E-Mails verschlüsselt senden: keine praktikable Lösung in Sicht

Grundsätzlich ist sich die Fachwelt einig, dass ein asymmetrisches Verschlüsselungsverfahren genutzt werden muss. Dabei sind der Schlüssel zum Verschlüsseln und Entschlüsseln unterschiedlich. Den Schlüssel zum Verschlüsseln nennt man öffentlichen Schlüssel. Diesen kann man weitergeben. Man bittet Absender vertraulicher E-Mails einfach darum, die E-Mail mit dem öffentlichen Schlüssel zu verschlüsseln. Der Schlüssel zum Entschlüsseln wird privater Schlüssel genannt. Ihn muss man geheim halten und kann damit jede E-Mail, die mit dem öffentlichen Schlüssel verschlüsselt wurde, in Klartext zurückverwandeln.

Das hört sich auf den ersten Blick gut an. Allerdings gibt es zwei Standards. Zum einen S/MIME nach RFC 3851, zum anderen OpenPGP nach RFC 4880. S/MIME ist in den meisten kommerziellen E-Mail-Clients, etwa Microsoft Outlook, implementiert. Die Open-Source-Gemeinde bevorzugt OpenPGP basierend auf Pretty Good Privacy (PGP). Statt des kommerziellen PGP kommt meist der Open-Source-Klon Gnu Privacy Guard (GPG oder GnuPG) zum Einsatz. Die Standards S/MIME und OpenPGP sind von der Funktionsweise weitgehend identisch, aber leider inkompatibel.

Die Vorgehensweise bei einer asymmetrischen Verschlüsselung ist nicht gerade praktikabel, da man vor dem Versenden einer vertraulichen E-Mail an den öffentlichen Schlüssel des Empfängers kommen muss. Schreibt man einem Empfänger etwa eine E-Mail mit dem Inhalt "Ich habe eine vertrauliche Nachricht für Sie, bitte schicken Sie mir Ihren öffentlichen PGP-Schlüssel", so wird man in der Regel die Antwort "Was ist ein PGP-Schlüssel?" bekommen.

Um breite Akzeptanz eines Standards zu erreichen, muss man eine einfache Lösung schaffen, die es einem Absender ermöglicht, an den öffentlichen Schlüssel zu kommen. In der Kombination Outlook/Exchange gibt es beispielsweise die Möglichkeit, einen öffentlichen Schlüssel in der Global Address List (GAL) zu veröffentlichen. Andere Anwender können diesen Schlüssel automatisch auslesen. Leider ist die Global Address List nicht ganz so global, wie der Name vermuten lässt. Dort befinden sich im günstigsten Fall alle E-Mail-Empfänger einer Firma.

Nicht viel besser sieht es in der OpenPGP-Welt. Die PGP Corporation als kommerzieller Anbieter bietet einen Dienst, der es erlaubt, seinen öffentlichen Schlüssel mitsamt der E-Mail-Adresse zu veröffentlichen. Darüber hinaus existieren einige weitere nicht kommerziell betriebene Server. Beide Angebote werden kaum genutzt. Die Chance einen Empfänger dort zu finden, ist verschwindend gering.

Im Endeffekt bedeutet das, dass man bei der E-Mail-Verschlüsselung im Wesentlichen darauf beschränkt bleibt, E-Mails in einer geschlossenen Benutzergruppe verschlüsselt auszutauschen. Solange sich kein einheitlicher Standard durchsetzt, der auch die Abfrage von öffentlichen Schlüsseln zu einer E-Mail-Adresse ermöglicht, bleiben viele Datenschutzprobleme bestehen. Dazu gehört vor allem, dass viele Dienste im Internet, bei denen man sich registrieren muss, einfach unverschlüsselte Benutzernamen und Passwörter versenden.

Um dieses Problem zu lösen, müssen auch automatisierte Programme in die Lage versetzt werden, solche Abfragen durchzuführen. Anbieten würde sich eine auf DNS basierende Lösung. So könnten beispielsweise NAPTR-Records zu einer E-Mail-Adresse einen URI zurückliefern. Dieser URI kann zur Abfrage von öffentlichen Schlüsseln genutzt werden. So würde ermöglicht, dass die Verwaltung von öffentlichen Schlüsseln dezentral erfolgt. Davon ist man jedoch heute weit entfernt.

Themenseiten: Big Data, Datendiebstahl, Datenschutz, E-Mail, Kommunikation, Privacy, Security-Praxis, Spam

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

6 Kommentare zu E-Mails verschlüsselt senden: keine praktikable Lösung in Sicht

Kommentar hinzufügen
  • Am 30. Januar 2009 um 10:23 von joya

    Das Zauberwort heißt Docuprotection
    Es gibt eine Professionelle und sichere Lösung, die einem auch eine 100% Datenauslieferung garantieren.

    http://www.docuprotection.de/connect/connect.html

    Die Firma DOCUPROTECTION hat sich für Datensicherheit und sichere Datenübertragung spezialisiert.

    Ich schließe mich einem meinen Vorredner: WAS NICHTS KOSTET, TAUGT AUCH NICHTS.

    Und auch bei der Datensicherheit sollte man auf keine Open-Source Lösungen einsetzten.

    • Am 4. Februar 2009 um 19:31 von leser

      AW: Das Zauberwort heißt Docuprotection
      man sollte gerade auf open source setzen, da hier sichergestellt werden kann, dass keine backdoors eingebaut wurden

    • Am 5. Februar 2009 um 13:40 von Tom

      AW: Das Zauberwort heißt Docuprotection
      das eine (open source) hat mit dem anderen (zuverlässigkeit) nix zu tun. viel wichtiger als technische lösungen (die existieren zu hauf) ist die bedürfnisanalyse und saubere prozesse. key mgmt ist eine schwierigkeit beim thema "secure email", das unbedingt genau betrachtet werden muss.

  • Am 29. Januar 2009 um 11:02 von Beat Weber

    Studie: TLS-fähige Mailserver .ch und .li
    Im Kommentar zum Artikel "E-Mail-Provider im Praxistest: Verschlüsselung oft mangelhaft" vom 23. September 2008 habe ich bereits auf diese interessante Studie hingewiesen, die zeigt, dass TLS Verschlüsselung in der Praxis faktisch kaum vorkommt.

    siehe auch: http://security.hsr.ch/docs/IW18_KH_EMAIL.pdf

    siehe:

    http://www.zdnet.de/sicherheit_in_der_praxis_e_mail_provider_im_praxistest_verschluesselung_oft_mangelhaft_story-39001543-39196494-1.htm

  • Am 29. Januar 2009 um 9:29 von Daniela Moser

    Sichere Mail-Kommunikation möglich
    Von der Schweizerischen Post gibt es eine Lösung die auf einer sicheren Mailplattform basiert und sichere und vertrauliche E-Mail Kommunikation bis auf den Desktop des Empfängers möglich macht.

    http://www.incamail.ch/

    Registrierung auch für Nutzer aus Deutschland möglich. Die Lösung setzt auf dem Secure Messaging Service von PrivaSphere (www.privasphere.com) auf.

    • Am 25. Februar 2009 um 13:34 von Ano

      AW: Sichere Mail-Kommunikation möglich
      Auch hier braucht man eine Extra Kommunikationsstrecke für die PIN.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *