Eigentlich sollte es im Jahr 2016 zur Allgemeinbildung gehören, dass normale E-Mail-Nachrichten de facto keine Sicherheit bieten - und trotzdem setzen sich Verschlüsselungstechniken für E-Mail-Nachrichten nach wie vor nur langsam durch. Erst im Januar dieses Jahrs zog der Digitalverband Bitcom aufgrund einer repräsentativen Umfrage den pessimistischen Schluss, dass die Verschlüsselung von E-Mails nur langsam vorankommt. Während IT-Profis sich durchaus für den Einsatz von Lösungen wie PGP auch in der Form der Freeware GPG4win erwärmen können, ist das den meisten Anwendern zu aufwändig oder zu kompliziert.

Wir erläutern in diesem Artikel zunächst die Hintergründe dieser Problematik und stellen dann einige Online-Lösungen vor: Provider, die sichere E-Mail "as a Service" direkt aus der Cloud zur Verfügung stellen.

Sicherheitsprobleme

Die Unsicherheit der mit SMTP (Simple Mail Protocol) versendeten Nachrichten liegt nicht zuletzt daran, dass dieses Protokoll bereits vor über 30 Jahren im Jahr 1982 mittels eines RFCs (Request for Comments) zum Standard wurde - zu einer Zeit, als sich Entwickler und Nutzer noch wenig Gedanken über Sicherheit und Verschlüsselung machten.

1995 wurde das Protokoll dann durch Extended SMTP (ESMTP) im RFC 1869 erweitert und die Entwickler konnten eine Verschlüsselung über SSL/TLS (Secure Sockets Layer/Transport Layer Security) einarbeiten. Dank dieser Erweiterung ist die Vertraulichkeit der Nachricht beim Transfer während der Übertragung zum Mail-Server gesichert. Alle bekannten großen und in der Regel auch kleinen Provider in Deutschland nutzen heute diese Protokolle.

Wer sich allerdings die Mühe macht, den Netzwerkverkehr daheim oder auch im Netzwerk der Firma mit einem Sniffer-Programm wie beispielsweise WireShark zu durchleuchten, wird noch mehr als genug Übertragungen finden, bei denen es möglich ist E-Mail-Nachrichten bequem im Klartext mitzulesen. Das liegt häufig daran, dass immer noch das POP-Protokoll (Post Office Protocol) in der (immer noch gültigen!) Version 3 zum Abholen der Nachrichten vom Mail-Server verwendet wird. Standardmäßig rufen Clients, die dieses Protokoll einsetzen, die Nachrichten völlig unverschlüsselt ab. Dadurch, dass die meisten Provider in Deutschland inzwischen auch bei POP3-Accounts SSL/TLS verwenden, hat sich dieses Problem verringert. Trotzdem in diesem Zusammenhang der Tipp: Verwenden Sie nach Möglichkeit das IMAP-Protokoll (Internet Messaging Access Protocol), das in der aktuellen Version schon standardmäßig einen Verschlüsselungsalgorithmus verwendet.

Verräterische Metadaten

Schließlich empfehlen Experten häufig die händische Verschlüsselung der Daten mittels einer Lösung wie VeraCrypt oder ArchiCrypt Live gefolgt von anschließender Übersendung der verschlüsselten Container-Dateien. Damit rückt jedoch ein weiteres Problem, das erst durch die Enthüllungen von Edward Snowden und die NSA-Affäre so richtig publik wurde, ins Scheinwerferlicht. Die Kommunikation via E-Mail hinterlässt noch ganz andere Spuren: die sogenannten Metadaten. Keine der Verschlüsselungsmöglichkeiten kümmert sich darum, dass die Daten aus dem E-Mail-Header - also beispielsweise wer hat wann eine Nachricht an wen geschickt, wie oft hat er diesen Nutzer per Mail kontaktiert und so weiter -ebenfalls entsprechend geschützt sind. Wer nun meint, die Daten der Felder Absender, Empfänger, CC sowie der Zeitstempel der Nachrichten seien nicht interessant, sollte mal einen Blick auf die Seite des MIT (Massachusetts Institute of Technology) werfen. Dort wird unter der URL: https://immersion.media.mit.edu eine Web-Anwendung mit dem Namen "immersion" online zur Verfügung gestellt. Wer ein E-Mail-Konto von Google oder Yahoo beziehungsweise einen Exchange-Server verwendet, kann dann direkt sehen, was seine Metadaten so zeigen. Es stehen auch Demodaten bereit, für die Nutzer, die kein solches Konto besitzen oder ihre Daten dort nicht eingeben möchten. Die Ergebnisse sind beeindruckend und zeigen in der Übersicht recht genau, mit wem der Anwender kommuniziert hat und in welcher Verbindung er zu seinen Kontakten steht.