Die E-Mail wird niemals sicher sein!

Symbolbild "E-Mail"

Die E-Mail ist vermutlich immer noch die am weitesten verbreitete Kommunikationsmöglichkeit. Jedes Endgerät, egal wie alt, kann E-Mails verschicken und fast jeder Mensch hat eine (oder mehrere) E-Mail Adressen. Gleichzeitig ist die E-Mail auch die unsicherste Kommunikationsform. Die Zahl der potenziellen Mitleser ist nahezu unbegrenzt. Das wird sich auch niemals ändern!

Um zu dieser Erkenntnis zu kommen muss man nur mal das vergangene Jahr Revue passieren lassen. Im Frühjahr machte eine Lücke mit dem Namen EFAIL die Runde, die aufzeigte, dass unter bestimmten – weit verbreiteten – Bedingungen S/MIME und OpenPGP keinen Schutz bieten (siehe: S/MIME und PGP – E-Mail Verschlüsselung anfällig). Einige Vertreter der entsprechenden Verschlüsselungstechniken versuchten zwar zu beschwichtigen, aber bis heute ist S/MIME und PGP in vielen Implementierungen anfällig. Im Sommer machte dann auch die banale Erkenntnis die Runde, dass sich E-Mail Signaturen optisch ziemlich treffend fälschen lassen (siehe: OpenPGP Signaturen lassen sich fälschen). Vor wenigen Wochen kam dann noch die Meldung hinzu, dass eine der beliebtesten Lösungen für E-Mail Verschlüsselung – Thunderbird kombiniert mit Enigmail – in der Standardkonfiguration unbeabsichtigt unverschlüsselt verschickt (siehe: Enigmail verschickt E-Mails versehentlich im Klartext).

Dahinter steckt kein geheimer Masterplan zur Schwächung der E-Mail oder irgendeine andere Bösartigkeit. Die E-Mail ist schlicht und einfach ein sehr altes Protokoll, das für die Anforderungen und Herausforderungen der Gegenwart nicht gedacht war. Um diese Schwächen zu beheben werden dem Protokoll permanent neue Zusätze und Schichten hinzugefügt – Transportverschlüsselung, DANE, Inhaltsverschlüsselung mittels PGP oder S/MIME usw. usf. Das Problem mit solchen Zusätzen ist, je größer der Wildwuchs, desto höher die Gefahr, dass irgendein Programm sie falsch implementiert oder irgendetwas nicht so funktioniert wie beabsichtigt.

Das Hauptproblem ist hierbei auch die Dezentralität des Ansatzes, weshalb viele Symptome bei dem nächsten gescheiterten Kommunikationansatz XMPP wiederholen. Es gibt einfach keine zentrale Instanz, die eine Weiterentwicklung bestimmt und alte Techniken kappt oder bei konkurrierenden Lösungen eine Variante durchsetzt. Mit dem Unterschied, dass XMPP/Jabber in seiner offenen Implementierung ein Nischenkommunikationsmittel in der Open Source/Nerdecke ist und daher deutlich schneller als die E-Mail in der Versenkung verschwinden wird.

Statt gescheiterte Lösungen zu propagieren sollte man einfach akzeptieren, dass die E-Mail ein unsicheres Kommunikationmedium ist und bleiben wird. Es ist utopisch der E-Mail einen schnellen Tod zu prognostizieren, dafür ist sie zu verbreitet. Man sollte sie aber als unsicheres Medium begreifen, über das man nur Inhalte verschickt, die man potenziell auch in der Öffentlichkeit diskutieren würde.

Anstelle zig Arbeitsstunden in die Absicherung der eigenen Konfiguration (ist hier ziemlich umfangreich geschehen: E-Mail Kommunikation absichern) und die Belehrung der potenziellen Kommunikationspartner zu verschwenden, kann man auch einfach auf eine wirklich sichere Lösung wechseln. Moderne Messengerdienste (siehe auch:Sichere Messenger – Verschlüsselung und Metadaten) sind viel konsistenter entwickelt und haben bei weitem nicht so viele Skandale und Sicherheitslücken in der Vergangenheit gehabt. Man kann mit eine guten Lösung wie beispielsweise Signal Text- und Sprachnachrichten, sowie Videokommunikation, Anhänge usw. austauschen. Der Arbeitsaufwand ein Signalkonto einzurichten und den Kommunikationspartner zum Wechsel zu bewegen ist viel geringer als bei einer halbwegs wirksamen Mail-Verschlüsselung.

Sofern man trotzdem nicht um die E-Mail umhin kommt, kann man die wirklich sensiblen Informationen auch in einem verschlüsselten Container als Anhang verschicken. Erfahrungsgemäß passiert das heute schon deutlich häufiger, als dass Anwender eine halbwegs sinnvolle E-Mail Absicherung einrichten und nutzen.


Bilder:

Einleitungs- und Beitragsbild von mohamed Hassan via Pixabay 

Cruiz
Cruizhttps://curius.de
Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Kommentieren Sie den Artikel

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Weitere Artikel