(Ein Kommentar von Munir Hanna, Geschäftsführer)
Seit dem NSA-Skandal und der in Kraft getretenen EU-DSGVO ist der Umgang mit den eigenen Daten, den Daten anderer und dem Internet allgemein vielen Nutzern erfreulicherweise bewusster geworden. Man sollte sich jedoch im Klaren sein, dass es keine absolute Sicherheit gibt und keinerlei Illusionen hingeben. Meist werden diese Entwicklungen vom Gesetzgeber angetrieben, nicht immer ist hintergründig wirklich das Interesse des Bürgers maßgeblich.
Allerdings haben die Marketingstrategen der Internetkonzerne und Zertifikatsanbieter u.a. mit den Themen Sicherheit via Verschlüsselung der Übertragungswege ein riesiges Geschäftsfeld für sich entdeckt. Nicht immer steckt bei den Angeboten ein echter Mehrwert für den Nutzer dahinter, der meist ein Laie ist und nicht durchschauen kann, ob eine Lösung eher einem Placebo gleicht.
So ist z.B. die Sicherheit bezüglich der verschlüsselten Verbindung via SSL- oder STARTTLS zwischen Benutzer und dem kontaktierten Mailserver trügerisch. Damit haben die Internetkonzerne suggeriert, als ob damit nun mehr Sicherheit möglich wäre. Natürlich, immer noch besser als gar nichts, aber hier trifft der Aspekt der psychologische Beruhigung eher zu.
Man stelle sich vor, es wird eine Postkarte versendet. Jeder Zusteller kann unterwegs die Karte lesen. Die Postkarte wird vom letzten Zustelle in den Briefkasten des Empfängers geworfen. Der Empfänger geht nun mit einem Schutzanzug und Briefumschlag für die Postkarte aus der Wohnung zum Briefkasten und holt auf sichere Weise die Postkarte aus dem Briefkasten und legt sie in den mitgeführten Briefumschlag, um sie dann in die Wohnung zu bringen.
Natürlich kommen auch noch etliche grundsätzliche technische Schwächen hinzu, die für eine Ernüchterung sorgen können, wenn man sich intensiver mit z.B. SSL- oder STARTTLS-Verschlüsselung beschäftigt.
Im Falle der Mailübertragung werden die vom Nutzer verschickten Mails üblicherweise im Klartext an den Posteingangsserver zugestellt. Von dort geht es meist über etliche Zwischenstationen, an den Ziel-Server des Empfängers weiter. Erst am Schluss wird bestenfalls der Übertragungsweg zwischen dem Nutzer und dem Mail-Server mit der SSL-/TLS-Verschlüsselung gesichert.
Die Übertragung zwischen den Mail-Servern im Internet geschieht unverschlüsselt und damit ist die Mail für jede kompetente Person mit Zugriffsrechten ohne Weiteres lesbar und kopierbar. Der verschlüsselte Weg zwischen dem Benutzer und dessen Mailserver wird damit obsolet.
In verschiedenen öffentlichen Quellen ist inzwischen veröffentlicht, dass an vielen Zwischenstationen im Internet automatisiert mitgelesen bzw. ausgewertet wird, die Entwicklung von künstlichen Intelligenzen (KI) und Machine Learning vorangetrieben und neue Geschäftsfelder zu ermöglichen.
Bereits seit sehr früher Zeit haben etliche große kostenlose Mail-Provider Mails ihrer Kunden zu weiteren Vermarktungs- und Überwachungszwecken systematisch ausgewertet. Gelegentlich taucht auch heute noch eine aktuelle Meldung in Fachkreisen auf. Aber der Verbraucher zieht selten seine Konsequenzen.
Wenn man ernsthaft Wert auf Sicherheit legt, dann sollte man sich mit der Verschlüsselung des Mail-Inhaltes näher beschäftigen.
Die Internetkonzerne und großen Internetfirmen bieten zwar auch Verschlüsselung an, aber das sind häufig Insellösungen und haben auch einen „Ersatzschlüssel“ zum Entschlüsseln von E-Mails, um Behörden bei deren Ermittlungen zu unterstützen, wozu es eine gesetzliche Verpflichtung gibt.
Da aber eine echte Verschlüsselung von Mailinhalten einerseits einen erst recht verdächtig machen kann und andererseits einiges an Bereitschaft erfordert, sich technische Zusammenhänge anzulesen bzw. mit dem Prozess der Verschlüsselung und Signierung von Nachrichten zu beschäftigen, wird man sich meist mit der Inkonsequenz zufrieden geben, dass ein schwacher Schutz immer noch besser als gar keiner sei.
Seitens des Gesetzgebers gibt es mit der DE-Mail eine angeblich sichere Möglichkeit Mailkommunikation zu nutzen. Ziel ist es einen rechtlich verbindlichen Weg der elektronischen Kommunikation zwischen den Behörden und Institutionen und dem Bürger zu ermöglichen. Für manche Berufszweige (Rechtsanwälte, Steuerberater) wird versucht DE-Mail als obligatorisch durchzusetzen. Doch die Umsetzung des Konzeptes ist derart fragwürdig, dass ich auf den bereits 2013 gehaltenen Vortrag Bullshit made in Germany eines IT-Sachverständigen hinweise, der dem Bundestag eine Expertise zur DE-Mail gab. „Sicherheit“ wird hier also schnell relativ, wenn man sich die Details der DE-Mail anschaut. Zudem der DE-Mail-Nutzer pro Mail ein „Porto“ entrichten soll.
Empfehlenswert ist die Beschäftigung mit dem kostenlosen PGP-Verschlüsselungssystem Gnu-PGP (Download, Dokumentation, Einstiegshilfe) oder S/MIME.
Links zum Thema Mail-Verschlüsselung: