E-Mail-Kommunikation gegen Mithören und Diebstahl sichern

Achtung, E-Mail-Mitleser

∅ 5 / 1 Bewertungen

Achtung, E-Mail-Mitleser

"E-Mails sind wie Postkarten - jeder kann sie mitlesen!": Diese Analogie ist nicht von der Hand zu weisen. Verschlüsselung kann aus der E-Mail einen "elektronischen Brief" machen, der nicht mehr so leicht von Unbefugten einzusehen ist, wie die Postkarte. Doch erfordert dies das Mitwirken des E-Mail-Partners und schützt nur gegen unbefugtes Lesen der E-Mail, nicht gegen Verlust. Es kann immer noch jemand einfach den Briefkasten aufbrechen oder den Postboten überfallen und die Post stehlen. Wie kann man dies zumindest erschweren?

Auch was in die Zeitung soll, ist noch lange nicht öffentlich

Niemand möchte gerne, dass Fremde in seiner Post wühlen. Für manche Branchen ist es allerdings besonders kritisch, wenn sie belauscht oder ihnen die Post entwendet wird. So wie etwa bei Journalisten, deren Situation wir im Folgenden als Beispiel heranziehen. Natürlich ist es aber auch für Börsenmakler oder Webdesigner sehr schädlich, wenn wichtige E-Mails und Informationen mitgelesen oder ihnen gar ganz vorenthalten werden. Dagegen sollte man vorbeugen!

Journalisten gelten zwar gemeinhin als kommunikatives Volk, vor dem auch in der Kneipe nichts sicher ist: Es könnte ja am nächsten Tag in der Zeitung stehen. Mancher schreibt ja sogar extra einem Journalisten, damit eine kritische Information in die Zeitung kommt, sei es, dass in einer Chemiefabrik die Sicherheitsbestimmungen nicht eingehalten werden oder im (westdeutschen) Geheimdienst ehemalige Stasi-Mitarbeiter arbeiten sollen.

Doch will solch ein Informant natürlich nicht, dass dies allgemein publik wird - sein Chef würde ihn dafür mindestens feuern und verklagen, selbst und gerade wenn es stimmen sollte, was er behauptet. Es ist vielmehr Sache des Journalisten, den Wahrheitsgehalt zu überprüfen, zu entscheiden, ob er es veröffentlicht und dann auch den Kopf dafür hinzuhalten. Der Journalist muss also darauf achten, die Vertraulichkeit zu wahren: Wenn einmal bekannt ist, dass die Kommunikation zu ihm unsicher ist und seine Zusage, Informationen vertraulich zu halten, nichts wert ist, weil Dritte mitlesen, wird er nicht mehr viele solche Informationen mitgeteilt bekommen. Der Journalist muss also nicht nur über die Information selbst die Klappe halten, bis sein Artikel fertig ist - er muss auch später über seinen Informanten schweigen wie ein Grab. Und ebenso natürlich, wenn er sich entscheidet, die Nachricht nicht zu veröffentlichen.

Gegenspieler des Journalisten werden bemüht sein, genau diesen Eindruck zu erwecken, dass die Kommunikation mit ihm nicht sicher ist. Wer die Gegenspieler sind, stellt sich meistens erst heraus, wenn sie aktiv geworden sind: Behörden, aber auch Konkurrenten, wobei es sich in diesem Fall normalerweise nicht um andere Journalisten, sondern um Konzerne handelt. Ob solche, über die der Journalist einmal schlecht berichtet hat und die ihm deshalb gram sind oder aber Medienunternehmen, die an diesen vertraulichen Informationen ebenfalls Interesse haben, um sie für sich selbst zu nutzen und sich den Aufwand eigener Recherche zu sparen. Wenn sie die Information entwenden, haben sie sie sogar exklusiv - ihr eigentlicher Adressat geht leer aus.

48781_postkontrolle-ddr.jpg

Postkontrolle in der DDR

Im Extremfall kann wie im Agentenfilm ein konspiratives, persönliches Treffen an einem verschwiegenen Ort ausgemacht werden, bei dem dann ein Umschlag mit den Informationen übergeben wird. Wobei der Informant in diesem Szenario bekanntlich üblicherweise kurz vor der Übergabe der Dokumente überfahren wird - und der Journalist kurz danach erschossen. Doch nicht jede Information erscheint von Anfang an so sensibel und viele Informanten haben zudem ebenso wie der Journalist meist gar keine Zeit und Möglichkeit, so großen Aufwand zu treiben und samt Anreise Stunden in ein persönliches Treffen zu investieren - oder aber Angst, überfahren oder erschossen zu werden. Das Meiste läuft deshalb auch bei investigativen Journalisten längst über Telekommunikation: Briefpost, Telefon, manchmal auch noch Fax und heute zumeist E-Mail.

Dass Briefpost unterschlagen oder mitgelesen werden kann, dürfte jedem klar sein, ebenso kann das Telefon angezapft sein. Allerdings sind die Regeln für den "großen Lauschangriff" streng und für Journalisten gelten hier bislang sogar noch etwas strengere Regeln als für Normalbürger, deren Abschaffung allerdings immer wieder droht. Der durchschnittliche Redakteur wird eine Durchsuchung der Redaktionsräume mit Beschlagnahme von Post oder den Einbau von Wanzen in den Telefonen in seiner Laufbahn eigentlich nicht erleben. Wobei es hierbei übrigens nicht darum geht, die Journalisten selbst persönlich vor Überwachung zu schützen, sondern eben die Informanten, so wie auch die Klienten von Ärzten, Pfarrern und Rechtsanwälten.

Fernmeldegeheimnis untersagt direktes Mitlesen fremder E-Mails

Kritischer ist das Internet, in dem zwischen zwei Personen normalerweise per E-Mail kommuniziert wird, obwohl natürlich auch ein Chat, "Instant Messages" oder "Voice over IP" möglich sind. Ursprünglich, in den frühen 90er-Jahren, war die elektronische Kommunikation im Datennetzwerken sogar besonders sicher, weil kommerzielle Firmen und Behörden von ihr schlichtweg keine Ahnung hatten: Wer Texte über Mailboxnetzwerke erhielt, musste nur damit rechnen, dass die angeschlossenen Sysops eventuell mitlasen - kein Problem, wenn man die Beteiligten kannte und ihnen vertraute. Polizei und Staatsanwaltschaften hatten dagegen keinerlei Ahnung - vermuteten deshalb dann aber auch schon einmal das Allerschlimmste: Mit heftigen Razzien, bei denen jedoch nichts herauskam, endete das Mailboxzeitalter auf sehr unangenehme Art.

Heute dagegen läuft alles über das Internet, die Verbindungen können durchaus von Unbekannten belauscht werden, auch wenn es technisch etwas schwieriger ist, als es gewesen wäre, die vergleichsweise spärliche Kommunikation der einstigen Mailboxnetzwerke zu belauschen. Dass Mails deswegen vorzugsweise verschlüsselt verschickt werden sollten, ist hinlänglich bekannt, auch wenn es wegen der Umständlichkeit selten gemacht wird.

Nicht bedacht wird jedoch der Fakt, dass E-Mails nicht nur mitgelesen ("abgehört"), sondern - technisch weit einfacher - schlichtweg komplett abgefangen, also "geklaut" werden können. Hiergegen hilft auch Verschlüsselung nicht, denn sie betrifft nur die Inhalte der E-Mail. Sender und Empfänger sind dagegen immer im Klartext erkennbar und diese sogenannten "Verbindungsdaten" sind auch genau das, auf das die sogenannte "Vorratsdatenspeicherung" abzielt: Wenn bekannt ist, dass ein Geheimdienst-Mitarbeiter eine E-Mail an einen Redakteur des "Focus" geschickt hat, ist es beinahe nebensächlich, was in dieser E-Mail tatsächlich stand - dass es ein Geburtstagsglückwunsch oder eine Einladung zu einem Grillabend war, würde ohnehin niemand glauben...

48780_postkontrolle-ddr-2.jpg

Postkontrolle in der DDR

Neben dem speziellen Informantenschutz der Journalisten gilt ganz allgemein das Brief- und Fernmeldegeheimnis, das im deutschen Grundgesetz Artikel 10 verankert ist und übrigens auch in der Verfassung der DDR ein entsprechendes Äquivalent hatte. Dummerweise gibt es jedoch im Alltag viele Situationen, auf die es gar keine Anwendung findet. Das Brief- und Fernmeldegeheimnis gilt nämlich nur für Briefe, die sich noch auf dem Weg zum Empfänger befinden, also diesen noch nicht erreicht haben und analog folglich nur für elektronische Medien, deren Übertragung noch nicht abgeschlossen ist. Ist der Brief vom Postboten beim Empfänger eingeworfen, so ist der Geltungsbereich von Brief- und Fernmeldegeheimnis erschöpft.

Wer also eine E-Mail im Internet abhört, wer einen Brief am Postamt unter Dampf öffnet, um ihn zu lesen, oder ihn moderner mit Computerunterstützung durchleuchtet, macht sich hier ohne spezielle Genehmigung strafbar. Wird der Brief dagegen erst anlässlich einer Hausdurchsuchung mitgenommen, nachdem er seinen Empfänger bereits erreicht hatte, ist das Briefgeheimnis nicht mehr relevant - die Genehmigung der Hausdurchsuchung reicht aus, alles herumliegende Material mitnehmen und untersuchen zu dürfen, wozu eben auch Briefe gehören. Das gleiche gilt analog für E-Mails, die beim Empfänger angekommen sind und auf dem Computer, sprich: im E-Mail-Programm, gelagert werden. Ob sie vom Empfänger bereits gelesen wurden oder nicht, spielt wie beim Brief keine Rolle.

Problem: Fernmeldegeheimnis schützt E-Mails nur unterwegs

Aus diesen Gründen werden Behörden normalerweise auch die relativ aufwendige und ungern erteilte Erlaubnis zum Abhören, den "großen Lauschangriff", umgehen und stattdessen die wesentlich leichter erreichbare Hausdurchsuchung beantragen. Zumal sich die Beamten auch technisch wesentlich leichter damit tun, eine Computerfestplatte auszuwerten, als Verbindungen im Internet mitzuhören. Geht es um den Zugriff durch Kriminelle oder neugierige Nachbarn, verhält es sich natürlich genau umgekehrt - hier ist das Mithören zwar ebenso verboten wie der Diebstahl, fällt aber weniger auf.

Wer hier auf Nummer Sicher gehen will, muss also entweder seine E-Mail-Verzeichnisse auf der Festplatte verschlüsseln oder aber dafür sorgen, dass die E-Mails gar nicht erst auf seiner Festplatte landen: Solange sie noch beim Provider lagern, gelten sie ja als nicht endgültig zugestellt, dürfen also mit der einfachen Hausdurchsuchungs-Erlaubnis nicht gelesen werden. Was eingehende E-Mails betrifft, kann man dies mit einem Anschluss an den E-Mail-Server per IMAP statt POP3 erreichen: Hier werden dann die E-Mails auf dem E-Mail-Server gelagert und nicht auf den eigenen Computer heruntergeladen. Die ausgehenden, eigenen E-Mails werden allerdings oft auf dem lokalen Rechner gespeichert: Das Speichern eigener E-Mails auf dem IMAP-Server führt bei E-Mails mit größeren Anhängen durch die zweimalige Übertragung - einmal an den Adressaten, einmal an den IMAP-Folder "Sent" - zu deutlichen Verzögerungen.

Ausreichend Speicherplatz beim Provider für den gesamten E-Mail-Verkehr ist natürlich Voraussetzung für IMAP - und eine Flatrate für die Internetverbindung, da die E-Mails in diesem Fall nur "online" gelesen werden können. Und ein zuverlässiger Provider, der nicht ab und zu mal E-Mails verliert oder - noch schlimmer und echt demokratisch - alle Kunden alle E-Mails lesen lässt.

Allerdings ist bei IMAP je nach verwendeter E-Mail-Software und deren Einstellung ("Offline-Betrieb") ziemlich undefiniert, welcher Teil der gespeicherten E-Mail ohne eine Verbindung zum E-Mail-Server noch angezeigt wird. Dateianhänge sind dann ziemlich sicher nicht mehr erreichbar, die Verbindungsdaten und mitunter auch der Klartext-Teil der E-Mails werden jedoch oft im E-Mail-Programm gecacht. Damit ist dann natürlich gegenüber SMTP/POP3 nur wenig gewonnen.

Will man den E-Mail-Verkehr komplett auslagern, ist Webmail sicherer. Diese hat allerdings etliche Nachteile, zu denen die deutlich langsamere Handhabung gehört: alles muss erst geladen und im Browser dargestellt werden, während mit einem richtigen E-Mail-Programm mehrere E-Mails pro Sekunde bearbeitet werden können. Die Vorteile sind dagegen, dass der gesamte E-Mail-Verkehr auch von unterwegs zugänglich ist und auch bei Benutzung von wechselnden Rechnern keine Probleme entstehen: Die E-Mails liegen nicht mehr ständig "auf dem falschen Rechner", sondern im Netz. Und natürlich sind diese E-Mails vor einer Hausdurchsuchung sicher, da sie sich eben überhaupt nicht in den eigenen Räumen befinden. Nach dem Lesen kritischer E-Mails sollte allerdings der Browsercache geleert werden, damit dieser nicht nach dem Mailtext durchschnüffelt werden kann. Lediglich bei verschlüsselter Übertragung ("https:") unterlassen Webbrowser üblicherweise das Ablegen von Kopien der Daten im Browsercache.

Passwort geheim halten

Es ist wichtig, dass auch das Passwort zum Abruf der E-Mails geheim gehalten werden muss und auch nicht im Web-Browser gespeichert sein darf. Wenn die Behörden über ein gespeichertes Passwort doch den Zugriff erlangen, verstoßen sie zwar gegen das Gesetz, was ihnen in diesem Moment möglicherweise gar nicht klar ist, aber dann ist das Malheur bereits passiert.

Ist der bei der Hausdurchsuchung beschlagnahmte Rechner mit dem Internet verbunden und die E-Mail-Software im Falle von POP3-E-Mailzugriff mit gespeichertem Passwort auf regelmäßige Abholung beispielsweise alle 10 Minuten programmiert oder im Falle von IMAP das Passwort im Programm gespeichert, dann werden die Behörden nach dem Anschluss des Geräts ans Internet auch neue E-Mails automatisch angezeigt bekommen und sich über das Überschreiten ihrer Genehmigung gar nicht im Klaren sein, da sie den E-Mail-Abruf gar nicht bewusst ausgelöst haben.

Haben Kriminelle die Hardware entwendet, sind die Folgen völlig unabsehbar. Wenn allerdings wie bei Mozilla die Passwörter durch ein Masterpasswort gesichert sind oder manuell eingegeben werden müssen, entfällt diese Falle.

Schwieriger ist es, bei Webmail die Verschlüsselung der Übertragung selbst sicherzustellen, was sehr wichtig sein kann, weil auch die Verbindung vom Webmail zum lokalen Browser abgehört werden kann, beispielsweise vom Betreiber eines Internetcafes oder im Falle von WLAN von einem Nachbarn oder einem Mitlauscher im Auto vor der Tür. Wer regelmäßig Webmail nutzen will, sollte sich also einen Provider suchen, der verschlüsselte Webmail erlaubt. Nutzt man hierzu lokal auf dem Rechner gespeicherte Verschlüsselungssoftware wie PGP, entstehen leicht zwangsweise lokale, unverschlüsselt Kopien der E-Mails und man hätte sich den ganzen Aufwand auch gleich sparen können.

Web.de ist hier eine mögliche Lösung: Hier erfolgt der Webmailzugriff selbst verschlüsselt und es ist auch möglich, verschlüsselte E-Mails zu erzeugen und zu versenden, jedoch nicht PGP-kompatibel. Hiermit schützt man dann auch den Empfänger. Ein bezahlter Web.de-Account bietet unbegrenzten Speicherplatz, sofern dieser im Rahmen der üblichen Nutzung nach und nach belegt wird. Man kann also sein gesamtes E-Mail-Archiv dort hinterlegen - und hoffen, dass es dort auch sicher ist. Auch der Spamfilter ist in der bezahlten Version nützlich, nur der Bildschirmaufbau ist mitunter ziemlich zäh - vor allem auf älteren Rechnern entstehen sekundenlange Browser-Blockaden - und für Leute, die täglich Hunderte von E-Mails bekommen, definitiv nicht akzeptabel. Dann ist Webmail allerdings generell kein Vergnügen.

Mit Freenigma sind auch einige andere Webmailprovider verschlüsselt nutzbar, momentan sind dies Google Mail, Yahoo Mail, Hotmail/MSN, Web.de und GMX. Die Entschlüsselung soll nur im Web-Browser ablaufen, welcher in diesem Fall Firefox sein muss, es sollen also keine Klartextdateien auf dem Computer zurückbleiben. Allerdings kann Freenigma nicht auf klassische öffentliche PGP-Schlüssel zugreifen, sondern versucht, die möglichen Kommunikationspartner eigenständig zu verwalten. Es kann also nur mit anderen Nutzern von Firefox, einem der unterstützten Webmailprovider und Freenigma selbst korrespondiert werden - schon mit Mozilla, der "Vollversion" des Firefox-Browsers mit E-Mail-Client, ist nichts mehr zu machen, ein E-Mail-Austausch mit "normalen" PGP- oder GPG-Nutzern ist nicht möglich.

Nun ist eine Hausdurchsuchung bei aller berechtigten Angst angesichts der neuen geplanten Gesetze wie der von Wolfgang Schäuble geforderten "Online-Festplattendurchsuchung" doch noch eine ausgesprochene Seltenheit und wird normalerweise nicht leichtfertig ausgesprochen. Wer keine krummen oder zumindest auffälligen Dinge macht, sollte sie somit eigentlich nicht erleben.

Allerdings wird - auch infolge falscher Beschuldigungen - natürlich auch mal jemand von einer Hausdurchsuchung beglückt, bei dem absolut kein Anlass gegeben war. Auch wenn sich auf seinem Computer dabei nichts findet, das die Behörden nicht wissen dürfen, so wird der Zugriff der Behörden doch als schwerer Einschnitt in die Privatsphäre empfunden, vergleichbar einem Einbruch. Also wird auch der, in dessen E-Mails sich nur prinzipiell harmloser Privatkram findet, peinlich berührt sein, wenn nun die Behörden ungewollt über sexuelle Wünsche der Wochenendbeziehung oder eine außereheliche Affäre Bescheid wissen.

Natürlich wird selbst der deutsche Geheimdienst normalen Bürgern hieraus kaum einen Strick drehen, sofern dabei keine Gesetze gebrochen wurden (beispielsweise durch unzulässige Verbreitung von Pornografie), aber die persönliche Verletzung nach einem solchen Eingriff bleibt. Wer andererseits wirklich "Dreck am Stecken" hat, bei dem wird die Hausdurchsuchung selbstverständlich umgehend auf den Provider erweitert. Es geht hier also nur um die Vorbeugung gegen "Zufallsfunde" oder persönliche Peinlichkeiten, nicht um eine Anleitung für Kriminelle.