zeit eine immer bessere Idee werden.
Entsprechend sollte man sich einerseits nichteuropäische Anbieter aussuchen, deren Privacystatements wenig Interesse an der Zusammenarbeit mit ausländischen Behörden erkennen lassen. Dabei darf man neben den entsprechenden Erklärungen weitere Statements nicht ausser Acht lassen - ein Anbieter, der die Sicherheit der Kommunikation seiner User beteuert, aber auf der anderen Seite bereitwillig Informationen an Werbetreibende verkauft, wird wenig glaubwürdig sein.
Es ist zuletzt zu raten, dass man sich sich in den Feedbackbereichen der Anbieter umtut - beispielsweise eo.yifan.net als chinesischer Anbieter wäre zwar ein interessanter Kandidat für einen Mailanbieter, der sich wenig um deutsche Überwachungsverordnungen kümmern muss. Ausfälle, Spamprobleme und fehlender Support werden aber im entsprechenden Forum diskutiert und raten zum frustrationsvermeidenden Weitersuchen nach besseren Anbietern.
Dass grundsätzlich aber schlicht eine weitere Verbreitung von PGP bzw. GnuPG auf den heimischen Rechnern wünschenswert wäre, um den Datenhunger der Ermittler zu bremsen, scheint kaum umstritten.
Wir werden in dieser Reihe in Zukunft in loser Folge die Privacy- und TKÜV - Strategien der großen Mailprovider vorstellen. Bis dahin wünschen wir sicheres Mailen.(Quelle:Gulli.de)