Menü
Demo anfordern

Das Sicherheitsproblem der E-Mail-Übertragung

Warum ist der E-Mail-Kanal so unsicher?

E-Mails werden vom E-Mail-Server des Absenders an den E-Mail-Server des Empfängers übertragen.

Eine Besonderheit der Übertragung zwischen diesen Servern (genauer - vom letzten E-Mail-System des Absenders zum Posteingangssystem (MX-Server) des Empfängers) liegt im Umgang mit der TLS-Verschlüsselung.

Während in anderen Anwendungsfällen, z.B.

  • zwischen E-Mail-Client und E-Mail-Server
  • zwischen Browser und Web-Server

der TLS-Client stets strikte Sicherheitsprüfungen durchführt, um sicherzustellen, dass die übertragenen Daten mit dem richtigen Server ausgetauscht werden, kommt zwischen E-Mail-Servern in den allermeisten Fällen nur das so genannte "Opportunistic TLS" zur Anwendung.

Dies ist historisch begründet und hat in der Praxis einen großen Vorteil: Auch bei technischen Problemen zwischen den beiden TLS-Implementierungen kann jede Mail zugestellt werden – zur Not auf einem niedrigeren Sicherheitslevel oder auch ohne TLS-Verschlüsselung.

Aus Sicherheitssicht gibt es dadurch aber mehrere große Probleme:

  • Es werden keine wirksamen Sicherheitsprüfungen durchgeführt (z.B. TLS-Zertifikatsprüfung, Check auf moderne kryptografische Verfahren).
  • Es werden Übertragungen an Empfänger-Server mit veralteter oder gänzlich ohne TLS-Verschlüsselung erfolgen.
  • Übertragungen an Empfänger-Server mit temporären technischen Problemen können, auch wenn dort normalerweise TLS verfügbar ist, ohne TLS erfolgen.
  • Potenzielle Angreifer („Man-in-the-Middle“) können vom Absender-System nicht erkannt werden, wenn sie sich selbst als vermeintlicher Zielserver ausgeben.

Daher ist die opportunistische Transportverschlüsselung nach Einschätzung der Datenschutz-Behörden auch keine ausreichende Sicherheitsmaßnahme für die Übertragung von personenbezogenen Daten (siehe hier).

Beim Vergleich mit der Browser-Welt wird schnell klar, dass trotz des gleichen Namens „Transportverschlüsselung“ große Sicherheitsunterschiede bestehen:

Obwohl zwischen E-Mail-Systemen die gleiche Verschlüsselungsart zum Einsatz kommt, wie zwischen Browser und Webserver, führen die E-Mail-Server untereinander standardmäßig keine Sicherheitsprüfungen durch und warnen den Nutzer auch nicht vor entsprechenden Problemen. Ob eine E-Mail beim Empfänger-System ankommt, ohne dass sie von Dritten gelesen wurde, ist damit reine Glückssache und für die Nutzer im Nachhinein nicht mehr nachvollziehbar.

Erhöhte Übertragungssicherheit durch angepasste TLS-Policy

Beim Begriff „Transportverschlüsselung“ muss also unterschieden werden. Die Sicherheitsprobleme des E-Mail-Kanals lassen sich mindern, indem anstelle der opportunistischen mit einer

gearbeitet wird.

Der Vorteil ist eine höhere Risikominderung, sodass laut Datenschutz auch Nachrichten mit normalen bzw. hohen Risiken über den E-Mail-Kanal übertragen werden dürfen:

Der praktische Nachteil bei der Umsetzung mit Standard-E-Mail-Systemen ist jedoch, dass dann ca. 1 % bzw. ca. 10 % Ihrer E-Mails wegen technischer Unzulänglichkeiten auf Empfängerseite nicht mehr zustellbar sind.

Den Ausweg liefert die adaptive Verschlüsselung und unser MXG E-Mail-Gateway, das identifiziert, für welche Kommunikationspartner ein erhöhtes TLS-Sicherheitslevel verfügbar ist (ca. 90-99 %). Für die anderen Fälle stehen konfigurierbare Sicherheits-Automatismen bereit um die E-Mails dennoch sicher – entsprechend Ihrer Compliance – zustellen zu können.

Sie möchten mehr erfahren?

Nehmen Sie Kontakt auf!

Oder erfahren Sie mehr zu

 Der Begriff "TLS-Verschlüsselung" bedeutet in der E‑Mail‑Welt und in der Browser-Welt leider etwas völlig Unterschiedliches.  

Georg Nestmann · CEO

Zurück zur Newsübersicht

Einstellungen

Accessibility

Über folgende Optionen können Sie das Interface individuell auf Barrierefreiheit anpassen. Unsere Website orientiert sich an den Accessibility Guidelines für Barrierefreiheit, festgelegt vom W3C. Über folgende Optionen können Sie das Interface weiter auf Ihre Bedürfnisse anpassen.

Abbrechen Anwenden