e-Mail - so sicher wie eine Postkarte (Teil_1)

am 16 Februar, 2014
e-Mail - so sicher wie eine Postkarte (Teil_1)

Spätestens seit einem halben Jahr weiß jedes Kind, wie es um die Privatheit der von uns versendeten Informationen per e-Mail und Messaging-Dienst bestellt ist. Ohne geeignete Sicherungsmaßnahmen sind diese Informationen nahezu frei zugänglich. Die Bandbreite der Reaktionen bei der Bevölkerung auf diese Erkenntnis reicht seither von Resignation bis zu paranoidem Aktionismus. Klar ist, dass der Staat allenfalls Rahmenbedingungen schaffen kann. Konkrete Maßnahmen für den Einzelnen kann er nicht treffen. Niemand wird ernsthaft in Erwägung ziehen, dass der Staat darauf achtet ob die eigene Wohnung zur Eigentumssicherung gut verschlossen ist.

 Aber welche Maßnahmen sind angemessen, um meine Privatheit zu schützen? Welche sind überhaupt zu leisten? Abhängig von der Art des genutzten Dienstes gibt es verschiedene Möglichkeiten, diese Fragen für den Einzelnen zu beantworten.

 

Organisatorische Tipps 

Wer per e-Mail korrespondiert muss sich bewusst machen, dass die Nachricht auf dem Weg von A nach B eine ganze Reihe von Knotenpunkten passiert. Diese Zwischenstationen, wie auch der eigentliche Empfänger, können jedoch bereits kompromittiert sein. Das bedeutet, dass an diesen Punkten zum Beispiel durch staatliche Anordnung oder geheimdienstliche Tätigkeit Abhörschnittstellen eingerichtet sein können. Irrelevant ist in dem Zusammenhang, ob es sich um eine Maßnahme mit Wissen und Unterstützung des Betreibers handelt, oder ob dieser schlicht ohne Absprache „ge-hackt“ wurde. Nicht zuletzt durch Edward Snowden wurde öffentlich, dass man US-Firmen wie Google, Yahoo oder Hotmail möglichst aus seinen Kommunikationsstrukturen verbannen sollte. 

TIPP-1: Zur Kommunikation mit engen Freunden, in Büros und kleinen Unternehmen könnte die Einrichtung eines eigenen Mailservers sinnvoll sein. Denn diese dezentralen Strukturen entziehen sich der Überwachung leichter, als die großen Spots.

 

DE-Mail - ein Ausweg?

Alle Provider, die DE-Mail-Services anbieten (Telekom, 1&1, etc.), durchlaufen eine Zertifizierung vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Es müssen bestimmte Standards gesetzeskonform erfüllt sein, damit lt. Vorgabe eine rechtssichere und vertrauliche Kommunikation zwischen den Partnern per DE-Mail erfolgen kann.

In Punkto Sicherheit ergeben sich einige Fragen:

  • Die Mails werden für den Transportweg verschlüsselt. Am Beginn und am Ende ihrer Reise sind sie jedoch unverschlüsselt. Der Versender und der Empfänger müssten also selbst noch Initiative zeigen, und für Verschlüsselung auf ihren e-Mail-Programmen sorgen. Es liegt also bei diesem Standard keine durchgängige, sogen. Ende-zu-Ende-Verschlüsselung vor.
  • An bestimmten Stellen des Transportweges werden die Daten entschlüsselt, um vom Provider zuverlässig auf Viren und Spam überprüft werden zu können.
  • Es ist unbekannt, ob für staatliche Stellen die Entschlüsselung von DE-Mails vorgesehen oder möglich ist.

DE-Mail kann hinsichtlich ihrer Rechtssicherheit, z.B. im Austausch mit Behörden, Vorteile bieten. Aus Sicht des Datenschutzes jedoch bietet DE-Mail nur eine Scheinsicherheit, bei der eine wirksame Verschlüsselung suggeriert wird. «Bei De-Mail wird bewusst auf eine wirklich vertrauen schaffende Kommunikation verzichtet. Die Chance, eine sichere, standardisierte Ende-zu-Ende-Kommunikation für Behörden- und Geschäftsbriefe zu entwickeln, wurde vertan – vor allem weil staatliche Ermittler und Geheimdienste möglichst einfach mitschnorcheln wollen.» – (Quelle: CCC-Sprecher Frank Rieger http://www.ccc.de/de/updates/2011/stellungnahme-gesetzentwurf-demail)

 

Ein Guter Rat: Verschlüsselung selbst in die Hand nehmen

Viele Internet-Nutzer kennen das Verschlüsseln von eMails nur vom Hörensagen. Es gilt gemeinhin als kompliziert. Viele wissen nicht, dass auf modernen Rechnersystemen, auf Tablets und Smartphones bereits vieles für Kommunikationssicherheit getan wurde.

 

Welche Verfahren zur Verschlüsselung gibt es?

Die bekanntesten und am meisten verbreiteten Verfahren sind unter ihren Namen Pretty-Good-Privacy (PGP) und S/MIME bekannt. Bei beiden Verfahren hat jeder Teilnehmer einen öffentlichen, und einen privaten Schlüssel. Man spricht in diesem Zusammenhang von asymetrischen kryptografischen Schlüsselpaaren – aber das nur am Rande. Ein Vergleich: 

Was macht die Nutzung von S/MIME so bedenklich?

Insbesondere S/MIME ist seit den Enthüllungen über die NSA kritisch zu betrachten. Gemäß den Informationen zu PRISM müssen die zentralen Zertifizierungsstellen, die auch S/MIME unterstützen als kompromittiert gelten. Zwar gibt es bisher keine Beweise dafür, dass dies geschehen ist. Aber auch ohne paranoid zu erscheinen können wir getrost davon ausgehen. Nachrichtendienste die Google, Microsoft oder Apple zur Zusammenarbeit zwingen können haben auch kein Problem damit Zertifizierungsstellen wie Verisign von einer Kooperation zu „überzeugen“. Durchaus denkbar ist auch, dass die NSA selbst einen solchen Knoten zur Zertifizierung zwischengeschaltet hat.

Was wäre der Nutzen - die Daten sind doch verschlüsselt?

Im Idealfall liegen die Schlüssel auch ausschließlich auf dem jeweiligen PC. Damit wären Daten, die im Browser oder in dem Mailprogramm verschlüsselt wurden noch wertlos für einen Angreifer. Man darf jedoch nicht vergessen, dass in diesem Fall der Täter selbst die zentrale Zertifizierungsstelle ist. Denkbar ist also, dass diese im  Namen des Angegriffenen (Opfers) Mails unterschreibt und verschickt. Der Empfänger erhält ein augenscheinlich gültiges Zertifikat und verschickt damit ggf. weitere Mails. Diese könnten dann vom Täter entschlüsselt werden.

 

Fazit

Die sicherste Art, die Integrität vertraulicher Daten zu bewahren ist die Verschlüsselung. Nach den Enthüllungen über die NSA ist eindeutig: In unserem Vergleich kommt nur PGP in Frage. S/MIME scheidet wegen des Verdachts der Unterwanderung von Spähern aus.

Und: es geht um mehr

Welche Gründe auch immer Staaten oder Organisationen dafür haben, möglichst alles erfahren zu wollen: Terrorbekämpfung, Marketing oder Firmenspionage - eines ist klar. Die Unbedarftheit, mit der wir über viele Jahre im Medium Internet selbstverständlich kommuniziert haben, gehört ein für allemal der Vergangenheit an. Wenn wir uns bisher sicher gefühlt haben, stellt sich die Frage, ob wir in Zukunft nicht eine Art von Beklommenheit in uns spüren, wenn wir über elektronische Medien kommunizieren. Natürlich kann der Einzelne sagen: „Was ich hier per e-Mail, Facebook oder sonst wie verbreite,  ist nicht sonderlich von Belang und kann ruhig von jedem gelesen werden!“ Es geht aber letztlich um einen weiteres Stück des privaten Freiraumes, der dem Individuum damit genommen wird. Und: Wenn sich einzelne bei Behörden oder Staaten dadurch verdächtig machen, dass Sie lediglich ihr Briefgeheimnis eigenständig durch Verschlüsselung wahren, ist dies eine bedenkliche Entwicklung.

 

Ausblick - in eigener Sache:

Um einen tieferen, praktischen Einblick in die Einrichtung eines Verschlüsselungs-Systems zu bekommen, haben wir für den Teil-3 dieser Reihe eine Anleitung in Vorbereitung. Diese erklärt, wie Outlook unter Windows für den Einsatz von PGP präpariert werden muss. Ein Kinderspiel, wenn Sie zuvor Teil-2 von "e-Mail - so sicher wie eine Postkarte" gelesen haben - demnächst hier im Blog.

Nach oben

Neueste Kommentare

Login