Die im Februar 2021 aktiv ausgenutzte Lücke in der [1] Serversoftware Microsoft Exchange hat viele Unternehmen aufgeschreckt und ihnen verdeutlicht, wie schnell der Inhalt ihrer E-Mails in falsche Hände gelangen kann.
Als sich zum Ende der 80er Jahre E-Mail als neuer Standard für elektronische Kommunikation etablierte waren Sicherheitsbedenken zweitrangig. E-Mails sind einfach lesbare Textdateien die zwischen den Servern ausgetauscht werden. Die Einfachheit der Technik hat viel zu ihrem Siegeszug beigetragen. Sie bietet jedoch keinen Schutz vor unberechtigtem Mitlesen oder Veränderung des Inhaltes einer E-Mail. Auch der Einsatz einer heute üblichen Transportverschlüsselung zwischen den beteiligten Computern hilft wenig, wenn ein Angreifer Zugriff auf den E-Mailserver hat. Dies lässt sich nur mit einer richtigen Ende-zu-Ende Verschlüsselung beheben.
Schon 1991 wurde von Phil Zimmermann die Verschlüsselungssoftware PGP vorgestellt [2]. Mit PGP, oder in der freien Version GNU-PG, ist es möglich die Verschlüsselung als zusätzliche Schicht auf eine normale E-Mail zu stülpen. Dies bedeutet jedoch ein wenig Aufwand beim Sender und Empfänger einer E-Mail, da wenige E-Mailprogramme von sich aus eine Unterstützung für PGP anbieten. Das Gleiche gilt für die PGP Alternative S-MIME, die sich an Unternehmen richtet.
Der Hauptunterschied zwischen S-MIME und PGP liegt in der Organisation der notwendigen Schlüssel. Während bei S-MIME die Schlüssel von einer zentralen vertrauenswürdigen Stelle ausgegeben werden, kann bei PGP jeder Anwender sich seinen eigenen Schlüssel erstellen. Dies hat aber den Nachteil, dass die Korrektheit jedes Schlüssels und der dazugehörigen E-Mailadresse einmal im echten Leben überprüft werden muss.
Trotz vieler Versuche [4] ist die Nutzung der E-Mailverschlüsselung in den vergangenen 30 Jahren kaum über den Kreis technisch versierter und interessierter Nutzer hinausgegangen. Notlösungen, wie der Einsatz passwortgeschützter ZIP, Word oder PDF Dateien bieten aber kaum zusätzliche Sicherheit, da sie recht einfach durch wildes durchprobieren des verwendeten Passwortes gebrochen werden können. Häufig ist das verwendete Passwort auch allgemein bekannt oder in der nächsten E-Mail enthalten. Aus datenschutzrechtlicher Sicht ist bietet dies kaum mehr Sicherheit als das sprichwörtliche Feigenblatt.
Ausblick
Auch in Zukunft ist nicht mit einer flächendeckenden Umsetzung einer richtigen E-Mailverschlüsselung zu rechnen. Der Umstieg auf ein neues Medium, welches von sich aus eine Ende-zu-Ende Verschlüsselung anbietet ist wahrscheinlicher. Die Beliebtheit, die Software WhatsApp erreicht hat, zeigt den neuen Trend an aber auch neue Gefährdungen. E-Mail ist sehr dezentral organisiert und kann nicht von einer zentralen Stelle kontrolliert werden. Die meisten Messenger Angebote werden zentral von kommerziellen Unternehmen angeboten, auf deren Vertraulichkeit man angewiesen ist. Daher ist Lehrern, Beamten und auch in der Regel Pädagogen und Sozialarbeitern die Benutzung der Angebote des Marktführers für dienstliche Belange verboten.
Eine alternative ist es, sich selbst um die notwendige Technik zu kümmern. Die französische Regierung nutzt zum Beispiel eine Abwandlung des Instant-Messengers Matrix [5] auf einem eigenen Server, um seine Beamten untereinander zu vernetzen. Die dafür notwendigen Anforderungen übersteigen aber in der Regel die Möglichkeiten kleiner Unternehmen und Vereine. Auch ist Austausch von Nachrichten zwischen den einzelnen Plattformen, so wie man es von E-Mails gewohnt ist, ungeklärt.
Ein weiterer Gegenspieler für eine richtige Verschlüsselung sind die Strafverfolger, die immer wieder betonen, auf den Bruch des Briefgeheimnisses angewiesen zu sein. Selbst den Anwälten, denen die Nutzung des „besonderen elektronischen Anwaltspostfachs“ (beA) gesetzlich vorgeschrieben wurde, wird die Vertraulichkeit, die eine richtige Ende-zu-Ende Verschlüsselung bietet, vom Bundesgerichtshof abgesprochen [6].
Daher werden wir auch vermutlich in den nächsten 10 Jahren weiter mit unverschlüsselten E-Mails und einem Wildwuchs privater Messaging Anbieter leben müssen. Bitte überrascht mich positiv.
[1] https://www.heise.de/news/Exchange-Luecken-BSI-ruft-IT-Bedrohungslage-rot-aus-5075457.html
[2] https://de.wikipedia.org/wiki/Pretty_Good_Privacy
[3] https://www.gpg4win.org/index-de.html
[4] http://www.gnupp.de/
[5] https://www.golem.de/news/security-frankreichs-whatsapp-alternative-setzt-auf-matrix-und-riot-1804-134115.html
[6] https://www.heise.de/news/BGH-Kein-Anspruch-auf-Ende-zu-Ende-Verschluesselung-beim-Anwaltspostfach-beA-5995046.html