Sicherheit beim E-Mail-Verkehr Das Zwei-Schlüssel-Prinzip

BONN · Seit den Enthüllungen von Edward Snowden über die Abhöraktionen der NSA hat das Thema Sicherheit und Datenschutz beim E-Mail-Verkehr eine ganz neue Bedeutung bekommen. "Bisher ging man nur von theoretischen Angriffsszenarien aus, seit Snowden hat das eine Dimension, die man sich nicht vorstellen konnte", sagt Martin Ragg.

"Die Kommunikation verändert sich, wenn man latent davon ausgehen muss, dass jemand mithört", so der stellvertretende Direktor des Hochschulrechenzentrums der Universität Bonn weiter. Daher solle man sich über die Verschlüsselung von E-Mails Gedanken machen, sagt er. Schließlich sei eine E-Mail vom Prinzip her so öffentlich wie eine Postkarte.

Dabei ist es laut Ragg möglich, dass eine E-Mail verschlüsselt auf die Reise geht und verschlüsselt beim Empfänger ankommt. "Wenn jemand Fremdes die E-Mail abfängt, sieht er sie nur verschlüsselt." Programme dafür sind beispielsweise das kostenpflichtige "Pretty Good Privacy" (PGP) beziehungsweise das kostenlose "GNU Privacy Guard" (GPG). In beiden Fällen beruht das Prinzip auf zwei Schlüsseln. Der sogenannte öffentliche Schlüssel wird allen zugänglich gemacht, von denen man verschlüsselte E-Mails erhalten will. Mit dem öffentlichen Schlüssel codierte Nachrichten können dann mit dem privaten Schlüssel decodiert werden.

Zusätzlich kann eine digitale Signatur für die E-Mail erstellt werden, die dazu dient, sicherzustellen, dass die Nachricht wirklich vom angegebenen Absender stammt. Laut Ragg gilt es bei solchen Verschlüsselungen einige Dinge zu beachten. Zum Beispiel müssen sowohl Sender als auch Empfänger das gleiche Programm nutzen. Auch weist Ragg auf einen anderen Umstand hin: "Man kann eine verschlüsselte E-Mail über eine unverschlüsselte Verbindung schicken." Zwar könnten dann Fremde die Nachricht nicht lesen, wohl aber wer wann mit wem kommuniziert hat.

Darum sollte darauf geachtet werden, E-Mails mit dem Verschlüsselungsprotokoll "Transport Layer Security" (TLS), auch als "Secure Sockets Layer" (SSL) bekannt, zu verschicken. Dazu sollte man sich informieren, ob der eigene E-Mail-Dienst das anbietet. Auf die Konzepte von Transport- und Inhaltverschlüsselung setzt auch die sogenannte De-Mail, deren Anbieter vom Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditiert werden müssen. Allerdings wird die De-Mail während des Transports auf dem Server des Providers für einen Sekundenbruchteil entschlüsselt, um sie auf Viren zu überprüfen. Hier wäre ein Mitlesen durch Dritte theoretisch möglich.

"Das BSI befürwortet Verschlüsselung", sagt Tim Griese von der BSI-Pressestelle: "Die gängigen Verschlüsselungsverfahren sind als sicher zu bezeichnen, wenn sie korrekt implementiert werden und wenn die Rahmenbedingungen stimmen". Wenn ein Angreifer es aber schaffe, Zugriff auf einen Rechner zu erhalten, etwa durch einen Trojaner, könne er E-Mails mitlesen, bevor sie ver- oder nachdem sie entschlüsselt seien, so Griese.

In diesem Zusammenhang weist das BSI auf einen anderen Aspekt im Umgang mit der elektronischen Korrespondenz hin - nämlich die Kontrolle, was alles so im Posteingang landet. Gefährlich kann es werden, wenn sich Kriminelle etwa mit Viren Zugriff auf fremde Computer verschaffen oder mit Phishing-Mails private Daten stehlen wollen. "Das Bewusstsein, dass es Spam und Phishing gibt, ist zwar vorhanden. Dennoch wird das Risiko oft noch unterschätzt", sagt Griese.

Seine Erfahrung: Kriminelle für betrügerische E-Mails immer Anlässe, "etwa den Valentinstag, der jedes Jahr ist, oder auch die aktuelle Umstellung auf das Sepa-Verfahren zum bargeldlosen Bezahlen." Griese empfiehlt, im Umgang mit E-Mails und Internet allgemein immer den gesunden Menschenverstand einzusetzen: "Erst denken, dann klicken. Dann ist schon viel gewonnen." Um Spam und Phishing vorzubeugen, müsste man etwas am Grundsystem der E-Mail ändern, ergänzt Dietmar Wippig, Referent für Sicherheit, Betriebssysteme und Anwendungen beim BSI.

"Wenn beispielsweise der Versand einer E-Mail einen ganz geringen Betrag kosten würde, vielleicht nur ein zwanzigstel Cent, dann würde dies den massenhaften Versand von Mails durch Kriminelle erheblich einschränken und Spam unattraktiv machen." Solche Überlegungen seien jedoch eher theoretischer Natur, ergänzt er. "Denn wir alle haben uns daran gewöhnt, dass E-Mails in der Regel kostenlos sind."

Info

Tipps zur Sicherheit im Internet gibt das BSI auf der Website www.bsi-fuer-buerger.de

Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort