Sichere Web-Mail-Lösungen

E-Mail: Aus der Cloud und sicher

21.03.2016
Von  und
Frank-Michael Schlede arbeitet seit den achtziger Jahren in der IT und ist seit 1990 als Trainer und Fachjournalist tätig. Nach unterschiedlichen Tätigkeiten als Redakteur und Chefredakteur in verschiedenen Verlagen arbeitet er seit Ende 2009 als freier IT-Journalist für verschiedene Online- und Print-Publikationen. Er lebt und arbeitet in Pfaffenhofen an der Ilm.
Thomas Bär, der seit Ende der neunziger Jahre in der IT tätig ist, bringt weit reichende Erfahrungen bei der Einführung und Umsetzung von IT-Prozessen im Gesundheitswesen mit. Dieses in der Praxis gewonnene Wissen hat er seit Anfang 2000 in zahlreichen Publikationen als Fachjournalist in einer großen Zahl von Artikeln umgesetzt. Er lebt und arbeitet in Günzburg.
Fast jeder Nutzer sollte wissen, dass E-Mails grundsätzlich nicht sicher sind. Viele Anwender scheuen den Einsatz von verschlüsselten Mails. Wir stellen Web-Mail-Lösungen vor, die dieses Dilemma lösen sollen.
Verschlüsselung muss nicht am Aufwand scheitern. Sichere E-Mail-Lösungen gibt es mittlerweile "as a service".
Verschlüsselung muss nicht am Aufwand scheitern. Sichere E-Mail-Lösungen gibt es mittlerweile "as a service".
Foto: Maxx-Studio/Shutterstock.com

Eigentlich sollte es im Jahr 2016 zur Allgemeinbildung gehören, dass normale E-Mail-Nachrichten de facto keine Sicherheit bieten - und trotzdem setzen sich Verschlüsselungstechniken für E-Mail-Nachrichten nach wie vor nur langsam durch. Erst im Januar dieses Jahrs zog der Digitalverband Bitcom aufgrund einer repräsentativen Umfrage den pessimistischen Schluss, dass die Verschlüsselung von E-Mails nur langsam vorankommt. Während IT-Profis sich durchaus für den Einsatz von Lösungen wie PGP auch in der Form der Freeware GPG4win erwärmen können, ist das den meisten Anwendern zu aufwändig oder zu kompliziert.

Wir erläutern in diesem Artikel zunächst die Hintergründe dieser Problematik und stellen dann einige Online-Lösungen vor: Provider, die sichere E-Mail "as a Service" direkt aus der Cloud zur Verfügung stellen.

Sicherheitsprobleme

Die Unsicherheit der mit SMTP (Simple Mail Protocol) versendeten Nachrichten liegt nicht zuletzt daran, dass dieses Protokoll bereits vor über 30 Jahren im Jahr 1982 mittels eines RFCs (Request for Comments) zum Standard wurde - zu einer Zeit, als sich Entwickler und Nutzer noch wenig Gedanken über Sicherheit und Verschlüsselung machten.

1995 wurde das Protokoll dann durch Extended SMTP (ESMTP) im RFC 1869 erweitert und die Entwickler konnten eine Verschlüsselung über SSL/TLS (Secure Sockets Layer/Transport Layer Security) einarbeiten. Dank dieser Erweiterung ist die Vertraulichkeit der Nachricht beim Transfer während der Übertragung zum Mail-Server gesichert. Alle bekannten großen und in der Regel auch kleinen Provider in Deutschland nutzen heute diese Protokolle.

Sollte heute der Mindeststandard bei allen E-Mail-Clients sein: Diese Grundeinstellungen für die verschlüsselte Übertragung werden aktuell auch von den meisten deutschen Providern unterstützt.
Sollte heute der Mindeststandard bei allen E-Mail-Clients sein: Diese Grundeinstellungen für die verschlüsselte Übertragung werden aktuell auch von den meisten deutschen Providern unterstützt.

Wer sich allerdings die Mühe macht, den Netzwerkverkehr daheim oder auch im Netzwerk der Firma mit einem Sniffer-Programm wie beispielsweise WireShark zu durchleuchten, wird noch mehr als genug Übertragungen finden, bei denen es möglich ist E-Mail-Nachrichten bequem im Klartext mitzulesen. Das liegt häufig daran, dass immer noch das POP-Protokoll (Post Office Protocol) in der (immer noch gültigen!) Version 3 zum Abholen der Nachrichten vom Mail-Server verwendet wird. Standardmäßig rufen Clients, die dieses Protokoll einsetzen, die Nachrichten völlig unverschlüsselt ab. Dadurch, dass die meisten Provider in Deutschland inzwischen auch bei POP3-Accounts SSL/TLS verwenden, hat sich dieses Problem verringert. Trotzdem in diesem Zusammenhang der Tipp: Verwenden Sie nach Möglichkeit das IMAP-Protokoll (Internet Messaging Access Protocol), das in der aktuellen Version schon standardmäßig einen Verschlüsselungsalgorithmus verwendet.

Verräterische Metadaten

Schließlich empfehlen Experten häufig die händische Verschlüsselung der Daten mittels einer Lösung wie VeraCrypt oder ArchiCrypt Live gefolgt von anschließender Übersendung der verschlüsselten Container-Dateien. Damit rückt jedoch ein weiteres Problem, das erst durch die Enthüllungen von Edward Snowden und die NSA-Affäre so richtig publik wurde, ins Scheinwerferlicht. Die Kommunikation via E-Mail hinterlässt noch ganz andere Spuren: die sogenannten Metadaten. Keine der Verschlüsselungsmöglichkeiten kümmert sich darum, dass die Daten aus dem E-Mail-Header - also beispielsweise wer hat wann eine Nachricht an wen geschickt, wie oft hat er diesen Nutzer per Mail kontaktiert und so weiter -ebenfalls entsprechend geschützt sind. Wer nun meint, die Daten der Felder Absender, Empfänger, CC sowie der Zeitstempel der Nachrichten seien nicht interessant, sollte mal einen Blick auf die Seite des MIT (Massachusetts Institute of Technology) werfen. Dort wird unter der URL: https://immersion.media.mit.edu eine Web-Anwendung mit dem Namen "immersion" online zur Verfügung gestellt. Wer ein E-Mail-Konto von Google oder Yahoo beziehungsweise einen Exchange-Server verwendet, kann dann direkt sehen, was seine Metadaten so zeigen. Es stehen auch Demodaten bereit, für die Nutzer, die kein solches Konto besitzen oder ihre Daten dort nicht eingeben möchten. Die Ergebnisse sind beeindruckend und zeigen in der Übersicht recht genau, mit wem der Anwender kommuniziert hat und in welcher Verbindung er zu seinen Kontakten steht.

Die Informationen in den Meta-Daten: Wer zweifelt, dass es auch aus den Meta-Daten genug interessante Informationen zu ziehen gibt, sollte einen Blick auf „immersion“ beim MIT werfen (hier mit einem Demo-Konto gezeigt).
Die Informationen in den Meta-Daten: Wer zweifelt, dass es auch aus den Meta-Daten genug interessante Informationen zu ziehen gibt, sollte einen Blick auf „immersion“ beim MIT werfen (hier mit einem Demo-Konto gezeigt).