Sicherheitsmängel beim Online-Brief entdeckt

Grund sei, dass die elektronische Post bei der Weiterleitung durch das Internet nicht durchgängig verschlüsselt sei. "Die Sicherheitslücken sind nicht zu übersehen", sagte Thomas Lapp, Anwalt und IT-Experte der Bundesrechtsanwaltskammer der Zeitung.

De-Mail wird kurz entschlüsselt

Auf den Servern würden die Mails aus technischen Gründen kurz entschlüsselt und sofort wieder verschlüsselt. In diesen Momenten sei es theoretisch möglich, die De-Mail zu kopieren oder zu manipulieren - wenn es, wie in der Vergangenheit schon vorgekommen, Hackern gelänge, in die Server der Anbieter einzudringen. Das System funktioniere wie ein Brief, der bis zu zweimal unterwegs geöffnet und in ein neues Kuvert gesteckt werde, sagte Lapp. "Das Versprechen, so sicher wie ein Brief zu sein, wird damit nicht eingehalten."

Die Deutsche Telekom bestätigte, dass De-Mails kurz geöffnet werden. "Im De-Mail-System werden die Mails für den Bruchteil einer Sekunde auf den Servern der Provider entschlüsselt und sofort wieder verschlüsselt und dann weitergeschickt", sagte Gert Metternich, Projektleiter der Telekom, der Zeitung. Dies geschehe aber auf Servern, die staatlich überprüften Sicherheitsstandards entsprächen und abgeschottet seien. "Insofern haben wir überhaupt keine Bedenken, dass die De-Mails nicht sicher sind."

Die Konkurrenz: Der "E-Postbrief"

In Konkurrenz zu De-Mail hatte die Deutsche Post Mitte Juli einen eigenen "E-Postbrief" vorgestellt, nachdem sie aus dem von der Bundesregierung unterstützten Projekt nach anfänglicher Mitarbeit ausgestiegen war.

An dem Projekt sind die Deutsche Telekom und die Mail-Anbieter Web.de und GMX beteiligt. Auch die Deutsche Post war zunächst dabei, stieg aber aus und startete vergangene Woche ihren eigenen Internet-Brief. Dieser kann theoretisch bereits verschickt werden. Allerdings sind Online-Briefe noch nicht in allen Fällen rechtssicher, etwa bei der Zustellung amtlicher Schreiben oder dort, wo persönliche Unterschriften nötig sind. Hier müssen noch Gesetze verabschiedet werden. Die Konkurrenten der Post starten 2011 und vergeben bislang nur Mail-Adressen.

GMX und Post weisen Sicherheitsbedenken zurück

GMX wies Bedenken zurück. "Diese angebliche Sicherheitslücke sehen wir nicht, das System ist mit dem Bundesdatenschutzbeauftragten abgestimmt", sagte GMX-Sprecher Holger Neumann. Auch der Branchenverband Bitkom hält Bedenken für "unbegründet".

Die Deutsche Post sieht bei ihrem Verfahren ebenfalls keine Probleme. "Unsere Sicherheitsstandards sind höher als im Gesetzentwurf vorgesehen", sagte Post-Sprecher Uwe Bensien. "Es werden keine Inhalte unverschlüsselt abgelegt."

Sicherheitsexperten: Online-Brief vor Zugriffen schützen

Sicherheitsexperte Uwe Mansmann von der Computerzeitschrift "c't" riet Computer-Nutzern, die ihre Online-Brief vor jeglichem Zugriff schützen wollten, diese zusätzlich auf ihrem Rechner zu verschlüsseln. Die Technologie hierfür gebe es schon lange, werde aber kaum genutzt. Grund sei, dass die Verfahren vergleichsweise kompliziert seien.

Bei dieser sogenannten End-to-End-Verschlüsselung verfügen nur Sender und Empfänger über den Schlüssel für die Nachricht. De-Mail erlaubt eine solche Verschlüsselung zusätzlich zur Transportverschlüsselung durch den Anbieter. Die nötige Software hierfür gibt es kostenfrei im Internet.