Verschlüsselung

Apples iCloud-E-Mail-Dienst ist ganz leicht auszuspionieren

Apple setzt wichtige Verschlüsselungstechniken nicht ein. Das führt dazu, dass E-Mails im Klartext über das Internet verschickt werden. Die NSA sagt: "Danke". Welche Maßnahmen Apple nicht umsetzt, erfahren Sie in unserer Meldung.
Von Hans-Georg Kluge

Apples E-Mail-Dienst iCloud verschickt E-Mails unverschlüsselt im Internet. Apples E-Mail-Dienst iCloud verschickt E-Mails unverschlüsselt im Internet.
Bild: dpa Die Kollegen von heise online haben zu ihrem Test von E-Mail-Anbietern einige Informationen nachgereicht. Unter anderem fehlte im ursprünglichen Test Apples iCloud-Dienst. Hier forschte heise security nach und förderte erschreckende Ergebnisse zutage.

Apple setzt wesentliche Sicherheitsfunktionen nicht um

Apples E-Mail-Dienst iCloud verschickt E-Mails unverschlüsselt im Internet. Apples E-Mail-Dienst iCloud verschickt E-Mails unverschlüsselt im Internet.
Bild: dpa Wie der Nachtest der Kollegen ergab, setzt Apple einige entscheidende Sicherheits­merkmale nicht um. Betroffen sind E-Mail-Adressen an den Domains @me.com, @icloud.com und @mac.com. Die verwendeten Post­ein­gangs­server signalisieren keine Unterstützung von Verschlüsselungs­funktionen. Die Folge: Der Sende-Server muss die E-Mails im Klartext übermitteln. Das heißt aber auch: Die E-Mails lassen sich recht einfach abfangen - der Inhalt ist dann außerdem nicht vor fremden Augen geschützt. Die c't-Tests ergaben, dass die Apple-Server auch abgehende E-Mails nicht verschlüsseln.

Apples E-Mail-Dienste verschlüsseln zwar bei der Nutzung über IMAP- und SMTP-Server - allerdings nicht nach dem Stand der Technik. Hier kommen ältere Verschlüsselungsverfahren zum Einsatz, zum Beispiel das Verfahren RC4. Dieses gilt als geknackt - möglicherweise könne die NSA mit RC4 verschlüsselte Datenströme in Echtzeit decodieren. Die Verbindung selbst verschlüsselt Apple nach dem Standard TLS 1.0, einem Nachfolger von SSL. Perfect Forward Secrecy unterstützt Apple weder auf dem Web-Interface noch im Falle der IMAP- und SMTP-Server. Diese Technik verhindert, dass ein Angreifer den verschlüsselten Datenstrom entschlüsseln kann, denn beide Seiten einigen sich mit diesem Verfahren auf einen temporären Schlüssel, der aber nicht ausgetauscht wird. So ist es unmöglich, den Klartext der Daten zu rekonstruieren, selbst wenn der geheime Schlüssel einer Seite bekannt ist. Die temporären Schlüssel werden nach dem Ende der Verbindung gelöscht und kommen nicht mehr zum Einsatz.

Apple antwortete auf Anfrage von heise.de nicht. Dies ist wenig überraschend, gilt doch die Apple-Pressestelle als verschwiegen - sie antwortet bestenfalls mit Ausführungen darüber, dass man hierzu keinen Kommentar abgeben könne.

Im Test schnitten nur wenige Anbieter so schlecht ab

heise schreibt, nur wenige Anbieter schnitten im umfangreichen Test so schlecht wie Apple ab. Allerdings erlaubte sich auch Microsoft mit Outlook.com einige schwere Patzer in puncto Verschlüsselung der Verbindung.

Echte Sicherheit erreichen Nutzer nur dann, wenn sie einen E-Mail-Client verwenden, der die Nachrichten vollständig verschlüsselt, zum Beispiel mit der Software PGP. Nur dann ist sichergestellt, dass einzig der Empfänger die Nachricht lesen kann. Dennoch bleibt die Verschlüsselung der Verbindung zwischen den Mail-Servern wichtig: Nur sie garantiert, dass auch Meta-Daten wie Sender, Empfänger oder Betreff vor dem Zugriff durch Unbefugte geschützt sind.

Telekom will Verschlüsselung verstärken

Die Telekom will ab Ende März 2014 nur noch verschlüsselte Verbindungen zulassen. Alle Informationen dazu erhalten Sie auf unserer Infoseite.

Mehr zum Thema E-Mail