Sicherheit unserer Produkte

  • GRI 417
  • GRI 417-1

United Internet bietet Nutzern Lösungen für sichere und datenschutzkonforme Kommunikation und Cloud-Dienste im Internet. Dabei steht der Konzern mit seinen Initiativen „E-Mail made in Germany“ und „Cloud made in Germany“ für das sichere Versenden und Empfangen privater E-Mails sowie den Schutz der digitalen Privatsphäre in der Cloud.

E-Mail made in Germany

Im Jahr 2013 startete United Internet in Kooperation mit der Deutschen Telekom die Initiative „E-Mail made in Germany“. In diesem Rahmen bieten die teilnehmenden Unternehmen ihren Kunden hohe Standards in Sachen Sicherheit und Datenschutz. Dazu gehören die verschlüsselte Übertragung aller E-Mails auf allen Übertragungswegen des Verbunds, die Verarbeitung und Speicherung aller Daten in Deutschland nach deutschem Datenschutz sowie die Kennzeichnung sicherer E-Mail-Adressen im Rahmen der E-Mail-Anwendungen. Seit April 2014 werden im Verbund „E-Mail made in Germany“ ausschließlich in Deutschland zertifizierte SSL-Schlüssel eingesetzt und alle Übertragungswege komplett verschlüsselt. Selbstverständlich sind die Prozesse aller Partner dabei DSGVO-konform. Als wichtige Ergänzung des Sicherheitsstandards „E-Mail made in Germany“ haben die zu United Internet gehörenden E-Mail-Dienste GMX und WEB.DE im Jahr 2015 eine auf dem weltweit anerkannten Standard „Pretty Good Privacy“ (PGP) basierende Verschlüsselungslösung entwickelt.

Cloud made in Germany

Im Geschäftsjahr 2017 haben GMX und WEB.DE für alle Nutzer eine kostenfreie Lösung der „Ende-zu-Ende-Verschlüsselung“ von Cloud-Inhalten eingeführt. Mit dem „Tresor“ können Nutzer ihre Daten vor dem Upload in die Cloud lokal verschlüsseln und somit vor Fremdzugriff schützen. Sobald die sensiblen Inhalte das Gerät verlassen, sind sie online nur als unlesbarer Datensatz gespeichert. Eine Entschlüsselung erfolgt anschließend erst nach dem Download aus der Cloud auf eines der Geräte des Nutzers. Damit stärken die Portalmarken GMX und WEB.DE ihre 2016 ins Leben gerufene Initiative „Cloud made in Germany“ und steigern so die Sicherheit im Netz.

De-Mail-Standard

Seit 2012 besteht mit dem De-Mail-Standard eine rechtssichere Kommunikation per E-Mail, durch den Meldeprozesse bei Behörden online erledigt oder Geschäfte rechtsverbindlich digital abgewickelt werden können. Bereits seit 2013 sind GMX, WEB.DE und 1&1 akkreditierte De-Mail-Dienstanbieter. Durch die im Jahr 2016 erstmalig erfolgte Zertifizierung nach der eIDAS-Verordnung („Electronic Identification and Trust Services“) der Europäischen Union können GMX, WEB.DE und 1&1 ihren Nutzern künftig auf Basis dieser zertifizierten Infrastruktur auch eine rechtssichere Kommunikation in allen anderen EUMitgliedsstaaten anbieten. Die eIDAS-Verordnung schafft einen EU-weiten Standard für die eindeutige Identifizierung aller Teilnehmer und das digitale Signieren von elektronischer, grenzüberschreitender Datenübertragung. Dadurch entstehen in allen europäischen Mitgliedsstaaten einheitliche Bedingungen für vertrauenswürdigen, nachweisbaren Dokumentenverkehr und rechtssichere Kommunikation zwischen Bürgern, Behörden und Unternehmen.

In der Vergangenheit befanden wir uns mit dem „Single-Sign-On System“, basierend auf unserer De-Mail Infrastruktur, im Zulassungsverfahren als Identitätsprovider nach dem Onlinezugangsgesetz (OZG). Die Prüfungen im Rahmen der Zulassung wurden im Jahr 2020 erfolgreich abgeschlossen und erteilt. Damit können alle De-Mail-Nutzer und Kunden von GMX, WEB.DE und 1&1 mit ihrem De-Mail-Konto direkt die Dienste der angeschlossenen Bürgerkonten und Serviceportale des Bundes und der Länder nutzen, ohne eine neuerliche Anmeldung und Identifizierung. Das stellt eine wesentliche Erleichterung für die Bürger in allen teilnehmenden Fachverfahren des „eGovernment“ dar und bietet unseren Kunden und Nutzern weitere Anwendungsfälle für den Einsatz ihres De-Mail-Kontos.

Sicherheit und Verschlüsselung von E-Mail und Co.

Neben den oben genannten Sicherheits-Features wie TLS, Ende-zu-Ende-Verschlüsselung per PGP sowie der Tresorfunktion in der Cloud unterliegen alle Daten und Inhalte der Nutzer den strengen Datenschutzregelungen Europas sowie Deutschlands entsprechend der DSGVO und werden in Deutschland gespeichert. Die Einwilligung der Nutzer steht an höchster Stelle.

Durch die im Juni 2019 eingeführte Zwei-Faktor-Authentifizierung sind die Konten der Nutzer zusätzlich gesichert. Mit dem Verfahren ist es möglich, die Accounts neben einem Passwort durch einen zusätzlichen Sicherheitscode zu schützen, der zur Anmeldung erforderlich ist. Dieser „zweite Faktor“ erschwert Angreifern den Zugriff auf die Konten, selbst wenn Passwörter erraten oder durch Schadsoftware ausspioniert wurden.

Sicherheit im Online-Handel

Im Online-Handel ist das Vertrauen der Kunden ein entscheidender Faktor. Neben Bedenken bezüglich der Sicherheit ihrer persönlichen Daten stellen sich Verbraucher auch Fragen zur Zuverlässigkeit von Online-Transaktionen, zur Lieferfähigkeit und zu Online-Serviceleistungen. Wir ergreifen daher die nötigen Maßnahmen, um Bedenken auszuräumen und Verbrauchervertrauen aufzubauen.

Das Thema IT-Sicherheit bekommt von Jahr zu Jahr einen immer stärkeren Schwerpunkt in Richtung Überprüfungen. Zu diesem Zweck prüft unter anderem die renommierte Sachverständigenorganisation TÜV SÜD regelmäßig die Online-Shops der Drillisch Online Kernmarken (maXXim, smartmobil.de, simplytel, DeutschlandSIM, PremiumSIM, winSIM, yourfone, Galaxy EXPERTE, handyvertrag.de, free-prepaid). Mit dieser jährlichen Zertifizierung und Überprüfung begegnen wir den Wünschen unserer Kunden, denen Sicherheit und Qualität ebenso wichtig sind wie der Preis unserer Produkte und Dienstleistungen. Für uns als Online-Händler bedeutet die Zertifizierung mit dem anerkannten s@fer-shopping-Prüfsiegel eine Chance, die Kaufabbrüche zu senken, was den Umsatz im Online-Shop positiv beeinflusst. Die Anforderungen des Gütesiegels umfassen unter anderem Aspekte der Datensicherheit und Systemsicherheit, des Datenschutzes sowie der Online-Inhalte und Prozesse. Das mehrstufige und umfassende Prüfverfahren zum Erhalt des TÜV SÜD-Prüfsiegels besteht unter anderem aus einem Audit vor Ort. Darin wird nicht nur die Bestellabwicklung auf Zuverlässigkeit untersucht, sondern es wird auch überprüft, wie der Kundenservice die Anfragen unserer Kunden bearbeitet, ob die persönlichen Daten unserer Kunden geschützt sind und ob die Zahlungsabwicklung sicher ist.

Nach erfolgreicher Zertifizierung dürfen wir das s@fer-shopping-Gütesiegel in den Online-Shops von Drillisch Online verwenden. Damit signalisieren wir, dass wir uns verpflichtet haben, den Kunden ein sicheres und zufriedenstellendes Online-Einkaufserlebnis zu bieten, und dass wir die Einhaltung dieser Verpflichtung gründlich und systematisch bewerten lassen. Zudem hilft uns die Zertifizierung bei der Umsetzung der technischen und organisatorischen Sicherheitsanforderungen der DSGVO. Im Berichtsjahr 2020 erfolgte die Zertifizierung bereits zum zehnten Mal in Folge.

Entwicklung von „intelligenten“ Produkten

Auch bei der Weiterentwicklung unserer Produkte und Leistungen stehen Sicherheit und Komfort unserer Nutzer im Fokus. Dabei kommen zunehmend auch „Data Science“ („Datenwissenschaften“), Künstliche Intelligenz (KI) und „Machine Learning“ zum Einsatz.

Intelligentes Postfach

Das „Intelligente Postfach“ von GMX und WEB.DE bietet Kunden eine nützliche Kategorisierung und Zusammenfassung von E-Mails, sodass diese schneller und effektiver in einer übersichtlichen Anzeige erfasst werden können. Wichtige E-Mails sind schneller auffindbar und Massenmailings werden um nützliche Verwaltungsfunktionen ergänzt. Daraus resultieren Zeitersparnis und Komfort. Beispielsweise bietet die Funktion „Paketverfolgung“ die Möglichkeit, die gewohnten Informationen zum Versandstatus einer Sendung oberhalb der E-Mails anzuzeigen sowie alle Bestellungen in einer Übersicht zusammenzufassen. Außerdem kann der Nutzer personalisierte Angebote auf seine individuellen Interessen zuschneiden lassen. Er entscheidet selbst, welche Extra-Funktionen in dem Postfach freigeschaltet werden sollen.

Das „Intelligente Postfach“ lernt immer weiter dazu, und durch das Training der Systeme wird es technisch bald möglich sein, weitere E-Mail-Kategorien zu bilden und anzubieten. Dadurch gewinnt der Nutzer noch mehr Übersicht in seinem Postfach. Im Jahr 2020 kamen die beiden Kategorien „Social Media“ und „Newsletter“ hinzu. Ersteres ermöglicht es, alle E-Mails aus Social-Media-Kanälen, wie beispielsweise die Benachrichtigungen über Geburtstage oder „Likes“, gesammelt in einer Kategorie anzeigen zu lassen. Die zweite Kategorie bietet dem Nutzer eine Übersicht aller im Postfach eingegangenen Newsletter. Dieser Überblick erleichtert gegebenenfalls das Abbestellen jener Newsletter, die nicht mehr erwünscht sind. Nähere Details dazu befinden sich im Abschnitt „Steigerung der Relevanz und Sicherheit von E-Mails durch verbesserte Spam-Erkennung“. Selbstverständlich gelten auch für die „intelligent erfassten“ Daten bei GMX und WEB.DE die bekannten Datenschutzbestimmungen der DSGVO.

Steigerung der Relevanz und Sicherheit von E-Mails durch verbesserte Spam-Erkennung

Wir arbeiten stets daran, unerwünschte oder sogar schädliche Nachrichten, sogenannte Spam-Mails, besser zu erkennen und zu filtern, damit diese unsere Nutzer gar nicht erst erreichen. Im Berichtsjahr 2020 ist es uns durch neue Methoden und die Anwendung von „Data Science“ gelungen, den Anteil der erkannten und herausgefilterten Spam-Mails um 15 % zu erhöhen. Im gleichen Zeitraum gingen die „Spam-Beschwerden“ der Nutzer um 15 % zurück. Dies zeigt, dass die „richtigen“ E-Mails als Spam gekennzeichnet wurden. Spam reicht dabei von gefährlichen bzw. schadhaften E-Mails, die der Verbreitung von Viren oder dem Phishing dienen, bis hin zu unerwünschten, z. B. häufig versandten Massen-Werbemails.

Um dieses Ergebnis zu erreichen, haben wir neue Viren-Scanner eingesetzt und Konfigurationen optimiert. Seit dem Berichtsjahr 2020 wird zudem ein eigener, auf unsere Dienste maßgeschneiderter Spamscanner entwickelt, welcher unter anderem auch „Machine Learning“ einsetzt. Der im Jahr 2019 entwickelte Standard zum Abbestellen von Newslettern durch den Nutzer vereinfacht zudem das Aufräumen des Postfaches, um nur erwünschte E-Mails zu empfangen. Basis dafür ist der Internetstandard RFC 8058 (One-Click-Unsubscribe), der es ermöglicht, einen Newsletter mit einem einzigen Klick direkt im E-Mail-Postfach abzubestellen. Der Link „Newsletter abbestellen“ ist immer direkt neben dem Absender der E-Mail zu finden. Daher ist weder die Suche nach einem Abmeldelink noch ein Besuch der Homepage des Versenders erforderlich. Der Standard wurde von der Certified Senders Alliance (CSA), einer Initiative des eco – Verband der Internetwirtschaft e. V., als Anforderung in ihren Regularien hinterlegt, was für eine hohe Verbreitung unter den führenden Versendern sorgt. Der Service wird von unseren Kunden gut angenommen.

Im Berichtsjahr 2020 konnte so die Anzahl der unerwünschten Newsletter deutlich reduziert werden. Insgesamt konnten die Relevanz der eingehenden E-Mails wie auch die Sicherheit bei der Nutzung von E-Mails signifikant im Sinne unserer Nutzer gesteigert werden.

Nutzer-Feedback und KI für eine weitere Verfeinerung der Spam-Erkennung

Bei GMX und WEB.DE eingehende E-Mails werden standardmäßig auf Spam-Kriterien geprüft. Wird eine Spam-E-Mail erkannt, wird sie in einen separaten Ordner einsortiert. Doch aufgrund neuer und sich ständig ändernder Spam-Angriffsmethoden kann es vorkommen, dass unerwünschte E-Mails in den Posteingang zugestellt werden. Auch umgekehrt können erwünschte E-Mails im Spam-Ordner landen. Bereits heute reagieren viele Nutzer darauf, indem sie E-Mails manuell verschieben und damit ihre persönlichen Spam-Filter trainieren.

Dieses individuelle Nutzer-Feedback nutzen GMX und WEB.DE auch für ihr allgemeines Spam-Filtersystem und zum Training der KI. So können wir unsere Nutzer durch ihr Feedback schneller und wirksamer vor neuen Spam-Typen schützen. Voraussetzung dafür ist die Zustimmung der Nutzer. Diese kann in den E-Mail-Einstellungen mit der Option „Spam-Erkennung anhand von verschobenen E-Mails“ erteilt werden. GMX und WEB.DE können dann Inhalte wie z. B. Betreff oder URL der verschobenen E-Mails und dazugehörige Verkehrsdaten wie z. B. Absender oder IP-Adresse prüfen und kategorisieren. Die Analysen werden überwiegend automatisiert durch Computersysteme und lediglich in Einzelfällen manuell durchgeführt. Die Daten werden streng zweckgebunden und entsprechend den europäischen Datenschutzbestimmungen verarbeitet. Die Einwilligungen können jederzeit in den Einstellungen unter „Spam-Erkennung“ widerrufen werden.

Zudem arbeiten wir mithilfe von „Machine Learning“ daran, etwa durch sogenannte „Botnets“ gesteuerte E-Mail-Accounts besser zu erkennen, damit Spam-Mails hierüber nicht in Umlauf geraten.

Betrugserkennung durch Machine Learning

Für unser Hosting-Geschäft haben wir mithilfe von „Machine Learning“ eine Möglichkeit entwickelt, anhand eines Domain-Namens vorauszusagen, ob die Domain für Betrug bzw. Missbrauch genutzt werden könnte.

Heutzutage werden für viele Sicherheitsangriffe, etwa in Form von Spam- oder Phishing-Mails, Domain-Namen genutzt, die auf den Empfänger einen seriösen Eindruck machen. So werden etwa E-Mails von Adressen versendet oder enthalten Links zu Webseiten, deren Namen einer bekannten und eigentlich vertrauenswürdigen Domain stark ähneln. Dem Nutzer fallen solche Tricks häufig nicht unmittelbar auf. Diese Art von Betrug richtet sich an (bzw. gegen) die Empfänger, beeinträchtigt aber möglicherweise auch unsere Kunden, deren Domain von anderen Anbietern aufgrund solcher Betrugsfälle gesperrt werden könnte. Auch unser eigenes Unternehmen ist davon negativ betroffen, wenn die entstandenen Kosten für die Domain-Registrierung nicht von dem Kunden beglichen werden.

Das von uns entwickelte Datenprodukt lernt auf Basis vergangener Domain-Registrierungen, die von unseren Betrugsexperten identifiziert und gekennzeichnet wurden, und kann innerhalb von Millisekunden ausstehende Domain-Bestellungen einschätzen. In der Konsequenz werden dem Kunden z. B. eingeschränkte Zahlungsmöglichkeiten angeboten, die beispielsweise eine zusätzliche Identifizierung voraussetzen, um das Risiko für unser Unternehmen zu minimieren. Seit 2019 ist diese Leistung in unsere Prozesse integriert und hat bereits zu einer Senkung der Betrugsquote beigetragen.

In einem nächsten Schritt möchten wir die Analyse auch in weiteren Märkten ermöglichen und ihre Nutzung in den anderen Konzerngesellschaften, die im Hosting-Geschäft tätig sind, vorantreiben. „Machine Learning“ ist ein hervorragend geeignetes Instrument, um sich ständig wandelnde Betrugsversuche zu erkennen, sodass wir zuversichtlich sind, in Zukunft weitere hilfreiche Leistungen entwickeln und anbieten zu können.