Hintergrund – Mailverschlüsselung und verschlüsselte Übertragung

(Ein Kommentar von Munir Hanna, Geschäftsführer)

Seit dem NSA-Skandal ist der Umgang mit dem Internet vielen Nutzern erfreulicherweise bewusster geworden. Man sollte sich jedoch im Klaren sein, dass es keine absolute Sicherheit gibt.

Die Marketingstrategen der Internetkonzerne und Zertifikatsanbieter haben u.a. mit den Themen Sicherheit via Verschlüsselung der Übertragungswege ein neues Geschäftsfeld für neue Anreize zur Vermarktung bisheriger technischer Leistungen für sich entdeckt.
Doch diese Sicherheit ist trügerisch und stellt in der Mailübertragung nur eine psychologische Beruhigung dar.

Natürlich kommen auch etliche grundsätzliche technische Schwächen hinzu, die für eine Ernüchterung sorgen können, wenn man sich intensiver mit z.B. SSL- oder STARTTLS-Verschlüsselung beschäftigt.

Im Falle der Mailübertragung werden die vom Nutzer verschickten Mails üblicherweise im Klartext an den Posteingangsserver zugestellt. Von dort geht es meist über etliche Zwischenstationen, an den Ziel-Server des Empfängers weiter.

Bestenfalls wird hierbei der Übertragungsweg zwischen dem Nutzer und dem Mail-Server zwar mit der SSL-/TLS-Verschlüsselung gesichert.

Der Empfänger lädt sich vielleicht diese Mail ebenfalls über einen verschlüsselten Übertragungsweg herunter oder öffnet die Mail in einem Online-Mailprogramm (IMAP, Webmail).
Aber der Mailinhalt selber geht zwischen Sender und Empfänger einer Mail unverschlüsselt auf die Reise über viele Zwischenstationen.

Die Übertragung zwischen den Mail-Servern im Internet geschieht unverschlüsselt und damit ist die Mail für jeden Zugriffskompetenten ohne Weiteres lesbar und kopierbar. Der verschlüsselte Weg zwischen dem Endkunden und seinem Mailserver wird damit obsolet.
Das ist vergleichbar mit einer Postkarte, die während des ganzen Transportweges von jedem gelesen werden kann und man lediglich den Weg von der Haustür zum Briefkasten gesichert hat.

In den allgemeinen öffentlichen Medien ist inzwischen kommuniziert, dass an vielen Zwischenstationen im Internet automatisiert mitgelesen bzw. ausgewertet wird.
Bereits seit sehr früher Zeit haben etliche große kostenlose Mail-Provider Mails ihrer Kunden zu weiteren Vermarktungs- und Überwachungszwecken systematisch ausgewertet. Gelegentlich taucht auch heute noch eine aktuelle Meldung in Fachkreisen auf. Aber der Verbraucher zieht selten seine Konsequenzen.

Wenn man ernsthaft Wert auf Sicherheit legt, dann sollte man sich mit der Verschlüsselung des Mail-Inhaltes näher beschäftigen.

Die Internetkonzerne und großen Internetfirmen sind gesetzlich verpflichtet Hand in Hand mit Behörden zusammen zu arbeiten und bieten den Behörden oft gleich die Entschlüsselungsmöglichkeiten oder Eingriffsmöglichkeiten immer gleich mit an.

Da aber eine echte Verschlüsselung von Mailinhalten einerseits einen erst recht verdächtig machen kann und andererseits einiges an Bereitschaft erfordert, sich technische Zusammenhänge anzulesen bzw. mit dem Prozess der Verschlüsselung und Signierung von Nachrichten zu beschäftigen, wird man sich meist mit der Inkonsequenz zufrieden geben, dass ein schwacher Schutz immer noch besser als gar keiner sei.

Seitens des Gesetzgebers gibt es mit der DE-Mail eine angeblich sichere Möglichkeit Mailkommunikation zu nutzen. Ziel ist es einen rechtlich verbindlichen Weg der elektronischen Kommunikation zwischen den Behörden und Institutionen und dem Bürger zu ermöglichen. Für manche Berufszweige (Rechtsanwälte, Steuerberater) wird versucht DE-Mail als obligatorisch durchzusetzen. Doch die Umsetzung des Konzeptes derart fragwürdig, dass hiermit auf den bereits 2013 gehaltenen Vortrag Bullshit made in Germany von einem IT-Sachverständigen, der dem Bundestag eine Expertise zu DE-Mail gab, hingewiesen werden muss. “Sicherheit” wird hier also schnell relativ, wenn man sich die Details der DE-Mail anschaut. Zudem der DE-Mail-Nutzer pro Mail ein “Porto” entrichten soll.

Empfehlenswert ist die Beschäftigung mit dem kostenlosen PGP-Verschlüsselungssystem Gnu-PGP (Download, Dokumentation, Einstiegshilfe).

Links zum Thema Mail-Verschlüsselung: