E-Mails verschlüsselt senden: keine praktikable Lösung in Sicht

Das SMTP-Protokoll besitzt mittlerweile Erweiterungen, die eine Verschlüsselung erlauben. Das Problem liegt jedoch darin, dass man darauf angewiesen ist, E-Mails bei seinem Provider oder seinem Arbeitgeber in den "Briefkasten" zu werfen. Was danach geschieht, entzieht sich der Kontrolle des Absenders. ZDNet hat im September 2008 einen Praxistest der großen E-Mail-Anbieter durchgeführt. Mit Ausnahme von Freenet gingen die Anbieter nicht besonders verantwortungsvoll mit den ihnen anvertrauten E-Mails um. Obwohl die im Test verwendeten Server von ZDNet jeweils Verschlüsselung anboten, sandten und empfingen die großen Provider nur unverschlüsselt.

Praktisch besteht überhaupt keine Möglichkeit, sicherzustellen, dass eine E-Mail nur verschlüsselt durch das Internet geschickt wird. Im Gegenteil, man kann sich ziemlich sicher sein, dass mindestens ein beteiligter Server die Verschlüsselung ablehnt. Das führt dazu, dass man eine End-to-End-Verschlüsselung nur erreichen kann, indem man den Inhalt einer E-Mail verschlüsselt.

Gegen eine generelle End-to-End-Verschlüsselung gibt es allerdings Widerstände, die auf dem nicht zu widerlegenden Argument beruhen, dass verschlüsselte E-Mails nicht serverseitig nach Viren und Spam gescannt werden können. Ebenso gibt es juristische Probleme. Gemäß dem Sarbanes-Oxley Act muss ein Unternehmen alle geschäftsrelevanten E-Mails archivieren. Sind sie jedoch mit dem privaten Schlüssel eines Empfängers außerhalb des eigenen Unternehmens verschlüsselt, lässt sich der Inhalt nicht rekonstruieren.

Die End-to-End-Verschlüsselung ist technisch kein Problem. Schwierig wird es dadurch, dass der Empfänger in die Lage versetzt werden muss, aus der verschlüsselten E-Mail wieder Klartext zu erzeugen. Dazu benötigt er einen Schlüssel. Das einfachste Prinzip ist eine symmetrische Verschlüsselung. Das kann man beispielsweise dadurch realisieren, dass man die eigentliche E-Mail als Dateianhang verfasst. Die Datei wird vor dem Versenden verschlüsselt, etwa durch Einpacken in eine ZIP-Datei mit Passwort.

Anschließend stellt sich die Frage, wie man dem Empfänger das Passwort übermittelt. Macht man das in einer zweiten E-Mail, so ist die Wahrscheinlichkeit groß, dass sie exakt denselben Weg nimmt wie die Mail mit dem verschlüsselten Dateianhang. Hört also jemand auf dem Weg den Datenverkehr ab, so bekommt er zwar eine verschlüsselte Datei, aber kurz darauf das Passwort zum Entschlüsseln. Das bedeutet, dass man das Passwort auf einem anderen Weg übermitteln muss. Eine Möglichkeit ist, das per SMS zu erledigen. So wird unmittelbar klar, dass man zusätzlich zur E-Mail-Adresse die Handy-Nummer benötigt, um auf diese Weise vorzugehen.

Wer mit vielen unterschiedlichen Empfängern zu tun hat, steht außerdem vor dem Problem, dass man mit jedem einzelnen Empfänger ein Passwort ausmachen muss. Wer grundsätzlich mit demselben Passwort verschlüsselt und dieses Passwort hundert Empfängern mitteilt, muss sich nicht wundern, dass es plötzlich auf einem öffentlichem Webserver zu finden ist.

Themenseiten: Big Data, Datendiebstahl, Datenschutz, E-Mail, Kommunikation, Privacy, Security-Praxis, Spam

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu E-Mails verschlüsselt senden: keine praktikable Lösung in Sicht

Kommentar hinzufügen
  • Am 30. Januar 2009 um 10:23 von joya

    Das Zauberwort heißt Docuprotection
    Es gibt eine Professionelle und sichere Lösung, die einem auch eine 100% Datenauslieferung garantieren.

    http://www.docuprotection.de/connect/connect.html

    Die Firma DOCUPROTECTION hat sich für Datensicherheit und sichere Datenübertragung spezialisiert.

    Ich schließe mich einem meinen Vorredner: WAS NICHTS KOSTET, TAUGT AUCH NICHTS.

    Und auch bei der Datensicherheit sollte man auf keine Open-Source Lösungen einsetzten.

    • Am 4. Februar 2009 um 19:31 von leser

      AW: Das Zauberwort heißt Docuprotection
      man sollte gerade auf open source setzen, da hier sichergestellt werden kann, dass keine backdoors eingebaut wurden

    • Am 5. Februar 2009 um 13:40 von Tom

      AW: Das Zauberwort heißt Docuprotection
      das eine (open source) hat mit dem anderen (zuverlässigkeit) nix zu tun. viel wichtiger als technische lösungen (die existieren zu hauf) ist die bedürfnisanalyse und saubere prozesse. key mgmt ist eine schwierigkeit beim thema "secure email", das unbedingt genau betrachtet werden muss.

  • Am 29. Januar 2009 um 11:02 von Beat Weber

    Studie: TLS-fähige Mailserver .ch und .li
    Im Kommentar zum Artikel "E-Mail-Provider im Praxistest: Verschlüsselung oft mangelhaft" vom 23. September 2008 habe ich bereits auf diese interessante Studie hingewiesen, die zeigt, dass TLS Verschlüsselung in der Praxis faktisch kaum vorkommt.

    siehe auch: http://security.hsr.ch/docs/IW18_KH_EMAIL.pdf

    siehe:

    http://www.zdnet.de/sicherheit_in_der_praxis_e_mail_provider_im_praxistest_verschluesselung_oft_mangelhaft_story-39001543-39196494-1.htm

  • Am 29. Januar 2009 um 9:29 von Daniela Moser

    Sichere Mail-Kommunikation möglich
    Von der Schweizerischen Post gibt es eine Lösung die auf einer sicheren Mailplattform basiert und sichere und vertrauliche E-Mail Kommunikation bis auf den Desktop des Empfängers möglich macht.

    http://www.incamail.ch/

    Registrierung auch für Nutzer aus Deutschland möglich. Die Lösung setzt auf dem Secure Messaging Service von PrivaSphere (www.privasphere.com) auf.

    • Am 25. Februar 2009 um 13:34 von Ano

      AW: Sichere Mail-Kommunikation möglich
      Auch hier braucht man eine Extra Kommunikationsstrecke für die PIN.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *