Sie können Deine Emails lesen

Autor : Gerd Raudenbusch
Stand : 13.09.2024

Wer will schon, dass die eigenen Emails von Unbefugten mitgelesen werden ? Leider sind Emails - genau wie eine einfache Postkarte - ohne eigenes Zutun immer auf allen Servern lesbar, dem sie auf ihrem Weg zum Empfänger in die Hände fallen :

Doch wie in jedem Katz-und-Maus-Spiel, dem man sich aussetzt, kann auch bei der Email-Kommunikation die Frage nach der Verhältnismäßigkeit zwischen aufbringbaren Mitteln und erreichtem Schutz gestellt werden.

Inhalt

• Warum ist der Inhalt von Emails schützenswert ?
• Wie werden Emails sicher ?
  • Was leistet die Verschlüsselung in Emails ?
  • Was leistet die Signatur in Emails ?
  • OpenPGP
  • S/MIME
• Maßnahmen
  • Email-Clients
  • Deltachat
  • p≡p
• Wem schaden verschlüsselte Emails ?
• Kritik

Warum ist der Inhalt von Emails schützenswert ?

Laut Statistiken des Marketing-Unternehmens Radicati Group aus dem Jahr 2021 gibt es weltweit über 4,03 Milliarden aktive E-Mail-Nutzer. Im Vergleich dazu gibt es laut Statista über 2,14 Milliarden aktive Whatsapp-Nutzer und über 1,5 Milliarden Nutzer von Facebook Messenger.

Die Zahlen zeigen, dass E-Mails nach wie vor eines der am weitesten verbreiteten digitalen Nachrichtensysteme sind, mit deutlich mehr Nutzern als andere Messaging-Plattformen.

Deutlich über 80% aller Benutzerkonten im Internet benötigen zur Registrierung und zur Wiederherstellung eine Email-Adresse.

Und obwohl "sie" (die Deine Emails mitlesen könnten) in so extrem provokanter Form nur das allseits bekannte, illusionär-verschworene Feindbild darstellen, von dem sich heute sowieso die wenigsten gesunden und rechtschaffenen Menschen noch beeindruckt oder bedroht zeigen, gibt es in der analytischen Sicherheitsbetrachtung der digitalen Welt schon immer den "Man in the middle" (Mann in der Mitte), der sich durch Sicherheitslücken an privater Kommunikation zu schaffen macht und damit die Menschenrechte verletzt.

Denn bereits in der Allgemeinen Erklärung der Menschenrechte (1948) wird das Recht auf Privatsphäre und Schutz des Briefverkehrs in Artikel 12 festgelegt:

Niemand darf willkürlichen  
Eingriffen in sein Privatleben,  
seine Familie, seine Wohnung  
und seinen Schriftverkehr  
oder Beeinträchtigungen seiner  
Ehre und seines Rufes  
ausgesetzt werden.  

Jeder hat Anspruch auf  
rechtlichen Schutz gegen  
solche Eingriffe oder  
Beeinträchtigungen.  

In Artikel 10 des Grundgesetzes heißt es dann für uns rechtsverbindlich :

(1) Das Briefgeheimnis sowie das  
Post- und Fernmeldegeheimnis  
sind unverletzlich.  

(2) Beschränkungen dürfen nur  
auf Grund eines Gesetzes  
angeordnet werden.  
Dient die Beschränkung dem  
Schutze der freiheitlichen  
demokratischen Grundordnung  
oder des Bestandes oder der  
Sicherung des Bundes oder  
eines Landes, so kann das  
Gesetz bestimmen, daß sie dem   
Betroffenen nicht mitgeteilt   
wird und daß an die Stelle  
des Rechtsweges die  
Nachprüfung durch von der  
Volksvertretung bestellte  
Organe und Hilfsorgane tritt.  

Jede aktive Ausübung und Wahrung von Rechten erschwert die Angriffe auf sie. Mit dem Inanspruchnehmen verschlüsselter Emails nehmen wir unser Menschenrecht auf Privatsphäre wahr.

Dadurch dient dieser Akt nicht nur als Mittel zur persönlichen Verteidigung, sondern er ist auch ein Schritt, die Freiheits-Rechte im allgemein gültigen rechtlichen System zu wahren und zu verteidigen.

Wie werden Emails sicher ?

Die asymmetrische Verschlüsselung bietet zwei wichtige prinzipielle Möglichkeiten : Verschlüsselung und Signatur.

Was leistet die Verschlüsselung in Emails ?

Die Ende-zu-Ende-Verschlüsselung bietet Vertraulichkeit.
Die "Postkarte" bekommt endlich einen Briefumschlag.

Dies gewährleitet einen hohen Schutz gegen Man-in-the-Middle-Angriffe, indem sie sicherstellt, dass keine einzige Zwischenstation Zugriff auf die unverschlüsselten Daten hat. Die Verschlüsselung erfolgt auf dem Gerät des Absenders und kann nur vom vorgesehenen Empfänger entschlüsselt werden. Dies bedeutet, dass Dritte, einschließlich Hacker, die sich zwischen die Kommunikationspartner schalten, die Daten nicht lesen oder manipulieren können, solange die Ende-zu-Ende-Verschlüsselung korrekt implementiert ist.

Was leistet die Signatur in Emails ?

Die digitale Signatur bietet Authentizität.
Die "Postkarte" bekommt eine digitale "Unterschrift", die nur der echte Absender leisten kann.

Damit stellen signierte E-Mails einen effektiven Schutz gegen Phishing dar, indem sie die Identität des Absenders verifizieren und die Integrität der Nachricht sicherstellen. Der Empfänger kann diese Signatur mit dem öffentlichen Schlüssel des Absenders verifizieren. Dies stellt sicher, dass die E-Mail tatsächlich von der angegebenen Quelle stammt und nicht manipuliert wurde. Die digitale Signatur gewährleistet außerdem, dass der Inhalt der E-Mail während der Übertragung nicht verändert wurde. Wenn die E-Mail nach dem Versand verändert wird, passt die Signatur nicht mehr zum Inhalt, was den Empfänger darauf hinweist, dass etwas nicht stimmt.

Die meisten modernen E-Mail-Clients zeigen deutlich an, ob eine E-Mail signiert und möglicherweise auch verschlüsselt ist. Dies gibt dem Empfänger eine visuelle Bestätigung, dass die E-Mail legitim ist und von einem vertrauenswürdigen Absender stammt

OpenPGP

Basierend auf dem proprietären Programm PGP von Phil Zimmerman (was für "Pretty Good Privacy", übersetzt "ziemlich gute Privatsphäre" steht), wurde der Internet-Standard OpenPGP entwickelt, und ist damit ein standardisiertes Datenformat für verschlüsselte und digital signierte Daten. Ein Standard kann vielmals implementiert werden, und eine besonders häufig verwendete, freie Implementierung ist GnuPG; es gibt aber noch viele weitere.

Aus Sicherheitsgründen empfiehlt es sich, seine öffentlichen OpenPGP-Schlüssel, mit dem Andere einem anschreiben können, nur noch auf Schlüsselservern wie openpgp.org veröffentlichen, welche auch eine Verifikation des Benuters durchführen, um Fälschungen zu verhindern. Für Betreiber von Email-Servern ist außerdem die Anlage eines Web Key Directories sinnvoll, worin moderne Clients automatisch den OpenPGP-Schlüssel des Empfängers entnehmen können. Unternehmen haben außerdem die Möglichteit, Dienste, wie NoSpamProxy zu bemühen, um ihre Email-Sicherheit zu skalieren.

S/MIME

S/MIME (Secure/Multipurpose Internet Mail Extensions) ist ein Standard für die Verschlüsselung und Signatur von E-Mail-Nachrichte, der eine hierarchische Public Key Infrastructure (PKI) verwendet, die von einer Root Certificate Authority (Root CA) gesteuert wird. Die Root CA vergibt Zertifikate an Zwischenzertifizierungsstellen (Intermediate CAs), die ihrerseits Zertifikate an Endbenutzer ausstellen. Dieses Zertifikate haben sich auch in vielen anderen Bereichen etabliert, so z. B. als HTTPS-Zertifikate.

Die sicherste Methode ist im allgemeinen, das S/MIME-Zertifikat immer auf dem eigenen Rechner zu erzeugen, ansonsten muss man sich gewahr sein, dass der Erbringer des Zertifikates im Besitz des privaten Schlüssels bleiben und die Emails mitlesen könnte.

Das Fraunhofer Institut stellt die Software Volksverschlüsselung kostenlos zur Verfügung, mit der man sich - zusammen mit dem elektronischen Personalausweis - kostenlos selbst S/MIME-Zertifikate erzeugen kann.

Maßnahmen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt den breiten Einsatz von OpenPGP und S/MIME. Da die Zertifikate für dashierarchische, zertifikatsbasierte S/MIME oft etwas kosten, wurde OpenPGP bereits vielfältig erweitert und vereinfacht, um auch den freien Benutzerkreis immer mehr zu erweitern.

Email-Clients

Moderne Email-Clients sind in der Lage, OpenPGP und S/MIME voll zu unterstützen. Dies beinhaltet die Schlüssel-Verwaltung, den Import und den Export und für OpenPGP auch die Schlüsselerzeugung, Suche und Veröffentlichung.

Deltachat

Deltachat ist, außer einem Email-Client, auch ein Email-basierter Messenger und hat die Absicht, die Benutzbarkeit von OpenPGP zu verbessern und eine breitere Anwendung von E-Mail-Verschlüsselung zu ermöglichen. Deltachat übernimmt mit Autocrypt als etabliertem OpenPGP-Standard für den automatischen Austausch von Schlüsseln zwischen verschiedenen Mail-Apps weitgehend die Kontrolle über die Schlüsselthematik. Deltachat ist auf allen Plattformen verfügbar und erlaubt außerdem das sichere Ausführen zahlreicher WebXDC-Apps, mit denen man gemeinsam spielen, zeichnen oder schreiben kann, indem diese einfach als Anhang geschickt werden.

p≡p

Auch PEP (Pretty Easy Privacy) verbessert die Benutzbarkeit von OpenPGP mit der Absicht, eine breitere Anwendung von E-Mail-Verschlüsselung zu ermöglichen. PEP generiert einen Schlüssel pro Gerät und verschlüsselt zu mehreren Schlüsseln für einen Empfänger, bietet aber nicht, wie Autocrypt-basierte Lösungen, eine direkte Unterstützung für den Austausch von Schlüsseln zwischen verschiedenen Mail-Apps.

Wem schaden verschlüsselte Emails ?

Eine Ende-zu-Ende-Verschlüsselung erschwert den staatlichen Eingriff in die Grundrechte durch sogenannte "G10-Maßnahmen", da die Nachrichtendienste durch die Verschlüsselung den Inhalt der Kommunikation nicht mehr einsehen können, was ihre Informationsgewinnung deutlich einschränkt. Auch der etwaige Email-Provider der Zielperson, auf dessen Server(n) die zu observierenden Nachrichten ankommen, kann dem Geheimdienst nur verschlüsselte Daten auszuhändigen.

Die vom BGH auferlegten Zwänge auf Tuta, einem Securemail-Provider, bezogen sich beispielsweise auf eingehende Emails, die unverschlüsselt beim Provider ankamen.

Da G10-Maßnahmen jedoch nur in speziellen Fällen zulässig sind, nämlich nur dann, wenn tatsächliche Anhaltspunkte für die Planung oder Begehung bestimmter Straftaten wie Friedens- oder Hochverrat, Landfriedensbruch, Volksverhetzung oder Einschleusen von Ausländern vorliegen, und wenn sich die Erforschung des Sachverhalts auf andere Weise aussichtslos oder wesentlich erschwert wäre, machen G10-Maßnahmen einen sehr geringen Teil der Verbrechensbekämpfung aus, und sind nur noch in wenigen Ausnahmefällen erlaubt, in denen andere Ermittlungsmethoden nicht ausreichen.

Kritik

• Während die Betreiber von Email-Servern Technologien, wie SPF, DKIM und DMARC entwickelten und verwenden, um die Wahrscheinlichkeit zu reduzieren, dass Phishing-E-Mails in den Posteingang gelangen, haben die Besitzer der Email-Konten selbst ohne Zutun weiterhin keine garantierte Sicherheit, ob der Absender einer Nachricht echt ist, und ob der Inhalt der Nachricht vertraulich behandelt wurde. Haben Freemail-Provider ihren Kunden vorzeitig immer wieder die Gedanken zur Selbstsorge genommen, damit diese weiterhin ihre Mühlen antreiben und als transparente Datenkühe stillhalten ?

• Ein Unternehmen, welches ein gutes Vertrauensverhältnis zu seinen Kunden aufbauen will, könnte z. B. den darauf bedachten die Möglichkeit geben, die dafür vorgesehenen Technologien zu verwenden, indem diese ihren OpenPGP-Schlüssel oder ihre S/MIME-Signatur im Benutzerkonto hinterlegen können, bzw. indem es die Nachrichten an die Kunden wahlweise mit einem privaten OpenPGP- oder S/MIME-Schlüssel signiert, den die Kunden verifizieren können. So macht es z. B. die Bafin. Doch wider Erwarten signieren die viel größeren Big-Tech-Unternehmen bis heute ihre E-Mails offensichtlich nicht, obwohl sie weder finanziell, noch technisch unterlegen sind. Stattdessen fordern sie zweite Faktoren, die genauso unsicher wie die ersten sind, und mit denen sie noch mehr Kundendaten einfordern können. Sowohl SMS als auch Telefonanrufe sind ein ebenso ungeschützter Kommunikationsweg wie die Email, der missbraucht werden könnte.

  

  Dabei würde ein richtig gesicherter viel mehr bringen. Wie ist dies zu erklären ?

• Gesetzt den Fall, ein Unterrichtsmaterial mit Beginn im frühen Schulleben, welches sich verstärkt um das Hervorbringen von Bewusstsein für eine humane, ethische Sichtweise auf unser Sozialverhalten bemüht, könnte erfolgreich zur Reduktion der Häufigkeit der Anwendung von Instrumenten, wie den G10-Maßnahmen beitragen, so müsste doch, um dies messen zu können, auf ein realistisches Maß, wie die Überwachungsgesamtrechnung zurückgegriffen werden können, durch welche die Planung des in Zukunft generell möglichen Einsatzes staatlicher Überwachungsinstrumente, realistisch und nicht mit einseitigem Interesse ausbalanciert werden kann. Warum wird diese Balance nicht stärker fokussiert ?