iCloud Mails: Apple verschickt und empfängt im Klartext

In Heft 4/2013 übersehen, hat das Heise Security-Team jetzt auch die Datensicherheit bei Apples E-Mail-Dienst iCloud überprüft und informiert in diesem kurzen Eintrag über die Testergebnisse.

Unterm Strich mussten die heise-Mitarbeiter feststellen, dass E-Mails von und zu Apples iCloud-Konten grundsätzlich im Klartext transportiert werden und attestieren Cupertino einen zumindest passiven Beitrag zur Datensammelwut der NSA:

Meta-Daten – und falls der Anwender nicht selbst verschlüsselt auch die Inhalte – dürften sich also ziemlich komplett in den Datenbanken der NSA finden.

Apple selbst hat zu den Testergebnissen keine Stellung bezogen, bedankt sich aber für den Hinweis und die „Vorschläge zur Verbesserung der Sicherheit“. Nach Angaben des Security-Teams nutzen alle anderen Mail-Anbieter die Option zur Transportweg-Verschlüsselung ihrer E-Mails.

Apple hingegen liefert neu versandte Mails grundsätzlich ohne Verschlüsselung bei den jeweiligen Empfängern ab. In der Bewertung des Tests heißt es:

[…] selbst wenn die empfangenden Mail-Server Verschlüsselung via starttls anboten, haben die Apple-Server diese Option bei unseren Tests nicht genutzt. Die für Adressen mit den charakteristischen Endungen @mac.com, @me.com und @icloud.com zuständigen Mail-Eingangs-Server (MX) bieten gar kein starttls an; ein Server, der eine Mail an eine solche Adresse loswerden will, muss die notgedrungen ebenfalls im Klartext abliefern. Wer E-Mail-Verkehr auf den Internet-Backbones einsammelt, hat bei Apples iCloud-Kunden also leichtes Spiel. […]