Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Symbolbild "E-Mail Fehler"

Kommentar: Vergesst die E-Mail Verschlüsselung

Die E-Mail Verschlüsselung hat mannigfaltige Probleme, trotzdem glauben immer noch manche ihr zum Durchbruch verhelfen zu können. Dabei ist die E-Mail Verschlüsselung funktional veraltet, unsicher und nicht zielführend. Sie hat kaum Verbreitung und erfüllt keinen sinnvollen Zweck. Vergesst sie einfach.

Die E-Mail Verschlüsselung besteht ja im Grunde genommen aus verschiedenen Methoden zur Verschlüsselung der Mail-Inhalte. Denn S/MIME und PGP/GPG koexistieren seit Jahrzehnten nebeneinander. Selbst das ist schon eine Vereinfachung, da bei OpenPGP unterschiedliche Methoden wie PGP/INLINE und PGP/MIME existieren. S/MIME und PGP sind nicht kompatibel, weshalb Anwender beide Verfahren unterstützen müssen.

Hinzu kommen strukturelle Probleme. Bei S/MIME gibt es inzwischen einen eklatanten Mangel an vertrauenswürdigen und kostenlosen/kostengünstigen Zertifizierungsstellen, wodurch die Zertifikatsketten nur noch wenig Vertrauen genießen (siehe: S/MIME - Eine Verschlüsselungsoption weniger). Bei PGP ist hingegen das "Web of Trust" zusammen gebrochen (siehe: Kommentar: OpenPGP Keyserver - Letzte Zuckungen).

Die E-Mail Verschlüsselung - sowohl S/MIME, als auch PGP - ist zudem mannigfaltigen Limitationen unterworfen. Metadaten lassen sich grundsätzlich nicht verschlüsseln. Wer, wann wo und mit wem kommunizierte, sowie der Betreff liegen grundsätzlich offen. Es lässt sich von außen zudem erkennen ob eine E-Mail verschlüsselt wurde. Verschlüsselte Nachrichten fallen in den Massen unverschlüsselter Korrespondenz somit auf.

Weil Verschlüsselung im E-Mail Standard nicht vorgesehen ist, benötigt man einen kompatiblen Client dafür. Nicht jeder Client unterstützt jede Form der Verschlüsselung. Die verbreiteten Webclients kann man eigentlich nicht für sichere Verschlüsselung nutzen, PGP wird von Haus aus -  und das auch erst seit kurzem - nur von Thunderbird unterstützt. Der Anwender benötigt somit erstmal überhaupt die Bereitschaft ein Programm zu nutzen und dann auch noch einen kompatiblen Client.

Diese Auslagerung bietet dem Anwender mannigfaltige Möglichkeiten Fehler zu machen. Ausversehen nicht auf verschlüsseln geklickt, die Feinheiten der Zertifikatskette nicht verstanden oder auch nur einer simplen optischen Fälschung aufgesessen (siehe: OpenPGP Signaturen lassen sich fälschen) und der Schutz ist dahin.

Den ganzen Aufwand um einen Inhalt von zweifelhaftem Wert zu schützen. Denn die Metadaten liegen ja eh offen. Im Zweifelsfall wird als ein Inhaltstext wie "Siehe Anhang" verschlüsselt. Das relevante an vielen E-Mails ist doch eh der Anhang und der lässt sich mit einer plattformübergreifenden Lösung wie Veracrypt (siehe: VeraCrypt - Systemübergreifende Verschlüsselung) oder einer simplen passwortgeschützten ZIP-Datei sichern.

Wenn ein heute erfundenes System diese beschriebenen Mängel hätte, würde die Krypto-Community das Konzept zerreißen - sofern sie ihm überhaupt Aufmerksamkeit schenken würde.

Vergesst die E-Mail Verschlüsselung! Kaum jemand nutzt sie, kaum jemand hat sie jetzt genutzt und sie erfüllt keinen sinnvollen Zweck.


Bilder:

Einleitungs- und Beitragsbild von Mudassar Iqbal via Pixabay 

"

Tags: Sicherheit, E-Mail, Verschlüsselung, OpenPGP, PGP, GnuPG, Kommunikation, GPG, S/MIME

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

struppi
Wer Fefe einen Hinweis schicken möchte braucht sie.

(Es ist wirklich schwer doch die Captcha Falle zui kommen. Versuch: 9)

Harry
Fefe...

P.S. Captcha war kein Problem. Audio wäre für barrierefrei aber gut!

user
Stimme der meisten Kritik an der Emailverschlüsselung zu, aber nicht den Alternativen. Vercrypt Archive oder Zip Container kann man zwar verschlüsselt verschicken, aber wie kommt der Schlüssel zum Empfänger? Unverschlüsselt per mail oder Telefon? Beides sind, soweit ich weiß, symmetrische Verschlüsselungsverfahren, es gibt keine Public Key, den man unbesorgt verschicken kann. Damit eignen sie sich nur für wenige Anwendungsfälle, wenn man z.B. das Passwort vorab persönlich vereinbart hat.

Das verschlüsselte Kommunikation als solche erkennbar ist, halte ich im übrigen nicht für problematisch, das Problem ist nur, dass das nicht der Standard ist. Wer PGP nutz ist tatsächlich ziemlich einzigartig und mag sich verdächtig machen, besonderes wenn es nur für ausgewählte Nachrichten eingesetzt wird. Signal Nutzern kann man das kaum unterstellen, da die Kommunikation immer verschlüsselt ist. Und so sollte es auch sein.

Damit sind wohl Messenger wie Signal oder Threema derzeit die bessere Alternative zur verschlüsselten Email, aber eben beides leider abgeschottete Ökosysteme, mit denen man wieder nur einen sehr eingeschränkten Kreis erreicht.

5000 Buchstaben übrig


  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius