Hier ist, warum Ihre E-Mail unsicher ist und wahrscheinlich so bleiben wird

E–Mail ist die allgegenwärtigste Kommunikationsmethode im Internet – vielleicht sogar auf dem Planeten. Es ist in fast alles integriert, von Telefonen und Tablets über herkömmliche Computer bis hin zu Spielgeräten – selbst angeschlossene Haushaltsgeräte und Autos können dies. Noch wichtiger ist, dass „im Internet“ bedeutet, eine E-Mail-Adresse (oder Dutzende von ihnen) zu haben; sie sind unsere IDs, wie wir uns für Dinge anmelden, wie wir Benachrichtigungen erhalten und manchmal sogar miteinander kommunizieren. E-Mail ist die ursprüngliche „Killer-App.“

Aber E-Mail wurde nicht mit Blick auf Datenschutz oder Sicherheit entwickelt. Es gab viele Bemühungen, E-Mails sicherer zu machen, aber die kürzliche Abschaltung von hochgepriesenen sicheren E-Mail-Diensten wie Lavabit (angeblich von NSA-Leaker Edward Snowden verwendet) und Silent Circle im Zuge von Überwachungsprogrammen der Regierung unterstreicht die Schwierigkeiten. Der Mangel an E-Mail-Sicherheit hat auch einige überraschende Kollateralschäden, wie die angekündigte Abschaltung des angesehenen Software- und Rechtsblogs GrokLaw.

Ist E-Mail-Sicherheit hoffnungslos? Sehen wir das Ende der Killer-App des Internets?

Warum ist E-Mail nicht sicher?

E-Mails sind nicht sicher, weil sie nie das Zentrum unseres digitalen Lebens sein sollten. Es wurde entwickelt, als das Internet ein viel kleinerer Ort war, um einfaches Speichern und Weiterleiten von Nachrichten zwischen Personen zu standardisieren, die verschiedene Arten von Computern verwenden. E-Mails wurden vollständig im Freien übertragen – alles war für jeden lesbar, der den Netzwerkverkehr beobachten oder auf Konten zugreifen konnte (ursprünglich waren nicht einmal Passwörter verschlüsselt). Erstaunlicherweise funktioniert E-Mail, die mit diesen weit geöffneten Methoden gesendet wird, immer noch (meistens).

Heute gibt es vier grundlegende Orte, an denen die E-Mails der meisten Menschen kompromittiert werden können:

  • Auf Ihren Geräten
  • In den Netzwerken
  • Auf den Servern
  • Auf den Geräten Ihres Empfängers)

Die ersten und letzten Orte – Geräte – sind leicht zu verstehen. Wenn jemand an Ihrem Computer sitzen, Ihr Telefon greifen oder durch Ihr Tablet wischen kann, stehen die Chancen gut, dass Ihre E–Mail genau dort sitzt, damit sie sie lesen können – Sie verwenden einen Sperrbildschirm oder ein Kennwort auf Ihren Geräten, oder? Gleiches gilt für die Geräte Ihrer Empfänger. Aber auch Passwörter und Sperrbildschirme helfen manchmal nicht viel. Während einige E-Mail-Programme die auf dem Gerät gespeicherten E-Mail-Nachrichten verschlüsseln, tun dies die meisten nicht. Das bedeutet, dass jeder (oder jedes Programm), der auf den internen Speicher des Geräts zugreifen kann, wahrscheinlich auch E-Mails lesen und Dateianhänge abrufen kann. Klingt weit hergeholt? Es muss keine Person sein; Das Durchsuchen von E-Mails ist eines der häufigsten Dinge, die Malware tut.

Netzwerke sind etwas schwieriger zu verstehen und decken drei grundlegende Links ab:

  • Ihre Verbindung zu Ihrem E-Mail-Anbieter (unabhängig davon, ob es sich um Ihren Internetdienstanbieter, Google, Outlook, Yahoo, Apple oder eine andere Person handelt)
  • Alle Netzwerkverbindungen zwischen Ihrem E-Mail-Anbieter und Ihrem Empfänger
  • Die Netzwerkverbindung Ihres Empfängers zu seinem E-Mail-Anbieter.

Wenn Sie E-Mails an jemanden mit demselben Dienst senden, den Sie verwenden (z. B. Outlook.com), haben Sie mindestens die erste und dritte potenzielle Netzwerkschwachstelle: Ihre Verbindung zu Outlook.com und die Verbindung Ihres Empfängers zu Outlook.com . Wenn sich die E-Mail-Adresse Ihres Empfängers an einer anderen Stelle befindet (z. B. in einem Unternehmen oder einer Schule), haben Sie mindestens eine weitere: die Verbindung zwischen Outlook.com und der E-Mail-Anbieter Ihres Empfängers. Die Realität der Netzwerktopographie bedeutet, dass jede dieser Verbindungen eine Reihe von Routern und Switches (vielleicht ein Dutzend oder mehr) umfasst, die wahrscheinlich verschiedenen Outfits gehören und von diesen betrieben werden. Wenn eine Verbindung sicher ist, kann nicht garantiert werden, dass eine andere Verbindung in der Sequenz sicher ist. Und wenn Sie sich Sorgen um Dinge wie das PRISM-Überwachungsprogramm der NSA machen, gibt es bisher Hinweise darauf, dass etwas davon an diesen Zwischennetzpunkten passiert.

E-Mail wurde nicht im Hinblick auf Datenschutz oder Sicherheit entwickelt.

Server sind die Maschinen bei Ihrem E-Mail-Anbieter oder ISP, die Ihre E-Mails physisch speichern. Wenn jemand Ihr E-Mail-Passwort knackt (oder errät oder stiehlt), benötigt er Ihre Geräte wahrscheinlich nicht; sie können sich direkt bei Ihrem E-Mail-Anbieter anmelden und dort gespeicherte E-Mails lesen. Das sind vielleicht nur ein paar Nachrichten, aber es können Wochen, Monate oder Jahre im Wert von E–Mails sein – einschließlich zumindest einiger Nachrichten, die Sie gelöscht haben. Aber das ist nicht das einzige Risiko. Die meisten E-Mail-Dienste speichern Ihre Nachrichten als Klartext. Jeder Angreifer, der auf diese Server zugreifen kann (z. B. über eine Sicherheitslücke oder durch Diebstahl eines Administratorkennworts), kann problemlos auf alle gespeicherten E-Mails und Anhänge zugreifen. Warum schützen Anbieter gespeicherte E-Mails nicht? Teilweise wegen des Overheads, der entstehen würde, aber wenn Sie die E-Mail unverschlüsselt speichern, können Benutzer ihre Nachrichten durchsuchen (Sie möchten Ihre E-Mails durchsuchen, oder?) und ermöglicht es Diensten wie Google Mail, E-Mails automatisch nach Schlüsselwörtern zu durchsuchen, um Werbung zu verkaufen (und Sie mögen Werbung, oder?).

Verschlüsselung zur Rettung!

Der beste Weg, die Kommunikation zu schützen, besteht darin, sie zu verschlüsseln: Im Grunde genommen werden die Daten mit komplexen mathematischen Transformationen verschlüsselt, sodass sie nur mit dem richtigen Kennwort oder anderen Anmeldeinformationen verständlich sind. Eine gängige Form der Verschlüsselung ist die Public-Key-Kryptographie, bei der Personen (oder ISPs oder Unternehmen) einen öffentlichen Schlüssel verschenken, mit dem jeder die für sie bestimmten Daten verschlüsseln kann, der jedoch nur mit einem privaten Schlüssel entschlüsselt werden kann, den die Person (oder der ISP oder das Unternehmen) geheim hält.

Public-Key-Kryptographie ist die Grundlage von zwei Hauptmethoden zum Schutz von E-Mails:

  • Nachrichten verschlüsseln
  • Netzwerkverbindungen verschlüsseln

Nachrichten verschlüsseln

Die Idee hinter verschlüsselten Nachrichten ist einfach: anstatt Klartext zu senden, den jeder lesen kann, senden Sie verschlüsseltes Gobbledegook, das nur der beabsichtigte Empfänger lesen kann. Zu den gängigen Tools zum Verschlüsseln von E-Mails gehören PGP (jetzt ein kommerzielles Produkt von Symantec) und zahlreiche gängige Apps und Tools, die Open Source OpenGPG und S / MIME unterstützen.

Das Verschlüsseln von Nachrichten ist eine einfache Idee, aber der Ansatz hat Vor- und Nachteile. Positiv zu vermerken ist, dass verschlüsselte Nachrichten sowohl in Netzwerken als auch auf Servern geschützt sind, selbst wenn sie kompromittiert sind oder Nachrichten als Klartext speichern. (Das Gobbledegook könnte Google Mail dazu bringen, einige seltsame Anzeigen zu schalten!) Die Nachricht wird wahrscheinlich auch auf Ihrem Gerät und den Geräten Ihres Empfängers verschlüsselt (bis sie sie dekodieren), was einen zusätzlichen Schutz bietet. Das ist alles gut.

Jetzt die Nachteile. Das Verschlüsseln einzelner Nachrichten ist mühsam. Sie müssen den öffentlichen Schlüssel aller Personen haben, mit denen Sie sicher kommunizieren möchten. Für ein oder zwei Personen ist das nicht schlecht, aber die meisten Menschen haben Dutzende (oder Hunderte) von Kontakten. Es wird nicht einfach sein, alle mit Public-Key-Kryptographie zum Laufen zu bringen.

Außerdem benötigt jeder, der Ihnen sichere E-Mails senden möchte, Ihren öffentlichen Schlüssel! Sie können es ihnen per E-Mail senden … aber das wird nicht verschlüsselt, also ist es nicht sicher. Gleiches gilt für einen Blog-Beitrag oder eine Facebook-Seite oder Keyserver-Dienste oder einen anderen unsicheren Kanal. Der einzige wirklich sichere Weg, öffentliche Schlüssel auszutauschen, ist von Angesicht zu Angesicht oder auf andere Weise können Sie wirklich sicher sein, dass Sie den richtigen Schlüssel von der richtigen Person erhalten. Das kann wild unpraktisch sein. Einige Leute, die Ihnen vertrauliche E–Mails senden – wie Banken, Kreditkartenunternehmen, Krankenhäuser, Schulen oder die örtliche Fruchtbarkeitsklinik – werden Ihren öffentlichen Schlüssel wahrscheinlich nicht verwenden (oder nicht wissen, wie), selbst wenn sie ihn hätten. Unterm Strich werden nicht viele Ihrer E-Mail-Nachrichten verschlüsselt, daher ist das Verschlüsseln von Nachrichten keine allgemeine Lösung für sichere E-Mails.

Aber warte! Das Verschlüsseln von Nachrichten hat weitere Nachteile. Nur der Nachrichteninhalt (und Anhänge, falls vorhanden) werden verschlüsselt. Die Kopfzeileninformationen (einschließlich Ihrer Adresse, der Adresse des Empfängers, des Betreffs, des Datums und mehr) sind alle noch Klartext, den jeder lesen kann. Diese Informationen können nur Metadaten sein, aber im Laufe der Zeit können sie ein überraschend detailliertes Bild Ihrer Online-Aktivitäten zeichnen. Fragen Sie die NSA!) Willst du einen anderen Nachteil? Versuchen Sie, sich in Ihr Webmail einzuloggen und verschlüsselte E-Mails nach einer Telefonnummer oder Adresse zu durchsuchen.

Verschlüsseln von Verbindungen

Probleme mit verschlüsselten Nachrichten bedeuten, dass ein Großteil des Fokus auf die Sicherung von E-Mails auf die Verschlüsselung von Netzwerkverbindungen gelegt wurde. Die Grundidee ist die gleiche wie die Verwendung einer sicheren Website wie Ihre Bank oder Amazon.com . Wenn Sie eine Verbindung zu Ihrem E-Mail-Anbieter herstellen, verwendet Ihre Software Transport Layer Security (TLS, besser bekannt als SSL), um die Verbindung zwischen Ihrem Gerät und dem Dienst zu verschlüsseln. Es kümmert sich sogar um den Austausch von Schlüsseln: Die meisten Geräte sind heute mit Schlüsseln für Zertifizierungsstellen vorinstalliert, wo sie authentifizierte Schlüssel für Websites und Dienste herunterladen können, ohne die Benutzer zu stören: kein Muss, kein Aufhebens, kein Flug nach Australien, um öffentliche Schlüssel mit jemandem auszutauschen. Die Basistechnologie funktioniert seit fast zwei Jahrzehnten für den E-Commerce.

Diese Informationen sind möglicherweise nur Metadaten, aber im Laufe der Zeit können sie ein überraschend detailliertes Bild Ihrer Online-Aktivitäten zeichnen.

Wenn Sie die Verbindung zwischen Ihnen und Ihrem E-Mail-Anbieter verschlüsseln, kann niemand im Netzwerk dazwischen E-Mail-Nachrichten anzeigen, die Sie senden oder empfangen. Das schützt Sie vor dem Kriechen auf dem lokalen Wi-Fi-Netzwerk und sogar geheime Regierung Abgriffe in einem Rechenzentrum irgendwo auf dem Weg.

Sobald die Nachricht jedoch Ihren E-Mail-Anbieter erreicht, sind alle Wetten deaktiviert. Meistens speichert Ihr E-Mail-Anbieter die Nachrichtendaten als Klartext (siehe oben), obwohl es Ausnahmen wie Kanadas Hushmail gibt. Und wenn Ihr Empfänger bei einem anderen E-Mail-Anbieter oder ISP ist, könnte Ihre Nachricht sein (und ist es wahrscheinlich!) über das Internet als Klartext-E-Mail der alten Schule an sie übertragen. Eine wachsende Anzahl von E–Mail-Diensten verwendet TLS, um Verbindungen zwischen sich selbst zu verschlüsseln, aber die überwiegende Mehrheit der E-Mail-Server auf der Welt tauscht immer noch Nachrichten ohne Verschlüsselung aus – und Sie können es nicht wissen. Darüber hinaus ist nicht abzusehen, ob Ihr Empfänger eine geschützte Verbindung verwendet, um Ihre E-Mail zu empfangen oder zu beantworten. Sie haben sich vielleicht vor dem Kriechen im öffentlichen Wi-Fi-Netzwerk geschützt, aber hat Ihr Arzt oder Buchhalter? Vielleicht nicht.

Ist E-Mail zum Scheitern verurteilt?

E-Mail wird nicht so schnell verschwinden. Es ist viel zu nützlich, und sein nahezu universeller Status auf fast jedem Gerät und Dienst stellt sicher, dass E-Mails viele Jahre bei uns bleiben.

Aber sichere E-Mail? Die Quintessenz ist, dass E-Mails, wie wir sie heute kennen, nie sicher waren und die unzähligen Möglichkeiten, wie wir E-Mails senden, empfangen, speichern und verwenden, die vollständige Sicherung von E-Mails zu einem sehr schwierigen Problem machen. Bestenfalls.

Wir können neue sichere Nachrichtendienste erfinden, die E-Mails ersetzen könnten. Das hat Silent Circle mit seinem verschlüsselten Kommunikationsdienst getan, und das ist wohl das, was BlackBerry mit BBM getan hat und was Apple mit iMessage getan hat. Nichtsdestotrotz unterliegen diese Dienste Offenlegungsanfragen von Regierungen – obwohl Silent Circle den interessanten Schritt unternimmt, mit fast nichts antworten zu können. Noch wichtiger ist, dass keiner die breite Allgegenwart und fast allgegenwärtige Reichweite von E-Mails zu irgendeinem Zeitpunkt mittel- oder sogar langfristig haben wird. Hoffentlich hält die Schwierigkeit die Leute nicht davon ab, es zu versuchen – und Kim Dotcoms Mega wirft bereits seinen Hut in den Ring.

Auf absehbare Zeit können Internetnutzer jedoch nicht erwarten, dass E-Mails vor neugierigen Blicken oder Abhören geschützt sind. Zeitraum.

Top Bild mit freundlicher Genehmigung von /3dreams

Empfehlungen der Redaktion

  • Die besten verschlüsselten Messaging-Apps für iOS und Android
  • Die besten günstigen VPN-Angebote für Februar 2021
  • So verhindern Sie, dass Ihre E-Mails verfolgt werden, und bewahren Sie Ihre Privatsphäre
  • So schützen Sie Ihr Smartphone vor Hackern und Eindringlinge
  • So ändern Sie Ihr Outlook-Passwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.