De-Mail zou versleutelde communicatie beloven, maar het is niet moeilijk om mee te lezen, zegt onderzoeker Linus Neumann.

Het in 2011 opgeleverde veilige e-mailalternatief De-Mail is veel minder veilig dan leverancier Deutsche Telekom wil doen geloven. In zijn presentatie “Bullshit Made in Germany” (zie video) maakt securityonderzoeker Linus Neumann het initiatief met de grond gelijk.





De-Mail kan worden gebruikt om overheidsdiensten, bedrijven en burgers op een veilige manier te laten communiceren door middel van authenticatie en encryptie. Het systeem heeft veel weg van het Nederlandse DigiD. De dienst is ontwikkeld door de Duitse overheid, maar wordt gehost door een select aantal private ondernemingen met een ISO-27001 certificering.

Hoewel securityanalist Neuman het idee achter De-Mail kan waarderen, komt hij na eigen onderzoek tot de conclusie dat De-Mail nauwelijks veiliger is dan reguliere e-mail. Bovendien is het te idioot voor woorden dat het systeem incompatibel is met de rest van de wereld, zegt de onderzoeker.

Lucratief hackersdoelwit

Als meest gevoelige punt in de beveiliging van De-Mail noemt Neumann de encryptie die door de leverancier van het systeem automatisch afgehandeld wordt. De gebruiker is niet in bezit van de sleutel en op de centrale servers waar de mails worden opgeslagen zijn ze onversleuteld. Hackers zouden door een inbraak op de centrale server in bezit komen van miljoenen gevoelige Duitse documenten. Volgens Neumann is het slechts een kwestie van tijd voordat dit ook gebeurt.