Sicherheitsreport 2015

Seit den Enthüllungen von Edward Snowden hat sich in Sachen Verschlüsselung eine Menge getan – insbesondere im Bereich der elektronischen Kommunikation. Wie sicher E-Mail-Provider inzwischen sind, zeigt der heute erstmals vorgestellte Sicherheitsreport von mailbox.org. Wir haben über einen Zeitraum von 7 Tagen alle Verbindungen unserer Server analysiert. Das Resultat: Zwar konnte mailbox.org bereits rund 86 Prozent aller Kunden-Mails über verschlüsselte Verbindungen an andere Anbieter zustellen, gleichzeitig trafen jedoch weniger als 60 Prozent der E-Mails anderer Anbieter bei mailbox.org auch auf verschlüsselten Verbindungen ein.

Immerhin: Die Anzahl der E-Mails, die mailbox.org auf verschlüsseltem Weg an Andere zustellen kann, hat sich seit den ersten Stichproben mehr als verdoppelt: Deren Anteil lag Anfang 2014 noch bei lediglich 40 Prozent. Sehr enttäuschend ist allerdings, dass noch weniger als ein Prozent der Nachrichten über DANE-gesicherte Verbindungen – und damit wirklich abhörsicher – auf die Reise gehen. Hier herrscht akuter Nachholbedarf, denn lediglich vier der von mailbox.org-Servern kontaktierten E-Mail-Provider setzen diese Technologie bisher konsequent ein. Das DANE-Protokoll erweitert die Transportwegverschlüsselung SSL/TLS, sodass Dritte die Sicherheitszertifikate der Provider nicht mehr unbemerkt verändern können.

Insgesamt zeigt diese Analyse der Verbindungen zu anderen Providern aber, dass schon heute fast alle Provider gesicherten SSL/TLS-Versand anbieten. Somit sind aus unserer Sicht geschlossene Systeme wie ‘E-Mail made in Germany‘, das nur zwischen den beteiligten Provider wie  Freenet, GMX, T-Online und Web.de funktioniert, weder erforderlich noch sinnvoll. Es ist viel wichtiger, mittels DANE und DNSSEC die Qualität der SSL-Verbindungen anbieterübergreifend weiter zu erhöhen und so Manipulationen durch Dritte konsequent zu verhindern.

Unberechtigte Zugriffsversuche auf E-Mail-Konten sind längst keine Seltenheit mehr. Doch auch auf Nutzerseite nimmt offenbar das Sicherheitsbewusstsein weiter zu. Nachdem mailbox.org vor einem Jahr als erster Anbieter die Möglichkeit eines vollständig PGP-verschlüsselten Postfaches für seine Nutzer einführte, nutzen heute bereits 10 Prozent der Kunden diese ganz besondere Schutzmöglichkeit.

Vollständige Sicherheit vor Mitlesern bietet jedoch erst eine echte Ende-zu-Ende-Verschlüsselung durch die Nutzer selbst. Diese lässt sich über Open-Source-Software und E-Mail-Plugins schon heute einfach installieren, wie mailbox.org seinen Nutzern in Tutorials und Schulungs-Videos erklärt. mailbox.org arbeitet bereits an einer One-Klick-Verschlüsselung im Internetbrowser, um auch weniger technisch versierten Nutzern einen vollständig verschlüsselten E-Mail-Versand zu ermöglichen. Dieser Service wird voraussichtlich im zweiten Quartal 2015 verfügbar sein.

Unsere Analyse der Server-Verbindungen

Die folgenden Statistiken beruhen i.d.R. auf der Anzahl der Verbindungen pro Zielsystem. Über eine einzelne Verbindung kann dabei eine Mail auch an mehrere Empfänger gleichzeitig versandt worden sein. Es ist Geschmackssache, ob man E-Mails oder Verbindungen als Maßstab verwenden möchte; über die Menge aller Nachrichten wird sich dieser Unterschied jedoch statistisch vollends ausgleichen.

Zu beachten ist, dass die Betrachtung der Verbindungszahlen nicht identisch ist mit der Frage, wie viele Provider/Server welche Möglichkeiten anbieten oder nutzen. Ein großer Provider mit vielen Verbindungen wird bei Betrachtung der Verbindungszahlen naturgemäß großen Einfluss auf das Ergebnis haben, während ein einzelnes System mit wenigen E-Mails prozentual kaum Auswirkungen hat. Wir betrachten unten darum separat die SSL/TLS und DANE-Fähigkeiten aller gesichteten Server unabhängig vom jeweiligen Mailaufkommen.

Auffallend ist, dass der Anteil SSL/TLS-gesicherter Verbindungen eingehend deutlich geringer ist, als ausgehend.

Dies hat vor allem zwei Gründe:

1. Zusätzlich zum normalen Mailverkehr gelangen viele unverschlüsselte SMTP-Verbindungen aus dem Spamversand in die Statistik.
2. Auch der Newsletter-Versand von Unternehmen findet oft unverschlüsselt statt und führt zu einem erhöhten Satz eingehender unverschlüsselter Nachrichten.

Insofern ist es natürlich, dass der Anteil unverschlüsselter Verbindungen eingehend stets höher ist, als ausgehend.

Eingehend kann aus den Logfiles nicht verifziert werden, wieviele Verbindungen per DANE gesichert waren — diese Verifikation findet nur im Client statt. Unsere Server von mailbox.org sind für andere zu 100% DANE-validiert erreichbar. Wer diese Möglichkeit nutzt(e) ist für uns nicht erkennbar.

Rund 86 Prozent aller ausgehenden E-Mails wurden über eine SSL-/TLS-gesicherte Verbindung übertragen — ein starker Anstieg der klar auf die durch Edward Snowden ausgelöste öffentliche Diskussion zurückzuführen ist.

Doch die Freude ist getrübt: Weniger als 1 Prozent aller E-Mails wurden dabei wirklich abhörsicher durch eine DANE/DNSSEC-basierte Sicherung der SSL-Verbindung übertragen. Kaum ein bekannter Provider investiert hier in nachhaltige Sicherheit, nur mailbox.org, Posteo, mail.de und — positiv überraschend — Kabel Deutschland fielen hier positiv auf.

Rund 42 Prozent aller SSL-Verbindungen basieren sogar nur auf selbstsignierten, oder anderweitig nicht validierbaren SSL-Zertifikaten. So fanden wir auch bei Branchenriesen wie AOL, Vodafone und o2 Telefonica SSL-Zertifikate, die schlichtweg für den falschen Hostnamen ausgestellt worden sind (s.u.).

Während sich die bisherigen Zahlen auf die Anzahl der verschickten E-Mails bezog und so einige gute große Provider den statistischen Schnitt stark beeinflussen konnten, haben wir in einem zweiten Schritt das absolute aufkommen von SSL/TLS und DANE auf allen von uns kontaktierten Mailservern gemessen — unabhängig davon, wie viele E-Mails an die jeweiligen Mailserver gesendet wurden. Ein einzelner Root-Server geht damit genauso in die Statistik ein, wie ein Million-User-Provider.

SSL- und DANE-Fähigkeiten bekannter Provider

Ein deutliches Bild ergibt sich, wenn man sich die SSL- und DANE-Fähigkeiten der bekannten Provider anschaut…