KonstantinK.net

KonstantinK.net

ein Wandersatz

KonstantinK.net RSS Feed
 
 
 
 

Wieso verschlüsselst Du Deine E-Mails eigentlich nicht?

Diese Frage habe ich in den letzten Tagen zufällig etlichen Leuten gestellt. Die lustigste Reaktion war ein bestürztes „Oh, woher weißt Du das denn?!“ in dem die Sorge zum Ausdruck kam, ich hätte Zugriff auf die E-Mail der befragten Person.
Hatte ich natürlich nicht. Aber dass sie Ihre E-Mail nicht verschlüsseln, dessen konnte ich mir praktisch sicher sein. Wer tut das schon. Fast alle Befragten wussten nicht einmal, dass es mit wenig Aufwand möglich ist, seine E-Mail zu verschlüsseln. Und die, die schon mal davon gehört hatten, hielten es für Hexenwerk, für das man mindestens ein Informatikstudium absolviert haben muss.
Dabei ist das Verschlüsseln von E-Mail sogar ziemlich einfach – wenn man weiß, wie es geht.

Ich möchte Dich einladen, zu lernen, wie Du Deine E-Mail verschlüsseln kannst!

Es gibt im Internet schon eine ganze Menge Anleitungen zum Verschlüsseln von E-Mail. Viele dieser Anleitungen richten sich aber vor allem an Nerds, die ohnehin schon viel von Computern verstehen. Ich richte mich mit dieser Anleitung aber ganz speziell an Leute, die von sich behaupten, keine Ahnung von Computern zu haben. Also nur Mut, es ist nicht so kompliziert, wie Du vielleicht denkst!

Um E-Mail-Verschlüsselung zu lernen, ist es nötig, einige Grundlagen zu verstehen.
Damit fangen wir an. Später wird es dann etwas praktischer.

Was denn, E-Mail, Facebook-Nachrichten, WhatsApp etc. sind nicht sicher?

Jeder Nerd weiß, dass praktisch alles, was über das Internet geschickt wird für Jedermann, der etwas Zeit und Mühe investiert, zugänglich ist. Schreibe ich also eine E-Mail oder eine Nachricht per WhatsApp, so ist das etwa mit einer Postkarte zu vergleichen. Die kann ja auch jeder lesen, der sie in die Finger bekommt. Das einzige Problem dabei ist, an die Postkarte heran zu kommen. Postboten können das. Und die Leute, die die Post in der Firma verteilen. Und neugierige Nachbarn. Und Leute mit zu viel krimineller Energie.
Bei meiner Nachricht verhält sich das genau so. Jeder der an meine Nachricht ran kommt, kann sie lesen. Mein Internetprovider kann das. Mein E-Mailprovider. Mein Chef. Und Leute mit zu viel krimineller Energie.

Wenn ich meine E-Mail nun verschlüssele, sie also in einen Geheimcode umwandele, dann kann die Nachricht nur noch von der Person entschlüsselt werden, die über den geeigneten Schlüssel verfügt.
Um in dem Bild der Postkarte zu bleiben: Der Postbote würde nur einen Haufen sinnlos zusammengewürfelter Buchstaben sehen mit denen er aber nichts anfangen könnte.

Das Prinzip der Verschlüsselung in 3 einfachen Schritten

Um eine E-Mail zu verschlüsseln, benötigt man ein geeignetes Programm und ein bisschen Verständnis für das Prinzip der Verschlüsselung. Verschlüsselte Kommunikation läuft in 3 Schritten ab: Verschlüsselung, Transport, Entschlüsselung. Natürlich muss die Nachricht vorher noch geschrieben und nachher gelesen werden. Darin unterscheidet sich das Prinzip aber nicht von normaler E-Mail.

Schritt 1: Die Nachricht wird verschlüsselt. Das geht – wenn man das einmal eingerichtet hat – einfach per Knopfdruck, denn das Mailprogram übernimmt diese Arbeit.

Schritt 2: Die nicht mehr lesbare E-Mail wird über das Internet dem Empfänger zugestellt.

Schritt 3: Der Empfänger entschlüsselt die Nachricht. Auch das geht wieder per Knopfdruck, wenn das Mailprogram einmal darauf eingerichtet ist. Außerdem muss der Empfänger sein „Geheimnis“ eingeben um zu Bestätigen, dass er wirklich der berechtigte Empfänger ist.

Mögliche Schwachstellen

Wie das genau mit der Einrichtung funktioniert, klären wir später. Zunächst einige mögliche AngriffspunkteAngriffspunkte sind die Gelegenheiten, bei denen andere Personen Zugang zu Deiner geheimen Nachricht erhalten könnten. über die Du unbedingt Bescheid wissen solltest. Ohne dieses Wissen taugt die beste Technik nichts und Du kannst Dir die Mühe sparen.

  1. Deine Schulter.
    Wenn Dir jemand beim Verfassen der Nachricht über die Schulter guckt, kann er natürlich lesen, was Du da schreibst. Das sollte eigentlich trivial sein. Auch wenn jemand nur Deine Finger auf der Tastatur beobachtet, könnte er schon erkennen, was Du gerade tippst. Das gilt übrigens auch an Geldautomaten oder EC-Terminals im Supermarkt.
    Wenn Dir zufällig eine Kamera über die Schulter guckt besteht das Problem natürlich genau so. Das ist vielen Leuten aber schon nicht mehr so bewust.
  2. Dein Computer.
    Es gibt die Möglichkeit, direkt über den Computer auszulesen, was Du gerade tippst. Auch einen „Film“ vom Inhalt Deines Bildschirms kann man ohne weiteres erstellen. In der Regel sollte das aber nur dann ein Problem darstellen, wenn der Computer auch von anderen Leuten genutzt werden kann. Also z.B. im Internet-Café, bei Deinem Nerd-Freund oder in der öffentlichen Bibliothek.
    Vor einiger Zeit wurde vom Chaos Computer Club über den Staatstrojaner berichtet. Dieser nutzt genau diese Technik.
    Wenn Du Dir aus Gründen Sorgen machen solltest, dass man es ernsthaft auf Deine Daten abgesehen hat, genügt es evtl. schon, Deinen Computer auch nur für einen Moment aus der Hand zu geben und aus den Augen zu lassen (übrigens auch in ausgeschaltetem Zustand), beispielsweise bei der Zollkontrolle. Das ist aber wirklich nur für Hardcore-Paranoide Menschen relevant. Es betrifft Dich vermutlich nicht, wenn Du diesen Artikel liest und das Thema neu für Dich ist.
  3. Deine Bequemlichkeit.
    Wenn Du Dir beim Verschlüsseln der E-Mail Hilfe holst, beispielsweise von Deinem E-Mail-Provider, dann musst Du Deinem E-Mail-Provider auch blind vertrauen. Das wäre ziemlich dumm, denn was immer er Dir auch versichert, es bleibt das Risiko, dass er Deine geheime Nachricht mitliest und ggf. sogar für andere Leute zugänglich macht – freiwillig, wenn die Polizei oder irgend ein Geheimdienst nachfragt oder unfreiwillig, wenn eine Sicherheitslücke bei Deinem E-Mail-Provider entdeckt wird. Die Verschlüsselung wäre damit also letztlich ziemlich wirkungslos. Du kannst eine Verschlüsselung aber ganz leicht selbst einrichten und kannst dabei auf vertrauenswürdige Hilfe zurückgreifen. Wie das geht, und wie Du vertrauenswürdige Hilfe erkennst, klären wir später.
  4. Dein Geheimnis.
    Wenn Du Dein „Geheimnis“Dein Geheimnis ist das Passwort für Deine Verschlüsselung. Es muss so sicher sein wie möglich. Du musst es Dir aber auch gut merken können. Gut geeignet ist ein längerer Satz. Zusätzlich ein paar Zahlen und Sonderzeichen sind sinnvoll. Du kannst es später nicht mehr ändern, mache Dir also ordentlich Gedanken über Dein „Geheimnis“. Um es mit Gandalfs Worten zu sagen: „Keep it safe and keep it secret!“ nicht geheim hältst, musst Du davon ausgehen, dass es auch all die Leute kennen, die Deine E-Mail unbedingt lesen wollen.
    Ganz besonders gilt das auch für Deine private Schlüsseldatei. Was das ist, klären wir später. Erst mal nur so viel: Wer Deine private Schlüsseldatei besitzt und Dein „Geheimnis“ kennt, liest mit größter Wahrscheinlichkeit auch Deine geheimen Nachrichten. Spätestens jetzt wäre es an der Zeit, Dir einen neuen Schlüssel zuzulegen.
  5. Di Empfängerseite.
    Die Punkte mit der Schulter und dem Computer gelten natürlich auch für Die Empfängerseite. Auf die hast Du aber keinen Einfluss. Du kannst Dich aber mit Deinem gesunden Menschenverstand schützen: Leute, denen Du nicht zutraust, verantwortungsvoll mit der Verschlüsselung umzugehen, schickst Du einfach keine so relevanten Daten zu. Außerdem gefährdet eine Schwachstelle auf der Empfängerseite auch nur die Sicherheit der Mails an und von diesem Empfänger und nicht generell die Sicherheit aller Deiner Mails.

Warum sollte ich denn meine E-Mail verschlüsseln? Ich habe doch nichts zu verbergen!

Das ist eine berechtigte Frage. Natürlich haben die meisten Leute nichts zu verbergen. Trotzdem ist es sicherlich auch nicht gut, wenn potentiell jeder Einsicht in Deine private Kommunikation haben kann.
Ein Beispiel:
Du kandidierst für ein öffentliches Amt.
Vor Jahren hast Du mit einer Freundin über ihre lustige Einweihungsfeier geschrieben. Aus der Mail geht hervor, dass Ihr alle ziemlich besoffen wart. Trotzdem bist Du noch mit dem Auto nach Hause gefahren. Du wurdest nicht erwischt, das ganze liegt auch schon ziemlich lange zurück und ist eigentlich verjährt.
Nun gelangt diese Information aber in die falschen Hände.
Die falschen Hände drohen damit, diese Information zu veröffentlichen. Es sei denn, Du würdest für sie…

Keine schöne Vorstellung. Sicherlich auch etwas an den Haaren herbeigeholt. Zumindest auf den ersten Blick.
Aber mit etwas Phantasie kannst auch Du Dir sicherlich etliche vergleichbare Situationen ausdenken.

Worauf sollte ich bei der Wahl der Software achten?

Grundsätzlich – und ganz besonders wenn es um sicherheitsrelevante Software geht – sollte man nur solche Software einsetzen, die aus vertrauenswürdigen Quellen stammt. Ein E-Mail-Programm in der „Axel-Springer-Version“ wäre hier also die eher nicht zu empfehlen. Viele Leute denken bei vertrauenswürdiger Software vermutlich an Produkte irgendwelcher großen, wichtigen Firmen aus dem IT-Bereich. Leider haben diese in der Regel ein Problem: Sie wollen mit Ihren Produkten Geld verdienen und lassen sich nicht gerne „unter die Haube“Unter die Haube eines Computerprogramms kann man immer dann schauen, wenn der Quellcode offen zugänglich ist. Wer die jeweilige Programmiersprache versteht, kann dann ganz genau nachvollziehen, was das Programm macht.
In der Informatik gilt ein Verschlüsselungsverfahren so lange als sicher, bis bewiesen wurde, dass es (in annehmbarer Zeit) zu brechen ist. Ein Verschlüsselungsverfahren, das aber auf geheim gehaltenen Grundlagen beruht, kann nicht ernsthaft untersucht werden. Mögliche Schwachstellen bleiben so von der Öffentlichkeit evtl. länger unentdeckt. Das schützt jedoch nicht davor, dass „interessierte Stellen“ nicht bereits Wege gefunden haben könnten, um das Verfahren zu brechen, denn sie wären vermutlich daran interessiert, diese Wege geheim zu halten und möglichst lange zu nutzen. Tritt dieser Fall ein, so dauert es bei hoher Geheimhaltung in der Regel länger, bis die gefundene Schwachstelle bekannt wird und damit behoben werden kann.
Außerdem besteht gerade bei großen Firmen immer die Gefahr, dass eine „Hintertür“ für den einen oder den anderen Geheimdienst eingebaut wurde.
schauen.
Auf eine Software, die irgendetwas im Verborgenen macht, kann man sich nur so weit verlassen, wie man sich auf die Firma – und letztlich jeden einzelnen ihrer Mitarbeiter – verlassen möchte. Bei einer großen Menge Menschen, sollte das Vertrauen – bei gesundem Menschenverstand – nicht all zu weit reichen.

Open Source ProjekteOpen Source Projekte sind solche Projekte, bei denen der Quelltext öffentlich zugänglich ist. Jeder Sachkundige kann sich also über das Verhalten der Software genau informieren. haben in der Regel eine ganze Reihe engagierter, ehrenamtlicher Mitarbeiter, die selbst ein großes Interesse an einer sicheren Software haben. Fehler und Angriffspunkte in Open Source Projekten werden in der Regel schnell gefunden – und behoben.
Aus diesem Grunde empfehle ich (zumindest für die Verschlüsselung), ausschließlich mit Open Source Software zu arbeiten.

Welche Software benötige ich ganz konkret?

Da Dein Computer in der Regel der einzige Computer ist, dem Du vertrauen kannst (wenn überhaupt), muss die Verschlüsselung auch bereits auf Deinem Computer erfolgen. Eine Verschlüsselung die Dir von Seiten Deines E-Mail-Providers (z.B. GMX.de, web.de, ymail.com, gmail.com etc.) angeboten wird ist insofern gut gemeint – aber keinesfalls vertrauenswürdig.

Du benötigst einen sogenannten E-Mail-ClientEin E-Mail-Client ist ein Programm, das für Dich in Dein E-Mail-Postfach schaut, ob neue Nachrichten eingegangen sind und diese für Dich herunter lädt. Außerdem kannst Du mit diesem Programm E-Mails verfassen und verschicken.
In Zeiten, als noch nicht jeder eine Internetflatrate hatte war das besonders praktisch, weil Du so auch dann E-Mail lesen und schreiben konntest, wenn Du offline warst.
.
Ein guter Open Source E-Mail-Client ist Thunderbird.
Außerdem benötigst Du ein Programm, mit dem Du Dir Schlüsseldateien erstellen kannst. Ein weit verbreitetes Open Source Programm zur Erstellung von Schlüsseldateien ist GPG. Es gibt für verschiedene Betriebssysteme verschiedene Programme, mit denen man GPG nutzen kann. Für Windows gibt es z.B. GPG4WIN, für Mac OS gibt es z.B. GPG Tools. Der Funktionsumfang geht in beiden Fällen weit über die Verschlüsselung von E-Mail hinaus. Da ich ein älteres Programm nutze, muss ich mich zunächst in die Programme einarbeiten, bevor ich darüber schreiben kann.
Letztlich benötigst Du für Deinen E-Mail-Client noch ein Plugin, das die GPG-Funktionen in Dein E-Mail-Programm integriert. In der Mac Version des GPG-Programms ist EnigMail bereits integriert. Du kannst es aber auch separat installieren.

Sobald ich etwas Zeit habe, werde ich noch eine leicht verständliche Erklärung ergänzen, wie man die Programme einrichtet und nutzt.
Wenn Dir sonst noch etwas fehlt, oder Du die Anleitung liefern möchtest, freue ich mich über Kommentare.

2 Responses to “Wieso verschlüsselst Du Deine E-Mails eigentlich nicht?”

  1. 1
    Fontanefan:

    Hallo Konstantin! Hab mal einen meiner Schnipsel hieher verlinkt: http://fontanefansschnipsel.blogspot.de/2013/11/mail-verschlusseln-leichter-als-gedacht.html

  2. 2
    KonstantinK.net » #30c3:

    […] eingesetzt werden. Zum Beispiel der PGP-Verschlüsselung habe ich vor einiger Zeit einen Artikel geschrieben, zu dem ich demnächst eine Fortsetzung schreiben […]

Leave a Reply

Dieses Weblog…

...nutze ich als Privat­person um mich über meine persönlichen Ansichten mit anderen auszu­tauschen, um persönliche Erfahrungen zu teilen oder diese zu reflektieren.
In meinem Referendariat habe ich begonnen, dieses Blog als Portfolio meiner Aus­bildung nutzen. Auch nach meinem Referendariat möchte ich mein Portfolio hier im Blog fortführen.
Ich freue mich über interes­sierte Leser und interes­sante Kom­mentare oder Diskus­sionen. Da ich in diesem Blog als Privat­person auftrete bevorzuge ich hier ein freund­liches, gegen­seitiges Du.

Linkliste