 |
||||||||||||||||||||||||||||||||||||
 |
||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||||||||
|
Das Versenden normaler (unverschlüsselter) E-Mails ist mit dem Versand einer Postkarte vergleichbar, denn jeder der darauf Zugriff hat, kann sie auch lesen (z.B. auch der Postbote). Deshalb verschickt man Briefe mit sensiblerem Inhalt i.d.R. in einem verschlossenen Umschlag, um fremden Leuten keinen unnötigen Einblick in das Privatleben zu geben. Die Übertragung von E-Mails erfolgt nicht nonstop und direkt vom Absender zum Empfänger, sondern vielmehr über unterschiedliche Server. Bei jedem dazwischenliegenden Server besteht somit prinzipiell die Möglichkeit des Abfangens und der Veränderung der E-Mail. Um dies zu verhindern bzw. um die Integrität des Inhalts und die Identität des Absenders zu garantieren, bedarf es einer geeigneten Verschlüsselungsmethode, die mit einem “einbruchssicheren” und verschlossenen Umschlag vergleichbar ist. Bekannte Verschlüsselungsprogramme für E-Mails sind PGP (Pretty Good Privacy) oder Ciphire Mail. PGP ist mehr für den versierten Anwender (dafür aber mit allen Möglichkeiten und weit verbreitet), während Ciphire-Mail eher für den Anfänger geeignet ist (dafür aber nicht so viel bietet und auch nicht den Verbreitungsgrad von PGP aufweist).
Warum ? Sie werden sich fragen, ob es nicht übertrieben oder überreagiert ist einen solchen Aufwand zu betreiben, weil Sie sicherlich nichts zu verbergen haben. Es sprechen jedoch ein paar triftige Argumente für eine sichere Übertragung. Denn Sie machen ja von Ihrem Recht auf Privatsphäre im täglichen Leben auch ausgiebig Gebrauch, z.B. haben Sie einen abschliessbaren Briefkasten sowie Rolläden an den Fenstern u.s.w.. Digitale Daten auszuspionieren ist viel einfacher als physisch vorhandene Briefe zu öffnen, kann zudem noch bequem automatisiert werden und eine Auswertung kann in kurzer Zeit erfolgen. Die staatliche Überwachung von Mailservern ist derzeit in aller Munde (Telekommunikations-Überwachungsverordnung) und macht den Surfer weiter zum gläsernen Objekt. Ab/seit 01.01.2005 sind in Deutschland die Provider verpflichtet die elektronische Post zu überwachen. So hört auch die National Security Agency (NSA: ein US-Geheimdienst) bekanntermassen und illergalerweise weltweit Telefongespräche ab, sicherlich passiert ähnliches mit E-Mails. Auch ist die NSA bestimmt nicht die einzigste Organisation, die digitale (Wirtschafts-) Spionage betreibt und ganze Profile oder Dossiers von E-Mail-Benutzern anlegt. Im günstigsten Fall erhalten Sie ein paar Spams, im schlimmsten Fall bemerken Sie gar nichts. Um sich vor Wirtschafts-Spionage zu schützen, ist eine verschlüsselte Korrespondenz absolute Pflicht ! Dies wird leider von den meisten Firmen vernachlässigt und ist deshalb einer der wundesten Punkte. Es gibt spezielle “Cyber-Detekteien”, welche genau hier ansetzen, um z.B. Preisangebote abzufangen, um ihren Kunden wiederum die Möglichkeit des Unterbietens eines Konkurrenten zu ermöglichen.
Wie funktioniert´s ? Man unterscheidet zwei Arten: Asymmetrisch (zwei Schlüssel) und Symmetrisch (ein Schlüssel). Nachstehend eine Beschreibung der asymmetrischen Methode, da diese am verbreitetsten und sichersten ist: Jeder Benutzer, welcher verschlüsselte Mails versenden und empfangen möchte, benötigt ein Schlüsselpaar, nämlich einen privaten und einen öffentlichen Schlüssel. Der private Key wird auf der eigenen Festplatte, einer CD oder Diskette gespeichert und darf nicht weitergegeben werden. Der Zugriff auf den privaten Schlüssel kann auch nur über eine entsprechende Authentication, die Passphrase, erfolgen. Der öffentliche Key wird dagegen auf einem sog. sicheren Schlüsselserver (Keyserver) im Internet gespeichert (oder vorher privat ausgetauscht) und ist für praktisch jedermann zugänglich*, da dieser für das Versenden einer chiffrierten Mail benötigt wird. Eine Auflösung der Verschlüsselung ist jedoch nur mit beiden Schlüsseln, dem öffentlichen und dem dazugehörigen privaten Schlüssel, möglich. Möchte Person A eine verschlüsselte E-Mail an Person B versenden, benötigt A zuerst den öffentlichen Schlüssel von B, mit dem die Nachricht streng kryptographisch chiffriert wird. Die einzige Person, die nun diese E-Mail lesen kann, ist jetzt Person B, weil das Dechiffrieren der E-Mail nur mit dem dazugehörigen privaten Key von B erfolgen kann. Bei Mails an mehrere Adressaten gleichzeitig (auch CCC, BCC), wird diese Prozedur für jeden einzelnen E-Mail-Empfänger durchgespielt, sofern diese auch über gültige Schlüsselpaare verfügen. Zusätzlich ist mit einem gültigen Zertifikat die Identität des Absenders sichergestellt (Signieren), auch dann, wenn die Mail nicht zusätzlich verschlüsselt wurde. Die vorgenannt beschriebenen Prozesse übernimmt i.d.R. das installierte Verschlüsselungsprogramm, das zwischen dem Mailclient und dem jeweiligen Mailserver als sog. Redirector agiert, so dass der User so gut wie keine Einschränkungen hinnehmen muss. Ferner sind umfangreiche Log-Daten vorhanden und detaillierte Prüfsummenvergleiche (erhaltener Schlüssel mit Original) möglich. Leider funktioniert eine E-Mail-Verschlüsselung nicht mit Webmail, da hier die Daten auf dem Web-Mail-Server liegen und keine Verarbeitung durch das verwendete Verschlüsselungsprogramm auf dem lokalen Rechner erfolgt (siehe auch Unterschied Webmail und Mailclient). Eine verschlüsselte E-Mail können Sie deshalb nicht über Webmail lesen. Die aktuell verwendeten Verschlüsselungsmethoden mit Algorithmen (AES, Twofish, RSA, TripleDES, CAST...) und Hashes (SHA...) gelten als absolut sicher. Selbst Geheimdienste und sonstige staatliche oder andere “interessierte” Organisationen können diese Codes derzeit nicht cracken. Deshalb ist Vater Staat auch sehr bemüht bzw. es wird derzeit heiss diskutiert, die E-Mail-Verschlüsselung zu reglementieren: Der Kryptoprogrammnutzer soll dem Staat einen Nachschlüssel jeder verschlüsselten E-mail überlassen...:-) Wer es auf die Spitze treiben und noch “einen draufsetzen” will, bediene sich der Kombination von Steganographie mit den hier beschriebenen Verschlüsselungsverfahren. Bei dieser Technik wird sogar die Existenz der Nachricht selbst verborgen und eine (staatliche) Überwachung somit unmöglich, weil gar nicht klar ist, wer mit wem kommuniziert. Sehen Sie dazu diese Seite.
|
E-Mail-Verschlüsselung 
verwenden (auch über Keyserver “keyserver.pgp.com” verfügbar):
|
|
