Sichere E-Mail-Kommunikation in Zeiten von NSA- und GCHQ-Überwachung

In den letzten Wochen ist mir eine gewisse Unsicherheit aufgefallen, was E-Mail-Kommunikation angeht. Die Regel — zumindest bis vor ein paar Monaten — war es, dass der Transportweg von E-Mails nicht durchgängig verschlüsselt gewesen ist und Geheimdienste leichtes Spiel hatten und noch immer weitgehend haben, E-Mail-Kommunikation umfassend abzuhören und Nutzerprofile zu erstellen. Das gleiche gilt übrigens für Kriminelle, wobei die Grenze zwischen beiden Gruppen mittlerweise unklar ist:

  • Kollegen, Dienstleister, befreundete Unternehmen und Unternehmer drücken sich nicht mehr klar in E-Mails aus oder verzichten eher mal darauf, eine E-Mail zu schreiben.
  • Der Steuerberater schickt vertrauliche Informationen nicht mehr einfach so per E-Mail, was an sich schon mal gut ist und Medienkompetenz ausstrahlt.
  • Hotelrechnungen lässt man sich inzwischen ungern per Mail zustellen, weil man nicht weiß, wie sicher der Transportweg ist — und Hotelrechnungen dürften mit einiger Sicherheit zu den interessanteren Informationen für Geheimdienste zählen.

Was kann man tun, um der Unsicherheit entgegenzuwirken?

Grundsätzlich halte ich nichts von den politischen Bestrebungen, ein “deutsches” oder “europäisches” Mailserver-Kommunikationsnetz aufzuziehen, das “einheimische” oder gar “deutsche” Verschlüsselungsalgorithmen verwendet. Ich denke, in der IT-Branche ist es Konsens, dass diese Forderungen a) Unsinn sind und gegen den freien Geist des Internets verstoßen und b) die Forderung nach Entwicklung “eigener” Verschlüsselungsalgorithmen kaum umsetzbar (weil sehr teuer und langwierig) ist und es bereits sichere Algorithmen und Protokolle gibt, beispielsweise AES und TLS 1.2.

Man muss die vorhandenen sicheren Systeme und Programme nur mal einsetzen, richtig und konsequent.

Praktische Lösungen

Seit Jahrzehnten gibt es PGP (und die freie Umsetzung GPG). Das Programm verschlüsselt den Inhalt von E-Mails. Vorteile:

  • Die Software ist jahrelang im Einsatz und gilt als sicher
  • Ist verfügbar für alle Systeme
  • Freie Open-Source-Software

Es gibt aber auch Nachteile:

  • Das dem System zugrunde liegende Public-Key-Konzept ist zwar eigentlich einfach, aber für Laien dennoch nicht auf Anhieb verständlich
  • Die Benutzerfreundlichkeit von PGP/GPG-Programmen ist oft nicht besonders hoch, daher hat das System bislang keine hohe Verbreitung gefunden.
  • Metadaten wie Absender, Empfänger und Betreff werden nicht verschlüsselt. Das ermöglicht Abhörern noch immer, umfassende Kommunikationsprofile zu erstellen.

Die Gegenargumente möchte ich nicht als Grund verstanden wissen, auf PGP/GPG zu verzichten.

PGP/GPG sollte man sicherlich verwenden, insbesondere wenn es um Geheimnisträger wie Rechtsanwälte, Journalisten und Steuerberater geht.

Wichtiger finde ich dennoch, nicht nur den Inhalt von E-Mails zu verschlüsseln, sondern den Transportweg an sich. Der ist in drei Teile gegliedert:

  1. Der Weg vom Rechner des Absenders zu seinem Mailserver
  2. Der Weg vom Mailserver des Absenders zum Mailserver des Empfängers
  3. Der Weg vom Mailserver des Empfängers zum Rechner des Empfängers.

Bislang konnte man auf dem Weg zwischen Mailserver und Empfänger schon recht gut einstellen, ob und wie verschlüsselt wird. Zwischen Mailservern hingegen hat das mal geklappt und mal nicht. Empfänger und Absender haben in der Regel nicht erfahren, ob die Kommunikation verschlüsselt war oder nicht — das war quasi ein Glücksspiel. Mit dem Unterschied, dass man hinterher nicht erfahren hat, ob man gewonnen oder verloren hatte.

Die Situation verbessert sich langsam, zumindest in Deutschland — immerhin:

Mittlerweile gibt es deutsche Unternehmen, die explizit sichere Maildienste anbieten (ohne Gewähr oder Anspruch auf Vollständigkeit):

Besonderheit bei mailbox.org: Der Dienst wird von Heinlein Support GmbH betrieben. Das Unternehmen ist lange am Markt und genießt in der IT-Branche einen exzellenten Ruf (ich bekomme übrigens kein Geld für diese Empfehlung und auch keine sonstigen direkten Vorteile).

Angeboten wird neben Dateisynchronisierung die Möglichkeit, abgestuft auf die Art und Weise Einfluss zu nehmen, wie Mailserver untereinander kommunizieren dürfen (“egal”, “verschlüsselt”, “nachvollziehbar verschlüsselt”, “verschlüsselte Kommunikation nur mit bekannt sicheren Mailservern”, bei mailbox.org genannt “aus”, “encrypt”, “verify”, “secure”).

Erzwingt man Verschlüsselung und stößt der mailbox.org-Mailserver auf eine Gegenstelle, die die Sicherheitsanforderungen nicht erfüllt, schlägt die Kommunikation fehl und man bekommt eine Meldung darüber. Das ist so gewollt und stellt sicher, dass Daten nur verschlüsselt übertragen werden. Würde das jeder Mensch und jeder Mailserver so machen, hätten Geheimdienste und Kriminelle es sehr schwer, a) den Inhalt der Daten abzuhören und b) Kommunikationsprofile zu erstellen.

Ich empfehle daher allen meinen Kollegen, Geschäftspartnern und -freunden, sich einen sicheren Mail-Dienstleister zu suchen, zu nutzen, und ein hohes Datenschutzniveau einzustellen.

Schließlich wollen wir alle die Vorteile der E-Mail-Kommunikation weiterhin nutzen und uns nicht aus Angst vor Geheimdiensten und Kriminellen zurückziehen.

Weiterhin empfehle ich den Einsatz von PGP/GPG, mein öffentlicher Schüssel ist auf sks-keyservers.net zu finden.

Ich bin gerne kostenlos dabei behilflich, Euch/Ihnen bei der Einrichtung von PGP/GPG zu helfen, schließlich habe ich selbst Interesse daran, sicher zu kommunizieren.

PS: Was ist mit DE-Mail?

Es gibt dort bislang keine durchgehende Verschlüsselung. Kriminelle werden es mit DE-Mail sicherlich viel schwerer haben als im “freien Netz”, aber Geheimdienste hätten technisch noch immer eine Möglichkeit, auf den Inhalt und die Metadaten  zuzugreifen. Außerdem halte ich es für aussichtslos und Unsinn, mit nationalen Insellösungen globale Probleme lösen zu wollen.

Deutschland und Amazon AWS (aktualisiert)

Wer sich dafür interessiert, Amazon Web Services (AWS) zu nutzen, beispielsweise Elastic Computing (EC2), Cloudfront oder S3, sollte eines wissen:

Es gibt keine vorsteuerabzugsfähigen Rechnungen von “Amazon Web Services LLC”. Rumms! Das sitzt…

Laut Aussage meines Steuerberaters wäre dafür ein Hinweis auf § 13b UStG oder “reverse charge” nötig. Ich habe keine große Hoffnung, dass Amazon die Rechnungen in absehbarer Zeit vorsteuerabzugsfähig machen wird, denn wenn sie es wollten oder den Bedarf dafür sehen würden, hätten sie diese recht einfache Anpassung schon längst gemacht.

Update: Man kann immerhin beantragen, dass Amazon keine Umsatzsteuer mehr berechnet: http://aws.amazon.com/tax-help/

Update 2: Ein Wunder ist geschehen: Amazon bietet nun direkt an, die USt-IdNr. zu registrieren und schon wird keine Umsatzsteuer mehr berechet. Der Link lautet “VAT registration” und ist unter der Tabelle in “Activity Report” zu finden. Das muss wohl recht neu sein, am 02.02.2010 hatte ich einen Activity Report gespeichert und da war der Link noch nicht zu sehen.

aws_vat_reg

Gedanken zu Mailadressen-Verschleierung

Vorweg: Ich diskutiere mit einem Kollegen grad das Thema “Mailadressen-Verschleierung” als Anti-Spam-Maßnahme. Den technischen Hintergrund dazu gibts auf techblog.tilllate.com.

> Die Frage ist nicht, ob sie [Anm.: die Spammer] theoretisch dazu in der Lage
> wären, sondern ob sie es [Anm.: das Dekodieren verschleierter Mail-Adressen]
> auch wirklich tun. :) Und scheinbar scheint der Trick das Spamaufkommen
> zumindest zu reduzieren.

Es ist richtig, dass es da einen Unterschied gibt. Allerdings sehe ich es nicht als Aufgabe eines Links an, Spam zu verhindern. Denkt man konsequent auf diesem Weg weiter müsste man ja zu dem Schluss kommen, dass es sinnvoll wäre, überhaupt keine E-Mail-Adressen mehr auf Websites zu schreiben, denn das würde Spam ja noch wirkungsvoller verhindern. Man führt so den Zweck des Internets, nämlich die Kommunikation — und die will man doch, ad absurdum.

Auch die in dem Blog-Post genannten Methoden finde ich ehrlich gesagt albern. Das sind alles nur Krücken. Was für Verrenkungen will man sich von Spammern denn noch aufzwingen lassen? Die ewig nervenden CAPTCHAs gehören für mich zur gleichen Kategorie, nur gibt es noch keine Alternative zu denen.

Spam zu verhindern ist die Aufgabe eines dedizierten Spam-Filters auf dem Mailserver. Nur so ist Spam einigermaßen wirkungsvoll beizukommen. So mache ich das seit über 10 Jahren und ich habe kein Problem mit Spam. Die Leute, die mir schreiben wollen, sollen das tun. Wie sie an die Mailadresse kommen ist mir egal, abschreiben, automatisiert auslesen… egal. Wenn mir jemand Spam schreibt, bleibt er im Spam-Filter hängen und fertig ist die Geschichte.

Maillink-Obfuscation macht auch mehr Probleme als dass sie welche löst. Insbesondere das Verschleiern mit Javascript. Was ist z.B., wenn ein Rechtsanwalt in Abmahn-Stimmung aufs Impressum geht, wo eine verschleierte Mailadresse steht und er “aus Prinzip” JavaScript abgeschaltet hat – schon gibts *aus seiner Sicht* einen Abmahngrund.

Computer und das Internet sind dazu da, den Menschen zu bereichern und ihm die Arbeit zu erleichtern. Mail-Adressen zu verschleiern macht dagegen nur unnötig Arbeit und macht nichts besser als ein guter Spam-Filter — daher mein Fazit: Nein zur Mailadressen-Verschleierung! :)

Sensible Daten

Kunden erhalten von mir ab und zu sensible Daten oder ich erhalte sie von ihnen — im Rahmen von Projekten und Aufträgen natürlich. Wie sollten Sie als Kunde mit solchen Daten umgehen? Hier ein paar Empfehlungen:

  1. Übertragen Sie sensible Daten ausschließlich verschlüsselt. Große Datenpakete übertragen Sie am besten als verschlüsseltes Archiv über Skype.
  2. Speichern Sie sensible Daten nicht unverschlüsselt auf mobilen Geräten oder mobilen Datenträgern, auch nicht vorübergehend.
  3. Wenn Sie oft mit sensiblen Informationen umgehen müssen, speichern Sie sie auf verschlüsselten Datenträgern. Die Stichworte sind hier Bitlocker (Windows), TrueCrypt (Windows, Linux, MacOS), FileVault (MacOS). Wenn Sie nicht ausreichend Kenntnisse für die Einrichtung haben — investieren Sie bitte etwas Geld in Ihre Sicherheit und beauftragen Sie dafür einen Fachmann oder eine Fachfrau.

Zu Punkt 1 — die Empfehlung halte ich für sehr einfach umsetzbar bei relativ hoher Sicherheit. Es gibt noch andere, noch sicherere Möglichkeiten, beispielsweise GPG und SFTP, die IMHO aber ein schlechteres Verhältnis zwischen Einfachheit und Sicherheit haben, gerade für Nicht-Admins/Nicht-Techniker. Weiterhin sollte man sicherstellen, dass ein sicheres Kennwort verwendet wird. Wer bei der Auswahl eines neuen Kennworts Probleme hat, sollte ein Programm dafür nehmen: KeePass hat einen guten Passwort-Generator. Mehr über das Programm gibt es bei Dr. Web zu lesen.

Zu Punkt 3: Ich nutze auf meinen Arbeitsplatzmaschinen überall TrueCrypt, sowohl unter Linux als auch unter Windows XP/Vista.

Ich bin Kunden gegenüber natürlich prinzipiell nicht weisungsberechtigt, daher ist jedem Kunden selbst überlassen, ob er die Empfehlungen beherzigt oder nicht. Er ist andererseits in erster Linie aber auch selbst für den Datenschutz seiner Daten verantwortlich.

PS für erfahrene Nutzer

Schon seit Jahren biete ich meinen Kunden verschlüsselte E-Mail-Kommunikation per GPG an. Mein GPG-Schlüssel. Einmal eingerichtet, ist es IMHO eine der sichersten Methoden, sicher zu kommunizieren. Ich halte es für noch sicherer als Skype — denn immerhin könnte Skype die übertragenen Daten abfangen und speichern. GPG mit Thunderbird (oder anderen Mail-Clients) ist schnell eingerichtet, aber eben nichts für Gelegenheitsnutzer.

Auf Youtube gibt es ein deutschsprachiges Video mit einer Anleitung für Thunderbird. Der Sprecher ist für den Video-Nutzer eine… “Herausforderung” sag ich mal. Aber die Anleitung erfüllt wohl ihren Zweck.

Web-“Designer”

Mir ist gerade, aus gegebenem Anlass, eine schöne Faustregel eingefallen, mit der man grob einschätzen kann, ob ein Web-Designer oder eine Web-Designerin etwas taugt. Also:

Frage: Woran erkennt man einen guten Web-Designer?

Antwort: Er macht kein Print-Design.

So einfach ist das — wenn man wie ich etwas provozieren möchte jedenfalls. :) Das ist die Essenz aus zehn Jahren Erfahrung im Umgang mit Web-Designern.

Einen Preis haben und dazu stehen

Es kommt ab und zu vor, dass potenzielle Kunden mit völlig außer Frage stehenden Preisvorstellungen zu mir kommen. Vor einigen Monaten hatte ich einen schon recht außergewöhnlichen Fall, wo das Projektbudget bei einem niedrigen dreistelligen Betrag lag.

Was tun? Den potenziellen Kunden wegschicken wollte ich natürlich nicht — jedenfalls nicht, ohne um ihn gekämpft zu haben. Sowas entscheide ich völlig unabhängig von der Auftragslage, also egal ob sie gut oder schlecht ist. Die Auftragslage war zu dem Zeitpunkt nicht schlecht, aber ich halte es für kurzsichtig, *nicht* um einen Kunden zu kämpfen.

Also habe ich ausführlich erklärt, warum 1. ich zu diesem Preis bei dem Projekt nicht mitmachen kann und 2. er bei einem solch niedrigen Budget niemand anderen finden wird, der ihm ein repräsentatives und qualitativ hochwertiges Ergebnis liefern wird. Als voraussichtliches Budget habe ich einen Euro-Wert geschätzt, der dem siebenfachen (!) des ursprünglich angesetzten Betrags entspricht. Dieser Betrag reflektiert deutlich besser den Aufwand, den jemand für gute Arbeit aufwenden muss.

Ehrlich gesagt habe ich bei dieser großen Differenz nicht damit gerechnet, von dem Kunden nochmal zu hören. :) Da habe aber diesmal ich mich getäuscht – zum Glück.