E-Mail Sicherheit – CTR-IT – Computer & Technik Rott

E-Mails sind trotz Skype und Co noch immer eines der wichtigsten privaten und geschäftlichen Kommunikationsmittel. Durch die ständig steigende Zahl, an E-Mails steigen auch die Sicherheitsrisiken. E-Mails begleiten uns durch unser alltägliches Leben und werden zur Kommunikation in verschiedensten Situationen verwendet, z.B. mit Freunden, Bestellungen von Artikeln und Dienstleistungen oder Anfragen an Unternehmen. Dabei braucht es nur ein paar simple Schritte um die E-Mail-Kommunikation wirksam zu schützen.

Was scheinbar viele Nutzeroft vergessen: Der Inhalt einer E-Mail ist grundsätzlich nicht gesichert. Alles was ein Nutzer in einer E-Mail schreibt, wird im Klartext über die Verbindung übermittelt. Aus diesem Grund wird eine solche Nachricht auch immer wieder gerne mit einer Postkarte verglichen: Auch die kann jeder lesen, der sie zufällig (oder absichtlich) in die Hand bekommt. Um Daten mitzulesen, die offen über eine Netzwerkverbindung gesendet werden, bedarf es zudem keiner großartigen IT-Kenntnissen: Werkzeuge zur Netzwerküberwachung – sogenannte Sniffer – wie etwa das bekannte Wireshark oder auch Microsofts Network Monitor gestatten das einfache Mitlesen der Nachrichten im Klartext.

Versandte E-Mails durchlaufen bis zum Eintreffen beim Empfänger auf dem Transportweg viele Stationen. Sie werden vom Rechner des Absenders zu dessen E-Mail Provider übertragen und dort im Postfach abgelegt. Danach wird die E-Mail an Provider des Empfängers übermittelt und dort im Empfängerpostfach abgelegt. Zum Abschluss wird die E-Mail beim nächsten Abruf zum Rechner des Empfängers übertragen, damit sie dort dann geöffnet und gelesen werden kann.

Um die Vertraulichkeit der gesendeten Informationen zu bewahren, muss die E-Mail auf allen Transportwegen und an allen Ablageorten geschützt werden. Zum Erreichen dieses Schutzes werden Verschlüsselungen eingesetzt.

Wenn wir über Verschlüsselung sprechen, gibt es verschiedene Möglichkeiten. Die Verschlüsselung von Nachrichten zählt zu den wohl gängigsten Prozeduren, wenn es um E-Mail Sicherheit geht.

Transportverschlüsselung oder SSL/ TSL Verschlüsselung

E-Mails werden in Form von Datenpaketen im Internet transportiert. Wird die E-Mail dabei im Klartext übertragen, kann sie auf dem gesamten Transportweg mitgelesen werden – es sei denn, die Mailserver von Sender und Empfänger kommunizieren über das sogenannte Transport Layer Security-Protokoll.

TLS ist die serverseitige Verschlüsselung des Datenaustausches auf Transportebene und die häufigste Methode, Kommunikation im Internet zu verschlüsseln. Konkret heißt dies, dass die Verbindung zwischen zwei Servern zum Zeitpunkt der Übertragung verschlüsselt ist.

TLS kombiniert das symmetrische Verschlüsselungsverfahren, bei dem Sender und Empfänger einen gemeinsamen, geheimen Schlüssel verwenden, mit asymmetrischen Algorithmen. TLS garantiert also eine abgesicherte und zuverlässige Datenübertragung zwischen Kommunikationspartnern. Der Nachteil: Auf jedem jeweiligen Server liegt die E-Mail dann wieder unverschlüsselt vor. Technisch gut ausgerüstete Hacker können den Austausch der Schlüssel unterwandern und den beteiligten Systemen die Schlüssel des Angreifers unterschieben. Diese Manipulation nennt man Man-in-the-Middle-Attacke.

Eine End-to-End-Verschlüsselung dagegen verschlüsselt zusätzlich die Inhalte einer E-Mail gegen unbefugte Zugriffe.

End-to-End-Verschlüsselung

Ende-zu-Ende-E-Mail-Verschlüsselung ist eine Methode zur Datenübertragung, bei dem nur der Absender und der Empfänger die E-Mail-Nachrichten lesen können. Mit Ende-zu-Ende-Verschlüsselung werden die Daten auf dem System des Absenders verschlüsselt. Nur der beabsichtigte Empfänger wird in der Lage sein, die Nachricht zu entschlüsseln und zu lesen. Niemand dazwischen kann die Nachricht lesen oder sie manipulieren. Ende-zu-Ende-Verschlüsselung bietet damit den höchsten Grad an Vertraulichkeit und Schutz für Ihre E-Mail-Kommunikation.

Wie sicher die eigenen E-Mails übertragen und abgelegt werden, hängt von den verwendeten E-Mail-Providern ab. Es ist auf jeden Fall zu empfehlen, selbst einen E-Mail-Provider auszuwählen, der den verschlüsselten Transport der E-Mails ermöglicht. Zuletzt ist dann der Provider des Kommunikationspartners für den Einsatz der Verschlüsslung verantwortlich. Der Versand von E-Mails sollte, wenn keine Transportverschlüsselung zum Einsatz kommen, je nach Inhalt abgewogen werden.

Ob verschlüsselte E-Mail-Postfächern oder Ende-zu-Ende-Verschlüsselung eingesetzt werden sollen, sollte anhand der Vertraulichkeit der zu senden Informationen, dem Ablageort und dem durch Einsatz der Verschlüsselungsverfahren entstehenden Usability-Verlust bewertet werden.

Des Weiteren ist zu beachten, dass Verschlüsslung nur als Teil der umzusetzenden Sicherheitsmaßnahmen zu verstehen ist. Das Beherzigen von grundlegenden Regeln, wie die Wahl eines starken und komplexen Passwortes für das E-Mail-Konto, ist genauso wichtig.