Apple-Nutzer bekommen mit ihrer Anmeldung und der Erstellung einer Apple-ID seit einigen Jahren persönliche E-Mail-Adressen. Sprich: Mit iCloud kann man dann E-Mails über @mac.com-, @me.com- oder @icloud.com- Adressen versenden. Leider unverschlüsselt.
Kein starttls
Denn wie ein Test von „Heise Security“ zeigt, werden die E-Mails, die über iCloud versendet und empfangen werden, unverschlüsselt und im Klartext übertragen. Und das auch dann, wenn der Server des Empfängers verschlüsseltes starttls anbietet. Ähnlich verhält es sich beim Empfang von Mails: Selbst wenn der Server des Senders starttls anbietet, wird er durch die fehlende Möglichkeit von Seiten Apples dazu gezwungen, die Nachricht ebenfalls unverschlüsselt zu versenden.
Und auch sonst seien die Sicherheitstechniken bei Apple nicht auf dem neusten Stand. „Die für die konkrete iCloud-Mail-Nutzung vorgesehenen IMAP- und SMTP-Server verschlüsseln zwar, bieten dabei aber keine Forward Secrecy, nutzen das problematische RC4 und können nur TLS 1.0“, so der Bericht. Zudem unterstütze das Webmail-Frontend icloud.com, über das man sowohl auf die Mails als auch auf Kontakte und den Kalender zugreifen kann, zwar TLS 1.2 und HSTS, verweigere aber Forward Secrecy.
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
(Senior) Social Media Manager (m/w/d) IronMaxx® Nutrition GmbH & Co. KG in Hürth, Monheim am Rhein |
||
Pflicht-Praktikum im Berech Produktionssystem (MPS) als Projektleiter Social Media/ Online-Marketing/ Content Creation ab April 2025 Mercedes-Benz AG in Esslingen am Neckar |
Microsoft ähnlich schlecht
Dem Bericht zufolge ist Apple aber nicht alleine mit den Mängeln. Ähnlich schwach schnitten nur der kleine Provider aikQ und – ebenfalls eine kleine Überraschung – Microsoft mit seinen @Outlook.com-E-Mail-Adressen ab. Wer es also darauf abgesehen hat, E-Mails abzufangen und ohne großen Aufwand zu entschlüsseln, dürfte bei diesen E-Mail-Adressen ein leichtes Spiel haben. Alle anderen Mail-Anbieter aber „nutzten die Option zum Verschlüsseln von E-Mails auf dem Transportweg“, so das „Heise Security“-Team.
Für mich völlig unverständlich. Gerade nach den Berichten, dass NSA und andere Geheimdienste E-Mails beim Transfer zwischen den Servern abfangen, würde man von „den Großen“ doch langsam etwas mehr Sicherheit und Privatsphäre erwarten.
Ist das denn wirklich so schwer?
Neue Stellenangebote
Growth Marketing Manager:in – Social Media GOhiring GmbH in Homeoffice |
||
(Senior) Social Media Manager (m/w/d) IronMaxx® Nutrition GmbH & Co. KG in Hürth, Monheim am Rhein |
||
Social Media und Newsletter Manager (m/w/d) Bierbaum Proenen GmbH & Co. KG in Köln |
||
Online Marketing / Social Media – Manager (m/w/d) ARD-Programmdirektion in München |
||
Social Media Manager (m/w/d) Institut der deutschen Wirtschaft in Köln |
||
Social Media Manager (m/w/d) in Vollzeit Bayerischer Hotel- u. Gaststättenverband DEHOGA Bayern e.V. in München |
||
Marketing-Manager mit Schwerpunkt Event und Social Media (m/w/d) Optigrün international AG in Krauchenwies-Göggingen |
||
(Junior) Social Media Manager (m/w/d) VILSA-BRUNNEN Otto Rodekohr GmbH in Bruchhausen-Vilsen |
Mit Verlaub: Wer nach der NSA-Affäre seinen Mailverkehr immernoch über amerikanische Provider abwickelt, dem ist ohnehin nicht mehr zu helfen – Verschlüsselung hin oder her. Die beste Verschlüsselung vom Anwender zum Anbieter ist hinfällig, wenn der wie Apple, Microsoft, Google und Co. selbst kompromittiert ist.