Die Krux der Verschlüsselung

Nach den ganzen NSA-Nachrichten in letzter Zeit sprießen aktuell die „sicheren E-Mail-Dienste“ wie Pilze aus den Boden – bleibt die Frage: sind die Angebote wirklich sicher? Oder wird Sicherheit nur vorgegaukelt? Falls ja, wie kann ich mich schützen?

Beispiel

Fangen wir mal bei dem deutschen Anbieter Posteo an, der sich selbst folgendermaßen beschreibt:

Wir sind ein unabhängiger und innovativer E-Mailanbieter mit Sitz in Berlin. Posteo setzt auf Nachhaltigkeit, maximalen Datenschutz, einfache Bedienbarkeit und Werbefreiheit. Gegründet wurde Posteo 2009. Zusammengeführt hat uns die Arbeit im IT-Bereich und das gemeinsame Engagement im Umweltschutz.

Das hört sich nun alles ziemlich gut an – die technischen Fakten sehen wie folgt aus:

  • Anmeldung ohne Angabe persönlicher Daten
  • kein Handel mit Daten/keine Datenweitergabe
  • Website ohne IP-Speicherung
  • anonyme Zahlung
  • Daten verschlüsselt (SSL-Zugang und Festplattenverschlüsselung)

Das sind grob die technischen Fakten von Posteo – es gibt noch weitere Anbieter, die letztlich das Selbe anpreisen, wie Heise Online vor einigen Tagen berichtet hat.

Meine Einschätzung

Wichtig ist bei einem solchen Anbieter natürlich immer das man ihm vertraut – bei VPN-Anbietern gibt es das selbe Problem; niemand kann mir wirklich glaubhaft versichern, dass er keine Logs anlegt und speichert – wo nichts ist, kann man auch nichts beweisen. Man muss also dem Anbieter vertrauen, was ich bei Posteo durchaus tun würde.

Der technische Hintergrund ist nicht ganz so einfach: die Mails liegen verschlüsselt auf den Festplatten der Anbieter-Server, so weit, so gut. Die Verbindung von meinem PC zum IMAP-/SMTP-Server ist per SSL-verschlüsselt – auch super! Nun kommen wir aber zum eigentlichen Problem: eim Blick in meine Logs stelle ich regelmäßig fest, dass viele Mailserver noch nicht per TLS/SSL kommunizieren – das ist ein grundlegendes Problem der zuständigen Serveradministratoren.

Viele aus- und eingehenden Mails werden also komplett im Reintext über das Internet gejagt – und hier ist der Knackpunkt. Da hilft dann auch die Verbindungsverschlüsselung per HTTPS nichts, die Verschlüsselung auf der Festplatte ebenso wenig.

Fazit: die Anbieter machen vieles richtig, haben aber mit einem grundlegenden Problem zu kämpfen und sind daher trotzdem unsicher.

Wie kann ich sicher kommunizieren?

Wirklich abhörsicher kann man nur mit einer End-to-End-Verschlüsselung kommunizieren. Hierbei werden die Mails direkt auf meinem PC verschlüsselt und auf dem PC des Empfängers entschlüsselt. Hier bleiben „lediglich“ die Metadaten (wer kommuniziert mit wem) lesbar, der eigentliche Inhalt allerdings nicht. Die Piratenpartei hat in ihrem Wiki eine nette Anleitung veröffentlicht.

Mit einer End-to-End-Verschlüsselung ist es auch völlig irrelevant, ob Ihr Anbieter mit der NSA, dem BND, dem MI6 oder sonstwem kooperiert – die Jungs erhalten letztlich nur Datenmüll, der sehr schwer zu entschlüsseln ist ohne passenden Key. Man sollte sich also das Geld für sogenannte „sichere“ Mailanbieter, sparen – es ist einfach nicht wirklich sicher…

Schreibe einen Kommentar