Startseite

Worum geht es technisch?

1. Integrität / Authentizität (= man kann nachweisen, dass die Mail vom behaupteten Absender stammt)

2. Vertraulichkeit (= nur die beabsichtigten Empfänger können die Mail lesen)

Beides wird wohl von den meisten E-Mail-Nutzern einfach vorausgesetzt (siehe die "Erfolge" von Computerkriminalität), obwohl es dazu wenig Grund gibt.

Integrität / Authentizität

Eine normale E-Mail, die Sie bekommen, ist im Grunde nur eine einfache Textdatei (oder HTML-Datei), die Sie sich auch selber geschrieben haben könnten. Oder jeder andere.

• heikle E-Mails

  Bei manchen Mails ist unmittelbar offensichtlich, dass es von großer Bedeutung ist, ob sie echt sind oder nicht: Wenn eine Mail danach aussieht, dass sie von ihrer Bank kommt oder eine Mahnung von einem Unternehmen ist, bei dem Sie Kunde sind. Das sind gängige Methoden von Computerkriminellen, um Ihnen Schadsoftware unterzuschieben und/oder Zugangsdaten (z.B. für Onlinebanking) von Ihnen zu erschleichen.

• geschäftliche E-Mails

  Etwas per E-Mail zu bestellen bzw. auf eine E-Mail-Bestellung hin zu liefern, ist zumeist eine heikle Angelegenheit, weil eben nicht nachgewiesen werden kann, dass die Mail vom behaupteten Absender stammt oder von ihm mit dem behaupteten Inhalt verfasst wurde. Auch wenn das für den Kunden zunächst vorteilhaft klingt, sollten wir alle ein Interesse daran haben, dass wir E-Mail jedenfalls fallweise auch in verlässlicher Weise nutzen können.

• Prävention gegenüber Missbrauch der eigenen Adressse

  Wenn irgend jemand Sie ärgern will und unter Ihrem Absender unerfreuliche Mails an Ihre Freunde, Kollegen oder Geschäftspartner schickt, wird es für Sie schnell unerfreulich, ohne dass Sie viel dagegen tun können. Wer möchte schon in eine permamnente Erklärungssituation Diese E-Mail war wirklich von mir, die andere nicht geraten. Mal ganz abgesehen davon, dass manch ein brüskierter Empfänger sich gar nicht erst deswegen meldet.

  Ebenso ist möglich, dass jemand versucht, dass Vertrauen anderer Ihnen gegenüber auszunutzen, indem er so tut, als wäre er Sie. Sei es für Social Hacking, sei es, um den (wegen des vermeintlich vertrauenswürdigen Absenders wenig misstrauischen) Empfängern Schadsoftware unterzujubeln.

Es gibt mehrere Möglichkeiten, diesem Problem zu begegnen. Diese sind unterschiedlich sicher, unterschiedlich komfortabel, unterschiedlich universell einsetzbar und erfordern unterschiedlich viel Fachkenntnis.

Die sicherste Methode, die Sie außerdem unabhängig davon macht, welchen Mailprovider Sie und Ihr Kommunikationspartner nutzen und grundsätzlich mit allen Mailsystemen genutzt werden kann (allerdings nicht ohne Einschränkungen mit allen Mailprogrammen oder Webmail), ist das kryptografische (d.h. technisch sichere) Signieren von E-Mails:

Screenshot der Anzeige einer unsignierten Mail:

Screenshot der Anzeige einer signierten Mail:

Etwa so sehen die (normalerweise nicht angezeigten) Header einer E-Mail aus: Return-Path: hauke@laging.de Received: from moutng.kundenserver.de ([212.227.17.8]) by mx-ha.gmx.net (mxgmx001) with ESMTP (Nemesis) id 0LztLP-1UCWTV3ahH-014ypH for <haukelaging@gmx.de>; Sun, 23 Jun 2013 20:48:22 +0200 Received: from moutng.kundenserver.de (moutng.kundenserver.de [212.227.17.9]) by mx.kundenserver.de (node=mxeu5) with ESMTP (Nemesis) id 0MQ5l1-1UuPxt2r9X-004h9J for hauke@laging.de; Sun, 23 Jun 2013 20:48:22 +0200 Received: from [...] by mrelayeu.kundenserver.de (node=mrbap1) with ESMTP (Nemesis) id 0M1zHn-1U1Trx16eB-00tSBF; Sun, 23 Jun 2013 20:48:22 +0200 From: Hauke Laging <hauke@laging.de> To: Hauke Laging <hauke@laging.de> Subject: Testmail Date: Sun, 23 Jun 2013 20:48:20 +0200 Message-ID: <1445296.d6XXg6EFbC@inno.berlin.laging.de> User-Agent: KMail/4.10.2 (Linux/3.7.10-1.11-desktop; KDE/4.10.2; x86_64; ; ) MIME-Version: 1.0 Content-Transfer-Encoding: 7Bit Content-Type: text/plain; charset=us-ascii

Es ist unmittelbar einsichtig: Für bereits konfigurierte Kommunikationspartner ist die Prüfung, ob die Mail authentisch ist, trivial. Um Größenordnungen einfacher, als sich statt dessen die Mailheader anzusehen und daraus Anhaltspunkte gewinnen zu wollen. Das Konfigurieren von Kommunikationspartnern ist nicht trivial, aber wichtige Kommunikationspartner kommen bei den meisten Leuten nur selten hinzu, so dass es machbar ist, sich dabei jedes Mal helfen zu lassen.

Was für diese Prüfung im Hintergrund abläuft, ist technisch einigermaßen kompliziert, aber das braucht den Anwender nicht zu interessieren. Wenn Ihr Mailprogramm die Mail grün macht, ist alles OK (es sei denn, der vermeintliche Absender wurde gehackt...). Das Einzige, was Sie aus eigener Kraft schaffen müssen: Bemerken, dass eine Mail nicht grün ist (also ggf. keine Farbmarkierung hat).

Vertraulichkeit

Hey, Annika,

vielleicht hast Du es ja schon gemerkt, ich stehe auf Dich...

-----BEGIN PGP MESSAGE-----
Version: GnuPG v2.0.19 (GNU/Linux)
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=l+CZ
-----END PGP MESSAGE-----

Und wie kompliziert ist das nun?

Entscheiden Sie selbst:

Sie haben bei jeder Mail die Auswahl, ob Sie sie ganz normal verschicken wollen oder aber nur signieren, nur verschlüsseln oder sowohl signieren als auch verschlüsseln. Sie können geeignete Mailprogramme so einstellen, dass sie automatisch alle Mails signieren. Sie können für jeden Empfänger festlegen, was standardmäßig gemacht werden soll (z.B. an bestimmte Leute alles verschlüsseln).