Foto: Maxx-Studio/Shutterstock.com
Eigentlich sollte es im Jahr 2016 zur Allgemeinbildung gehören, dass normale E-Mail-Nachrichten de facto keine Sicherheit bieten - und trotzdem setzen sich Verschlüsselungstechniken für E-Mail-Nachrichten nach wie vor nur langsam durch. Erst im Januar dieses Jahrs zog der Digitalverband Bitcom aufgrund einer repräsentativen Umfrage den pessimistischen Schluss, dass die Verschlüsselung von E-Mails nur langsam vorankommt. Während IT-Profis sich durchaus für den Einsatz von Lösungen wie PGP auch in der Form der Freeware GPG4win erwärmen können, ist das den meisten Anwendern zu aufwändig oder zu kompliziert.
Wir erläutern in diesem Artikel zunächst die Hintergründe dieser Problematik und stellen dann einige Online-Lösungen vor: Provider, die sichere E-Mail "as a Service" direkt aus der Cloud zur Verfügung stellen.
- Sichere Cloud Mail I
Sollte heute der Mindeststandard bei allen E-Mail-Clients sein: Diese Grundeinstellungen für die verschlüsselte Übertragung werden aktuell auch von den meisten deutschen Providern unterstützt. - Sichere Cloud Mail II
Die Informationen in den Meta-Daten: Wer zweifelt, dass es auch aus den Meta-Daten genug interessante Informationen zu ziehen gibt, sollte einen Blick auf „immersion“ beim MIT werfen (hier mit einem Demo-Konto gezeigt). - Sichere Cloud Mail III
Schnell und anonym eingerichtet: Die Web-Lösung von Tutanota weist dabei explizit darauf hin, dass bei Verlust oder Vergessen des Passworts kein Zugriff mehr möglich ist. - Sichere Cloud Mail IV
Verschlüsseln der Nachricht ganz einfach: Nutzer können bei Tutanota direkt im Web-Browser festlegen, dass sie eine Mail verschlüsselt senden wollen und dabei auch gleich das Passwort für den Empfänger angeben. - Sichere Cloud Mail V
Und so sieht es der Empfänger: Auch, wenn er selbst Tutanota nicht verwendet, kann er (unter Verwendung des richtigen Passwortes) die Nachricht dann im Browser wieder entschlüsseln. - Sichere Cloud Mail VI
Kundenfreundliche Testphase ohne Verpflichtungen: Wer die Lösung von aikQ zunächst einmal ausprobieren will, kann dies relativ schnell und einfach tun. Die Software steht dann geringen Einschränkungen bereit. - Sichere Cloud Mail VII
Aufgeräumte, übersichtliche Oberfläche: Die Mail-Lösung von aikQ lässt sich im Browser sehr gut bedienen, da alle Element logisch und übersichtlich angeordnet sind. Sie funktionierte im Test problemlos mit Browsern wie Firefox, Google Chrome und auch dem neuen Edge-Browser von Windows 10. - Sichere Cloud Mail VIII
Zertifikat direkt aus dem Programm heraus beantragen: Wer verschlüsselte Mails verschicken will, benötigt ein Zertifikat, bei dessen Beantragung die Lösung von aikQ behilflich sein kann. - Sichere Cloud Mail IX
Deutliche Mission: Der Berliner Provider Posteo legt nicht nur Wert auf sichere und anonyme Mails, sondern hat auch einen hohen Anspruch, was die Umweltstandards betrifft. - Sichere Cloud Mail X
Deutliche Warnung: Schaltet der Nutzer die komplette Verschlüsselung seines Postfachs samt Kalender und Adressen ein, so kann er bei Verlust des Passwortes nicht mehr auf die verschlüsselten Daten zugreifen. - Sichere Cloud Mail XI
E-Mails können im Posteo-Webmailer mit dem Addon Mailvelope mit OpenPGP(PGP/MIME) verschlüsselt werden.
Sicherheitsprobleme
Die Unsicherheit der mit SMTP (Simple Mail Protocol) versendeten Nachrichten liegt nicht zuletzt daran, dass dieses Protokoll bereits vor über 30 Jahren im Jahr 1982 mittels eines RFCs (Request for Comments) zum Standard wurde - zu einer Zeit, als sich Entwickler und Nutzer noch wenig Gedanken über Sicherheit und Verschlüsselung machten.
1995 wurde das Protokoll dann durch Extended SMTP (ESMTP) im RFC 1869 erweitert und die Entwickler konnten eine Verschlüsselung über SSL/TLS (Secure Sockets Layer/Transport Layer Security) einarbeiten. Dank dieser Erweiterung ist die Vertraulichkeit der Nachricht beim Transfer während der Übertragung zum Mail-Server gesichert. Alle bekannten großen und in der Regel auch kleinen Provider in Deutschland nutzen heute diese Protokolle.
Wer sich allerdings die Mühe macht, den Netzwerkverkehr daheim oder auch im Netzwerk der Firma mit einem Sniffer-Programm wie beispielsweise WireShark zu durchleuchten, wird noch mehr als genug Übertragungen finden, bei denen es möglich ist E-Mail-Nachrichten bequem im Klartext mitzulesen. Das liegt häufig daran, dass immer noch das POP-Protokoll (Post Office Protocol) in der (immer noch gültigen!) Version 3 zum Abholen der Nachrichten vom Mail-Server verwendet wird. Standardmäßig rufen Clients, die dieses Protokoll einsetzen, die Nachrichten völlig unverschlüsselt ab. Dadurch, dass die meisten Provider in Deutschland inzwischen auch bei POP3-Accounts SSL/TLS verwenden, hat sich dieses Problem verringert. Trotzdem in diesem Zusammenhang der Tipp: Verwenden Sie nach Möglichkeit das IMAP-Protokoll (Internet Messaging Access Protocol), das in der aktuellen Version schon standardmäßig einen Verschlüsselungsalgorithmus verwendet.
Verräterische Metadaten
Schließlich empfehlen Experten häufig die händische Verschlüsselung der Daten mittels einer Lösung wie VeraCrypt oder ArchiCrypt Live gefolgt von anschließender Übersendung der verschlüsselten Container-Dateien. Damit rückt jedoch ein weiteres Problem, das erst durch die Enthüllungen von Edward Snowden und die NSA-Affäre so richtig publik wurde, ins Scheinwerferlicht. Die Kommunikation via E-Mail hinterlässt noch ganz andere Spuren: die sogenannten Metadaten. Keine der Verschlüsselungsmöglichkeiten kümmert sich darum, dass die Daten aus dem E-Mail-Header - also beispielsweise wer hat wann eine Nachricht an wen geschickt, wie oft hat er diesen Nutzer per Mail kontaktiert und so weiter -ebenfalls entsprechend geschützt sind. Wer nun meint, die Daten der Felder Absender, Empfänger, CC sowie der Zeitstempel der Nachrichten seien nicht interessant, sollte mal einen Blick auf die Seite des MIT (Massachusetts Institute of Technology) werfen. Dort wird unter der URL: https://immersion.media.mit.edu eine Web-Anwendung mit dem Namen "immersion" online zur Verfügung gestellt. Wer ein E-Mail-Konto von Google oder Yahoo beziehungsweise einen Exchange-Server verwendet, kann dann direkt sehen, was seine Metadaten so zeigen. Es stehen auch Demodaten bereit, für die Nutzer, die kein solches Konto besitzen oder ihre Daten dort nicht eingeben möchten. Die Ergebnisse sind beeindruckend und zeigen in der Übersicht recht genau, mit wem der Anwender kommuniziert hat und in welcher Verbindung er zu seinen Kontakten steht.
