SSL-Schlüssel von mailbox.org nach Heartbleed wieder sicher - Zertifikate zurückgezogen

Berlin, 16.04.2014 - Nachdem vergangenen Dienstag der sogenannte Heartbleed-Bug die Sicherheit aller Server weltweit erschüttert hatte, haben Server-Administratoren fast aller Anbieter umgehend damit begonnen, die SSL-Zertifikate der Web- und Mailserver auszutauschen. Der Hintergrund: Es konnte nicht mehr ausgeschlossen werden, dass Angreifer die heiklen SSL-Schlüssel der Server auslesen konnten und damit auch die SSL-verschlüsselte Kommunikation (also z.B. https- Verbindungen) mitlesen konnten.

Der E-Mail-Anbieter mailbox.org, der sich auf besonders sichere E-Mail-Postfächer spezialisiert hat, legt Wert auf die Feststellung, dass er seine Zertifikate nicht nur sehr schnell binnen zwei Stunden nach Bekanntwerden des Problems austauschen konnte, sondern im Gegensatz zu anderen Anbietern, die alten Zertifikate in den Datenbanken der Certification Authorities (CAs) auch ausdrücklich für nicht mehr gültig erklärt hat ("revoked"). Nur wenn dieser Schritt vollzogen wurde, können Web-Browser und E-Mail-Programme der Endanwender die alten kompromittierten Zertifikate erkennen. mailbox.org hat damit mit hoher technischer Kompetenz und Aufwand die Sicherheit der SSL-Verbindungen für seine Nutzer wiederhergestellt.

Viele andere Anbieter verzichten leider aus Nachlässigkeit oder aufgrund fehlendem technischen Verständnis auf diesen Schritt und haben in den letzten Tagen allenfalls ihre SSL-Zertifikate getauscht. Damit ist jedoch nicht ausgeschlossen, dass die durch den Heartbleed-Bug geklauten Zertifikate durch Angreifer weiterhin genutzt werden könnten. Browser und Mailprogramme der Endanwender würden diese geklauten Zertifikate auch weiterhin als sicher anerkennen und so "man in the middle"-Angriffe möglich machen, über die die persönlichen Daten und auch Passwörter der Nutzer mitgelesen werden könnten.

Kurzporträt mailbox.org / Heinlein Support GmbH / Peer Heinlein:

Gründer von mailbox.org bieten seit rund 25 Jahren E-Mail-Dienste an

Hinter dem neuen Anbieter mailbox.org steht das Team des Berliner IT-Sicherheitsberaters Peer Heinlein, E-Mail-Spezialist und Autor zahlreicher Fachbücher zum Thema. 1989 war Heinleins Internet Service Provider JPBerlin.de einer der ersten Anbieter für private E-Mail-Adressen in Deutschland, seitdem berät er mit seiner Firma Heinlein Support Unternehmen und Internet-Provider in allen Sicherheitsfragen rund um elektronische Kommunikation. 2014 rief er die neue Marke mailbox.org ins Leben und bietet so einen sicheren deutschen E-Mail-Anbieter, bei dem sich Komfort und Sicherheit nicht gegenseitig ausschließen.

Die Heinlein Support GmbH mit Sitz in Berlin ist seit 20 Jahren auf Linux- und Security- Strategieberatung spezialisiert. Das Portfolio setzt sich aus den Geschäftsfeldern Heinlein Akademie, Heinlein Consulting und Heinlein Hosting zusammen. Es wird durch professionelle Appliance- und Software-Produkte des Geschäftsbereichs Heinlein Elements abgerundet.

Die Unternehmensschwerpunkte liegen u.a. auf den Themen E-Mail-Sicherheit, Einbruchserkennung (IDS), Security Audits, High-Performance-Webcluster, Routing und anderen IP-basierten Diensten. Darüber hinaus ist Heinlein Ausrichter der Mailserver-Konferenz und der Secure Linux Administration Conference. Mehrere Tausend Kunden aus renommierten Unternehmen der Konsumgüter-, Dienstleistungs- und Industriegüter-Branche sowie der Öffentlichen Hand vertrauen Heinlein in langjähriger Zusammenarbeit.

Seit 1992 betreibt das Unternehmen außerdem den Politischen Provider JPBerlin.de, der vielen NGOs wie Attac, Ärzte ohne Grenzen, Arbeitskreis Vorratsdatenspeicherung, Wikimedia und X1000malquer sowie ehrenamtlich aktiven Menschen die Infrastruktur für ihre politische Arbeit bereitstellt. Das Angebot reicht vom E-Mail-Postfach bis hin zu Mailinglisten, Webhosting und Domainregistrierung.

Weitere Informationen:

Zu mailbox.org

- Webseite: https://mailbox.org

- Pressebereich: https://mailbox.org/presse

- Meldungen anderer Medien unter: https://mailbox.org/blog-news

Glossar / Technische Hintergrundinformationen zu mailbox.org

Das vollständig verschlüsselte Postfach

Verschiedene Anbieter werben damit, sie würden E-Mails auf verschlüsselten Festplatten speichern.

Dabei wird verschwiegen, dass diese Festplatten im laufenden Betrieb unverschlüsselt in Betrieb sein müssen und damit letzten Endes gar nicht geschützt sind. Bei mailbox.org werden auf Wunsch alle EMails beim Eintreffen im Postfach nachträglich noch mit dem PGP-Schlüssel des Empfängers verschlüsselt. Da bei diesem besonderen Verfahren zwei Teile eines Schlüssels zum Einsatz kommen ("asymmetrisches Verschlüsselungsverfahren") kann nun nur noch der rechtmäßige Empfänger eine Entschlüsselung vornehmen. So kann mailbox.org - anders als andere Anbieter - auch im laufenden Betrieb einen vollständigen Schutz gewährleisten. Erläutert unter https://mailbox.org/im-stiftfilm-erklaert-das-vollstaendig-verschluesselte-postfach

secure.mailbox.org: Der sichere Mail-Versand über SSL/TLS

Seit zwei Jahrzehnten werden Verbindungen im Internet über das SSL-Protokoll gesichert: Der verschlüsselte Zugriff auf Webseiten mittels "https://" ist der bekannteste Vertreter davon. Zwischen E-Mail-Anbietern war die Nutzung von SSL-gesicherten Verbindungen zum Mailtransport bislang stets freiwillig. Für den Nutzer war vorab nicht erkennbar, ob eine E-Mail verschlüsselt übertragen werden würde, oder nicht. mailbox.org bietet einen besonderen Versandmechanismus, der eine verschlüsselte Übertragung zwingend vorschreibt. Scheitert diese, weil die Gegenstelle keine SSL-verschlüsselte Übertragung ermöglicht, wird mailbox.org diese E-Mails sicherheitshalber nicht übertragen und den Absender über die fehlgeschlagene Zustellung informieren. Das Verfahren ist auf https://mailbox.org/mails-definitiv-sicher-versenden erläuert.

PGP-Verschlüsselung im Stiftfilm

Ein kurzweiliger Stiftfilm mit 3:35 Minuten Länge erklärt auch für Laien verständlich die Funktionsweise einer Public/Private Key-Verschlüsselung mittels PGP ("asymmetrische Verschlüsselung"). Einmal eingerichtet können E-Mails sicher zwischen Absender und Empfänger ausgetauscht werden. Die notwendige Verschlüsselung arbeitet dabei komfortabel unbemerkt im Hintergrund. PGP-Erfinder Phil Zimmermann verglich dieses Verfahren schon vor 20 Jahren mit dem "elektronischen Briefumschlag", der selbstverständlich sein müsse. NSA-Whistelblower Edward Snowden stellte im Guardian-Interview klar, dass nur starke Verschlüsselung gegen Mitleser schützt. mailbox.org versetzt seine Nutzer in die Lage, diesem Ratschlag zu folgen. PGP-Film unter https://mailbox.org/stiftfilm-wie-funktioniert-e-mail-verschluesselung-mit-pgp

• Über Heinlein Support GmbH
• Weitere Meldungen
• Diesen Pressetext kommentieren
• Pressemitteilung veraltet?