Email-Verschlüsselung: Irgendwie ist alles kaputt

„Verschlüsselt eure Emails“, hieß es immer als Empfehlung. Der Grund, warum man das machen sollte, lautete, dass man dann sicher mailen könne. Nun wurde bekannt, dass die Verschlüsselungsverfahren S/MIME und OpenPGP eigentlich gar nicht so viel Sicherheit bieten, wie immer behauptet wurde. Und nun verfällt man in Panik. Irgendwie hat man nun die Vermutung, dass die Email-Verschlüsselung kaputt ist. Aber ist das auch der Fall? Oder wie ist das zu werten?

Email-Verschlüsselung FTW!

Jetzt stellen wir uns mal vor, wie das mal war: Da gab es reihenweise Kurse, in denen Laien erklärt wurde, wie sie ihre Emails verschlüsseln sollen. Informatiker, Hacker, alle möglichen Technik-affinen Menschen versuchten, das den Leuten beizubringen. Ich habe keine Ahnung, ob das vollumfänglich geklappt hat. Jedenfalls hatte dann „Oma Erna“ das Gefühl, dass sie mit ihrer Enkelin „sicher mailen“ kann. Die Email-Verschlüsselung hatte überlegen gesiegt. FTW! (For the win!)

Eine Email ist ja eine Ansammlung von Daten. Nehmen wir einfach mal an, dass es sich um ein Datenpaket handelt. Diesem Paket wird ein Datenpaket um sich selbst herum geschnallt, das ist die Verschlüsselung, durch die man durch muss. Anders gesagt: Eine Email ist quasi die Postkarte. Mit Email-Verschlüsselung steckt die Postkarte dann in einem Briefumschlag. Damit sind wir auch schon fertig damit. Hach, Email-Verschlüsselung ist so einfach, nicht wahr?

Nein, ist es nicht. Ich wollte das nur kurz und knapp ganz vereinfacht darstellen. Es gibt verschiedene Verfahren für die Email-Verschlüsselung. Durchgesetzt haben sich – wenn überhaupt – die Verfahren OpenPGP und S/MIME. Das Problem bei der ganzen Sache ist: Wenn ich nichts an meinem Verhalten ändere, nützt mir die ganze Verschlüsselung nichts. Ich muss schon selbst ein wenig mehr Acht geben. Warum ich das so sehe, erkläre ich ganz kurz mal.

EFAIL: Email-Verschlüsselung geknackt

Wir haben also mit unserem Email-Programm – nehmen wir zum Beispiel den eM Client – eine wunderschöne Email gezaubert. Schön sieht sie aus. Und die schicken wir „Onkel Herbert“, weil der Geburtstag hat. So haben wir das immer gemacht. Auch früher mit online nachgeladenen Bildchen, als wir IncrediMail genutzt hatten. Weil wir gewissenhaft die Email-Verschlüsselung einsetzen, kann ja auch nichts passieren. Wir legen ja wert auf Datenschutz.

Das Ganze ist aber nur die halbe Wahrheit. Unsere wunderschön formatierte Email wird über eine Erweiterung im Email-Programm verschlüsselt und dann auf Reisen geschickt. Bei „Onkel Herbert“ kommt sie zerstückelt an und darüber steht, dass der Download der Bilder blockiert wurde. Die Bilder lädt sich nun der Onkel nach und hat die wunderschön formatierte Email von uns. Und genau hier greift die Lücke. Einerseits haben wir mit Erweiterungen gearbeitet, die keine gänzliche Sicherheit bieten, andererseits wird die Verbindung wegen der Bilder offen gehalten.

Schmeißt OpenPGP und S/MIME weg!

Wie das immer so ist: Kaum wird eine Problematik in einem Verfahren bekannt, kommt die geballte Schwarmintelligenz und rät dazu, dieses Verfahren über den Haufen zu werfen. So ist das auch bei der Email-Verschlüsselung. Da kommen nun Experten und Forscher um die Ecke und empfehlen, PGP und S/MIME abzuschalten. Wir nehmen also die Postkarte wieder aus dem Briefumschlag, weil irgendwer den Briefumschlag auf dem Weg zum Empfänger zerreißen könnte. Toller Vorschlag.

Was machen wir dann? Schreiben wir auf die Postkarte oben drauf „Diese Postkarte ist für den Empfänger bestimmt und darf von niemandem sonst gelesen werden“? Solche Auswüchse gibt es auch bei Emails. Wenn wir also so einen Vermerk draufschreiben, wird schon nichts passieren, oder wie? Nein, das muss doch auch irgendwie anders gehen. Ich schrieb ja oben, dass man sein Verhalten ändern muss. Eine Technologie ist eben immer nur so gut wie die Menschen, die sie bedienen.

Was kann man als Anwender tun?

Als erstes gilt natürlich: Software, die man verwendet, muss aktuell gehalten werden. Ich kann die Sorglosigkeit mancher Menschen nicht verstehen, die einfach ihren Kram nicht in Ordnung halten, aber dann um Hilfe rufen. Das betrifft bei diesem Themenkomplex nicht nur das Email-Programm, sondern auch sämtliche Erweiterungen. Auch die für die Email-Verschlüsselung. Alternativ sollte man temporär auf das Email-Programm verzichten und auf die Weboberfläche beim Anbieter wechseln.

Tja, und es empfiehlt sich einfach mal, dass man formschöne Emails verzichtet. Ja, dann werden eben Smilies nicht mehr mit lustigen Gesichtern angezeigt. Und man kann eben keine 30 verschiedenen Schriftarten und 8 Schriftfarben einsetzen. Aber dann ist es eben auch so, dass beim Empfänger auch nichts nachgeladen werden muss. Das ist auch die Empfehlung des BSI. Natürlich hat das Bundesamt für Sicherheit in der Informationstechnik das Thema gleich aufgegriffen.

Jedenfalls ist es eine schlechte Idee, nun mit einem Holzhammer vorzugehen und alles über den Haufen zu werfen, was man sich aufgebaut hat. Die Email-Verschlüsselung ist nicht komplett im Eimer, weil die Problematik bekannt wurde. Und das Wissen, was man sich zur Verschlüsselung erarbeitet hat, ist nicht per se für die Katz‘. Und was GnuPG und GPG4WIN betrifft, so besteht das Problem gar nicht.

Fazit

Panik ist ein schlechter Ratgeber. Das war immer schon so. Wir atmen also alle mal durch und bewerten die Sache wie folgt: Das Nachladen externer Inhalte (Bildchen, Smilies, Schriftarten) muss unterbunden werden. Unauthorisierte Zugriffe müssen unterbunden werden. Jeder, der Email-Verschlüsselung einsetzt, muss überprüfen, wie sicher seine eingesetzte Verschlüsselung ist. Auf der oben verlinkten Seite des BSI ist das schön erklärt.

Am Ende ist es so: Email war wohl ursprünglich als reines Textmedium gedacht. Wenn wir halbwegs wieder dahin zurückkehren, statt uns um Hintergrundbilder und animierte Smilies zu kümmern, erschlagen wir viele Sicherheitsprobleme. Weitere eliminieren wir, wenn wir unseren Kram aktuell halten. Und letztlich müssen wir uns wirklich vor Augen führen, dass es keine absolute Sicherheit gibt. Aber mit den genannten Maßnahmen nähern wir uns ihr an. Und das kann man doch erreichen, oder?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert