Email - so sicher wie eine Postkarte?

Oft liest man, dass Emails so (un)sicher wie eine Postkarte seien - jeder könne sie lesen. Stimmt das?

Ja. Und nein. Wie so oft gibt es auf eine simple Frage keine einfache und eindeutige Antwort; nicht zuletzt, weil das Thema komplex ist, das gilt besonders für die elektronische Variante des Postverkehrs. Ich will dennoch versuchen, die Frage möglichst verständlich zu beantworten, indem ich zunächst versuche, die klassische Seite der schriftlichen Kommunikation, also die von Internetbewanderten so liebevoll als Snailmail bezeichnete, zu beleuchten.

Jeder kann eine Postkarte lesen!?

Es gibt Postkarten - kennen Sie doch noch, oder? Das sind DIN A6 große dünne Pappen, welche auf einer Seite meist ein Motiv tragen und auf der anderen Platz für händisch Geschriebenes lassen. Und es gibt Briefe, da ist der Inhalt in einem Papiertütchen verborgen. Erst nach dem Öffnen erschließt sich dem Neugierigen der Inhalt. Postkarten berichten meist von "suuuper Wetter, 33 Grad im Schatten und coolen Drinks mit Schirmchen". Der Inhalt von Briefen beschränkt sich in der Regel auf Rechnungen und Zahlungserinnerungen. Beide sind also eher unerfreulich für den Empfänger, trotzdem will man nicht keine Post bekommen, und wenn einem auch nur die Gaswerke schreiben.

Richten wir nun unser Augenmerk auf die Postkarte und lassen kurz die Aussage "jeder kann sie lesen" hinter unserer Stirn rotieren. Bald wird uns auffallen, dass das nicht stimmt, oder? Ich denke nicht an Kinder unter 6 Jahren, Legastheniker oder Menschen, die der Sprache nicht mächtig sind, in welcher die Postkarte verfasst ist (obgleich das global betrachtet die überwiegende Mehrheit sein dürfte, jedenfalls bei einer in deutscher Sprache verfassten Karte). Nein, lesen kann die Karte nur, wer sie in der Hand hält, bzw. sich in deren unmittelbarer Nähe befindet. Das schränkt den Personenkreis potentieller Leser stark ein. Wenn wir jetzt nach unbefugten Lesern fragen, dann bleiben i.d.R. nur die Mitarbeiter der Post - wer sonst sollte ohne weiteres legalen Zugang zu unserer Postkarte bekommen? Sicher sind Sie jetzt enttäuscht und denken "öh, wie banal" oder ähnliches. Stimmt, ist es. Mittels dieser Banalität haben wir die Aussage "jeder kann eine Postkarte lesen" beleuchtet und wenden uns mit der gleichen Methode dem Emailverkehr zu.

Jeder kann eine unverschlüsselte Email lesen!?

Es gibt Möglichkeiten, Emails zu verschlüsseln, z.B. mittels PGP (Pretty Good Privacy) oder der unter GNU frei verfügbaren Variante Gpg, die es mittlerweile auch für Windowssysteme gibt (Gpg4win). PGP verwendet für die Verschlüsselung kryptische Verfahren, welche praktisch nicht zu knacken sind. (2005 ist das chinesischen Hackern zwar ansatzweise gelungen, die haben aber viel Zeit und reichlich Rechnerkapazität dafür gebraucht; PGP ist nach heutigen Maßstäben sicher). Das würde also aus einer Postkarte einen Brief machen. Kaum jemand nutzt jedoch heute die erwähnten Möglichkeiten, um Emails gegen unbefugten Zugriff bzw. Mitlesen zu schützen. Wann haben Sie zuletzt eine verschlüsselte Email erhalten oder gar versendet? Also, wir verschicken elektronische Postkarten (mach ich auch meistens), die jeder lesen kann. Jeder? Können Sie das? Echt? Cool! Erklären Sie mir, wie Sie das machen? Ich meine nicht prinzipiell, sondern praktisch. Mit Wireshark? Mit Capsa? Ok, die Programme nutze ich auch hin und wieder, um administrative Aufgaben in Netzwerken durchzuführen. In lokalen Netzwerken, wohlgemerkt; und da liegt das primäre Problem.

So wie im obigen Beispiel die Mitarbeiter der Post Postkarten lesen könnten (viel Spaß bei der Lektüre) so könnten das auch Personen, die physikalischen Zugriff auf Netzwerke haben, die Emails empfangen, speichern und weiterleiten. Das wäre also z.B. das Netzwerk von T-Online(*). Da kommt also jeder rein, um unbefugt Emails zu lesen. Aha. Also, ich nicht. Nun habe ich das bei T-Online noch nicht versucht, und die Arbeit spar' ich mir auch. Es mag aber Personen geben, die dazu in der Lage sind, das weiß ich nicht. Tatsache ist, dass z.B. bei T-Online und anderen Providern Menschen arbeiten, Menschen mit Fehlern, so wie Sie und ich. Diese könnten, gewollt oder ungewollt, dazu beitragen, dass Emails verloren gehen oder unbefugt gelesen werden. Schauen wir uns in diesem Kontext noch mal die Snailmail-Variante an: Gehen Briefe nie verloren? werden Briefe nie unbefugt geöffnet (über Dampf, z.B.)? Klaro, auch die klassische Nachrichtenübermittlung ist nicht völlig sicher - hat ja auch niemand behauptet. Eine mittels PGP verschlüsselte Email hingegen ist so ziemlich die sicherste Variante der Datenübertragung - neben der Telepathie vielleicht. (<off topic>Obgleich, denken wir an The Hitchhiker's Guide to the Galaxy.</off topic>)

Fazit

Verschlüsseln Sie ihre Emails, wenn Sie sichergehen wollen, dass niemand anderes als der Empfänger sie liest. Vergewissern Sie sich aber vorher, dass der diese auch entschlüsseln kann - das wird in der Regel nicht der Fall sein. In der Praxis werden Sie Ihre Emails weiterhin unverschlüsselt verschicken, der Empfänger unverschlüsselt antworten und die Emails unverschlüsselt auf Ihrem Rechner abgespeichert werden. Sofern Sie nur via Webmail kommunizieren oder im Emailprogramm definiert haben, dass Emails auf dem Server liegen bleiben sollen, dann wird eben das der Fall sein; also die Emails so lange unverschlüsselt auf dem Server liegen, bis sie gelöscht werden oder der Server abraucht. Für die allermeisten Fälle können Sie sich relativ beruhigt zurücklehnen; Ihre Emails werden sehr wahrscheinlich nur von Ihnen und anderen befugten Personen gelesen. Sollten Sie aber planen, Ihre Schwiegermutter umzubringen oder eine kleine schmutzige Bombe zu bauen, dann verschlüsseln Sie, sicher ist sicher.

Post Fazit

Vielleicht noch ein Wort zu Echelon und Co. Es gibt natürlich Kreise, die ein besonderes Interesse an Emails haben, namentlich an solchen, in denen die Worte schmutzige Bombe, Plutonium, etc. vorkommen. Die nationalen Sicherheitsdienste haben natürlich andere Möglichkeiten als Otto Normal oder ich. Die haben wahrscheinlich bei den meisten Providern (also Anbietern von Internetdiensten) Hard- und Software installiert, die in der Lage ist, die riesige Flut an Daten, also z.B. Emails, nach auffälligen Mustern zu durchsuchen. Die Auswahl dürfte dann von Mitarbeitern der Sicherheitsdienste evaluiert werden. Wenn Sie also z.B. eine Email an Ihren Freund Abdullah mit dem Betreff "Trainingscamp" nach Afghanistan schicken oder etwas über den Selbstbau von Splitterbomben schreiben, dann können Sie davon ausgehen, dass sich das jemand näher anschaut - und Sie ggf. auch. Echelon ist eines der Spionagesysteme, welche sich die Geheimdienste (in Falle Echelon die NSA) dieser Welt bedienen, um das Leben für uns sicherer zu machen. Ist doch prima, oder?

(*) Es gibt natürlich noch eine Reihe weiterer Emailanbieter, auch solche, die einen weniger gesicherten Service als T-Online bieten. Ein schlecht gesicherter Emailserver kann eher von Hackern gekapert und dort lagernde Emails abgefangen, mitgelesen oder manipuliert werden. Daraus folgt, dass Sie gut daran tun, die Dienste eines großen Providers in Anspruch zu nehmen. Außerdem muss an dieser Stelle Erwähnung finden, dass Emails und andere via Internet auf die Reise geschickte Daten meist viele Stationen (Hops) durchlaufen und somit auch an jeder dieser abgefangen werden könnten. Das können Sie leicht mal selbst überprüfen, indem Sie auf der shell (bei Windows-Systemen heißt die Eingabeaufforderung: Start/ausführen/cmd) den Befehl tracert gefolgt vom Namen eines Servers eingeben, also z.B. tracert website-go.com oder tracert t-online.de

Im folgenden Fall habe ich das für die Domain baltimore.com gemacht; hier lassen sich die Hops gut den geografischen Locations zuordnen, da die Server größtenteils eindeutige Namen tragen - das ist nicht immer so.

Der Befehl tracert unter der Windows-Shell.