14.01.2019

Emailverschlüsselung: Nutzen Sie Emailverschlüsselung?

Das Thema Sicherheit spielt in der IT eine zentrale Rolle und dürfte im Tagesgeschen inzwischen mindestens gleichwertig neben dem weiteren zentralen Thema, der technischen Weiterentwicklung in der digitalen Welt, stehen. In letzter Zeit sind die Schlagzeilen beim Erscheinen des neuen iPhones jedenfalls eben so gross wie bei der Entdeckung neuer Sicherheitslücken in Computern.

Von: Lars Behrens  DruckenTeilen 

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

Emailverschlüsselung

Mit den ersten Mailinglisten entstanden die ersten SPAMs

Früher war nicht alles besser, es hat nur noch niemand an alles gedacht, könnte man angesichts des Themas Datensicherheit sagen. So gibt es die heutzutage ebenso im privaten wie vor allem auch im geschäftlichen Umfeld so wichtigen E-Mails schon sehr lange. «Don't tell anyone! This isn't what we're supposed to be working on», soll der US-Amerikaner Ray Tomlinson Anfang der 1970er-Jahre als erstes Mail der Geschichte verschickt haben. Zwar hatte Tomlinson dabei wohl kaum an eine digitale Variante der bekannten Briefkommunikation - später von Spöttern gerne als «Snail-Mail» in Abgrenzung zu «E-Mail» verspottet - gedacht. Aber wie so manche andere Komponente des Internets, wie wir es heute kennen, lagen deren Anfänge in diesen frühen Tagen der Rechnernetzwerke. Das gilt besonders für das Thema E-Mail. Schnell verbreitete sich das neue Medium, erste Mailinglisten entstanden - und bald auch die ersten SPAMs. Emails sind eine der bekanntesten «Erfindungen» des noch jungen weltweiten Netzes. Und auch heute noch spielen sie eine wichtige Rolle, allen sozialen Netzwerken wie Facebook, WhatsApp und Co oder unternehmensinternen Kommunikationsmedien wie Firmenchats, Intranet und so weiter zum Trotz.

Weniger Schadsoftware und Werbung dank Emailverschlüsselung

Dass sich über Emails ohne finanzielle Belastung durch Briefporto nicht nur seriöse Inhalte, sondern auch ganz hervorragend zum Beispiel Schadsoftware und Werbung (Spams) übertragen lassen, hat sich dann aber auch schnell herumgesprochen. Spamversand und das Übertragen von Viren, Trojanern und anderer Schadsoftware gehen oftmals Hand in der Hand - wir berichteten darüber im Portal InformatikPraxisOnline. Heutzutage bestehen geschätzt weit über 90% des weltweiten Mailversands aus SPAM, also unerwünschter Werbung. Hiergegen gibt es diverse Abwehrtechniken, die alle mal mehr oder weniger leidlich funktionieren - und die eigentlich ein fortwährendes Katz-und-Maus-Spiel zwischen Spamversendern und den Entwicklern von Anti-SPAM-Systemen sind. Haben letztere eine erfolgreiche Technik zur Reduzierung des SPAM-Aufkommens gefunden, steht seitens der SPAM-Versende-Mafia (man kann sie kaum anders bezeichnen) schon die nächste Technik zum Aushebeln der Werbemailabwehr bereit. Heutzutage gilt als glücklich, wer lediglich eine Handvoll täglicher SPAMs im Postfach vorfindet, populäre Adressen wie info@ verzeichnen trotz Anti-Spam-Filter teilweise SPAMs im dreistelligen Bereich.

Emailverschlüsselung – Seien Sie sorgfältig beim Öffnen Ihrer Mails, und glauben Sie nicht alles, was darin steht!

Immerhin kann man SPAMs löschen, gegen Schadsoftware im Anhang der Email hilft hoffentlich die Anti-Virensoftware, und gegen Techniken wie Phishing oder Linkumleitung auf Ransomware- oder andere Webseiten hilft ebenfalls das Antivirenprogramm - und vor allem der gesunde Menschenverstand. Seien Sie sorgfältig beim Öffnen Ihrer Mails, und glauben Sie nicht alles, was darin steht! Besonders misstrauisch sollten Sie werden, wenn Paketzusteller, Banken oder Bekannte Sie aus der Mail heraus zum Öffnen von Webseiten oder Anhängen auffordern. Dabei werden oftmals Absenderadressen gefälscht, nicht jede Mail mit der Absendeadresse des Abteilungsleiters stammt tatsächlich vom Büro nebenan. Hier helfen nur Sorgfalt und der gesunde Menschenverstand - und detektivisch und technisch Interessierten ein Blick in den so genannten Header einer Email. Hier tritt dann zumeist deutlich zutage, dass der versendende Mailserver des vorgeblich vom Kollegen stammenden Mail merkwürdigerweise auf eine Domain exotischer Provenienz hört.

Weitere Einfallstore für Cyberkriminelle

Dass aber ein weiteres Einfallstor für Cyberkriminelle bereits haarscharf ab der Tastatur Ihres PCs, Laptops oder dem Bildschirm Ihres Tablets oder Smartphones lauert, ist vielen nicht klar. Worin genau besteht die Gefahr? In der unverschlüsselten Übertragung Ihrer Emails. Moment, werden Sie sagen - Ihr Mailprogramm ist doch so eingestellt, dass Verbindungen vom Mailclient (Outlook, Mail.app, Thunderbird, Webmailer oder die diversen entsprechenden Apps auf den Mobilgeräten) grundsätzlich verschlüsselt stattfinden? Mails werden über eine per SSL/TLS hergestellte verschlüsselte Verbindung per POP3s oder IMAPs abgerufen und ebenfalls verschlüsselt versendet (SMTPs, Submission). Wenn Sie allerdings einmal in Gedanken den Weg einer Email von Ihnen zum Empfänger begleiten, erkennen Sie wahrscheinlich schnell die Schwachstelle:

  • Das Mail wird an Ihrem Rechner geschrieben und verschlüsselt an Ihren Mailserver übertragen.
  • Der Mailserver nimmt Kontakt zum Mailserver des Empfängers auf.
  • Ab hier haben weder Sie noch Ihr Administrator respektive der Betreiber Ihres Mailservers Einfluss auf den Übertragungsweg!
  • Der Mailserver des Empfängers bekommt Ihr Mail über das per se unsichere Internet zugestellt - wenn Sie Glück haben, geschieht die Übertragung zwischen den Mailservern ebenfalls verschlüsselt. Irgendwie «vorgeschrieben» oder ein allgemeiner Standard ist dies aber nicht!
  • Schliesslich holt der Empfänger Ihr Mail von seinem Mailserver ab.

Beim letzten Schritt können Sie zwar darauf hoffen, dass diese Übertragung vertraulich, also verschlüsselt stattfindet - sicher sein können Sie sich aber nicht.

Emailverschlüsselung

Eine wirklich sichere, also nicht einsehbare Mailübertragung ist nur mit einer so genannten Ende-zu-Ende-Verschlüsselung möglich! Hierfür gibt es bereits lange entsprechende Techniken - Stichworte S/MIME, GPG, PGP. Letzteres (PGP steht für Pretty Good Privacy) ist seit mehr als 25 Jahren bekannt und verfügbar, und es sorgt nicht nur dafür, dass ausschliesslich der Sender und der Empfänger eine Mail lesen können. Selbst, wenn diese auf dem Zustellweg abgefangen oder sonst wie «abgehört» wird, kann ein Unbeteiligter nichts mit dem verschlüsselten Inhalt anfangen. Zudem lassen sich mit PGP Mails nicht nur verschlüsseln, sondern auch signieren - somit können Sender und Empfänger erkennen, dass eine Nachricht tatsächlich vom vermeintlichen Absender stammt.

«Gmail's End-to-End Encryption Project Is Dead (...), making it very unlikely that automatic end-to-end encryption will ever be available to millions of Gmail users» (Quelle: https://tutanota.com/blog/posts/gmail-end-to-end-encryption-is-dead). Und als Fazit wird festgestellt: «Making email encryption easy is hard (...), easy email encryption is much harder than one might think».

Und an anderer Stelle wird anhand einer (wenngleich auch nicht repräsentativen) Umfrage konstatiert, dass nur rund 16 Prozent der Befragten eine Ende-zu-Ende-Verschlüsselung nutzen - und es wird auch erklärt, weshalb das so ist: «37,6 Prozent sei die Prozedur schlichtweg zu aufwändig, ähnlich viele sagen, dass sie überhaupt gar nicht wissen, wie es geht.»

(Quelle: https://t3n.de/news/e-mail-verschluesselung-825696/)

Wir können Sie an dieser Stelle also leider nicht mit einer schlagkräftigen Aussage a la «Nutzen Sie XY, und Ihre gesamte E-Mailkommunikation wird absolut sicher sein!» zurücklassen. Sprechen Sie das Thema gerne auf der nächsten Teamrunde oder dem Treffen mit Ihrer IT-Administration an - und machen Sie sich darauf gefasst, dass nicht einmal die IT-Fachleute immer gut über das Thema Bescheid wissen werden. E-Mailsicherheit ist ein wichtiges Thema, aber das Bewusstsein für die Notwendigkeit einer flächendeckenden Ende-zu-Ende-Verschlüsselung ist ebenso wenig weit verbreitet wie es aktuell eine günstige und einfach umzusetzende Lösung dafür gibt.

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Gehen Sie rechtssicher mit IT-Outsourcing und Cloud Computing um. Lernen Sie die Rahmenbedingungen kennen, schätzen Sie Risiken realistisch ein und beurteilen Sie Verträge professionell.

Nächster Termin: 09. Juni 2020

mehr Infos

Produkt-Empfehlungen

  • WEKA Musterverträge

    WEKA Musterverträge

    Die in der Praxis am häufigsten eingesetzten Musterverträge.

    ab CHF 248.00

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    Mehr Infos

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Das revidierte Schweizer Datenschutzgesetz, die DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 10. März 2020

    mehr Infos

  • Praxis-Workshop, 1 Tag, ZWB, Zürich

    Datenschutz erfolgreich umsetzen

    Schritt-für-Schritt-Anleitung für die Umsetzung der Datenschutz-Mindestanforderungen

    Nächster Termin: 10. Dezember 2019

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Data Protection Officer (DPO) nach revidiertem DSG und DSGVO

    Datenschutz-Anforderungen für Schweizer Unternehmen nach DSG und DSGVO (GDPR) erfolgreich umsetzen

    Nächster Termin: 13. Mai 2020

    mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos