TLS: Etwa die Hälfte des über Gmail laufenden E-mail-Verkehrs unverschlüsselt

Google setzt sich für einen sicheren E-mail-Verkehr ein. Das ist ja eigentlich eine gute Nachricht. Im kürzlich veröffentlichten Transparenzreport wird präsentiert, wie sicher eigentlich der Versand von E-mails von Gmail an andere Provider und vice versa auf dem Transportweg ist, also: Welche anderen Provider Transportschichtsicherheit (Transport Layer Security, TLS) anbieten. Zum Stichtag der Untersuchung, dem 29. Mai 2014, waren 69% der von Gmail ausgehenden Mails auf dem Übertragungsweg verschlüsselt, von den eingehenden Mails waren es 48% – weltweit. Auf der Seite lassen sich auch die Daten in verschiedenen Zeiträumen ansehen und vergleichen.

Interessanter ist zu sehen, welche Anbieter ihren E-mail-Verkehr mit TLS sichern. Dazu hat Google die häufigsten mit Gmail interagierenden Anbieter ausgewertet, und kommt zu folgender eigentlich relativ positiv wirkender Übersicht:

Bildschirmfoto vom 2014-06-04 12:11:05.png

Von den häufigsten Anbietern, die Mails an Gmail schicken, liegen immerhin die Hälfte im Grünen Bereich, und sieben der Top Ten Provider, an die Gmail Mails sendet, liegen über 90% bei der TLS-Verschlüsselung. Das stellt sich etwas anders dar, wenn man die regionale Auswahl von ‚Welt‘ auf ‚Europa‘ umstellt:

Bildschirmfoto vom 2014-06-04 11:05:45.png

Die häufigsten Absender, die mit Gmail interagieren, sind vollkommen unsicher, genauso wie die Top-Sieben Empfänger Provider. Auf der Website des Transparenzberichts kann man übrigens selbst einen Provider eingeben und schauen, wie es um den bestellt ist.
Erwartungsgemäß schneiden die Anbieter von E-mail made in Germany wie Web.de oder GMX an dieser Stelle sehr gut ab, sie haben ja auch genügend damit geprahlt, jetzt Verschlüsselung während der Übertragung einzusetzen. Generell ist jedoch offenbar ein Großteil der über Gmail laufenden E-mail-Kommunikation nicht einmal über den Transport verschlüsselt.

Wir haben geschrieben, dass eine solche SSL/TLS Verschlüsselung eigentlich Standard sein und nicht als Sicherheits-Extra gepriesen werden sollte. Das Problem liegt woanders, und zwar noch immer in der unzureichenden Ende-zu-Ende-Verschlüsselung der meisten E-mail-Nutzer.

Auch hier schaltet sich Google ein und möchte eine Gratis-Extension für Chrome entwickeln, die Ende-zu-Ende-Verschlüsselung mit OpenPGP-Standard vereinfachen soll. Den Quell-Code hat Google jetzt veröffentlicht, damit er gemeinschaftlich auf Bugs und Angriffspunkte untersucht werden kann. Zur offiziellen Benutzung ist die Erweiterung nicht freigegeben, wovor auch eindrücklich gewarnt wird – Nutzer sollen sich nicht in falscher Sicherheit wiegen.

3 Ergänzungen

  1. Sollte ich mir Gedanken machen, wenn ich (außer ebay & yahoo) keinen einzigen der europäischen kenne? :-D

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.