lumines
2016-09-29, 12:02:24
Kontext: http://www.golem.de/news/stiftung-warentest-mailbox-und-posteo-gewinnen-mailprovidertest-1609-123513.html
Den Artikel der Stiftung Warentest habe ich gerade einmal kurz gekauft und gelesen. Ich will jetzt nicht jeden Punkt aufdröseln, aber diese Punkte finde ich besonders bedenklich:
Privatsphäre wird in einen Topf mit der restlichen Sicherheit geworfen. Dadurch kommt die Stiftung Warentest zum paradoxen Ergebnis, dass Google nur eine „befriedigende Sicherheit“ im Test hat, obwohl Google mal eben im Alleingang moderne Ciphers für TLS pusht, den besten Spam-Filter hat (das ist einfach mal meine Behauptung) und auch sonst die transparentesten Berichte bei Sicherheitsproblemen hat (wenn sie denn auftreten). Nirgendwo wird erwähnt, dass Google als erster Anbieter Perfect Forward Secrecy implementiert hat, was die Mail-Sicherheit über den Browser nachhaltig gestärkt hat und erst sehr viel später von anderen Providern eingeführt wurde. Separate Noten für Privatsphäre und Sicherheit hätten das viel besser abbilden können.
Die Stiftung Warentest lässt allerdings ausgerechnet DNSSEC miteinfließen. Der Datenschutz bei Gmail wird also bemängelt, aber ein Standard, der staatliche Überwachung stärker begünstigt, wird positiv bewertet? Im Test wird nur erwähnt, dass DNSSEC / DANE die Sicherheit erhöht, aber die ganz klaren Nachteile werden mit keinem Wort erwähnt. Nirgendwo wird darauf eingegangen, dass DNSSEC die Kontrolle über die Keys stärker an Regierungen bindet[0]. Trotzdem wird am Anfang auf die NSA (aber nicht im Zusammenhang mit DNSSEC) als Bedrohung hingewiesen. Für den Key der Root Zone wird noch immer ein 1024 Bit RSA-Key benutzt, wovon schon länger abgeraten wird, aber das nur so nebenbei. Die Darstellung von DNSSEC bleibt jedenfalls vollkommen einseitig.
HPKP als Alternative wird übrigens im Test an keiner Stelle erwähnt und scheint auch keinen Einfluss auf die Endnoten genommen zu haben.
Der größte Knaller zum Schluss: 40% der Endnote setzen sich aus „Schutz und Privatsphäre“ zusammen. Darunter fallen „Umgang mit Nutzerdaten“, „E-Mail-Sicherheitsfunktionen“ (u.a. TLS) und wie gut die Anbieter sich mit Mailvelope integrieren. Ja, richtig gelesen. Die Stiftung Warentest empfiehlt Ende-zu-Ende-Verschlüsselung, aber eben nur über den Browser und so messen sie die Sicherheit der E2E-Verschlüsselung der Mail-Anbieter. Weil E2E-Verschlüsselung ja auch so viel mit dem Anbieter zu tun haben sollte. Über die Probleme von PGP im Browser wird übrigens nicht aufgeklärt. Separate Clients werden in einem Satz erwähnt, aber nicht näher darauf eingegangen. Zusätzlich scheint die Stiftung Warentest bei ihrer Recherche die langjährigen Bestrebungen von Google bezüglich providerübergreifendem PGP[1] übersehen zu haben.
Powerusern wird nichts Neues erzählt und weniger technisch versierten Nutzern wird eine viel zu stark vereinfachte Darstellung präsentiert, die leicht in die Irre führen kann. Die jeweiligen Endnoten setzen sich einfach nicht transparent genug zusammen. Die einseitigen Darstellungen bestimmter Technologien tragen ihren Teil dazu bei. Außerdem finde ich diese extreme Fixierung auf Mailvelope und dessen Einfluss auf die Endnote schädlich, weil das Ergebnis dadurch stark verzerrt wird.
[0] https://sockpuppet.org/blog/2015/01/15/against-dnssec/
[1] https://security.googleblog.com/2014/06/making-end-to-end-encryption-easier-to.html
Den Artikel der Stiftung Warentest habe ich gerade einmal kurz gekauft und gelesen. Ich will jetzt nicht jeden Punkt aufdröseln, aber diese Punkte finde ich besonders bedenklich:
Privatsphäre wird in einen Topf mit der restlichen Sicherheit geworfen. Dadurch kommt die Stiftung Warentest zum paradoxen Ergebnis, dass Google nur eine „befriedigende Sicherheit“ im Test hat, obwohl Google mal eben im Alleingang moderne Ciphers für TLS pusht, den besten Spam-Filter hat (das ist einfach mal meine Behauptung) und auch sonst die transparentesten Berichte bei Sicherheitsproblemen hat (wenn sie denn auftreten). Nirgendwo wird erwähnt, dass Google als erster Anbieter Perfect Forward Secrecy implementiert hat, was die Mail-Sicherheit über den Browser nachhaltig gestärkt hat und erst sehr viel später von anderen Providern eingeführt wurde. Separate Noten für Privatsphäre und Sicherheit hätten das viel besser abbilden können.
Die Stiftung Warentest lässt allerdings ausgerechnet DNSSEC miteinfließen. Der Datenschutz bei Gmail wird also bemängelt, aber ein Standard, der staatliche Überwachung stärker begünstigt, wird positiv bewertet? Im Test wird nur erwähnt, dass DNSSEC / DANE die Sicherheit erhöht, aber die ganz klaren Nachteile werden mit keinem Wort erwähnt. Nirgendwo wird darauf eingegangen, dass DNSSEC die Kontrolle über die Keys stärker an Regierungen bindet[0]. Trotzdem wird am Anfang auf die NSA (aber nicht im Zusammenhang mit DNSSEC) als Bedrohung hingewiesen. Für den Key der Root Zone wird noch immer ein 1024 Bit RSA-Key benutzt, wovon schon länger abgeraten wird, aber das nur so nebenbei. Die Darstellung von DNSSEC bleibt jedenfalls vollkommen einseitig.
HPKP als Alternative wird übrigens im Test an keiner Stelle erwähnt und scheint auch keinen Einfluss auf die Endnoten genommen zu haben.
Der größte Knaller zum Schluss: 40% der Endnote setzen sich aus „Schutz und Privatsphäre“ zusammen. Darunter fallen „Umgang mit Nutzerdaten“, „E-Mail-Sicherheitsfunktionen“ (u.a. TLS) und wie gut die Anbieter sich mit Mailvelope integrieren. Ja, richtig gelesen. Die Stiftung Warentest empfiehlt Ende-zu-Ende-Verschlüsselung, aber eben nur über den Browser und so messen sie die Sicherheit der E2E-Verschlüsselung der Mail-Anbieter. Weil E2E-Verschlüsselung ja auch so viel mit dem Anbieter zu tun haben sollte. Über die Probleme von PGP im Browser wird übrigens nicht aufgeklärt. Separate Clients werden in einem Satz erwähnt, aber nicht näher darauf eingegangen. Zusätzlich scheint die Stiftung Warentest bei ihrer Recherche die langjährigen Bestrebungen von Google bezüglich providerübergreifendem PGP[1] übersehen zu haben.
Powerusern wird nichts Neues erzählt und weniger technisch versierten Nutzern wird eine viel zu stark vereinfachte Darstellung präsentiert, die leicht in die Irre führen kann. Die jeweiligen Endnoten setzen sich einfach nicht transparent genug zusammen. Die einseitigen Darstellungen bestimmter Technologien tragen ihren Teil dazu bei. Außerdem finde ich diese extreme Fixierung auf Mailvelope und dessen Einfluss auf die Endnote schädlich, weil das Ergebnis dadurch stark verzerrt wird.
[0] https://sockpuppet.org/blog/2015/01/15/against-dnssec/
[1] https://security.googleblog.com/2014/06/making-end-to-end-encryption-easier-to.html