„Sommermärchen von der sicheren E-Mail“: Chaos Computer Club über Verschlüsselung

von

Die Initiative „E-Mail made in Germany“ von der Telekom und United Internet klingt erst einmal ganz nett. Sicherer soll es werden, das mit der E-Mail. Aber stimmt das wirklich? Wir haben einen Mann vom Fach gefragt.

„Sommermärchen von der sicheren E-Mail“: Chaos Computer Club über Verschlüsselung

Seit der ehemalige NSA-Analyst Edward Snowden enthüllte, dass auch deutscher Internetverkehr systematisch überwacht wird, denken wir anders über Datensicherheit. Wir beschäftigen uns intensiver mit Themen wie Verschlüsselung, staunen über die Dreistigkeit der Geheimdienste und überlegen, was wir selbst tun können, um uns vor der totalen Überwachung zu schützen.

Kürzlich stellten die Telekom und United Internet (GMX, Web.de) eine Initiative vor, die innerdeutsche E-Mails sicherer machen soll. „E-Mail made in Germany“ nennt sich das Projekt. Es verspricht, alle Nachrichten, die zwischen den Anbietern versendet werden, mit einer SSL-Verschlüsselung zu sichern.

Das ist zunächst einmal lobenswert, doch es gibt auch Kritiker. Darunter Falk Garbsch vom Chaos Computer Club (Erfahrungsaustauschkreis Hannover), dem nach eigenen Angaben größten Hackerverein Europas.

GIGA: Herr Garbsch, halten Sie die Initiative „E-Mail made in Germany“ von der Telekom und United Internet für

sinnvoll oder eher für plumpen Opportunismus?

Garbsch: Grundsätzlich begrüßen wir natürlich, dass auch die großen E-Mail-Anbieter endlich begreifen, warum eine Verschlüsselung von E-Mails auf dem kompletten Transportweg dringend erforderlich ist. Es handelt sich bei den eingesetzten Technologien allerdings um Standards aus dem Ende der 90er Jahre und uns stellt sich die Frage, warum diese nicht bereits seit Jahren Anwendung finden.

Was uns hier in einem „Sommermärchen von der sicheren E-Mail“ präsentiert wird, ist wohl eher der mehr als fragwürdige Versuch, die aktuelle Verunsicherung der Menschen als Marketingstrategie zu missbrauchen und die gescheiterte De-Mail wieder in den Fokus zu rücken. Diese wird von den gleichen Anbietern „verkauft“.

Die angepriesene „E-Mail made in Germany“ ist insoweit Augenwischerei, dass die Mails immer noch bei den Betreibern im Klartext gespeichert werden und damit weiterhin dem Zugriff durch Ermittlungsbehörden, Geheimdienste oder andere Angreifer ausgeliefert sind. Wie vertrauenswürdig ein zentraler Dienst im Zusammenspiel mit Geheimdiensten ist, zeigen die Aussagen von Snowden zu Google, Skype und Facebook.

Natürlich wollen wir, dass SSL bei dem Versand von E-Mails Anwendung findet, aber hier von einer sicheren E-Mail zu sprechen ist eine glatte Lüge.

GIGA: Was kann ich als Durchschnitts-User tun, damit meine Kommunikation, sei es via E-Mail oder in Messenger-Programmen, abhörsicher ist? Geht es auch ohne Telekom, GMX oder Web.de?

Garbsch: Grundsätzlich möchten wir dazu raten, nicht auf die plumpe Werbestrategie dieser Anbieter herein zu fallen. Empfehlenswert ist es sicherlich, auf Anbieter auszuweichen, bei denen die Wahrung der Privatsphäre im Vordergrund steht und die beispielsweise eine Anmeldung ohne die verpflichtende Angabe persönlicher Informationen, wie Name, Wohnort und Geburtsdatum erlauben.

Unabhängig davon, für welchen E-Mail-Anbieter man sich entscheidet, sollte man auf jeden Fall auf eine Ende-zu-Ende-Verschlüsselung mittels GnuPG/PGP oder S/MIME zurück greifen. Denn nur eine Ende-zu-Ende Verschlüsselung sichert eine E-Mail tatsächlich vor dem Lesezugriff des Anbieters.

Natürlich sollte der Mail-Client auch so konfiguriert sein, dass eine SSL bzw. TLS-Verbindung zur Verbindung zum E-Mail-Anbieter verwendet wird, um das Ausspähen von Metadaten (wie etwa Absender, Adressat, Betreff — Anm. d. Red.) auf der eigenen Internetleitung zu verhindern.

GIGA: Worin besteht der Unterschied zwischen PGP und SSL?

Garbsch: Bei PGP oder der freien Alternative GnuPG handelt es sich um ein Programm, welches die Verschlüsselung von E-Mails auf dem lokalen System erlaubt. Diese bleiben auf dem Transportweg bis zum Empfänger verschlüsselt und können erst mit dem privaten Schlüssel, welcher beim Empfänger liegt, wieder entschlüsselt werden. Dies bedeutet, dass niemand auf dem Transportweg in der Lage ist, die E-Mail mitzulesen.

Bei SSL oder dem neueren Verfahren TLS handelt es sich um die Möglichkeit, eine Verbindung zwischen zwei Rechnern zu schützen. Dies bedeutet, dass beispielsweise die Verbindung zum E-Mail-Anbieter verschlüsselt wird. Der große Unterschied im Bezug auf E-Mail-Kommunikation ist, dass der E-Mail-Anbieter in diesem Fall die E-Mail im Klartext erhält und diese auch problemlos lesen kann.

GIGA: Ist eine SSL-Verschlüsselung wirklich sicher und ist es rein technisch überhaupt möglich, dass Geheimdienste

oder Regierungen sich einen “Generalschlüssel” vorbehalten haben?

Garbsch: Technisch gesehen gilt eine SSL-Verbindung erst einmal als sicher, wenn beide Seiten beim Aufbau der Verbindung alles korrekt machen. Leider verbergen sich eben auf der „nicht technischen“ Ebene einige Fallen.

Erst einmal könnte ein Angreifer oder ein Geheimdienst versuchen, den privaten Schlüssel eines E-Mail-Anbieters zu stehlen oder diesen zur Herausgabe zwingen. Mit diesem Schlüssel könnten dann alle E-Mails, die an den Anbieter gesendet werden, auf dem Transportweg mitgelesen werden.

Außerdem dienen bei fast allen SSL-Verbindungen sog. Zertifikate als eine Art „unterschriebenes Ausweisdokument“ mit dem sich beide Kommunikationspartner ausweisen können. Unterschrieben werden diese Dokumente von als vertrauenswürdig akzeptierten Zertifizierungsstellen, beispielsweise der Deutschen Telekom.

Entscheidet sich nun eine solche Zertifizierungsstelle, mit Ermittlungsbehörden zusammen zu arbeiten, kann sie für diese Behörden entsprechende Zertifikate fälschen. Im allgemeinen werden eine ganze Reihe von Zertifizierungsstellen akzeptiert, so dass dies nicht einmal die ursprüngliche sein muss, sondern auch ein in den USA ansässiges Unternehmen sein kann.

GIGA: Wie, wenn überhaupt, hat sich Ihr persönliches Kommunikationsverhalten seit den Enthüllungen des ehemaligen NSA-Analysten Edward Snowden über Abhöraktionen unter anderem durch US- und britische Geheimdienste geändert?

Garbsch: Persönlich beobachte ich, dass immer mehr Menschen auch auf eine Ende-zu-Ende-Verschlüsselung zurückgreifen und verschlüsselte E-Mails empfangen können. Damit man verschlüsselte E-Mails empfangen kann, muss man einen GnuPG/PGP oder S/MIME-Schlüssel besitzen.

Man muss nicht mal besonders technisch versiert sein, um seine E-Mails zu verschlüsseln. Daher empfehlen wir allen, die gerne auch lernen wollen, wie sie sich im Internet sicherer bewegen können, an sog. Cryptoparties Teil zu nehmen. Dort werden die verschiedenen Möglichkeiten beleuchtet, wie man sich effektiv Schützen kann.

Wir danken Falk Garbsch sowie dem CCC für das Interview! Solltet ihr Interesse an einer solchen Cryptoparty haben, könnt ihr euch hier (deutsche Seite, unterhalten von der Piratenpartei) und hier (internationale Seite auf englisch) informieren.

(Titelbild: Blue Network Security und E-Mail concept via Shutterstock)

Weitere Themen: Sicherheit, Speedport W 504V, Speedport W 102 Stick, Speedport W 100XR, Speedport W 500, Speedport W 101 Stick, Speedport W 100 Stick, Speedport W 100 Card, Speedport W 303V Typ B, telekom


Kommentare zu diesem Artikel

Neue Artikel von GIGA APPLE

Anzeige
GIGA Marktplatz