Skip to content

Unverschlüsselte E-Mail ist wie eine Postkarte

... jeder, der sie transportiert oder lagert kann sie lesen, vernichten, umleiten. Schlimmer noch: VERÄNDERN.

Das weiß eigentlich jeder. Zumindest von den alten Hasen. Man vergisst es bloß immer und der Nachwuchs ist sich dessen vielleicht nicht bewußt.

Mir wurde es neulich wieder richtig klar, als ich als Admin unserer Bandseite mit überlaufenden E-Mailpostfächern zu kämpfen hatte. Zwar war bei allen Weiterleitung aktiv, aber bei einigen wurden die Mails zusätzlich auf dem Server gespeichert.

Nach Rücksprache mit dem Postfachbesitzer sollte ich das alles löschen. Dazu musste ich das Webmail-Passwort zurücksetzen und das Postfach öffnen, um die Mails zu löschen. Weil das bei diesem Provider sehr umständlich zu machen ist, musste ich den Betreff jeder E-Mail einzeln markieren und löschen.

Das heißt also, dass ich zwangsläufig jeden Betreff zumindest überflogen habe. Und jede Mail auch hätte LESEN können. Und dem eigentlich Mailempfänger war nicht bewusst, dass die Mails da gespeichert waren.

Und das kann JEDER Admin des Providers auch. Ebenso jeder, dessen Server in der Mailkette drinhängt. Und man hat – soweit ich weiß – KEINEN Einfluss darauf, über welche Server eine E-Mail zum Empfänger wandert. Das ist auch so gewollt: man schreibt die E-Mail und muss sich nicht über den Weg den Kopf zerbrechen.

Tja.

Ich habe mich einige Zeit mit Mailverschlüsselung herumgeärgert. Es ist umständlich und selbst in Firmen meistens nicht konsequent umgesetzt. Man braucht z. B. ein persönliches Zertifikat oder einen persönlichen öffentlichen Schlüssel. Verteilung und Verwaltung sind ein Problem. Und ist der Schlüssel überhaupt echt?

Bei Mails an mehrere Personen wirds auch schwierig, wenn man nicht für jeden einen Schlüssel hat. Und für die sog. Role Accounts vergisst man gerne mal, das die vielleicht auch einen Schlüssel brauchen.

Selbst mit gutem Willen ist das aktuell erhältliche Verschlüsselungszeug im Alltag unbrauchbar. Funktioniert allenfalls mit einigen wenigen Leuten, die sich aktiv damit beschäftigen müssen.

K-9 Mail fürs Telefon

Logo K9-Mail Seit einem guten Jahr trage ich ein Smartphone spazieren. Bisher hatte ich als Mailprogramm bequemerweise das vorinstallierte GMail genutzt, was von Datenschützern nicht empfohlen wird.

Jetzt endlich habe ich K9-Mail installiert und freue mich über die Einstellmöglichkeiten. Zum Beispiel habe ich bei meinem Uberspace-Postfach einen Login-Namen, der von der Mailadresse abweicht. Beim Mailversand über GMail wurde immer der Login als Absenderadresse angegeben, bei K9 kann ich das einstellen. Allein dafür hat sich der Wechsel gelohnt. Hätte ich das mal früher gemacht.

Sicherheit im Netz: Gedanken zu E-Mail

Wer Briefumschläge und Türschlösser verwendet, sollte sich auch Gedanken über seine elektronische Kommunikation machen.

Bei map steht gerade Wir haben versagt. Teils stimme ich ihm zu, teils nicht. Sicherheit kann man nicht wie eine App herunterladen, sie besteht aus verschiedenen »Zutaten«. Sie ist eine Art Philosophie, Einstellung, Haltung. Wichtig ist das Gesamtkonzept. Was nützt mir eine chinesische Mauer, wenn ich die Torwächer schlecht bezahle? Nur wenn ich die Gefahren kenne, kann ich sie beurteilen und entsprechende Maßnahmen ergreifen.

Schlapphut Deshalb versuche ich mich an einer kleinen Informationsreihe. Fangen wir mit E-Mail an. E-Mails sind wie Postkarten. Die können von den Postautofahrern, den Postsortierern und den Briefträgern gelesen werden. Genauso ist es bei E-Mail. Die Administratoren aller an der Zustellung beteiligten Rechner können die lesen, kopieren, speichern und verändern(!)

Das Internet ist deshalb so robust, weil sich E-Mails ihren Weg zum Empfänger mehr oder weniger selbst suchen. Als Anwender weiß man selten im Voraus, über welche Zwischenstationen das geht. Schaut mal bei dnstools.ch vorbei, dort kann man sich den Weg auf einer Karte anzeigen lassen.

So werden z. B. aktuell für eine Nachricht von Frankfurt aus an gmail.com 9 Zwischenstationen, sogenannte Hops, angezeigt. Also haben mindestens 9 Rechner-Administratoren Einblick. Die haben alle mindesten einen Vertreter (eher ein ganzes Team) - also eine Menge Leute, die die Mails lesen könnten aus Langeweile oder kommerziellem Interesse (Wirtschafts­spionage). Und die die Nachricht auch manipulieren könnten! Dazu kommen dann noch die jeweiligen Geheimdienste und was es so an staatlich verordneter Überwachung gibt.

Gruselig, oder? (Wobei eine Mail (oder Datei) nicht in einem Paket verschickt wird, sondern in vielen kleinen einzelnen Päckchen (Packets), die nicht unbedingt alle über die selben Knotenpunkte laufen. Das macht es für Mitleser ein bisschen schwieriger).

GnuPG Es gibt es eine Reihe von Maßnahmen, abhängig davon, welchen Vertraulichkeitsgrad bzw. welche Sicherheit ich erreichen will:

  • Provider des Vertrauens wählen: wer bei GMail, Hotmail und Co. ist kann mittlerweile sicher sein, dass die amerikanischen Freunde alles speichern. Meine Empfehlung: uberspace.de
  • Mails signieren: soll Manipulationen verhindern. Abhängig vom E-Mail-Programm, Provider. Meine Empfehlung: Thunderbird mit Erweiterung Enigmail. Dazu muss GnuPG installiert sein.
  • Mails verschlüsseln: laut Herrn Snowden soll die NSA PGP (bisher) nicht knacken können. Empfehlung wie oben Thunderbird, Enigmail, GnuPG.

All das kann wirkungslos sein, wenn der Angreifer Zugriff auf Deine Hardware hat. Da gibt es so lustige Dinge wie Keylogger, die man zwischen Tastatur und Rechner klemmt und die dann alle Tastenanschläge speichert. Oder wenn fehlerhafte (veraltete) Software genutzt wird.

Der Klassiker ist latürnich der Zettel mit den Passwörtern unterm Mauspad oder in der obersten Schreibtischschublade. Dafür gibt es Lösungen wie z. B. die Software Password Safe von Kryptografie- und Sicherheitsguru Bruce Schneier. Probiere ich gerade aus. Oder Anrufe im Stil von »Hier Schmidt von der IT, Sie haben einen Fehler im Mailsystem verursacht, deswegen brauche ich schnell Ihr Passwort.«

Sonst gilt: informiert bleiben. Entsprechende Blogs lesen (Schneier, netzpolitik.org, Danisch, Unmask Parasites). Software aktuell halten. Gesunden Menschenverstand ;-) nutzen.

Links:

T offline

Ich hab mich schon gewundert, dass manche E-Mails von Bekannten mit @t-online.de-Absender spät oder gar nicht ankommen.

T-Online hat es geschafft, in den großen Spamfilter auf eine von vielen Providern genutzte Blacklist zu kommen.

PS: Spamfilter gestrichen und durch das korrekte Blacklist ersetzt nach Lektüre von Aus dem Rechenzentrum: Wenn klassische Presse über IT-Themen berichtet

Richtig gewundert über die t-online-Verspätungen habe ich mich erst, als ich eine Antwort eines Musikerkollegen auf eine Rundmail unseres Managers bekommen habe, die Mail des Managements aber erst 2 Tage danach. Also verwendet mein Provider Uberspace diese Blacklist zum Filtern. Und der Freemail-Provider mit drei Buchstaben meines Kollegen tut das nicht.

Im Ergebnis landet bei meiner Hauptmailadresse allenfalls eine Spam-Mail pro Woche im Eingang, während es bei meiner nicht mehr genutzten Freemail-Adresse jeden Tag Dutzende sind.