Sonstiges

Leider immer noch: iCloud-Mails werden im Klartext versendet

geschrieben von Tobias Gillen

Apple-Nutzer bekommen mit ihrer Anmeldung und der Erstellung einer Apple-ID seit einigen Jahren persönliche E-Mail-Adressen. Sprich: Mit iCloud kann man dann E-Mails über @mac.com-, @me.com- oder @icloud.com- Adressen versenden. Leider unverschlüsselt.

iCloud

Kein starttls

Denn wie ein Test von „Heise Security“ zeigt, werden die E-Mails, die über iCloud versendet und empfangen werden, unverschlüsselt und im Klartext übertragen. Und das auch dann, wenn der Server des Empfängers verschlüsseltes starttls anbietet. Ähnlich verhält es sich beim Empfang von Mails: Selbst wenn der Server des Senders starttls anbietet, wird er durch die fehlende Möglichkeit von Seiten Apples dazu gezwungen, die Nachricht ebenfalls unverschlüsselt zu versenden.

Und auch sonst seien die Sicherheitstechniken bei Apple nicht auf dem neusten Stand. „Die für die konkrete iCloud-Mail-Nutzung vorgesehenen IMAP- und SMTP-Server verschlüsseln zwar, bieten dabei aber keine Forward Secrecy, nutzen das problematische RC4 und können nur TLS 1.0“, so der Bericht. Zudem unterstütze das Webmail-Frontend icloud.com, über das man sowohl auf die Mails als auch auf Kontakte und den Kalender zugreifen kann, zwar TLS 1.2 und HSTS, verweigere aber Forward Secrecy.


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Homeoffice
(Senior) Social Media Manager (m/w/d)
IronMaxx® Nutrition GmbH & Co. KG in Hürth, Monheim am Rhein
Pflicht-Praktikum im Berech Produktionssystem (MPS) als Projektleiter Social Media/ Online-Marketing/ Content Creation ab April 2025
Mercedes-Benz AG in Esslingen am Neckar

Alle Stellenanzeigen


Microsoft ähnlich schlecht

Dem Bericht zufolge ist Apple aber nicht alleine mit den Mängeln. Ähnlich schwach schnitten nur der kleine Provider aikQ und – ebenfalls eine kleine Überraschung – Microsoft mit seinen @Outlook.com-E-Mail-Adressen ab. Wer es also darauf abgesehen hat, E-Mails abzufangen und ohne großen Aufwand zu entschlüsseln, dürfte bei diesen E-Mail-Adressen ein leichtes Spiel haben. Alle anderen Mail-Anbieter aber „nutzten die Option zum Verschlüsseln von E-Mails auf dem Transportweg“, so das „Heise Security“-Team.

Für mich völlig unverständlich. Gerade nach den Berichten, dass NSA und andere Geheimdienste E-Mails beim Transfer zwischen den Servern abfangen, würde man von „den Großen“ doch langsam etwas mehr Sicherheit und Privatsphäre erwarten.

Ist das denn wirklich so schwer?


Neue Stellenangebote

Growth Marketing Manager:in – Social Media
GOhiring GmbH in Homeoffice
(Senior) Social Media Manager (m/w/d)
IronMaxx® Nutrition GmbH & Co. KG in Hürth, Monheim am Rhein
Social Media und Newsletter Manager (m/w/d)
Bierbaum Proenen GmbH & Co. KG in Köln
Online Marketing / Social Media – Manager (m/w/d)
ARD-Programmdirektion in München
Social Media Manager (m/w/d)
Institut der deutschen Wirtschaft in Köln
Social Media Manager (m/w/d) in Vollzeit
Bayerischer Hotel- u. Gaststättenverband DEHOGA Bayern e.V. in München
Marketing-Manager mit Schwerpunkt Event und Social Media (m/w/d)
Optigrün international AG in Krauchenwies-Göggingen
(Junior) Social Media Manager (m/w/d)
VILSA-BRUNNEN Otto Rodekohr GmbH in Bruchhausen-Vilsen

Alle Stellenanzeigen

Über den Autor

Tobias Gillen

Tobias Gillen ist Geschäftsführer der BASIC thinking GmbH und damit verantwortlich für BASIC thinking und BASIC thinking International. Seit 2017 leitet er zudem die Medienmarke FINANZENTDECKER.de. Erreichen kann man ihn immer per Social Media.

1 Kommentar

  • Mit Verlaub: Wer nach der NSA-Affäre seinen Mailverkehr immernoch über amerikanische Provider abwickelt, dem ist ohnehin nicht mehr zu helfen – Verschlüsselung hin oder her. Die beste Verschlüsselung vom Anwender zum Anbieter ist hinfällig, wenn der wie Apple, Microsoft, Google und Co. selbst kompromittiert ist.