Die Initiative „E-Mail made in Germany“ verspricht verschlüsselte E-Mailkommunikation für jeden. Doch wer nicht aufpasst, kommuniziert nicht lückenlos sicher.

Einige der größten E-Mailanbieter GMX, Web.de, T-Online, 1&1, Strato und Freenet wollen verschlüsselte E-Mails für jedermann zugänglich machen. Hierfür gründeten sie die Initiative E-Mail made in Germany. Mit ihr sollen Verbindungen zwischen den Anbietern seit 2014 nur noch verschlüsselt stattfinden.

Doch so ehrenhaft das Vorhaben auch ist, in der Praxis existieren noch einige Unzulänglichkeiten, die das Sicherheitsniveau der Initiative in Frage stellen.

Eine schon länger bekannte Einschränkung bei E-Mail made in Germany ist, dass es sich lediglich um eine Transportverschlüsselung handelt. Bei der Transportverschlüsselung wird die E-Mail zwar verschlüsselt zwischen Client und Server bzw. Server und Server übertragen, wird jedoch unverschlüsselt auf dem Server des Anbieters (zwischen)gespeichert und ist somit an dieser Stelle einsehbar. Anders wäre es bei einer Ende-zu-Ende-Verschlüsselung, bei der der Inhalt komplett vom Sender bis zum Empfänger verschlüsselt gehalten wird. Diese Option bieten einige Anbieter zwar - jedoch nicht als Standardoption.

Aktuell berichten Sicherheitsexperten jedoch über ein weiteres Risiko, welches darin liegt, dass aktuell auf den Standard-Loginseiten nur eingeschränkter Sicherheitsschutz geboten wird. Konkret heißt das, dass der Kunde auf der Standardseite auf einer unverschlüsselten http-Seite statt auf einer sichereren https landet.
Wer sich auf einer ungesicherten http Seite über das Formular einloggt, setzt seine Daten dem Risiko aus, dass sie unverschlüsselt an den Server übertragen werden und somit angreifbar sind.

Es gibt für die verschiedenen Anbieter zwar alternative Seiten, über die Kunden sich auch gesichert anmelden können, diese sind jedoch nicht die Standard-Seiten und für den Normalverbraucher schwer zu finden. Darüber hinaus ist es als kritisch zu sehen, wenn vorausgesetzt wird, dass der Nutzer sich mit der Sicherheit und Technologie auseinander setzen muss. Sicherheitssoftware sollte so einfach sein, dass der Nutzer ohne Mehraufwand oder besondere Kenntnisse vollständig gesichert ist.