Es ist immer wieder überraschend wie viele Leute sich nicht darüber bewusst sind, wie unsicher der Emailverkehr eigentlich ist. Natürlich können sie sich über Spam aufregen und wie furchtbar nervend das doch ist. Nicht zu vergessen der Horror vor dem Versenden einer Email an die falsche Person. Was dabei oft auf der Strecke bleibt, ist allerdings die Erkenntnis, dass die gleichen diesen Problemen zugrundeliegenden Ursachen auch ihre Privatsphäre ganz erheblich aushebeln können.
Als die Email vor mehr als 40 Jahren das Licht der Welt erblickte, dachte noch niemand daran, wie man die Inhalte dieser elektronischen Post am besten sicher könnte. Entsprechend einfach ist es für Betrüger mit Emails ihr Unwesen zu treiben. Im Gegensatz dazu ist es sehr schwer für den Empfänger festzustellen, ob die Nachricht tatsächlich von der Person kommt, die sie vorzugeben scheint. Zu allem Überfluss sorgt der Standardversand vieler Programme im Klartext dafür, dass die Inhalte nicht privater sind als beim Versenden einer Postkarte. Da sind sogar Instant Messenger wie WhatsApp oder der Facebook Messenger sicherer! Trotz aller Angst um ihre Privatsphäre sind sich viele Email-User einfach nicht darüber benutzt, dass ihre Nachrichten letztendlich von jedermann gelesen werden können.
Das Zauberwort zur Lösung dieses Problems heißt Verschlüsselung, auch wenn diese Technologie für Nutzer, die nach dem Klicken-und-Vergessen-Prinzip verfahren, eine kleine Herausforderung sein kann. Ein bisschen Arbeit muss schon investiert werden, da Verschlüsselung leider nicht einfach so passiert. Aber der Aufwand lohnt sich! Als Einstieg stelle ich hier einmal Optionen vor, die bestehen, wenn wir von Email-Verschlüsselung reden:
PGP und S/MIME
PGP (Pretty Good Privacy) und S/MIME (Secure/Multipurpose Internet Mail Extensions) sind mittlerweile Standardprogramme, wenn es um Verschlüsselung und Unterzeichnen (Signing) geht. PGP lässt sich zwar leicht installieren, ist allerdings nicht sehr anwenderfreundlich und zeigt zudem Schwächen bei der Integration in häufig von Firmen verwendeten Email-Apps wie Outlook. S/MIME ist das schon mehr auf die Bedürfnisse von Unternehmen zurechtgeschnitten und außerdem bedienungsfreundlicher – wenn es mal installiert ist. Aber damit das Programm vernünftig funktioniert, muss für jeden einzelnen Nutzer ein sogenannten Publicly Verifiable Certificate organisiert werden. Das kann teuer werden! Beide Varianten haben außerdem den großen Nachteil, dass sowohl der Sender als auch der Empfänger das System unterstützen müssen, um Nachrichten mit Public Keys sicher ver- und entschlüsseln zu können. Bei S/MIME kommt erschwerend hinzu, dass der volle Leistungsumfang nur dann zur Verfügung steht, wenn auf beiden Seiten ein Zertifikat gekauft wurde.
Dateiverschlüsselung
Wenn es darum geht, eine oder mehrere Dateien sicher von A nach B zu schicken, macht es oftmals auch Sinn, diese einfach in einem verschlüsselten Archiv zu senden, anstatt die ganze Email zu verschlüsseln. Da wir hier von einer sog. symmetrischen Verschlüsselung sprechen muss sich natürlich darum gekümmert werden, dem Empfänger irgendwie das entsprechend Passwort zukommen zu lassen. Das findet idealerweise direkt über Telefon oder von Person zu Person statt. Außerdem ist es wichtig, ein starkes Passwort zu kreieren, damit Cyberkriminelle den Verschlüsselungsschutz nicht einfach aushebeln können. Falls Sie vorhaben, verschlüsselte ZIP-Dateien zu versenden, sollten Sie sicher gehen, aktuelle Versionen zu nutzen. Ältere Programme haben häufig nur eine sehr schwache Verschlüsselung integriert. Leider unterstützten weder Windows noch Mac neue AES-sichere Versionen, Sie müssen also auf Third-Party-Tools wie bspw. 7-Zip ausweichen.
SPX encryption
Die dritte Option ist ein bisschen Eigenwerbung, macht aber dennoch sehr gut klar, welche Möglichkeiten es heutzutage in Sachen Emailverschlüsselung gibt. SPX (Secure PDF eXchange) steht zwar nur für Sophos-User zur Verfügung, soll hier aber als interessante Variante dennoch kurz Gehör finden. Nach Erhalt einer SPX-verschlüsselten Nachricht kann der angemeldete User einfach ein Passwort angeben, um die Datei zu öffnen. Nicht registrierte Anwender können sich über ein Portal leicht anmelden. Der Vorteil dieses Systems liegt darin, dass kein Passwortaustausch und keine spezielle Softwareinstallation nötig ist.
Natürlich gibt es noch viele andere Möglichkeiten, um Emails sicher zu verschicken. Dazu gehört u.a. die Kommunikation über spezielle Tools via HTTPS. Das ist aber nicht immer ganz anwenderfreundlich und zudem stellt sich die Frage, ob Sie dem Tool auch wirklich trauen können. Wie auch immer, die Email ist trotz vieler Sicherheitsfragen weiterhin das aktuelle Kommunikationsmittel Nummer 1 und so bald ist da auch kein Ersatz in Sicht. Neben der potentiellen Verschlüsselung sollte auf jeden Fall ein Spamfilter installiert sein. Nicht nur, um das Postfach sauber zu halten, sondern auch, um Phishinig-Versuchen den Riegel vorzuschieben. Email-Clients müssen immer die aktuellen Patches aufgespielt haben, ansonsten besteht die Gefahr, dass Malware schon alleine vom Öffnen einer Mail aktiviert wird. Für Unternehmen gilt zudem, eine durchdachte DLP-Technologie (Data Loss Prevention) zu verwenden, um Mitarbeiter davon abzuhalten, Daten zu versenden, die sie nicht versenden dürfen. Last but not least gilt auch in punkto Email-Sicherheit mal wieder: Erst den Kopf einschalten und dann klicken.
Quelle: Sophos von Jan Bakatselos