Spätestens seit der NSA-Affäre ist den Benutzern die Geheimhaltung bei der Kommunikation, z.B. über E-Mail, immer wichtiger geworden. Daher ist die Verschlüsselung von E-Mails mittlerweile ein wichtiges Werbemerkmal für die E-Mail-Provider.
Allerdings zeigt sich immer wieder, dass die Werbebotschaften der Unternehmen zur sicheren Verschlüsselung hinterfragt werden sollten. Aktuelles Beispiel dafür sind die Anbieter von „E-Mail made in Germany“.
Schwächen bei „sicheren“ Providern
Die untersuchten E-Mail Provider bieten zwar Transportverschlüsselung für den sicheren Austausch von E-Mails zwischen den Providern und den sicheren Abruf von E-Mails durch den Kunden an, haben aber die Logins zu ihren Webmailern nicht immer korrekt abgesichert.
Die Login-Formulare zu den Webmailern werden teilweise unverschlüsselt über HTTP an den Browser gesendet und nur beim eigentlichen Login werden die Daten verschlüsselt über HTTPS an den Server zurückgesendet. Allerdings können Angreifer das über HTTP ausgelieferte Login-Formular verändern und die Verwendung von HTTPS zur Übertragung der Zugangsdaten deaktivieren, dieses Vorgehen ist als SSL-Stripping bekannt.
Möglichkeiten für Angreifer
Um einen SSL-Stripping-Angriff durchführen zu können, muss der Angreifer im gleichen Netz wie der Benutzer sein und die Kommunikation zwischen Benutzer und Webmailer manipulieren können. Dieses kann z.B. bei einem öffentlichen WLAN-Hotspots im Hotel auftreten, indem der Angreifer seinen eigenen Access Point zum WLAN aufstellt und die Kommunikation von allen verbundenen Geräten mitliest und ggf. manipuliert.
Bei einer unverschlüsselten Übertragung der Login-Seite kann der Angreifer den Versand der Login-Daten so verändern, dass diese unverschlüsselt an den Webmail-Server bzw. einen eigenen Server übertragen werden. Danach ist der Angreifer im Besitz der Zugangsdaten und kann sich erfolgreich bei dem E-Mail-Konto anmelden.
Bei einer verschlüsselten Übertragung des Login-Formulars wird dagegen verhindert, dass der Angreifer die Login-Seite identifizieren und unbemerkt verändern kann.
Wie kann ich mich schützen?
Auf Webmailer sollte nur über vertrauenswürdige Netze, z.B. das eigene Netz oder das von Freunden und Familie, zugegriffen werden. Wenn der eigene E-Mail-Provider den Login nur unverschlüsselt ermöglicht sollte ein sicher konfigurierter E-Mail-Clients, sprich verschlüsselte Kommunikation mit den E-Mail-Server, vorgezogen werden. Beim Abruf von E-Mails oder anderen sensiblen Daten in öffentlichen Netzten sollte grundsätzlich Vorsicht geboten sein.