Von De-Mail und dem neuen Personalausweis ist nicht mehr viel zu hören. Derzeit ringen alle großen IT-Unternehmen und E-Mailprovider damit, das Vertrauen ihrer Kunden in die Sicherheit ihrer Kommunikation wieder herzustellen. Doch die Wege dahin sind ganz verschieden.
In einer bisher wohl einmaligen Aktion luden die beiden Konkurrenten Deutsche Telekom und United Internet Ende April Journalisten zu einem Konferenz-Telefongespräch ein. Am Apparat Timotheus Höttges, Vorstandsvorsitzender der Deutschen Telekom AG, und Ralph Dommermuth, CEO von United Internet (Web.de, GMX). Sie informierten über die Pläne und Aktivitäten zum weiteren Ausbau ihrer Initiative "E-Mail made in Germany". Auch eine eigene TV-Kampagne gibt es.
Die Teilnehmer der Mail-Initiative haben nach den Worten ihrer Chefs die SSL-Verschlüsselung ihres E-Mail-Verkehrs wie angekündigt zum 29. April 2014 abgeschlossen. Damit würden die rund 50 Millionen deutschen Privatkunden der Deutschen Telekom, Freenet, GMX und Web.de im Mailverbund unabhängig vom genutzten E-Mail-Programm auf den Transportwegen vom Nutzer zum Rechenzentrum (und umgekehrt) standardmäßig SSL-verschlüsselt kommunizieren. Die Server-zu-Server-Verbindung ist mit TLS verschlüsselt. "Der Datenverkehr ist jetzt auf allen Übertragungswegen im Mailverbund deutlich sicherer", sagte Telekom-Chef Höttges.
Der TÜV Rheinland bietet ab sofort Unternehmen und Institutionen Zertifizierung an
Darüber hinaus haben die Partner des Verbundes Perfect Forward Secrecy (PFS) implementiert, was einen Schutzmechanismus gegen das nachträgliche Entschlüsseln von Daten bietet. Die verwendeten Schlüssel wurden auf den 256-bit Standard (AES 256 Bit) aufgerüstet. Daten sollen nur gemäß deutschem Datenschutz gespeichert und verarbeitet werden.
Auch die beiden Hosting-Unternehmen 1&1 (United Internet) und Strato (Deutsche Telekom) beteiligen sich nun an der Initiative.
Außerdem bietet der TÜV Rheinland Unternehmen und Institutionen mit eigener E-Mail-Infrastruktur ab sofort die Möglichkeit, sich für "E-Mail made in Germany" zertifizieren zu lassen. Der TÜV prüfe, ob die notwendigen technischen, organisatorischen und prozessualen Sicherheitsanforderungen erfüllt werden. Die Gründungspartner Deutsche Telekom und United Internet reagierten damit nach eigenen Worten auf die "hohe Nachfrage von Firmen und Organisationen, die dem Verbund beitreten möchten".
Microsoft setzt auf den Online-Test: "Beweg Dich sicher im Internet!"
Schon Ende März hatte Microsoft Deutschland zu einer Pressekonferenz in Berlin geladen. Mit dabei Deutschland-Chef Christian Illek. Microsoft will das Misstrauen der Deutschen mit einer Neuauflage seiner früheren "Initiative IT-Fitness" zerstreuen. Das Microsoft-Motto des Online-Tests: "Beweg Dich sicher im Internet!" Dabei soll über allerlei Gefahren aufgeklärt werden, die im Internet drohen, wenn die Nutzer nicht Bescheid wissen: Die Liste reicht von Hacker-Programmen, Schädlingen, Bot-Netzen, IT-Risiken bis hin allgemein zur Internetkriminalität.
Christian Illek forderte einen "New Deal" für die digitale Welt zwischen Politik, Wirtschaft und Verbrauchern. Er sagte: "Wir müssen diese gefühlte digitale Depression gemeinsam überwinden, um auch in Zukunft die Chancen der digitalen Gesellschaft zu nutzen. Wenn sich die Politik national und international für Datensicherheit zum Schutz ihrer Bürger einsetzt, die IT-Unternehmen ein Höchstmaß an Produktsicherheit garantieren und die Anwender die Verantwortung für ihre persönlichen Daten übernehmen und vorhandene Schutzmechanismen nutzen, können wir das Vertrauen in die IT wieder herstellen."
Berliner Provider Posteo veröffentlicht Transparenzbericht
Der kleine Berliner E-Mail-Provider Posteo versucht es unterdessen mit mehr Transparenz. Als nach eigenen Angaben erster deutscher Telekommunikationsanbieter hat das Unternehmen einen "Transparenzbericht" veröffentlicht.
Der Bericht dokumentiert alle Anfragen von Strafverfolgungsbehörden und Nachrichtendiensten, die das Unternehmen im Jahr 2013 erhalten hat und informiert darüber, wie oft tatsächlich Daten herausgegeben wurden. Er enthält auch Informationen über die Art der Anfragen sowie über die Anzahl von Behördenersuchen mit formalen Mängeln.
Vorab hatten die Verantwortlichen in einem Rechtsgutachten (PDF) untersuchen lassen, ob dies deutschen Unternehmen trotz gesetzlicher Verschwiegenheitspflichten gestattet ist. Die Gutachter seien zu dem Schluss gekommen, "dass die Veröffentlichung von Transparenzberichten zulässig ist, solange keine Ermittlungen gefährdet werden."
Grüner Hans-Christian Ströbele unterstützt das Unternehmen
Unterstützung für den Bericht gab es von dem grünen Abgeordneten Hans-Christian Ströbele: "Ich habe sehr aufmerksam zur Kenntnis genommen, dass heute das Berlin-Kreuzberger Unternehmen Posteo, das verschlüsselte E-Maildienste anbietet, als erster deutscher Dienst mutig einen detaillierten Transparenzbericht veröffentlicht hat über dort eingegangene Auskunftsersuchen deutscher Strafverfolger", sagte er.
Und weiter sagte er: "Ich werde mich für eine Klarstellung der Rechtslage - entsprechend dem von Posteo eingeholten Rechtsgutachten - dahin einsetzen, dass Posteo und alle ähnlichen Unternehmen zukünftig außer statistischen Angaben auch Einzelinformationen über solche Ersuchen veröffentlichen dürfen, ohne dabei Sanktions-Androhungen zu befürchten."
Im Rahmen des Berichts schreibt das Unternehmen auch über einen Fall, wo nach Angaben von Posteo Beamte des Staatsschutzes im Juli 2013 eine Durchsuchung bei Posteo durchgeführt haben und dabei versucht hätten, das Unternehmen mit unlauteren Mitteln "zu einer rechtswidrigen Kooperation zu nötigen" (PDF).
Nur zwei der insgesamt sieben Behördenersuchen um Bestandsdaten an das Berliner Unternehmen seien formal korrekt gewesen, heißt es in dem Bericht. "Mehr als zwei Drittel der Ersuchen seien entweder nicht vorschriftsmäßig an uns übermittelt worden oder es seien Daten abgefragt worden, die ohne einen richterlichen Beschluss gar nicht hätten abgefragt werden dürfen."
Die Deutsche Telekom zieht mit eigenem Bericht nach
Nach der Veröffentlichung des Transparenzberichts von Posteo hat auch die Deutsche Telekom reagiert und ebenfalls einen eigenen Bericht ins Netz gestellt. Die zahlen sind natürlich um ein Vielfaches höher als bei dem kleinen Berliner Provider. Die Anzahl der überwachten Anschlüsse belief sich demnach auf 49.796. Die Anzahl der Verkehrsdatensätze, über die Auskunft gegeben wurde, betrug 436.331. Die Zahl der Auskünfte über Teilnehmerbestandsdaten ergab 28.162. Nicht dokumentiert ist, wie viele Anfragen abgelehnt wurden, und wie viele erfolgreich waren.
Auch United Internet und Vodafone wollen bald mit eigenen Berichten folgen.