Skip to content

Sicherheit im Netz: Gedanken zu E-Mail

Wer Briefumschläge und Türschlösser verwendet, sollte sich auch Gedanken über seine elektronische Kommunikation machen.

Bei map steht gerade Wir haben versagt. Teils stimme ich ihm zu, teils nicht. Sicherheit kann man nicht wie eine App herunterladen, sie besteht aus verschiedenen »Zutaten«. Sie ist eine Art Philosophie, Einstellung, Haltung. Wichtig ist das Gesamtkonzept. Was nützt mir eine chinesische Mauer, wenn ich die Torwächer schlecht bezahle? Nur wenn ich die Gefahren kenne, kann ich sie beurteilen und entsprechende Maßnahmen ergreifen.

Schlapphut Deshalb versuche ich mich an einer kleinen Informationsreihe. Fangen wir mit E-Mail an. E-Mails sind wie Postkarten. Die können von den Postautofahrern, den Postsortierern und den Briefträgern gelesen werden. Genauso ist es bei E-Mail. Die Administratoren aller an der Zustellung beteiligten Rechner können die lesen, kopieren, speichern und verändern(!)

Das Internet ist deshalb so robust, weil sich E-Mails ihren Weg zum Empfänger mehr oder weniger selbst suchen. Als Anwender weiß man selten im Voraus, über welche Zwischenstationen das geht. Schaut mal bei dnstools.ch vorbei, dort kann man sich den Weg auf einer Karte anzeigen lassen.

So werden z. B. aktuell für eine Nachricht von Frankfurt aus an gmail.com 9 Zwischenstationen, sogenannte Hops, angezeigt. Also haben mindestens 9 Rechner-Administratoren Einblick. Die haben alle mindesten einen Vertreter (eher ein ganzes Team) - also eine Menge Leute, die die Mails lesen könnten aus Langeweile oder kommerziellem Interesse (Wirtschafts­spionage). Und die die Nachricht auch manipulieren könnten! Dazu kommen dann noch die jeweiligen Geheimdienste und was es so an staatlich verordneter Überwachung gibt.

Gruselig, oder? (Wobei eine Mail (oder Datei) nicht in einem Paket verschickt wird, sondern in vielen kleinen einzelnen Päckchen (Packets), die nicht unbedingt alle über die selben Knotenpunkte laufen. Das macht es für Mitleser ein bisschen schwieriger).

GnuPG Es gibt es eine Reihe von Maßnahmen, abhängig davon, welchen Vertraulichkeitsgrad bzw. welche Sicherheit ich erreichen will:

  • Provider des Vertrauens wählen: wer bei GMail, Hotmail und Co. ist kann mittlerweile sicher sein, dass die amerikanischen Freunde alles speichern. Meine Empfehlung: uberspace.de
  • Mails signieren: soll Manipulationen verhindern. Abhängig vom E-Mail-Programm, Provider. Meine Empfehlung: Thunderbird mit Erweiterung Enigmail. Dazu muss GnuPG installiert sein.
  • Mails verschlüsseln: laut Herrn Snowden soll die NSA PGP (bisher) nicht knacken können. Empfehlung wie oben Thunderbird, Enigmail, GnuPG.

All das kann wirkungslos sein, wenn der Angreifer Zugriff auf Deine Hardware hat. Da gibt es so lustige Dinge wie Keylogger, die man zwischen Tastatur und Rechner klemmt und die dann alle Tastenanschläge speichert. Oder wenn fehlerhafte (veraltete) Software genutzt wird.

Der Klassiker ist latürnich der Zettel mit den Passwörtern unterm Mauspad oder in der obersten Schreibtischschublade. Dafür gibt es Lösungen wie z. B. die Software Password Safe von Kryptografie- und Sicherheitsguru Bruce Schneier. Probiere ich gerade aus. Oder Anrufe im Stil von »Hier Schmidt von der IT, Sie haben einen Fehler im Mailsystem verursacht, deswegen brauche ich schnell Ihr Passwort.«

Sonst gilt: informiert bleiben. Entsprechende Blogs lesen (Schneier, netzpolitik.org, Danisch, Unmask Parasites). Software aktuell halten. Gesunden Menschenverstand ;-) nutzen.

Links:

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Daniel Kuhn am :

Was mich immer wieder irritiert ist der Ratschlag, für Passwörter Passwort-Safes zu verwenden, die ich digital auf meinem Rechner speichere/auslese. Spätestend beim Anzeigen des Passworts kann es z.B. ein Trojaner abgreifen, und braucht dafür nicht mal lang zu suchen, wenn er weiß wie die gängigen Passwortspeicherprogramme heißen.

Ich bin immer noch der Meinung, da ist dann für einen Privatmann sogar die Methode des Zettels unter dem Mousepad sicherer. Papier kann nun einmal unheimlich schlecht remote ausgelesen werden.

Wenn jemand es bis zu mir in die Wohnung schafft, mache ich mir ehrlich gesagt noch am wenigsten Sorgen um meine Passwörter…

Vor allem wenn man den Notizzettel geeignet anlegt, also keine Klartextpasswörter aufschreibt, evtl. auch nur Passwortteile oder Hinweise. Ich geb Dir mal einen von mir: “Unsicher 2 7 !” – Viel Spass jedem Hacker beim Knobeln.

Oder man benutzt als Passwort-Backup eine von diesen Mini-Datenbank-Handcomputer mit Display (und ohne jede auszulesende Schnittstelle) nimmt, das wäre wohl die Ideallösung. Solange ich das Passwort für das Ding nicht vergesse ^^

Klaus am :

Daheim mag das stimmen. Im Büro ist es schwieriger mit einem Dutzend Anwendungen, bei denen man gezwungenermaßen das Passwort regelmäßig wechseln muss.

Bei den seltener genutzten Programmen ist mir dann schon passiert, dass mir die aufgeschriebenen Passwortteile nicht mehr geholfen haben, mich an das Passwort zu erinnern …

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

Textile-Formatierung erlaubt
Formular-Optionen