E-Mail ist die allgegenwärtigste Kommunikationsmethode im Internet – vielleicht sogar auf der ganzen Welt. Es ist in fast alles integriert, von Telefonen und Tablets über herkömmliche Computer bis hin zu Spielgeräten – sogar vernetzte Haushaltsgeräte und Autos können E-Mails verarbeiten. Noch wichtiger: „im Internet“ zu sein bedeutet, eine E-Mail-Adresse (oder Dutzende davon) zu haben; Sie sind unsere Ausweise, wie wir uns für Dinge anmelden, wie wir Benachrichtigungen erhalten und manchmal sogar miteinander kommunizieren. E-Mail ist die ursprüngliche „Killer-App“.
Aber E-Mail wurde nicht mit entworfen beliebig Privatsphäre oder Sicherheit im Auge behalten. Es gab viele Bemühungen, E-Mails sicherer zu machen, aber die kürzliche Abschaltung hochgepriesener sicherer E-Mail-Dienste wie Lavabit (angeblich vom NSA-Leaker Edward Snowden verwendet) und Stiller Kreis im Zuge staatlicher Überwachungsprogramme verdeutlichen die Schwierigkeiten. Mangelnde E-Mail-Sicherheit bringt auch einige überraschende Kollateralschäden mit sich, wie etwa die angekündigte Schließung des angesehenen Software- und Rechtsblogs
GrokLaw.Empfohlene Videos
Ist E-Mail-Sicherheit aussichtslos? Stehen wir vor dem Ende der Killer-App des Internets?
Warum ist E-Mail nicht sicher?
E-Mails sind nicht sicher, weil sie nie der Mittelpunkt unseres digitalen Lebens sein sollten. Es wurde entwickelt, als das Internet noch ein viel kleinerer Ort war, um einfache Store-and-Forward-Nachrichten zwischen Menschen zu standardisieren, die verschiedene Arten von Computern verwenden. E-Mails wurden vollständig offen übertragen – alles war für jeden lesbar, der den Netzwerkverkehr beobachten oder auf Konten zugreifen konnte (ursprünglich waren nicht einmal Passwörter verschlüsselt). Erstaunlicherweise funktionieren E-Mails, die mit diesen weit verbreiteten Methoden gesendet werden, (meistens) immer noch.
Heutzutage gibt es vier grundlegende Orte, an denen die E-Mails der meisten Menschen kompromittiert werden können:
- Auf Ihrem/Ihren Gerät(en)
- In den Netzwerken
- Auf dem/den Server(n)
- Auf dem/den Gerät(en) Ihres Empfängers
Die ersten und letzten Orte – Geräte – sind leicht zu verstehen. Wenn jemand an Ihrem Computer sitzen, Ihr Telefon greifen oder über Ihr Tablet wischen kann, ist die Wahrscheinlichkeit groß, dass Ihre E-Mail genau dort liegt, damit er sie lesen kann – Sie Tun Verwenden Sie doch einen Sperrbildschirm oder ein Passwort auf Ihren Geräten, oder? Das Gleiche gilt für die Geräte Ihrer Empfänger. Aber selbst Passwörter und Sperrbildschirme helfen manchmal nicht viel. Während einige E-Mail-Programme die auf dem Gerät gespeicherten E-Mail-Nachrichten verschlüsseln, ist dies bei den meisten nicht der Fall. Das bedeutet, dass jeder (oder jedes Programm), der auf den internen Speicher des Geräts zugreifen kann, wahrscheinlich auch E-Mails lesen und auf Dateianhänge zugreifen kann. Klingt weit hergeholt? Es muss keine Person sein; Das Durchwühlen von E-Mails ist eine der häufigsten Aktionen von Malware.
Netzwerke sind etwas schwieriger zu verstehen und umfassen drei grundlegende Zusammenhänge:
- Ihre Verbindung zu Ihrem E-Mail-Anbieter (sei es Ihr ISP, Google, Outlook, Yahoo, Apple oder jemand anderes)
- Alle Netzwerkverbindungen zwischen Ihr E-Mail-Anbieter und Ihr Empfänger
- Die Netzwerkverbindung Ihres Empfängers zu seinem E-Mail-Anbieter.
Wenn Sie E-Mails an jemanden über denselben Dienst senden, den Sie verwenden (z. B. Outlook.com), haben Sie mindestens die erste und Dritte potenzielle Netzwerkschwachstelle: Ihre Verbindung zu Outlook.com und die Verbindung Ihres Empfängers zu Outlook.com. Wenn sich die E-Mail-Adresse Ihres Empfängers an einem anderen Ort befindet (z. B. bei einem Unternehmen oder einer Schule), haben Sie noch mindestens eine weitere Möglichkeit: die Verbindung zwischen Outlook.com und dem E-Mail-Anbieter Ihres Empfängers. Die Realität der Netzwerktopographie bedeutet, dass jede dieser Verbindungen eine Reihe von Routern und Switches (vielleicht ein Dutzend oder mehr) umfasst, die wahrscheinlich unterschiedlichen Unternehmen gehören und von diesen betrieben werden. Wenn eine Verbindung sicher ist, gibt es keine Garantie dafür andere Die Verbindung in der Reihenfolge ist sicher. Und wenn Sie sich Sorgen über Dinge wie das PRISM-Überwachungsprogramm der NSA machen, gibt es bisher Anzeichen dafür, dass ein Teil davon an diesen Zwischenpunkten des Netzwerks geschieht.
E-Mail wurde nicht mit entworfen beliebig Privatsphäre oder Sicherheit im Auge behalten.
Server sind die Maschinen bei Ihrem E-Mail-Anbieter oder ISP, auf denen Ihre E-Mails physisch gespeichert werden. Wenn jemand Ihr E-Mail-Passwort knackt (oder errät oder stiehlt), benötigt er Ihre Geräte wahrscheinlich nicht. Sie können sich direkt bei Ihrem E-Mail-Anbieter anmelden und alle dort gespeicherten E-Mails lesen. Das können nur wenige Nachrichten sein, aber auch E-Mails im Wert von Wochen, Monaten oder Jahren – einschließlich zumindest einiger Nachrichten, die Sie gelöscht haben. Aber das ist nicht das einzige Risiko. Die meisten E-Mail-Dienste speichern Ihre Nachrichten als Klartext. Daher kann jeder Angreifer, der auf diese Server zugreifen kann (z. B. durch eine Sicherheitslücke oder durch den Diebstahl eines Administratorkennworts), problemlos auf alle gespeicherten E-Mails und Anhänge zugreifen. Warum schützen Anbieter gespeicherte E-Mails nicht? Teilweise aufgrund des dadurch entstehenden Mehraufwands, aber wenn die E-Mail unverschlüsselt gespeichert wird, können die Leute ihre Nachrichten durchsuchen (Sie suchen gerne). Ihre E-Mail-Adresse, oder?) und ermöglicht es Diensten wie Gmail, E-Mails automatisch nach Schlüsselwörtern zu durchsuchen, um Werbung zu verkaufen (und Sie mögen Werbung, Rechts?).
Verschlüsselung zur Rettung!
Der beste Weg, die Kommunikation zu schützen, besteht darin, sie zu verschlüsseln: Im Grunde werden die Daten komplex verschlüsselt mathematische Transformationen, so dass es nur mit dem richtigen Passwort oder anderen Anmeldeinformationen verständlich ist. Eine gängige Form der Verschlüsselung ist die Public-Key-Kryptografie, bei der Personen (oder ISPs oder Unternehmen) einen öffentlichen Schlüssel weitergeben, den jeder erhalten kann werden verwendet, um für sie bestimmte Daten zu verschlüsseln, können aber nur mit einem privaten Schlüssel entschlüsselt werden, den die Person (oder der ISP oder das Unternehmen) behält Geheimnis.
Die Kryptografie mit öffentlichen Schlüsseln ist die Grundlage für zwei Hauptmethoden zum Schutz von E-Mails:
- Nachrichten verschlüsseln
- Netzwerkverbindungen verschlüsseln
Nachrichten verschlüsseln
Die Idee hinter verschlüsselten Nachrichten ist einfach: Anstatt einfachen Text zu senden, den jeder lesen kann, senden Sie verschlüsseltes Kauderwelsch, das nur der beabsichtigte Empfänger lesen kann. Zu den gängigen Tools zum Verschlüsseln von E-Mails gehören: PGP (jetzt ein kommerzielles Produkt von Symantec) und zahlreiche Mainstream-Apps und Tools, die Open Source OpenGPG und S/MIME unterstützen.
Das Verschlüsseln von Nachrichten ist eine einfache Idee, aber der Ansatz hat Vor- und Nachteile. Positiv zu vermerken ist, dass verschlüsselte Nachrichten sowohl über Netzwerke als auch über Server hinweg geschützt sind, selbst wenn sie kompromittiert sind oder Nachrichten als Klartext speichern. (Das Kauderwelsch könnte jedoch dazu führen, dass Gmail einige seltsame Anzeigen schaltet!) Die Nachricht ist wahrscheinlich auch verschlüsselt auf Ihrem Gerät und den Geräten Ihres Empfängers (bis dieser es entschlüsselt), was zusätzlichen Schutz bietet. Das ist alles gut.
Jetzt die Nachteile. Das Verschlüsseln einzelner Nachrichten ist mühsam. Sie benötigen den öffentlichen Schlüssel von alle mit dem Sie sicher kommunizieren möchten. Für ein oder zwei Personen ist das nicht schlecht, aber die meisten Menschen haben Dutzende (oder Hunderte) Kontakte. Es wird nicht einfach sein, sie alle mit Public-Key-Kryptografie zum Laufen zu bringen.
Weiter, jeder, der senden möchte Du Sichere E-Mail benötigt Ihren öffentlichen Schlüssel! Sie können es ihnen per E-Mail senden … aber das wird nicht verschlüsselt und ist daher nicht sicher. Das Gleiche gilt für einen Blog-Beitrag, eine Facebook-Seite, Keyserver-Dienste oder andere unsichere Kanäle. Der einzig wirklich sichere Weg, öffentliche Schlüssel auszutauschen, ist persönlich oder auf andere Weise wirklich Stellen Sie sicher, dass Sie den richtigen Schlüssel von der richtigen Person bekommen. Das kann völlig unpraktisch sein. Einige Leute, die Ihnen vertrauliche E-Mails senden – wie Banken, Kreditkartenunternehmen, Krankenhäuser, Schulen usw Die örtliche Fruchtbarkeitsklinik wird Ihren öffentlichen Schlüssel wahrscheinlich nicht verwenden (oder nicht wissen, wie), selbst wenn sie es getan hätte Es. Unterm Strich werden nicht viele Ihrer E-Mail-Nachrichten verschlüsselt, daher ist das Verschlüsseln von Nachrichten keine allgemeine Lösung für sichere E-Mails.
Aber warte! Das Verschlüsseln von Nachrichten hat noch weitere Nachteile. Nur die Nachricht Inhalt (und ggf. Anhänge) werden verschlüsselt. Die Kopfzeileninformationen (einschließlich Ihrer Adresse, der Adresse des Empfängers, des Betreffs, des Datums usw.) sind immer noch Klartext, den jeder lesen kann. Bei diesen Informationen handelt es sich möglicherweise nur um Metadaten, aber im Laufe der Zeit können sie ein überraschend detailliertes Bild Ihrer Online-Aktivitäten zeichnen. (Nur Fragen Sie die NSA!) Willst du noch einen Nachteil? Melden Sie sich bei Ihrem Webmail an und durchsuchen Sie verschlüsselte E-Mails nach einer Telefonnummer oder Adresse.
Verbindungen verschlüsseln
Probleme mit verschlüsselten Nachrichten führen dazu, dass der Schwerpunkt bei der Sicherung von E-Mails größtenteils auf der Verschlüsselung von Netzwerkverbindungen liegt. Die Grundidee ist dieselbe wie bei der Verwendung einer sicheren Website wie Ihrer Bank oder Amazon.com. Wenn Sie eine Verbindung zu Ihrem E-Mail-Anbieter herstellen, verwendet Ihre Software Transport Layer Security (TLS, besser bekannt als SSL), um die Verbindung zwischen Ihrem Gerät und dem Dienst zu verschlüsseln. Es übernimmt sogar den Austausch von Schlüsseln: Auf den meisten Geräten sind heute Schlüssel für Zertifizierungsstellen vorinstalliert, von denen sie heruntergeladen werden können authentifizierte Schlüssel für Websites und Dienste, ohne die Benutzer zu belästigen: kein Aufwand, keine Aufregung, kein Flug nach Australien, um dort öffentliche Schlüssel auszutauschen jemand. Die Basistechnologie funktioniert seit fast zwei Jahrzehnten im E-Commerce.
Bei diesen Informationen handelt es sich möglicherweise nur um Metadaten, aber im Laufe der Zeit können sie ein überraschend detailliertes Bild Ihrer Online-Aktivitäten zeichnen.
Die Verschlüsselung der Verbindung zwischen Ihnen und Ihrem E-Mail-Anbieter bedeutet, dass niemand im dazwischen liegenden Netzwerk die von Ihnen gesendeten oder empfangenen E-Mail-Nachrichten sehen kann: Das ist alles Kauderwelsch. Das schützt Sie vor dem Eindringen in das lokale Wi-Fi-Netzwerk und sogar vor geheimen Abhörversuchen der Regierung in einem Rechenzentrum irgendwo unterwegs.
Sobald die Nachricht jedoch Ihren E-Mail-Anbieter erreicht, Alle Wetten sind ungültig. Meistens speichert Ihr E-Mail-Anbieter die Nachrichtendaten als Klartext (siehe oben), obwohl es Ausnahmen wie die in Kanada gibt Hushmail. Und wenn sich Ihr Empfänger bei einem anderen E-Mail-Anbieter oder ISP befindet, könnte (und wird wahrscheinlich auch!) Ihre Nachricht über das Internet als altmodische Klartext-E-Mail an ihn übermittelt werden. Eine wachsende Zahl von E-Mail-Diensten verwendet TLS, um Verbindungen untereinander zu verschlüsseln, aber die groß Die meisten E-Mail-Server auf der Welt tauschen Nachrichten immer noch unverschlüsselt aus – und Sie können es nicht erfahren. Darüber hinaus ist nicht abzusehen, ob Ihr Empfänger eine geschützte Verbindung zum Empfangen oder Beantworten Ihrer E-Mail verwenden wird. Du hättest vielleicht beschützt selbst vom Kriechen im öffentlichen Wi-Fi-Netzwerk, aber hat Ihr Arzt oder Buchhalter das getan? Vielleicht nicht.
Ist E-Mail zum Scheitern verurteilt?
E-Mails werden so schnell nicht verschwinden. Es ist viel zu nützlich und sein nahezu universeller Status auf fast jedem Gerät und Dienst stellt sicher, dass E-Mails viele Jahre lang bei uns bleiben.
Aber sicher Email? Das Endergebnis ist die E-Mail, wie wir sie heute kennen niemals ist sicher, und die unzähligen Möglichkeiten, wie wir E-Mail-Nachrichten senden, empfangen, speichern und verwenden, machen die vollständige Sicherung von E-Mails zu einem sehr schwieriges Problem. Bestenfalls.
Wir können neue sichere Nachrichtendienste erfinden, die E-Mails ersetzen könnten. Das ist, was Stiller Kreis hat es mit seinem verschlüsselten Kommunikationsdienst gemacht, und das ist wohl das, was BlackBerry mit BBM gemacht hat und das, was Apple möglicherweise mit iMessage gemacht hat. Dennoch unterliegen diese Dienste Offenlegungsanfragen von Regierungen – obwohl Silent Circle den interessanten Schritt unternimmt, fast mit nichts antworten zu können. Noch wichtiger ist, dass wahrscheinlich mittel- oder langfristig keine E-Mail die weite Verbreitung und nahezu allgegenwärtige Reichweite haben wird. Hoffentlich hält die Schwierigkeit die Leute nicht davon ab, es zu versuchen – und Kim Dotcoms Mega tut es bereits wirft seinen Hut in den Ring.
Doch auf absehbare Zeit können Internetnutzer nicht erwarten, dass ihre E-Mails vor neugierigen Blicken oder Abhörversuchen geschützt sind. Zeitraum.
Top Bild mit freundlicher Genehmigung von Shutterstock/3 Träume
