Email-Sicherheit auf netcup-Mailservern

  • Hallo netcup,
    aufgrund der aktuellen Medienberichte zum Thema Datenschutz und Abschnorcheln durch Geheimdienste wollte ich einfach mal fragen, wie mit den Emails auf netcup-Servern umgegangen wird. Es geht mir nicht darum, irgendwelche geheimen Informationen auf den netcup-Servern abzulegen, sondern einfach mal um das Gefühl, wie mit den Daten umgegangen wird und das man das eigene Bewusstsein mal auf dieses Thema lenkt.
    Je nach Provider erhält man ja unterschiedliche Aussagen zu diesem Thema. Große Anbieter (z.B. der mit dem Kaufmannsund im Firmennamen) sagen ja von vornherein, dass ihre Server in den USA stehen, was bei mir kein gutes Gefühl erzeugen würde.
    Wenn ich die Email auf meinem PC mit Outlook S/MIME-verschlüssele, verlässt die Email ja für mein Verständnis meinen Rechner bereits verschlüsselt und landet dann verschlüsselt beim netcup-SMTP-Server? (Jetzt mal ganz abgesehen von Microsoft als Hersteller von Windows und Outlook.)
    Wenn ich die Email über das netcup-Email-Webfrontend verschicke, dann müsste ich ja den Emailtext außerhalb des Webbrowsers verschlüsseln (z.B. mit OpenPGP) und dann mit Copy/Paste den Zeichensalat aus dem Clipboard in das Webfrontend reinkopieren. Da würde dann die verschlüsselte Email in meinen Gesendeten Objekten auf dem netcup-Mailserver gespeichert werden?


    Stehen die netcup-Server in Deutschland? Da ist mir nur TkÜV/§88 TKG bekannt. Gibt es so etwas wie ein TÜV-Zertifikat für die Server? Wie wird mit den Daten generell umgegangen?


    Danke und Gruß,
    Jörg

  • Vielen Dank für Ihre Anfrage!


    Wenn Sie ein reines Webhostingpaket inkl. E-Mail oder unsere Groupwarelösung SOGo verwenden, können Sie E-Mails per verschlüsselter Verbindung mit SMTPS über unsere Server versenden und per IMAPS auch über eine verschlüsselte Verbindung abrufen. Sofern auf Ihrem Client kein Geheimdienst mithört, ist die Verbindung so zwischen Ihrem Client und unseren Servern abhörsicher.


    Wenn Sie E-Mails nicht verschlüsselt auf dem Server ablegen, sind diese dort theoretisch lesbar. Weder die Mitarbeiter von netcup noch Geheimdienste dürfen diese E-Mails auf unseren Servern lesen. Es hat auch kein Geheimdienst eine Verbindung auf diese Server.


    Sobald E-Mails aber unser Netzwerk verlassen und zu einem anderen Anbieter gesendet werden, kann die Verbindung theoretisch abgehört werden. Auch können wir nicht dafür garantieren, dass der andere Anbieter den Geheimdiensten keinen Zugriff gewährt. Wollen Sie Ihre E-Mails auch in diesem Bereich schützen, empfiehlt sich eine Verschlüsselungstechnik zu verwenden.


    Unsere Server stehen ausschließlich in Deutschland.


    Zu der aktuellen Debatte muss gesagt werden, dass man nicht alles glauben darf was die Medien behaupten. In der ARD wurde z.B. behauptet, dass jede E-Mail mit gelesen werden konnte. Diese Aussage ist falsch, da z.B. E-Mails innerhalb unseres Netzwerks garantiert nicht mit-gelesen wurden. Meiner persönlichen Meinung nach wird die Debatte aktuell auch gerne für versteckten Wahlkampf missbraucht.


    Damit Geheimdienste Zugriff auf Daten unserer Kunden erhalten, benötigen diese dafür immer noch einen richterlichen Beschluss. Diesen müssen wir uns auch beugen. Die Geheimdienste erhalten dann aber auch nur Zugriff auf die Daten, die in dem richterlichen Beschluss genannt werden. Alles andere wäre nach deutschem Recht illegal.

  • Mal abgesehen davon, dass mit richterlichem Beschluss E-Mails von den Servern abgegriffen werden könnten, ist es auch interessant zu prüfen, wie vertrauenswürdig denn ein zentral ausgestelltes zertifikat ist.
    Theoretisch ist in meinen augen ausreichend sicher, wenn man seinen kommunikationspartner anruft und den fingerprint des pgp-keys durchsagt und dann die mail schickt.


    Ich hatte heute einem vortrag eines mathematikers und kryptoexperten zugehört. er meinte, es sei eigentlich wichtiger mails zu signieren, damit die informationen nicht verändert werden können. und wenn verschlüsselt wird, dann aber bitte signiert. war interessant zu sehen, wie man prüfsummen dann manipulieren kann, und den verschlüsselten inhalt abgeändert hat.
    und wenn man verschlüsseln will und seinen partner kennt, dann ist eher symmetrische verschlüsslung das mittel der wahl.


    letztendlich ist aber auch die frage, ob du diesen aufwand dir und deinem kommunikationspartner zumuten möchtest, wenn du nur den termin für ein geschäftsessen bestätigst.

  • Hallo Herr Preuß,
    ich bedanke mich recht herzlich für Ihre ausführliche Stellungnahme. Dass die Medien alles hochkochen, ist leider nun mal der Nebeneffekt bei diesem Thema. Den Tipp mit SMTPS und IMAPS finde ich gut. Über die Praktizierbarkeit von asymetrischer Verschlüsselung im Freundeskreis möchte ich gar nicht sprechen. Es ging mir wirklich nur darum, mal was vom Provider zu diesem Thema zu hören, wo die Server stehen, und wie die Rechtsgrundlage dazu aussieht. Mit Ihrer Aussage bin ich daher mehr als zufrieden.
    Danke auch an Mainboarder für die zusätzlichen Hinweise!
    Beste Grüße aus Hamburg,
    Jörg

  • Guten Abend.
    Da Netcup sein eigenes Rechenzentrum betreibt und viele (Ich glaube ein paar Server stehen noch bei Hetzner) Server dort unterkommen ist man hier auf der vergleichsweise sicheren Seite.


    Eine schöne Möglichkeit ist der Einsatz von (GNU-)PGP, was sich auch in ein RoundCube (Webmailer) integrieren lässt. Um hier, zumindestens auf der eigenen Seite, sicher zu gehen könnte man noch TrueCrypt einsetzen, um die virtuelle Festplatte eines KVM Server zu verschlüsseln. So sind die Daten selbst mit Gerichtsbeschluss sicher (Sofern Netcup nicht bei der VNC Konsole mitliest).


    Ich persönlich hätte von Netcup gerne ein Statement zu Thema Logfiles. Das Zugriffe auf die Netcup Seiten protokolliert werden ist logisch, aber wie sieht es mit Verbindungen zum und vom Server aus? Wenn ja, was wird mitgeschnitten (Protokoll/Port, Herkunft, Ziel oder gar der Inhalt)? Ist der Inhalt einer VNC Session ebenfalls betroffen?


    Grüße

  • Wenn Sie E-Mails nicht verschlüsselt auf dem Server ablegen, sind diese dort theoretisch lesbar. Weder die Mitarbeiter von netcup noch Geheimdienste dürfen diese E-Mails auf unseren Servern lesen. Es hat auch kein Geheimdienst eine Verbindung auf diese Server.

    Gibt es eigentlich eine Möglichkeit, die E-Mails verschlüsselt abzulegen (Webhosting Business)?

  • Gibt es eigentlich eine Möglichkeit, die E-Mails verschlüsselt abzulegen (Webhosting Business)?

    Mit PGP spricht nichts dagegen, alle eigenen Emails, egal ob es nun die "Gesendeten Objekte" oder der "Posteingang" oder die "Entwürfe" sind, nur in verschlüsselter Form abzuspeichern. Egal, ob diese nun auf dem Mailserver verschlüsselt abgespeichert werden oder lokal in meiner Outlook-PST-Datei. Wenn ich jemanden eine Email schreiben will, mache ich Notepad auf, tippe den Text da rein, selektiere alles, verschlüssele den Text mit PGP für den entsprechenden Empfänger. Da sollte man sich selbst auch immer als Empfänger hinzufügen, da ich den Text meiner gesendeten Email ja auch selbst mit meinem privaten Schlüssel später wieder entschlüsseln können möchte. Jetzt habe ich in Notepad den verschlüsselten Text, der dann z.B. so aussieht:
    -----BEGIN PGP MESSAGE-----
    hQQOA2LvdFB/YDlREA/9EBVggsHNtRI7QhQOEzAbGONtqKABxAkLUu5cn8lTsFfh
    UjTCmRQFe2feKqLQBdYj0iCAeeDCVv7tI5TvEyLR30E5PxmOGSB32vZR0FVIvkw+
    -----END PGP MESSAGE-----


    Den Zeichensalat schicke ich dann mit Outlook an den Empfänger. Da brauche ich dann auch kein IMAPS oder SMTPS. Alles was versendet wird, ist ja der Zeichensalat, den gern jeder mitlesen kann. Der Zeichensalat wird jetzt in meinen "Gesendeten Objekten" in Outlook abgelegt oder auch auf dem Mailserver bei den "Gesendeten Emails". Es wird aber nirgends die entschlüsselte Email abgelegt. Man kann die Email immer als Zeichensalat in ein anderes Programm kopieren, z.B. Notepad, und dort von PGP zum temporären Lesen entschlüsseln lassen. Die entschlüsselte Datei braucht man ja nirgends abzulegen, sondern archiviert nur die verschlüsselten Emails.
    Das selbe gilt für Emails, die jemand für mich verschlüsselt mit meinem öffentlichen Schlüssel und mir schickt. Zum Entschlüsseln mit meinem privaten Schlüssel würde man dann den Zeichensalat wieder in ein temporäres Textfenster kopieren, dort kurz von PGP entschlüsseln lassen, die Email lesen, und dann die entschlüsselte Version wieder löschen. Aufbewahrt wird nur der Posteingang mit den verschlüsselten Emails.


    Das ist alles aufwendig und krampfig, aber theoretisch kann man das so machen. Auf jeden Fall sollte man nie den privaten Schlüssel verlieren, sonst hat man vielleicht ein 10jähriges Emailarchiv und kann dann plötzlich nichts mehr davon lesen :-).


    Man kann natürlich auch einfach den Zeichensalat hochladen bei http://pastebin.com/ und schickt dem Kumpel dann einfach die URL per WhatsApp. Oder ruft den Kumpel einfach an und sagt ihm kurz am Telefon die letzten 8 Zeichen der pastebin-URL: http://pastebin.com/jAJkAEuN . Beim paranoiden Telefonieren über VOIP kann man sich dann ja auch noch mit der kostenlosen Open-Source-App RedPhone (Open WhisperSystems >> Open WhisperSystems) anrufen, dann ist auch noch das Telefonat verschlüsselt. Das ist aber eigentlich gar nicht nötig. Das ist ja das schöne bei einer guten und sicheren Verschlüsselung. Es kann jeder mitlesen wer will, man könnte die Nachricht via Flugblätter mit dem Flugzeug verteilen. Es kann ja sowieso keiner entschlüsseln außer der Besitzer des privaten Schlüssels mit der dazugehörigen Passphrase. Jegliche zusätzliche Sicherheitsmaßnahme ist theoretisch unnötig.

  • Anlässlich dem sensiblen Thema hab ich mir Gedanken gemacht und das umgesetzt. Danke für den Denkanstoß.


    Ich habe nach einer flexiblen und sicheren Methode gesucht, E-Mail zu verschlüsseln und zu signieren. Das heißt, dass Fake-Mails keine Chance mehr haben, da all meine Mails nun von mir persönlich signiert werden und ggf. falls nötig auch verschlüsselt. Hierbei habe ich im Einsatz: Windows 7 mit Thunderbird, OpenGPG (GPG4win) sowie das Add-on Enigmail. Kleiner Aufwand mit großer Wirkung.


    Um es etwas bildlicher darzustellen:


    Ich verschicke eine E-Mail, welche ich mit meinem private key signiert habe. Der Empfänger kann mit meinem public key, welcher z.B. auf subkeys.pgp.net liegt überprüfen, ob diese E-Mail wirklich von mir stammt. Denn niemand anderes kann die E-Mail signieren, da er meinen private key nicht hat. Zu dem private key gehört natürlich noch ein persönliches Kennwort.


    Der Empfänger, welcher meinen public key hat (heruntergeladen von subkeys.pgp.net) kann nun mir verschlüsselte E-Mails senden, welche NUR MIT DEM PRIVATE KEY entschlüsselt werden können. Zum entschlüsseln braucht man wieder das persönliche Kennwort und den private key.


    Und andersherum funktioniert es dann genau so. Ich hol mir den public key vom Absender, schicke ihm eine verschlüsselte E-Mail mit seinem public key und er entschlüsselt sie mit seinem private key, während ich die Mail mit meinem private key signiert habe, damit er sie mit meinem public key auf Echtheit überprüfen kann.


    Das ganze entschlüsseln, verschlüsseln, signieren sowie auf echtheit überprüfen tut Enigmail voll automatisch, falls gewünscht ist.


    Hier kurz nochmal die Regeln:


    Mit dem public key kann man verschlüsseln, aber nicht entschlüsseln. Mit ihm kann man auch die Prüfsumme der Signierung überprüfen.
    Zum signieren und entschlüsseln benötigt man den private key.


    Einen kleinen Einstieg zum Thema E-Mails signieren, habe ich ein Tutorial geschrieben. Als Video und als Text mit Bildern.
    Zum Thema E-Mail Verschlüsselung schreib ich ggf. morgen ein Tutorial.


    Bei Fragen oder Anregungen stehe ich euch gerne privat zur Verfügung. Einfach eine E-Mail an mich (-: