Wie sicher sind meine Emails? Was kann ich wirklich tun? Diese Fragen stellen sich mehr und mehr Emailanwender. Wir geben Antworten

Was steckt tatsächlich hinter "Email made in Germany"?

Wohl als Reaktion auf die Veröffentlichungen zur internationalen Ausspähaffäre durch Snowden haben die deutsche Telekom, web.de und GMX unter dem Label: "E-Mail made in Germany" eine Initiative für "E-Mail Sicherheit initiiert, die sie derzeit öffentlich bewerben.

Unter großem Marketingaufwand teilt man nunmehr mit, das "alle im Verbund" der Anbieter gesendeten Emails "verschlüsselt werden". Für den Laien entsteht so der Eindruck, das so E-Mails für Dritte nicht mehr mitlesbar seien, sofern sie über einen der mit dem selbsterstellten Label der Gruppe ausgestatteten Mailprovider versendet würden. Da alle Mailkommunikation "nur in Deutschland" stattfinde, sei auch ein Abhören durch ausländische Dienste nicht mehr möglich.

Syndicat setzt bereits seit nunmehr rund 15 Jahren (!) auf ebendiese Verschlüsselung / Absicherung von Emailverbindungen - eine Standardtechnologie, der sich ebenjene großen Mailanbieter bisher lange verweigerten, sei es aus Kostengründen (denn Verschlüsselung bedeutet zusätzlichen Rechenaufwand, Energie und Netzwerkkapazitäten, sei es um deutschen Diensten die Arbeit zu erleichtern, über die Gründe kann man nur spekulieren... Umso "erstaunlicher" nun die Flucht nach vorn, indem man den Eindruck erwecken will, nun die "sichersten" Mailplattformen anzubieten.

Tatsächlich holt man lediglich lange versäumte Maßnahmen nach, die bei vielen anderen Anbietern schon seit Jahren umgesetzt worden sind. Syndicat selbst gehörte sogar mit zu den ersten Emailanbietern in Deutschland, die die damals noch neue Verschlüsselungsinfrastruktur einführten.

Sind meine Emails verschlüsselt?

Nein,
Ihre Emails selbst sind NICHT verschlüsselt, auch wenn Sie bei den genannten Anbietern von ("Email made in Germany") wie auch bei uns von Ihnen über verschlüsselte Verbindungen angenommen und an verschlüsselnde Gegenstellen auch verschlüsselt zum Empfängerpostfach übertragen werden.

So kann z.B. der Emailprovider auch weiterhin jede Email lesen (was für Virenschutz auch erfoderlich ist). Somit bleibt auch die Option, das Strafverfolgungsbehörden - bisher noch per richterlichem Beschluß - ohne Wissen des Betroffenen Zugriff auf die Mailkommunikation erhalten. Folgt man aktuellen Gesetzesentwürfen, dann soll sogar die Hürde des richterlichen Beschlusses wegfallen.

Das die großen Mailanbieter in der Vergangenheit durch besondere "Kooperationsbereitschaft" mit Strafverfolgern, aber auch Dritten auf Kosten des Kundendatenschutzes aufgefallen sind, sollte auch nicht vergessen werden.

Syndicat hingegen hat zB die Verfassungskonformität der Vorratsdatenspeicherung von Beginn an bezweifelt und keine Vorratsdatenhaltung betrieben, sofern nicht explizit von Kunden gewünscht (zB zu Protokollierungszwecken). Zudem erteilt Syndicat grundsätzlich keine Auskünfte gegenüber Behörden oder Dritten (z.B. Staatsanwaltschaften oder gar Anwaltskanzleien) zur Kundenkommunikation, soweit kein richterlicher Beschluß vorgelegt wird, der ggf. mit Zwangsmitteln durchgesetzt werden kann.

Tatsache aber ist auch (bei den Massenanbietern wie auch bei uns), das nur eine durchgehende Verschlüsselung von Anbieter zu Anbieter erfolgt, wenn auch die Gegenseite (Mailsystem des Empfängers oder Absenders) und ev. vom Kunden nachgeschaltete Mailsysteme die Verschlüsselungsstandards unterstützen - andernfalls erfolgt die Ablieferung oder Annahme von Mails weiterhin unverschlüsselt. Mails können dann u.U. von beliebigen Dritten mitgelesen werden - z.B. an öffentlichen Funknetzen, fremden Internetzugängen oder auch anderen beteiligten Providern, ja sogar die Passwörter zum Mailpostfach können so "mitgeschnitten" werden, was für einen Angreifer keine nennenswerte Sachkunde vorausssetzt.

Die Alternative wäre, als Anbieter jedwede nicht verschlüsselnde Gegenseite ganz abzulehnen - d.h. Sie würden Mails von derartigen Gegenstellen weder empfangen noch an solche zusenden können.

Das die Telekom sich und anderen beteiligten Mailanbietern selbst die erforderlichen Sicherheitszertifikate ausstellt, widerspricht dem hinter SSL stehenden Prinzip der Vertrauensprüfung und -garantie durch Dritte. Zumindest technisch hat die Telekom damit die Möglichkeit Authentitäten anderer Mailanbieter vorzutäuschen, was wiederum Begehrlichkeiten seitens des Staates / der Dienste wecken könnte.

Syndicat bedient sich deshalb explizit dem externen deutschen Zertifizierer EUNETICS GmbH in Durmersheim, der alle von Syndicat verwendeten Schlüssel beglaubigt.

Sind meine Emails in Deutschland sicher?

Die Antwort auf diese Frage kann auch kein eindeutiges "JA" sein.

Zumindest sind sie, solange sie auf deutschen Mailservern gelagert sind, "relativ" sicher vor "unbefugtem" Zugriff durch ausländische Geheimdienste. Was und wer allerdings - auch und gerade an Behörden aus dem Ausland - gerade seitens staatlicher Ueberwachungsmaßnahmen und internationaler Abkommen inzwischen gesetzlich "befugt" ist, weiß selbst unser Bundestag nicht genau, wie die letzten Befragungen der verantwortlichen Aufsichtspolitiker in der Geheimdienstaffäre zeigten. Zudem kommen stets neue gesetzliche Befugnisse gegen die Privatsphäre durch europäische wie deutsche Behörden, die inzwischen auch über die reine Strafverfolgung hinaus reichen oder den Richtervorbehalt aushebeln und Generalverdächtigungen zulassen.

Syndicat bietet deshalb bereits seit ca. einem Jahr allen Syndicat Mailkunden wahlweise Versand, Empfang und Lagerung ihrer Mails über den alternativen Standort Luxemburg an. Auch das Lagern von Dateien (Cloud-Betrieb) oder Backups ist dort möglich.

Angesichts der aktuellen politischen Entwicklung planen wir die Expansion in die Schweiz, um unseren deutschen wie internationalen Kunden alternative POPs außerhalb der EU, jedoch nach höchsten Datenschutzsstandards anbieten zu können. Die Umstellung Ihres gesamten Mailverkehres auf einen anderen unserer Standorte ist nach Absprache jederzeit durchführbar. Auch die Verlagerung einzelner Benutzerkonten / -adressbereiche ist realisierbar, soweit diese in verschiedenen Domains liegen oder gelegt werden können/dürfen.

Für den Versand von Emails können Sie bereits jetzt schon jederzeit zwischen verschiedenen Länderstandorten (DE,LU) wählen - direkt aus Ihrem Mailprogramm. Richten Sie hierzu lediglich weitere unserer Postausgangsserver (SMTP-Server) in Ihrem Mailprogramm ein und wählen Sie pro Email nach Bedarf den Standort Ihrer Wahl. Wir informieren Sie gern zu Details.

Was kann ich als "Laie" für meine Email-Sicherheit tun?

"TLS" oder "SSL" an Ihrem Mailprogramm einschalten...

Sofern bisher noch nicht erfolgt, stellen Sie sicher, das Ihre Emailprogramme für Posteingang (IMAP oder POP3 Server) UND -ausgang (SMTP Server) Verschlüsselung eingeschaltet haben.

Je nach Mailprogramm wird diese meist als "SSL Verschlüsselung", "TLS Verschlüsselung" oder "StartTLS" angeboten. Die meisten modernen Mailprogramme richten SSL oder TLS automatisch ein, wenn beim Anbieter verfügbar. Andernfalls reichen in der Regel ein bis zwei Klicks um TLS (oder SSL) zu aktivieren.

Bei Bedarf helfen wir Ihnen gern - telefonisch, per Email oder vor Ort - bei den korrekten Einstellungen. Sollten Sie bisher ohne SSL/TLS gemailt haben, sollte Sie NACH der Aktivierung auch Ihr persönliches Postfachpasswort ändern, da dies zuvor bei jeder Mailverbindung für jeden mitlesbar übertragen wurde.

Inhaber von Syndicat KServern / Inhausmailservern brauchen keine Aenderungen vorzunehmen - diese sind bereits seit Beginn an in unseren Sicherheitsverbund transparent integriert.

Alle Mailkommunikation zwischen Syndicat Mailbenutzern ist damit (auf Verbindungsebene - s.o.) sicher - auch wenn Sie oder Ihr Gegenüber in den USA oder auf der anderen Seite der Erde und/oder einem fremden Internetanbieternetz sitzt.

Der beste Schutz: Verschlüsseln SIE Ihre Emails...

Nur wenn auch der Provider selbst keinen potentiellen oder realen Zugriff auf Kundendaten oder dessen Schlüssel hat, laufen staatliche o.a. "Begehrlichkeiten" prinzipbedingt ins Leere.

Was ein Provider nicht hat, kann er auch nicht auf Verlangen, d.h. auf richterlichen Beschluß hin herausgeben. Ein einfaches Prinzip, mit dem man zwar als Anbieter weder werben noch Geld verdienen kann, aber nun mal die ehrlichste Antwort bleibt. Entsprechende Hinweise hätten wir uns gerade von den Massenanbietern gewünscht - wäre es doch im Interesse ihrer Kunden zu wissen, was sicher ist und wie weit - und vor allem: was nicht.

Stattdessen werben inzwischen sogar neue "spezialisierte" Emailanbieter damit, die "gesamte Verschlüsselung" des Endnutzers zu übernehmen und es gibt sogar politische Stimmen, die "per Gesetz" vorschreiben wollen, das sich "Anbieter um die verschlüsselung zu kümmern hätten", was das Schlüsselkonzept als solches ad absurdum führt. Wie unsicher die bekanntesten "Alternativen" darüberhinaus umgesetzt worden sind, haben inzwischen Sicherheitsexperten / Hacker u.a. aus dem Umfeld des CCC (Chaos Computer Club) demonstriert und kritisiert.

PGP alias GnuPG

Die aktuell sicherste Verschlüsselung Ihrer Nachrichten gegen den Zugriff Dritter (einschließlich staatlicher Behörden) ist und bleibt die von uns bereits seit 15 Jahren immer wieder empfohlene "Ende zu Ende" Verschlüsselung mit persönlichen (sog. "asymmetrischen") Schlüsseln.

Der geläufigste Standard ist der offene PGP Standard, für den es vielfältige Softwarelösungen gibt - wie "PGP" oder - da "PGP" nicht "offen" und kostenfrei ist - bevorzugt die freie Open Source Software GnuPG [Werner Koch], die voll kompatibel zum offenen PGP Standard ist, zudem von den meisten unabhängigen Sicherheitsspezialisten untersucht und überprüft werden konnte, daher auch wesentlich verbreiteter ist.

Bei der Ende zu Ende Verschlüsselung können NUR der Absender selbst und der korrekte Empfänger einer E-Mail den Inhalt der Nachricht lesen oder Dateianhänge öffnen.

Da PGP ein Standard ist, sind die verschiedenen Lösungen (GnuPG usw.) technisch problemlos miteinander kompatibel.

Für die einfachere Handhabung von PGP Verschlüsselung aus dem Mailprogramm heraus gibt es eine ganze Reihe verschiedener (insbesonderer freier / Open Source) Softwarelösungen für die verschiedensten Betriebssysteme und Mailprogramme oder auch "Plugins" wie "enigmail" für die Mailer "thunderbird" und "SeaMonkey" oder "APK" für das freie und offene Android Handymailprogramm "K9".

Immer mehr Mailprogramme bringen inzwischen schon ab Werk Verschlüsselung per PGP mit.

Das Prinzip klingt für den Anfänger womöglich kompliziert und aufwendig - tatsächlich ist die Handhabung recht einfach in der Praxis.

Jeder PGP Nutzer erzeugt sich einmalig einen "Schlüsselsatz", der aus privatem und öffentlichem Schlüssel besteht. Der private Schlüssel wird mit einem beliebigen Passwort oder Passatz (Passphrase) gegen unbefugten Zugriff gesichert, falls er mal in die Hände Dritter gelangen sollte - der öffentliche Schlüssel kann jedem öffentlich mitgeteilt werden - zB als Dateianhang oder an sog. "Schlüsselserver" gesendet werden, wo sie andere Kommunikationspartner suchen/finden können.

Mit dem öffentlichen Schlüsseln kann eine Mail, Datei, Nachricht nur verschlüsselt, aber nicht entschlüsselt werden (daher "asymmetrische" Verschlüsselung), so kann die verschlüsselte Nachricht über unsicherste Kanäle zum Empfänger finden, welcher nur allein - da nur ER den privaten Schlüssel hat - die Nachricht wieder entschlüsseln kann.

Ein auf den ersten Blick womöglich "verwirrendes" System, das in der Praxis aber recht leicht nutzbar ist und in Mailprogramme mit Adressbüchern integriert nahezu vollautomatisch im Hintergrund abläuft.

Bei Interesse helfen wir Ihnen gern bei Ihren ersten Schritten in PGP/GnuPG.

Software:

http://www.gnupg.org/ offizielle GnuPG Projektwebsite

http://www.gnupg.org/related_software/frontends.en.html#gui freie GnuPG Softwarelösungen für verschiedenste Anwendungen (Email, Dateien verschlüsseln, Kurznachrichten u.m.)

GnuPG Software Pack für MS Windows Empfehlungen speziell für Windows Anwender, da MS Windows ab Werk keine PGP/GnuPG Verschlüsselung mitbringt.

S/MIME

Alternativ zu PGP / GnuPG gibt es auch den offenen Standard "S/MIME".

Dieser eignet sich allerdings aufgrund der bisher geringeren Verbreitung vornehmlich für die Mailkommunikation binnen größerer Unternehmensgruppen u.ä..

Langfristig könnte sich S/MIME durchsetzen, da es sich noch besser als "digitales Ausweis"-system und damit für digitale Unterschriften eignet. Bis dato sind die Infrastrukturen hierzu noch lange nicht massenmarkttauglich.

Bei S/MIME erfolgt die Authentifizierung von Personen über einen Vertrauensdienstleister, der die Identität des Schlüsselinhabers beglaubigt. Handelt es sich dabei um einen der großen Zertifizierungsdienstleister, bleibt das potentielle Problem, das durch das Brechen eines Schlüssels (den, der Beglaubigungsstelle) durch z.B. einen Dienst jedwede Identität gegenüber jedem fälschbar ist, der dieser Beglaubigungsinstitution vertraut, womit sie wiederum ein lohnendes Ziel für Dienste abgibt.

Bei GnuPG / PGP erfolgt die Authentifizierung zwischen Personen entweder direkt oder ein "Web of Trust" - d.h. einem Netz aus gegenseitigen Beglaubigungen von PHP / GnuPG Teilnehmern / Nutzern, die für jeden wiederum einsehbar sind. Ein gebrochener Schlüssel erlaubt daher jeweils nur die Kompromittierung einer Identität.

Seitenanfang