Die Transportverschlüsselung der Mogelpackung „sicheren Variante der E-Mail“ namens „E-Mail made in Germany“ ist offenbar fehlerhaft implementiert. Das berichtete Zeit Online am 3. November:

Doch auch die Transportverschlüsselung alleine wäre schon ein großer Fortschritt, wenn sie korrekt umgesetzt würde. Allerdings gibt es dabei ein Problem: Für Logins auf den Websites der jeweiligen Anbieter gilt der Verschlüsselungsschutz nur eingeschränkt, und das kann den ganzen Sicherheitsansatz ins Leere laufen lassen.

Wer die Websites von GMX, Web.de oder T-Online aufruft, landet zunächst auf einer unverschlüsselten Seite [(„http://“) mit einem]  Formular, mit dem man sich in seinen E-Mail-Account einloggen kann. […] [Dessen Daten werden] im Normalfall verschlüsselt verschickt – aber nur, solange die Verbindung, über die das Formular übertragen wird, nicht manipuliert wurde. Ein Angreifer – das könnte beispielsweise jemand sein, der gerade im selben WLAN eingeloggt ist oder jemand beim Internetprovider – kann aber genau das tun und die Verschlüsselung einfach abschalten. Anschließend ist das Mitlesen des Passworts für ihn kein Problem mehr. Derartige Angriffe sind unter dem Namen SSL-Stripping lange bekannt….

Nicht betroffen ist der Datenabruf über Mailprogramme.