Email Sicherheit

Wohl kaum eine andere Form der Kommunikation hat sich in den letzten Jahren einen so wichtige Platz erobert wie Email. Um so mehr verwundert es wie es immer noch die wohl unsicherste Form der Kommunikation geblieben ist.

Ob Einzelpersonen, Behörden oder die grössten multinationale Konzerne, aller versenden täglich Milliarden von Emails weil es einfach und schnell und preiswert ist. Sie vergessen aber dabei, dass ein Email Nachricht etwa so gut geschützt ist wie ein offenes Blatt Papier. Vom Liebesbrief, Kündigungsschreiben, Forschungsergebnisse, Verkaufsverhandlungen bis zu Mega-Deals. Praktisch jedes heute gedruckte Dokument hat seinen Anfang als Email genommen. Es mutet fast als Witz an, dass dann diese Dokumente zum Teil aufwendig geschützt werden.

Die rein maschinelle Verarbeitung und Versand erlauben es dabei staatlichen und privaten Kontrollorganen den gesamten Email Verkehr systematisch zu kontrollieren und abzuspeichern. Jedes Email durchläuft dutzende von Knotenpunkten und liegt auf mehreren Servern herum, selbst dann noch wenn der Empfänger es längst gelesen und gelöscht hat. Die meisten überqueren mehrere Staatsgrenzen.

Sichere Emails gibt es schon seit es Emails gibt, aber sie sind leider kaum verbereitet. Die Technologie dahinter ist die selbe wie sie Banken und Internet Shops für die Verschlüsselung ihrer Transaktionen zwischen Kunde und Server benutzen. Die schlechte Verbreitung ist wohl einer der Hauptgründe warum sich auch nach über 15 Jahren der Grossteil der Nutzer sich nicht dazu durchringen kann seine eigenen Email zu verschlüsselt zu versenden. Der Korrespondenz-Partner muss natürlich ebenfalls darauf vorbereitet sein.

Andererseits erachten wir es als selbstverständlich auch den unwichtigsten Brief in einen Umschlag zu stecken, bevor wir ihn in den Briefkasten werfen.

Auf den folgenden Seite möchte ich das Thema soweit näher bringen, dass ich im besten Fall das nächste Email von Euch verschlüsselt erhalte.

Was bringen mir verschlüsselte Emails?

Ich kann mit Sicherheit davon ausgehen, dass die folgenden Kriterien der versendeten Nachricht zu jeder Zeit gewährleistet sind:

  • Die Vertraulichkeit der Nachricht.
  • Der Inhalt der Nachricht.
  • Die Identität des Absenders.

Es gibt zwei verschiedene Verfahren. S/MIME und PGP/GPG. Aus technischer Sicht betrachtet sind keine wichtigen Unterschiede zwischen den beiden auszumachen. Da beide die selben mathematischen Chiffriertechniken verwenden, sind auch beide gleich sicher. Beim täglichen Gebrauch zeigen sich jedoch für den Nutzer doch relevante Unterschiede.

S/MIME

S/MIME hat folgende Vorteile.

  • In allen bekannten Email Clients bereits integeriert.
  • Für den Einsatz in Firmen und Organisationen geeignet.

Dem gegenüber steht ein für Private und nicht-kommerzielle Organisationen nicht zu unterschätzender Nachteil. Wie im Internet Banking und den Internet-Shops üblichen SSL, liegt dieser Technik eine hierarchische Struktur zugrunde. Eine übergeordnete Stelle, die Certificate Authority legt die Vertrauensverhältnisse zwischen Sender und Empfänger fest.

Dies ist Ideal für vertrauliche Korrespondenz innerhalb einer Firma oder Behörde. Auch wenn Sender und Empfänger bisher noch keine Nachrichten ausgetauscht haben, wird Vertrauen und Geheimhaltung durch die übergeordnete Instanz gewährleistet.

Bei geheimen Liebesbriefen oder in den Lohnverhandlungen für meinen nächsten Job in einer anderen Firma hat die Firmen interne Certificate Authority wohl aber kaum etwas zu suchen. Dazu kommt, das eine Certificate Authority aufwendig und teuer ist und sehr sehr gut geschützt werden muss. Was ebenfalls fehlt ist ein Verfahren wie ich Nachrichten an Empfänger ausserhalb meiner Organisation versenden kann, ohne vor gängig die benötigten Schlüssel austauschen zu müssen.

PGP und GPG

PGP wurde vor allem für Private und Nicht-Regierungs-Organisationen (NGOs), wie zum Beispiel Amnesty International, in den frühen 90-Jahren entwickelt, damit diese gefahrlos ihre Informationen übermitteln können. Später wurde PGP zu einem kommerziellen Produkt und entwickelte sich damit immer mehr an die Bedürfnisse von Firmen und ihre hierarchische Strukturen. In der Folge entstand GPG als OpenSource Produkt, das auf dem alten PGP basiert aber ständig weiterentwickelt wird.
Die Vorteile von GPG:

  • Einfacher Schlüsselaustausch über Schlüssel-Server im Internet
  • Der Benutzer kann die Vertrauensverhältnisse zu seinen Korrespondenzpartnern selbst festlegen.

Die Nachteile sind der Grund weshalb nicht mehr als eine Handvoll paranoider Freaks ihre Emails verschlüsseln.

  • Der Benutzer muss zu Beginn eine Reihe mehr oder weniger komplizierter Schritte ausführen, um seine Schlüssel zu erstellen.
  • Die eigenen privaten Schlüssel müssen sicher aufbewahrt werden. Gehen sie verloren sind auch alle verschlüsselten Informationen unwiederbringlich verloren.
  • GPG wird von keinem der verbreiteten Email Programmen direkt unterstützt. Es müssen zusätzliche Erweiterungen und Programme installiert und konfiguriert werden.

Mit Mozilla Thunderbird Emails verschlüsseln

Für den Mail Client Mozilla Thunderbird gibt es die Erweiterung EnigMail, mit welcher das Erstellen und Lesen verschlüsselter und oder digital signierter Emails so schmerzlos wie möglich gemacht wurde. Auf den folgenden Seiten wird Schritt für Schritt erklärt wie das vor sich geht.

Anleitung für Thunderbird und Windows/XP

  1. GnuPG auf dem PC installieren
  2. Thunderbird Erweiterung EnigMail installieren
  3. Public und Private Keys erzeugen
  4. Eigenen Public Key veröffentlichen
  5. Key Management
allegro-jealousallegro-jealous
Bear
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivs 2.5 Switzerland.