Heute kam mir mal wieder das Thema Sicherheit und Verschlüsselung bei Internetkommunikation in den Sinn. Viele Webseiten nutzen SSL, um die Daten verschlüsselt zu Übertragen. Vor allem bei persönlichen oder Bankdaten ist eine sichere Datenübertragung sinnvoll.

Ich habe mir vor etwas längerer Zeit ein PGP-Schlüsselpaar erstellt. Es ging damals nur mit einigen Umständen: Ich hatte eine Anwendung zu installieren. Irgendwie erstellte diese ein Schlüsselpaar (die Bedienung der Anwendung war nicht optimal). Damit andere Personen meinen Schlüssel verwenden können, kann ich diesen beispielsweise auf einem Schlüsselserver hochladen.

Nach einiger Zeit habe ich das alles hinbekommen und dann kam die nächste Frage: Wer aus meinem Adressbuch hat alles einen öffentlichen Schlüssel? Hochmotiviert führe ich einen Abgleich meiner Kontaktliste durch und erkenne: Nur ein einziger Bekannter hat einen öffentlichen Schlüssel.

Jetzt (ca. 3 Jahre später) sieht es nicht viel anders aus. Die Bedienung der Anwendung ist um einiges besser geworden. Jedoch ist die E-Mail Verschlüsselung immernoch ein Thema, welches von vielen Nutzern nicht beachtet wird.

Es gibt verschiedene Ansätze wie StartMail oder Posteo. Diese bieten von sich aus verschlüsselte E-Mails an. Hierzu wird ein PGP-Schlüsselpaar verwendet. Im Hintergrund wird beim Senden einer Nachricht der öffentliche Schlüssel des Empfängers herangezogen und die Nachricht verschlüsselt übertragen.

Einige deutsche E-Mail Anbieter bieten auch verschlüsselte Mails an. Dies bedeutet jedoch meist nur, dass die Nachricht zwischen der Serverübertragung verschlüsselt wird. Auf dem Server selbst liegt die E-Mails jedoch in Klartext vor. Dadurch kann eine inhaltliche Prüfung auf Spam oder Viren durchgeführt werden. Allerdings können auch bestimmte Institutionen (bspw. Strafverfolgungsbehörden) einen Zugriff auf diese E-Mails erhalten und den gesamten Inhalt mitlesen. Ich habe dazu gelesen, dass jetzt die Anbieter von De-Mail die Oberfläche angepasst haben, sodass eine Ende-zu-Ende-Verschlüsselung möglich wird. Allerdings muss dies der Nutzer (und vor allem die möglichen Empfänger) einrichten.

Um zum Thema zurückzukommen: Was ist mit den Unternehmen? Viele Firmen oder Unternehmen haben ein Kontaktformular, eine E-Mail Adresse oder eine Telefonnummer. Nirgends finde ich jedoch einen Hinweis auf einen öffentlichen Schlüssel. Auch die Keyserver stellen keine Schlüssel bereit. Dabei möchte ich ungern meine sensiblen Informationen als Postkarte durch das Netz schicken (vor allem, wenn es um Finanzdaten oder eine Rechtsberatung geht).

Bei großen Firmen kann es durchaus schwierig werden, wie man eine Verschlüsselung sicher (aber auch praktikabel) einrichtet. Gibt es einen Schlüssel, für die gesamte Firma? Bekommt jeder Mitarbeiter einen eigenen Schlüssel? Was passiert, wenn der Mitarbeiter krank wird und in der Übergangszeit ein anderer Mitarbeiter die E-Mails beantworten soll? Gibt es einen gemeinsamen Schlüssel für die Abteilung? Eine Verschlüsselung suggeriert meist, dass nur wenige ausgewählte Personen den Inhalt lesen können. Ein globaler Schlüssel ist wahrscheinlich das einfachste Mittel. Allerdings kann jeder aus dem Unternehmen die Mail von jedem Mitlesen.

Ich denke, dass die Umsetzung vor allem für Firmen schwierig ist. Ein Schlüssel pro Mitarbeiter ist ein großer organisatorischer Aufwand. Vor allem Sonderfälle, wenn ein Mitarbeiter ausfällt, müssen beachtet werden. Auch die Erkennung von Spam oder Viren wird schwieriger zu Erkennen. Betrüger verwenden teilweise E-Mail Anhänge, um eine „Rechnung“ o.ä. zu übermitteln. Diese beinhalten Schadprogramme, um beispielsweise einen Zugriff auf den Zielrechner zu erhalten. Das Antivirenprogramm kann verschlüsselte Dateien nicht mehr als Virus erkennen.

Ein Vorteil, den PGP jedoch auch bietet ist das signieren der eigenen Nachricht. Hierzu verwendet der Absender zum verschlüsseln den eigenen privaten Schlüssel. Der öffentliche Schlüssel dient zum Entschlüsseln der Nachricht. Durch dieses Verfahren kann man davon ausgehen, dass die Nachricht vom richtigen Empfänger stammt. Einen Schlüsselklau o.ä. lasse ich vorerst außen vor. Ähnlich wie bei einem Passwort kann auch der Schlüssel potentiell in die falschen Hände geraten.

Zudem muss Vertrauen zum Absender der Nachricht bestehen. Es muss der richtige Schlüssel ausgewählt sein, damit der Empfänger die Nachricht auch lesen kann. Prinzipiell kann ein Betrüger seinen eigenen Schlüssel anhängen und die Absenderadresse fälschen. Alternativ kann man Personen mit einer neuen Adresse und einem anderen Schlüssel ködern. Auch wenn einige Aspekte sicherer werden, gibt es immer dieses Katz und Maus Spiel.

Ich bin gespannt, wie sich das Thema Verschlüsselung in der Zukunft weiter entwickelt. Aus meiner Sicht ist eine Verschlüsselung sinnvoll, auch wenn viele sagen: „Ich habe ja nichts zu verbergen“. Das meine Unterhaltungen öffentlich für jeden sichtbar ist, möchte ich nicht. Das wäre wie eine Aufnahme von einem Gespräch in der Innenstadt, welches auf einer Videoplattform hochgeladen wird. So etwas möchten viele auch nicht.

Ich hoffe, dass ich jemandem hiermit einen Denkanstoß geben konnte. Ich freue mich über Kommentare (gerne auch kritisch). Bis zum nächsten Artikel 🙂