GMX und Web.de planen Verschlüsselung für alle

Heise berichtet mit Verweis auf dpa, dass United-Internet (Unternehmen hinter GMX und Web.de) an einer Ende-zu-Ende-Verschlüsselung arbeitet: GMX und Web.de: Web-Mail-Dienste wollen Verschlüsselung für alle.

Die United-Internetgruppe, die unter anderem die E-Mail-Anbieter Web.de und GMX betreibt, will bis Ende des Jahres „Ende-zu-Ende-Verschlüsselung massenmarktfähig machen.“ Das erklärte deren Geschäftsführer Jan Oetjen gegenüber der dpa. Seinen Angaben zufolge haben seine Dienste hierzulande 34 Millionen Nutzer. Details zu den Verschlüsselungsplänen habe er nicht genannt, aber eingestanden, „es wird eine große Herausforderung sein, Dienste mit einer einfachen Nutzung dafür anzubieten.“ Trotzdem arbeite man daran, weil Datenschutz und Verschlüsselung im Zuge der Snowden Enthüllungen deutlich wichtiger geworden seien.

Danke Edward Snowden! Bisher bieten in Deutschland kleine e-Mailanbieter wie mailbox.org oder Tutanota Ende-zu-Ende-Verschlüsselung an einen begrenzten Nutzerkreis an. Sollten GMX & Web.de dieses Jahr mit einer einfach zu nutzenden Verschlüsselung starten, könnte das Krypto für die Massen bringen.

Aber wie bereits bei Whatsapp muss man sich dann sicher im Detail anschauen, wie die Krypto funktioniert, wo der Schlüssel liegen und wer Zugriff auf die Schlüssel haben könnte.

20 Ergänzungen

  1. Da das die Hauptakteure bei DE-Mail sind, sollte mich das doch sehr wundern, wenn hier echte Ende-zu-Ende-Verschlüsselung gemeint wäre.

  2. Ist das sowas ähnliches wie pgp?
    Oder ist das ne cloudanwendung?
    und gibt es das nur für gmx und Web.de? Vielleicht zieht googlemail nach?
    Vielen Dank für den Tipp.

  3. Ende zu Ende Verschlüsselung? z.B. Tutanota:

    „dass eine Ende-zu-Ende-Verschlüsselung der Mails stattfindet. Dabei verwendet es weder PGP noch S/MIME, sondern ein eigenes [sic!], ähnliches Verfahren (Details im Blog), bei dem die privaten Schlüssel vom Passwort verschlüsselt auf den Tutanota-Servern gespeichert [sic!] werden.“

    Und wo hat Mailbox Ende zu Ende? Ich hab mal gehört, die würden das machen und meinen, ein privater Schlüssel auf einem gut gewarteten Server wäre besser gesichert als auf einem schlecht gesicherten privaten Rechner. Das hat natürlich viele Aspekte die man diskutieren kann. Gefunden auf deren Website hab ich das allerdings nicht und das Ende zu Ende zu nennen find ich auch SEHR irreführend.

    Und nun der verlinkte Artikel über Web.de/GMX, was soll man denn davon halten? Da steht doch überhaupt nichts sinnvolles drin wie die das bewerkstelligen wollen? Ok toll wenn die es wirklich ernst nehmen wollen mit dem Vershclüsseln, keine Ahnung ob es so ist, wenn sie es dann wieder scheisse implementieren und dadurch die krypto in Verruf bringen bringt es auch nichts, z.B.:

    „E-Mails könnten zwar Ende-zu-Ende verschlüsselt werden, aber wer Zugriff auf das Rechenzentrum hat – etwa auch ein Geheimdienst – könnte eventuell die Nachrichten entschlüsseln.“ Hä? Wiedermal so ein Heise-niveau Artikel

    Um Krypto für Email leichter zu machen, muss man
    A: endlich mal engimail etc. leichter bedienbar machen, das ist echt eine Pest für Leute die einfach ihre Emails verschlüsseln wollen
    B: PGP Verschlüsselung gleich in die Emailprogramme integrieren, einfach, übersichtlich, Anwenderfreundlich
    C: Email töten und neu auflegen, so wie z.B. Darkmail/DIME. Ein neues Protokoll das aber auch noch mit Email kommunizieren kann. Dann seh ich schon an der Emailadresse wie einfach ich mit jmd verschlüsselt sprechen kann.

    Wenn GMX und WEB es wirklich ernst meinen, und noch richtige technik suchen ist das natürlich ein gutes Zeichen nach da draussen und eine Chance, hoffenltich wird sie nicht versaut

    1. Um Krypto für Email leichter zu machen, muss man
      A: endlich mal engimail etc. leichter bedienbar machen, das ist echt eine Pest für Leute die einfach ihre Emails verschlüsseln wollen […]

      Verstehe ich nicht. Nach einmaliger, tausendfach im Web per Video und anfängergerechter Sprache dokumentierter Einrichtung gibt’s einen weiteren Knopf in Thunderbird/ Outlook, mit einem Klick darauf und anschliessender Eingabe Deiner Passphrase wird verschlüsselt.

      Gibt’s den Empfänger noch nicht in Deinem Schlüsselbund klickst Du auf Kleopatra, suchst den Empfänger damit auf allen möglichen, bereits vorgegebenen Keyservern und markierst diesen (den Empfänger). Das alles ist ebenso simpel wie das übliche Geklicke im Web und auch nicht schwieriger für Max Mustermann, als den hundersten Bildbetrachter von einer Computer-Bild-CD zu installieren.

      B: PGP Verschlüsselung gleich in die Emailprogramme integrieren, einfach, übersichtlich, Anwenderfreundlich

      Wo ist jetzt der große Unterschied zum Draufnageln eines simplen Add-Ons? Und warum sollten nun Mozilla oder Microsoft einen bereits vorhandenen OSS-Standard einpflegen? Da ist mir persönlich doch viel lieber, daß GnuPG/ PGP in den Händen bleibt, die im Bug- und Fehlerfall binnen weniger Stunden oder Tage korrigiert, als beispielsweise bei MS auf den nächsten Patch-Dienstag warten zu müssen.

      Was ich an all dieser Meckerei nie verstanden habe ist, daß jeder Hinz und Kunz in der Lage ist, auf jede Popel-EXE und drei Mal „Weiter“ zu klicken, für GnuPG/ PGP soll das aber nicht gelten. Mal ehrlich, wer mit diesen geringen Anforderungen nicht zu Rande kommt, der wird auch nie verschlüsseln — allein schon wegen der „Unbequemlichkeit“, eine Passphrase eingeben zu müssen respektive sich um seinen Schlüsselbund zu kümmern.

    2. @O Schreck, zu A: Wenns denn nur so einfach wäre ;-)
      Ich glaube du verlangst da etwas viel von deinen Mitmenschen. Ohne direkte Hilfe und ohne technische Kenntnisse oder/und Interesse, scheitern viele bereits an der Einrichtung. Ich glaube einmal eingerichtet, ist die Nutzung nicht mehr so schwierig, aber ohne Einrichtung keine Nutzung :-P
      Dazu kommen noch die Rahmenbedingungen: Die Leute müssen überhaupt erstmal verstehen, dass sie für Verschlüsselung selbst verantworlich sind und ihnen der Mail Provider nicht alles abnehmen kann. Dann muss ein Mail Client überhaupt erstmal genutzt werden, viele nutzen den Browser. Sowas wie Mailvelope gibs natürlich, aber das ist weitgehend unbekannt und muss ebenfalls eingerichtet werden. Dann muss der Key auch aufs Smartphone, Tablet und den Zweit-PC, immerhin sollen die Mails ja von überall abgerufen werden können. Ich weis nicht, ob die Standard Android/iOS eMail App überhaupt GPG kann, wenn nicht muss eine neue App her und und und und und…

      Das alles sind nur kleine bzw. mittlere Hürden, aber sie summieren sich und überfordern jeden, der alleine damit klarkommen musst und selbst kein Interesse an dem Thema hat.

      „Mal ehrlich, wer mit diesen geringen Anforderungen nicht zu Rande kommt, der wird auch nie verschlüsseln“
      Gering (in deinen und meinen Augen), aber immer zu hoch um es als Massenprodukt nutzen zu können. Und du hast recht, Leute die daran scheitern verschlüsseln einfach gar nicht. Die Frage ist nur, ob es das ist, was wir wollen.

      „“E-Mails könnten zwar Ende-zu-Ende verschlüsselt werden, aber wer Zugriff auf das Rechenzentrum hat – etwa auch ein Geheimdienst – könnte eventuell die Nachrichten entschlüsseln.” Hä? Wiedermal so ein Heise-niveau Artikel“
      Was genau ist daran falsch? Wenn die Privaten Schlüssel nicht beim Endnutzer liegen sondern beim eMail-Provider, können alle die Mail entschlüsseln, die Zugang zu den Rechenzentren des eMail Providers haben.

      1. Das Problem ist nicht dass die privaten Schlüssel im Rechenzentrum liegen, das Problem ist dass das Verschlüsseln/Entschlüsseln auf dem Client mit JavaScript passiert welches vom email-Provider ausgeliefert wird. Der Provider könnte also die JavaScript software anpassen die ausgeliefert wird und so an die Schlüssel gelangen…

      2. @justme2h: zum letzten Absatz, na die Sache ist einfach, dann ist es halt keine Ende zu ENde Verschlüsselung bzw. verdient diesen Namen nicht :)

  4. United-Internet hat mit Ihren Lockangeboten, DE-Mail-Spam und Werbeeinblendungen nur Abzocke im Programm, sollten die wirklich End-to-end verschlüsseln ist das 100% mit einem Lockangebot für Premium De-Mail verbunden. Hab von Web.de schon mehrfach Mails bezüglich meiner „Reservieten DE-Mail“ bekommen, einfach nur dreiste Methoden.

    1. Hast Du einen Vorschlag,w ie man aus der Ankündigung, dass man E2E-Verschlüsselung plant, kritischer berichten kann, als wir es gemacht haben? Also so, dass man keinen reflexartigen Schaum vor dem Mund hat und trotzdem in einer Kurzmeldung die wichtigen Punkte rüberbringt, die zum Gelingen des Vorhabens wichtig sind?

      1. Na zum Beispiel, empfiehlst du da mehr oder weniger einen Emaidienst (Tutanota) der die „End-zu-End“ Schlüssel auf dem Server mit den verschlüsselten Emails zusaemmn verschlüsselt und dann auch noch sagt, wir verschlüsseln nicht mit PGP sondern haben was eigenes(!), ein absolutes NOGO für Security!

      1. Komisch, bei mir funktioniert gpg gut. Bei meiner „rechnertechnisch“ unbedarften Frau auch. Falls es Probleme geben sollte, dann sind die mit denen der „Idee“ von GMX identisch. Warum also das Rad zweimal erfinden? Internet sollte Ideen teilen, aufnehmen und verbessern und nicht okkupieren. Man könnte sich ja einmal fragen, was GMX/WEB.DE bisher an den freien Standards und Programmen des Netzes verdient hat.

        Ich denke es gibt nur einen Grund für eine propritäre Lösung. Das ist für mich nicht relevant. Das bedeutet nur unnötige Arbeit für mich. Außerdem wird sich eine propritäre Lösung niemals durchsetzen. Mail im Browser ist nicht sicher.

        Aber vielleicht irre ich ja und die nehmen gpg. Oder geben den Source und die Nutzung frei. So könnte man rocken. Könnte, doch vorher friert wohl die Hölle ein.

  5. Ganz ehrlich frage ich mich schon viele Jahre was GMX, WEB.de, 1&1 und somit United-Domains hier auf dem Markt noch zu suchen hat? Ich denke jeder der sich auf deren Verschlüsselung verlassen würde, dem absolut nicht mehr zu helfen ist.

    Angefangen mit einem 386 er danach dann C64 und Amiga 500-3000 und schließlich dem 486er usw., kann ich mich fast an keine unseriöseren Firmen erinnern, wie die obigen aufgezählten, wobei ich aber bedenken muss, das AOL, Arcor/Mannesmann/Vodafone/Telekom/Peter Schlund/Yahoo/Lycos/O2 u.v.a. auch nicht viel besser waren oder sind.

    Falsche Rechnungen, kein Anschluss aber trotzdem abgebucht, Zehntausende von User mit irgendwelchen versteckten Clubmitgliedschaften drangsaliert (auch bei mir wurde in den vergangenen Jahren mehrmals versucht, mich irgendwie zur Clubmitgliedschaft zu zwingen), und nicht selten war das Passwort angeblich falsch, und sie wollten Geld für das anlegen eines neuen Passwortes, indem man nämlich eine völlig überteuerte Hotline anrufen sollte. Nach einer Flut von Beschwerden (das kann man übrigens fast jährlich beobachten), ging dann plötzlich das alte Passwort wieder.

    Ich war in Berlin einer der ersten 10000 GMX und WEB.de Kunden, aber da gehörten sie auch noch nicht dieser (selbst zensiert) ……….bande ;) Nachdem diese dann von UD übernommen wurden, konnte man von Jahr zu Jahr mehr zusehen, wie sie immer mehr nachließen und anfingen den Menschen empfindlich auf den Geist zu gehen. Nicht nur mit irgendwelchen angeblichen Virenwarnungen, mit sofort passender Kaufempfehlung für eine Software die absolut nichts taugt, sondern mit inzwischen unzähligen illegalen Aktionen, die man viel härter hätte bestrafen müssen.
    Falls hier jemand jetzt an Rufmord denkt, der sollte sich zuvor mal die letzten 10 Jahre mit denen genauer ansehen, denn das Internet steht randvoll mit genau meinen aufgezählten Geschichten. Das ist meine persönliche Meinung, und nicht nur das, nein, das sind auch meine Erfahrungen.

    Abgesehen von Freenet (die haben sich allerdings echt gebessert) habe ich in meinem ganzen Leben nicht so viele Spam-Mails erhalten wie von den obigen aufgezählten, und auch niemand versuchte mich dermaßen oft, in eine Kostenfalle zu locken.
    Zig Gerichte haben in dem vergangenen Jahrzehnt (und länger) genügend Gerichtsurteile gesprochen, und nicht selten hier oder da, wurde mal wieder ein Geschäftsführer entlassen, verhaftet, oder sie mussten sechsstellige Strafen bezahlen. Aber keine Sorge die Entlassenen tauchten sofort oder wenig später meistens wieder woanders auf, und machten fleißig weiter ;)

    Mir ist es ehrlich gesagt echt ein Rätsel wie solche Firmen (und noch zig andere) überhaupt noch auf dem Markt sein können, denn nach der damaligen und heutigen Gesetzeslage, müssten die alle schon komplett hinter Gitter sitzen. Aber Recht haben und bekommen, waren hier schon immer zwei verschiedene paar Schuhe ;)

    Also mir völlig schnuppe was die machen oder nicht.
    GMX und Web.de benutze ich nur noch für irgendwelche Foreneinträge oder Kommentaren wie diesen hier, und ansonsten können sie mich mal kreuzweise. Denen würde ich nie wieder eine persönliche oder geschäftliche Mail anvertrauen, nicht mal dann, wenn es die letzten Mailanbieter auf der ganzen Welt wären, und ich meine Mails per Fuß austragen müsste.

    Ich benutze jetzt seid sehr vielen Monaten Posteo, und obwohl ich eBay und viele andere Seiten darüber laufen lasse, kann ich euch genau sagen wie viel Spam ich seitdem erhalten habe: 0
    Ja richtig gelesen, nicht eine Mail die nicht auf mein Konto gehörte, und ich vermisste bis heute auch noch keine Mail die fälschlicher Weise aussortiert wurde.

    Wenn ich schon lese das 34 Millionen von 80 Millionen Deutschen bei UD angeblich eine Mailadresse besitzen sollen, dann rollen sich mir nicht nur die Fußnägel hoch, sondern dann erinnere mich mich auch an Werbekampagnen in denen zB UD angab, das sie Marktführer in Sachen Mails und dem Internet werden wollen. Für mich ist UD nichts weiter als ein schmarotzender Virus, denn nun ist die Arbeit mit der Telekom anscheinend beendet, und schon kleben sie den anderen Anbietern an den Hacken :)

    Schade das so viele Menschen UD und dessen Tochtergesellschaften überhaupt noch unterstützen, aber das ist ja in Deutschland bekannt. Egal wie bescheuert, unehrlich und gefährlich eine Firma/Internetseite/Telefonanbieter ist, wir machen trotzdem mit… Schließlich sind die anderen ja auch bei Facebook ;)
    Ganz egal ob Firmen schon dabei erwischt wurden das sie zB Daten weiterverkauften, oder an ausländische Behörden schickten (siehe zB Vodafone oder auch die Telekom und unsere tolle Bundeskanzlerin), wir unterschreiben trotzdem den Vertrag. Schließlich gibt es ja noch ein tolles Handy/Tablet dazu, was nicht weniger ausspioniert, als der Anbieter selbst :)

    Tut mir echt leid das meine Meinung nicht besser ausfiel, aber ich bin inzwischen fast 50 Jahre alt und mache diesen Mist nun über 2 Jahrzehnte mit.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.