Schlagwort-Archive: de-mail

Tipps zur E-Mail-Sicherheit und -Verschlüsselung

Unverschlüsselte E-Mails sind wie Postkarten – jeder der sie in die Finger bekommt, kann sie mitlesen. Welche Möglichkeiten gibt es, um eine vertrauliche E-Mail-Kommunikation zu gewährleisten? Wir stellen zwei Möglichkeiten vor: De-Mail und PKI.

De-Mail

Das im Auftrag des Staates entwickelte Konzept der De-Mail soll eine vertrauliche, sichere und nachweisbare Kommunikation über das Internet ermöglichen und langfristig die Briefpost ersetzten. Nachrichten und Dokumente werden dabei verschlüsselt übertragen. Um der gesetzlichen Schriftformerfordernis gerecht zu werden und somit rechtsverbindliche Kommunikation betreiben zu können, müssen Nutzer ihren E-Mails zusätzlich eine qualifizierte elektronische Signatur über ein zertifiziertes Signierprogramm hinzufügen. Bei Unternehmen und Behörden wird für die De-Mail vor allem mit Zeit- und Kostenersparnis in der Kommunikation geworben.

De-Mail-Anbieter müssen akkreditiert werden und erhalten anschließend ein Siegel des Bundesamts für Sicherheit in der Informationstechnik (BSI). Zugelassende Anbieter sind beispielsweise die Telekom oder 1&1. Ein mit De-Mail weitestgehend vergleichbarer Dienst ist der E-Postbrief der Deutschen Post, der allerdings keine Signaturen zulässt. Die beiden System sind nicht untereinander kompatibel.

Kritik: Verschlüsselung ist nicht gleich Verschlüsselung

Der Hauptkritikpunkt des De-Mail-Verfahrens liegt im beworbenen Vorteil der Verschlüsselung: Verschickte Inhalte sollen nicht mitgelesen und verändert werden können. Tatsächlich ist dies nicht vollkommen sichergestellt, denn eine durchgängige Verschlüsselung ist nicht gewährleistet. Die De-Mail nutzt die sogenannte Punkt-zu-Punkt-Verschlüsselung, bei der die Nachricht zwischen Versender und Empfänger kurzzeitig auf den Servern der Diensteanbieter ent- und anschließend wieder neu verschlüsselt wird, sodass hier eine potenzielle Sicherheitslücke entsteht.

Besser und von Experten immer wieder gefordert, wäre die sogenannte Ende-zu-Ende Verschlüsselung: Dabei werden die Inhalte auf dem Rechner des Versenders verschlüsselt und erst auf dem Rechner des Empfängers wieder entschlüsselt. De-Mail Nutzer haben aber die Möglichkeit, diese Funktion eigenständig nachzurüsten. Überspitzt formuliert begründet das Bundesministerium des Innerens (BMI) das standardmäßige Fehlen von Signatur und Ende-zu-Ende Verschlüsselung  im Komfort für den Nutzer, da so keine Zusatzinstallationen auf dem Computer nötig sind. Ein weiterer Kritikpunkt liegt im Datenschutz, denn laut §112 TKG können viele Sicherheitbehörden und -dienste die persönlichen Daten der De-Mail Nutzer ohne richterlichen Beschluss einsehen.

Durchgesetzt hat sich die De-Mail sowohl im privaten als auch im geschäftlichen Umfeld noch nicht, deshalb im Folgenden eine weitere, verbreitete Variante zur Verschlüsselung.

PKI-Verschlüsselung (Public Key Infrastructure)

Natürlich können auch herkömmliche E-Mails mit Signaturen für einen rechtsverbindlichen Schriftverkehr versehen und auf unterschiedliche Weise verschlüsselt und damit abgesichert werden. Häufig wird dabei asymmetrische Kryptografie verwendet, bei der die Kommunikationspartner vorher keinen gemeinsamen Schlüssel vereinbaren müssen, sondern für die Ver- und Entschlüsselung unterschiedliche Schlüssel benutzt werden.

Ein öffentlich bereitgestellter Schlüssel ermöglicht es jedem, Daten für den Inhaber des geheimen privaten Schlüssels zu verschlüsseln, dessen Signaturen zu prüfen und ihn zu authentifizieren. Die mit dem öffentlichen Schlüssel verschlüsselten Inhalte können wiederum mit dem privaten Schlüssel vom Inhaber entschlüsselt werden, er kann digitale Signaturen erzeugen und sich authentifizieren. Das erleichtert die Handhabung und wird als Public Key Infrastructure (PKI) bezeichnet.

Eine populäre Umsetzung dieser Methode findet sich in PGP (Pretty Good Privacy) und der freien Software GnuPGP. Letztere wird beispielsweise von vielen Anwälten genutzt, um die Kommunikation mit Mandanten zu verschlüsseln. Dazu wird der öffentliche Schlüssel auf der Website bereitgestellt. Neben einer Open-Source-Lösung gibt es natürlich auch kommerzielle Anbieter, die eine Verschlüsselung zumeist mit S/MIME und Zertifikaten realisieren. Dazu gehören unter anderem S-Trust (Sparkassenverlag) und DATEV.

Die PKI ist bislang die beste Möglichkeit zur Verschlüsselung herkömmlicher E-Mails, wenngleich auch sie nicht ohne Schwachstellen ist. So wurde die Zertifizierungsstelle selbst Opfer von Hackern durch Man-in-the-Middle-Angriffe, bei dem die Angreifer Einsicht in und Kontrolle über den Datenverkehr bekamen, indem sie sich zwischen zwei Kommunikationspartner schalteten.