verschl sselung › Blog über die Onlinewelt

Posts tagged “verschl sselung”.

February 4th 2015
by

Sicherheit – Freemail-Dienste getestet: Kein Anbieter überzeugt voll

Sicherheit im Internet war noch nie ein so wichtiges und viel diskutiertes Thema wie heute. Bei Messaging-Apps gab es in den vergangenen Monaten einen Boom von Diensten, die mehr Sicherheit und Anonymität versprechen. Auch bei E-Mail-Diensten steht Sicherheit seit den Enthüllungen Whistleblower Edward Snowden stärker im Fokus. Das deutsche Internet-Security-Unternehmen PSW Group hat populäre Freemail-Angebote getestet, sieht jedoch noch keinen Anlass für Jubel. “Bei keinem können sich Nutzer wirklich sicher fühlen”, so das Unternehmen in einer Aussendung.

Verschlüsselung

Getestet wurden zunächst Gmail, Yahoo, GMX, Web.de und T-Online vor allem in Hinblick auf die Sicherheit. Wieso die Angebote von Microsoft und Apple nicht berücksichtigt wurden, meldeten die Tester auf Nachfrage des Webstandard nicht zurück. Allen Anbietern mangle es derzeit noch an effizienter Verschlüsselung, bei einigen würden sogar ordentliche Passwortkontrollen fehlen.

Keiner der Anbieter verschickt die E-Mails mit einer End-to-End-Verschlüsselung. Die Anbieter beschränken sich auf eine reine Transportverschlüsselung. Für die Tester ist das zwar ein Anfang, sei für die komplette Sicherheit einer E-Mail jedoch nicht ausreichend. Einige Anbieter haben sich zur Initiative “E-Mail made in Germany” zusammengeschlossen. Die Mitglieder würden jedoch umso mehr enttäuschen. Denn die Transportverschlüsselung von GMX, Web.de und T-Online finde nur mit anderen Teilnehmern der Initiative statt.

Zumindest unterstützten alle getesteten Anbieter laut der PSW Group Perfect Forward Secrecy. Dadurch wird verhindert, dass Daten nachträglich entschlüsselt werden können, wenn ein geheimer Schlüssel geknackt wird.

Alternative Anbieter

Alternativ zu den großen Anbietern hat sich PWS auch die weniger bekannten Dienste Posteo, mailbox.org, MyKolab.com, Secure-Mail.biz, eclipso und aikQ Mail angesehen, von denen einige jedoch kostenpflichtig sind. Alle würden sich durch starke Webseiten- und Backend-Verschlüsselung, Perfect Forward Secrecy eine effiziente Transportverschlüsselung auszeichnen.

Die Server befänden sich alle in der Schweiz oder Deutschland mit Ausnahme von Secure-Maik.biz mit einem Hauptserver in Russland. Besonders hervorgehoben wird mailbox.org, da der Anbieter erst gar keine unverschlüsselten E-Mails zustellt. Nutzer könnten auch einstellen, ob ihre Mails entweder verschlüsselt oder gar nicht versendet werden.

Passwortsicherheit

“Desaströse Sicherheitsmängel” orten die Tester bei der Passwortsicherheitsprüfung von GMX und Web.de. Einfachste Passwörter würden bereits als sicher angesehen. “Eigentlich war die Passwortsicherheit keines unserer geplanten Kriterien. Angesichts der Tatsache, dass wir schon im ersten Test mit ‘Passwort’ und ‘12345678’ durchgekommen wären, haben wir diesen Punkt nachträglich ergänzt. Und wir waren schockiert, was Anbieter, die das Thema Sicherheit offenbar in ihrer Marketing-Strategie mit aufgenommen haben, hier machen”, so Heutger.

Nur T-Online und mailbox.org schnitten hier gut ab. Bei letzterem sei auch eine Buchstaben-/Zahlenkombination verpflichtend und ein Passwort dürfe nicht im Duden stehen.

Die Angebote wurden auch hinsichtlich Usability, Werbung und Auffindbarkeit sowie Formulierung der Geschäfts- und Datenschutzbedingungen getestet. Alle Ergebnisse im Detail sind im Blog der PWS Group auffindbar.

Fazit und Ausblick

Testsieger für die PWS Group ist mailbox.org aufgrund seiner Verschlüsselung und Passwortsicherheit. Allerdings handelt es sich dabei nicht um einen Freemail-Anbieter. “Bei den US-Anbietern wäre sogar vieles stimmig, sowohl in Sachen Verschlüsselung als auch in der Usability. Wären da nicht Punkte in den Datenschutzvereinbarungen, die das jeweilige Testergebnis wieder zunichtemachten”, so PSW-Geschäftsführer Christian Heutger. “Das Safe Harbor-Abkommen, das derzeit wieder rege diskutiert wird, gibt ihnen die Erlaubnis, Nutzerdaten in die USA zu transferieren. Und was dort mit den Daten geschieht, bleibt Unternehmensgeheimnis.”

Die großen Anbieter arbeiten jedoch an mehr Verschlüsselung für ihre Dienste. Google hat für seinen Browser Chrome etwa die Erweiterung “End-to-End” zur Verschlüsselung von Gmail via PGP entwickelt. Das Tool steht über GitHub zur Verfügung, eine Veröffentlichung über den Chrome Store ist für 2015 anvisiert. Auch Yahoo und kürzlich die deutschen Dienste Web.de und GMX haben angekündigt bis Ende 2015 Verschlüsselung mittels PGP einzuführen. (br, derStandard.at, 18.1.2015)

Zuerst veröffentlicht auf:

http://derstandard.at/

October 13th 2014
by

Smartphone-Krypto: Android soll laut Google bald zu iOS aufschließen

Die kommende Version von Googles Android-Betriebssystem soll ab der kommenden Version standardmäßig dafür sorgen, dass alle Daten auf dem jeweiligen Gerät verschlüsselt sind. Damit würde die Plattform zu dem Sicherheits-Level aufschließen, das Apple gerade mit iOS 8 eingeführt hat. Die Möglichkeit zur Verschlüsselung sind in Android schon länger vorhanden, konkret seit 2011. Allerdings muss das Feature von den Anwendern erst aktiviert werden, was nur sehr wenige tatsächlich getan haben. In der in Kürze erscheinenden Version Android L werden die Kryptografie-Funktionen dann aber automatisch bei der Einrichtung eines Smartphones oder Tablets aktiviert, so dass die auf dem System gespeicherten Bilder, Videos, Nachrichten und anderen Informationen nur eingesehen werden können, wenn die korrekte Zugangskennung eingegeben wurde.

Sowohl Apple als auch Google setzen bei der Verschlüsselung auf bewährte Verfahren, die auch ausreichend Schutz vor professionellen Angriffen bieten sollen. So betonte nun auch eine Google-Sprecherin, dass das Unternehmen beispielsweise auch Behörden mit einer richterlichen Anordnung nicht weiterhelfen könne, wenn diese Zugang zu einem Mobilgerät haben wollen. Das setzt natürlich voraus, dass der Anwender ein halbwegs starkes Passwort verwendet und die Informationen, die geschützt werden sollen, dann auch nicht in die Cloud synchronisiert.

Mit der Einführung der Standard-Verschlüsselung wollen die Anbieter vor allem auch Vertrauen bei den Nutzern zurückgewinnen. Nachdem im Zuge der Snowden-Veröffentlichungen die Öffentlichkeit zu einem gewissen Grad darauf sensibilisiert wurde, sich gegen Überwachungsmaßnahmen zu schützen, ist die Verfügbarkeit entsprechender Features durchaus zu einem Verkaufsargument geworden.

Bis die Krypto-Features bei Android in voller Breite in der Praxis ankommen, wird es aber wohl deutlich länger dauern als beim Konkurrenten. Denn Apple liefert nicht nur die neuen iPhones mit standardmäßig aktivierter Verschlüsselung aus, sondern bringt diese mit dem aktuellen iOS 8-Update auch schnell auf die meisten älteren Geräte. Durch den fragmentierten Aktualisierungs-Prozess bei Google kann es hingegen Wochen bis Monate dauern, bis auch viele bereits verkaufte Smartphones und Tablets auf Android L aufgerüstet werden.

 

Erstmals erschienen auf:

http://winfuture.de/news,83689.html