Liebesschlösser

Liebesschlösser am Geländer eines Bootssteges

Erinnert ihr euch? Aufgeregt wartete man auf den Postboten. Direkt aus seiner Hand wollte man den Brief empfangen, von dem niemand etwas wissen sollte. Ebenso heimlich fiel der Liebesbrief im Schutze der Dunkelheit in den Kasten, doppelt verschlossen, damit der Inhalt nicht die falschen Augen erleuchtete. Soweit die romantische Seite. Das Jahr 2013 schreibt eine ernstere Geschichte. Edward Snowden verschickte elektronische Briefe an einige Journalisten, dessen Inhalte die Geheimdienste nicht entschlüsseln konnten. Diese E-Mails haben im wahrsten Sinne der Worte Geschichte geschrieben und führten in geheimsten Kreisen zu Veränderungen.

Nun mag man den Inhalt der Snwoden-Mails nicht mit Liebesbriefen vergleichen wollen. Aber es ist schon wichtig zu wissen:
Wenn ich auf [Absenden] klicke, dann fühlt es sich zwar an, als verschwinde die Mail in einer unsichtbaren Röhre wie bei der Rohrpost, um beim Empfänger daraus wieder unversehrt und ungelesen ausgespuckt zu werden. Dem ist aber nicht so! Eine E-Mail könnte mit einer offenen Postkarte verglichen werden. Oder mit einem Brief in einem Kuvert, wenn die E-Mail Transportverschlüsselt übertragen wird. Sie “wandert” über eine Reihe von Servern um beim Zielserver in der Regel unverschlüsselt gespeichert zu werden. Die Server könnte man auch Postämter nennen, in deren Kellern möglicherweise an einigen Schreibtischen Leute sitzen, die die Briefe, wie früher bei der Stasi, über einen merkwürdigen Dampfapparat halten - Und siehe, die Umschläge öffnen sich und lassen sich auch wieder verschließen, ohne dass man so recht davon erfährt. Bei einer klassischen Mail ist noch nicht einmal dieser Dampfapparat nötig. Und was passiert heute in den virtuellen Kellern?

Spätestens an dieser Stelle treffen wir auf jene, die meinen sie hätten ja nichts zu verbergen. Gut! Es könnte sein, dass eine wichtige Sache zu bestellen ist, der Händler jedoch davon Abstand nimmt das Kaufinteresse zu erfüllen, da er aus “verlässlicher Quelle” erfahren hat, dass es um die Bonität des Kunden nicht gerade zum Besten steht. Möglicherweise ist der Kunde ohne eigenes Verschulden in diese Lage gekommen. Das ist sicher nur ein mögliches Szenario! Es geht also überhaupt nicht um die Frage, ob ich etwas zu verbergen habe, sondern, ob Mails nur von dem Empfänger gelesen werden können, für den sie auch bestimmt sind.

Eine andere Frage wäre: Warum wird diese Sicherheit nicht standardmäßig gewährleistet? Mir fällt dazu das Autofahren ein. Wie lange gibt es den Sicherheitsgurt? Seit wann gibt es eine Anschnallpflicht? Der Sicherheitsgurt bei E-Mails heißt Ende-zu-Ende-Verschlüsselung. Und die gibt es seit fast 20 Jahren und zwar kostenlos! Warum gibt es keine Veschlüsselungspflicht, wenigstens für geschäftliche Mails wie z.B. Rechnungen?

Es bleibt also jedem selbst überlassen, ob er mit einem einmaligen Einrichten des Gurtes die Sicherheit erhöht. Es war vielleicht in den 90-ern etwas kompliziert, als ich begann diese Technik zu nutzen. Seit geraumer Zeit jedoch beschränkt sich das auf wenige Klicks, so ähnlich wie das Einstecken des Gurthakens in das Schloss.

Wie funktioniert E-Mail-Verschlüsselung?

Man unterscheidet zwischen der Transportverschlüsselung und der Verschlüsselung des Inhaltes der Mail. Erstere wird heute überwiegend eingesetzt und schützt die Übertragung der Mails. In der Regel werden E-Mails jedoch auf dem eigenen Rechner/ Phone und ebenso auf dem Mailserver des Providers im Klartext gespeichert.

Eine Ende-zu-Ende-Verschlüsselung des Inhaltes ist in den meisten Fällen unabhängig vom Provider realisierbar. Am sichersten gilt immer noch das von Phil Zimmermann “erfundene” System PGP Pretty_Good_Privacy. Es arbeitet mit einer asymmetrischen Verschlüsselung. Dazu wird ein Schlüsselpaar aus öffentlichen und geheimen Schlüssel verwendet. Die Funktionsweise ist in diesem Video sehr schön beschrieben. Dem Partner, von dem man eine verschlüsselte Nachricht erhalten möchte, schickt man den eigenen öffentlichen Schlüssel. Dieser Schlüssel könnte mit einem geöffneten Vorhängeschnappschloss verglichen werden wie sie Liebende an Brücken befestigen. Der Partner schreibt seine Nachricht, packt sie in ein Kästchen und verschließt dieses mit dem Vorhängeschloss (öffentlicher Schlüssel des Empfängers) welches er jetzt zudrückt. Das Kästchen kann nun von den dubiosesten Unternehmen transportiert werden, in den windigsten Lagern herumstehen, bis es schließlich beim Empfänger ankommt. Nur der Besitzer des geheimen Schlüssels kann das Vorhängeschloß entriegeln, das Kästchen sozusagen öffnen und die Mail lesen. Ist das kompliziert?

Schlüsselverwaltung
Screenshot: In der Schlüsselverwaltung in Thunderbird Enigmail werden die öffentlichen Schlüssel der Mailpartner gelistet

Einrichtung im E-Mail-Client Thunderbird

Verantwortungsvoller Umgang mit E-Mails beginnt bei der Auswahl des Programmes oder E-Mail-Clients. Kann man solchen, deren Quellcode nicht offen zugänglich ist vertrauen? Thunderbird für den Desktop und K-9 für das Phone legen den Code offen, sodass nachprüfbar ist was die Programme tun. Wie ist das z.B. bei Outlook oder G-Mail?

Es gibt unzählige Anleitungen zur Einrichtung der E-Mail-Verschlüsselung. Weit verbreitet ist die Nutzung des E-Mail-Programms Thunderbird. Dafür installiert man das AddOn Enigmail. Im Hauptmenü ist der Punkt Add-ons/Add-ons aufzurufen. In das Suchfeld oben links gibt man Enigmail ein. In der Suchergebnisliste findet sich neben dem Eintrag die Schaltfläche Zu Thunderbird hinzufügen.

Das war es eigentlich schon. In der Version vom Stand III/2019 kann man nach der Installation, ohne weitere Einstellungen, sofort mit verschlüsseltem Mailen beginnen. Das AddOn wird mit einer Erweiterung installiert, welche die nötigen Konfigurationsschritte selbsändig vornimmt. Ich selbst bin darüber eigentlich nicht so glücklich, weil dem Benutzer damit einige Einrichtungsschritte verborgen werden, die zum Verständnis der Funktionsweise beitragen können. Problematisch finde ich auch, dass die Schlüssel ohne sog. Passphrase eingerichtet werden. Das ist ein Sicherheitsrisiko, dass in einem solchen Umfeld nicht eingegangen werden sollte.

Was ist mit der Einrichtung des Enigmai-AddOns passiert?

  • Installation der nötigen Programmteile zur Ver- und Entschlüsselung
  • Dazu gehört auch ein Verwaltungsprogramm für PGP-Schlüssel
  • Installation und Aktivierung der Erweiterung PEP Security
  • Erzeugung eines Schlüsselpaares für jede E-Mail-Adresse, die mit Thunderbird verwaltet wird

Unerfahrene Benutzer sollten die Voreinstellungen zunächst so beibehalten, aber später PeP Security deaktivieren. Siehe dazu einen Artikel unten in den Quellen.

Schlüsselanhang
Screenshot: Schlüsselanhang. Mit Rechts-Klick importieren

Verschlüsselt mailen

Nun kann es also losgehen. Man schickt die erste Mail an den Partner unverschlüsselt, sendet aber den öffentlichen Schlüssel als Anhang mit. Das erledigt Pep Security sofern man die Standardeinstellung beibehalten hat. Der Partner kann diesen Schlüssel beim Empfang in sein eigenes Enigmail importieren. Eine entsprechende Option wird durch die rechte Maustaste auf die angehängte Schlüsseldatei angeboten. Nun, wenn der Schlüssel importiert wurde, ist man in der Lage verschlüsselt auf die Mail zu antworten.

Um einem anderen Partner verschlüsselt mailen zu können, fordert man den öffentlichen Schlüssel des Partners an und importiert ihn in das eigene Enigmail. Nun wird das Programm bei einer neuen Mail die Verschlüsselung selbständig einschalten.

Icon Verschlüsselung
Screenshot: Verschlüsselung manuell aktivieren

Zum Schluss

Mit diesem Blogpost konnte ich natürlich nur einen relativ allgemeinen Überblick zum Thema geben. Neben den automatischen Voreinstellungen von PeP Security lassen sich z.B. auch manuelle Einstellungen vornehmen. Vielleicht helfen dem Interessierten die Links in den Quellen zur Vertiefung des Themas.

Quellen