Digitales

E-Mail, Dropbox, Evernote: Verschlüsselung jetzt!

Verschlüsselung von E-Mails

Verschlüsselung von E-Mails ist einfacher, als geglaubt. Und wichtiger, als angenommen. Und trotzdem macht es niemand. Warum?

Viele Affären werden aufgedeckt, weil elektronische Kommunikation nicht verschlüsselt ist. Sei es die klassische SMS, die Whatsapp-Mitteilung (bis vor kurzem) oder eben die E-Mail. Und mit „Affäre“ ist nicht nur die Affäre zwischen zwei home sapiens gemeint, sondern auch die in der Politik, im Bankenwesen, in Unternehmen.

Früher wurden Skandale aufgedeckt, weil Informanten ein als vertraulich eingestuftes Papier heimlich auf dem Kopierer vervielfältigt haben, weil ein Insider erzählt hat, was hinter verschlossenen Türen passiert ist oder weil schlicht und einfach abgehört wurde. Und heute? Heute muss ich mir eigentlich nur noch Zugang zu den Clouddiensten oder der Mailbox der Zielperson verschaffen. Und im wahrscheinlichsten Fall, bekomme ich alle Informationen, die mir für was auch immer wichtig erscheinen.

Sensible Daten – Welche Daten verschlüsseln?

Welche Daten verschlüsselt werden müssen, das liegt wohl bei jedem Einzelnen selbst. Ich würde mir die Frage stellen: Welche meiner Daten soll niemand (!) anderes sehen können. Früher, als sich die persönliche Geheimhaltung noch auf das Tagebuch und den Inhalt der Geldkassette oder des Haustresors beschränkte, war das wohl noch einfacher zu beantworten. Aber heute geht es doch um viel mehr Informationen, die in digitaler Form vorliegen; und um die wir uns selbst kümmern müssen. Patientendaten, Steuererklärungen, Liebesbriefe, Liebes-eMails, Bewerbungen, Zugangsdaten, Korrespondenz mit Behörden … alles digital. Wenn überhaupt, so ist das bei den Menschen in meiner Umgebung und bei mir selbst, dann wurde früher ausgedruckt und abgeheftet. Und heute landet das alles in der Cloud oder bleibt als E-Mail im Postfach liegen.

Was für Dokumente gilt, gilt auch für die Korrespondenz. Früher, da konnte (musste) man sich vis-a-vis unterhalten und geheime oder nicht so geheime Informationen austauschen. Dank Briefgeheimnis dürfte auch niemand die Post anderer Menschen lesen. Das hat mir schon meine Mutter beigebracht.

Das Briefgeheimnis gilt übrigens immer noch. Nicht einmal die Polizei oder die Staatsanwaltschaft darf verschlossene Briefe öffnen. Das darf nur ein Richter. Was jedoch für Briefe gilt, gilt noch lange nicht für elektronische Briefe, sprich E-Mails. Es ist hier nach wie vor strittig, ob sie unter das Briefgeheimnis fallen. Wahrscheinlich nicht, sondern eher unter das Fernmeldegeheimnis. Und da sieht es mit dem Verbot des Mitlesens schon wieder ganz anders aus. 2010 wurden 37.292.862 E-Mails und Datenverbindungen von den deutschen Geheimdiensten mitgelesen – fünfmal mehr als 2009. Das war vor sechs Jahren. Weniger sind es seitdem bestimmt nicht geworden.

Mir es dabei nicht darum, ein Horroszenario aufzubauen. Mir geht es erstmal nur um meine eigenen Daten (beruflich wie privat) und um meine Korrespondenz (ebenso). Ich habe für mich ein System entwickelt, nach dem ich meine Daten kategorisiere und verschlüssele (oder eben nicht).

Kategorie A: Immer verschlüsselt

Hierunter  fallen alle Daten, die wirklich niemanden etwas angehen. Dabei geht es um sehr Persönliches, um Finanzen und um alles, was mir unangenehm wäre, wenn es in andere Hände gelangt. Diese Daten sind immer (!) und auf allen (!) Endgeräten verschlüsselt.

Kategorie B: Meistens verschlüsselt

Hierunter fallen die Daten, die nicht jeder kennen oder wissen muss. Demnach sind sie meistens verschlüsselt. Meistens? Nun, wenn solche Dokumente zum Beispiel ausgedruckt im Büro im Regal stehen, dann kann die Putzfrau auch darin schmökern. Soll sie tun. So schlimm ist das dann auch wieder nicht. Aber sollte jemand x-bliebiges in meinen PC einbrechen, dann muss er das vielleicht nicht lesen. Also: verschlüsselt.

Kategorie C: Nie verschlüsselt

Rezept für überbackenen Spargel, das Sterbebild meiner Großeltern, meine Anlagestrategie in Aktien für die kommenden Jahre. Muss keiner lesen. Wenn er aber unbedingt will, dann soll er halt.

Je nachdem, unter welche Kategorie meine Daten fallen, entscheide ich mich für oder gegen eine Verschlüsselung und auch für oder gegen eine Speicherung in bestimmten Clouddiensten. Daten der Kategorie A würde ich NIE, NIEMALS, NEVER EVER bei Evernote speichern. Auch nicht, wenn die Dateien verschlüsselt sind. Denn wenn mir die Daten so unglaublich wichtig sind, dann brauche ich sie auch nicht via Evernote immer mit mir rumzutragen.

Die Sicherheitslücke sitzt vor dem PC

Die größte Sicherheitslücke sitzt immer vor dem Computer. Als wir vor ein paar Jahren mal eine geleakte Liste mit Passwörtern in der Firma rumgereicht haben, die im Netz für Brute-Force-Angriffe genutzt wurde, waren viele Kollegen und Mitarbeiter erstaunt, dass die eigenen Kennwörter in der Liste auftauchen. „Aber ich war mir so sicher …“

Ein sicheres Kennwort für den eigenen PC, eine Passphrase und der vernünftige Umgang mit der technischen Einrichtung sind die wesentlichen Faktoren für Datensicherheit. Heißt das Kennwort „hallo“ oder klebt unter der Tastatur, dann nutzt mir auch die beste Verschlüsselung in der Cloud nichts, da die Daten ja auf dem PC selbst oft nicht mehr verschlüsselt sind.

Aus meiner Sicht spricht überhaupt nichts dagegen, in allen Diensten das gleiche (sichere!) Kennwort zu verwenden, wenn

Verschlüsselung in der Cloud

Viele meiner Daten speichere ich zum Beispiel bei Evernote oder in der Dropbox. Beide bieten von Haus aus keine oder quasi-keine Verschlüsselung an. Warum eigentlich nicht? Beide Dienste verfügen über eine Weboberfläche, die ich (abgesehen von 2FA) einfach mittels E-Mail-Adresse und Kennwort einsehen kann. Und dort liegen dann alle Daten (standardmäßig) unverschlüsselt auf irgendeinem Server – wer darauf außer dem Anbieter selbst noch Zugriff hat, das entzieht sich meiner Kenntnis.

Je nachdem welche Daten dort liegen, kann die Verschlüsselung per se schon interessant sein. Daher speichere ich in Evernote schon mal grundsätzlich keine sensiblen Daten (Kat. A). Und halb-sensible Daten (Kat. B) verschlüssele ich mit Evernotes interner Funktion. Die verschlüsselt jedoch nur Notiz für Notiz, was die Nutzung ein wenig umständlich macht.

Dropbox dient mir als Allround-Datenspeicher. Fotos, Filme, Geschäftspapiere, persönliche Korrespondenz, Kontoauszüge. Ich speichere Daten aller Kategorien in der Dropbox. Deswegen nutze ich auf der einen Seite auf die 2-Faktor-Authentifizierung. Daten der Kategorien A und B verschlüssele ich mit dem Tool Boxcryptor. In der Privatanwender-Version ist Boxcryptor kostenlos und verschlüsselt die Dateien in der Dropbox. Boxcryptor integriert sich dabei in das Betriebssystem und mappt entweder einzelne Verzeichnisse der Dropbox oder den gesamten Inhalt als eigenes Laufwerk. Zwar sind die Dateinamen noch lesbar und man kann somit auf den Inhalt schließen. Wer aber den Schlüssel nicht kennt, kann den Inhalt nicht lesen.

Verschlüsselung von E-Mails

Absolut unverständlich finde ich, dass die Menschen in meiner Umgebung nicht über verschlüsselte E-Mails korrespondieren. Wegen WhatsApp ging ein #aufschrei durch den Äther, weil die Verabredungen zum Kaffee oder verschickte Pornobildchen nicht verschlüsselt waren und User sind scharenweise zu Threema abgewandert. Und per E-Mail verschicken die Menschen Angebote, Verträge, Geheimhaltungsvereinbarungen (sic!), Zahlen, Finanzen, Daten und Fakten. Alles und immer unverschlüsselt.

Warum tun die Menschen sowas? Es geht ja letztlich nicht nur darum, dass Geschäftsdaten mitgelesen werden können. Schlimm genug. Im Grunde kann jeder jede elektronische Kommunikation mitlesen, filtern, aufbewahren. Das ist kein Endzeitszenario, das ist Fakt. Seit die Freifunker ihre Netze über deutsche Innenstädte spannen und jeder jederzeit über ungesicherte Hotspots im Internet unterwegs ist, können immer mehr Daten abgefangen werden. Ich brauche als Interessierter doch nur in meiner Wohnung in der frequentieren Innenstadt einen Hotspot mit dem Namen „Free WLAN“ einzurichten und warten, bis die Daten sprudeln. Oft ist alles mitlesbar: E-Mails, URL vom Homebanking, übertragene Daten und und und. Oder ich setze mich in ein hippes Café, warte auf einen digitalen Nomaden und schaue mal, wem der alles so schreibt. Das kann ich nach dem Gieskannenprinzip machen oder auch ganz gezielt, wenn mich die Informationen einer bestimmten Person interessieren.

Und auf dem heimischen PC gilt das gleiche. Der PC steht im Wohnzimmer, ist nicht gesichert und alles ist für jeden einsehbar und lesbar. Das Handy liegt im Restaurant auf dem Tisch, man geht kurz zur Toilette: alles einsehbar. Das Notebook bleibt im Zug liegen: alles schon gehabt. Die E-Mails liegen beim Provider auf dem Server: alles einsehbar (und von der Polizei auch beschlagnahmter!). Dabei ist es so einfach, die eigenen Daten vor den Blicken Dritter zu schützen.

Viel schlimmer, als das Mitlesen von elektronischer Kommunikation ist das Verändern. Haben Sie sich schon einmal Gedanken gemacht, was passieren würde, wenn ein Mitlesender „Man in the Middle“ Ihre E-Mails verändern würde, bevor sie beim Empfänger ankommt? Kaum jemand geht davon aus, dass das, was er in E-Mails liest, nicht auch genauso geschrieben wurde. Nicht auszudenken, wohin das führen könnte. Der Gegenbeweis ist quasi unmöglich zu erbringen.

E-Mails mit PGP verschlüsseln

Die Verschlüsselung von E-Mails ist denkbar einfach einzurichten. Und in der täglichen Nutzung macht es keinen (!!!) Unterschied, zum unverschlüsselten Mailen. Die Einrichtung eines eigenen PGP-Schlüssels und die Installation der entsprechenden Software nehmen keine zehn Minuten in Anspruch. Eine gute (bebilderte) Anleitung gibt es zum Beispiel bei netzpolitik.org (Anleitung: so verschlüsselt ihr eure E-Mails mit PGP) oder bei TenderApp speziell für den Mac. Mit wenigen Handgriffen könnte die Freundin, der Nachbar, der Arbeitgeber oder Staat und Ermittlungsbehörden nicht mehr mitlesen.

Das Prinzip ist dabei ganz einfach: Der Absender verschlüsselt den Mailinhalt (automatisch) mit dem öffentlichen Schlüssel des Empfängers. Und der Empfänger öffnet die verschlüsselte E-Mail mit seinem geheimen Entschlüsselungsschlüssel. Alles, was dazwischen liegt und mitlesen möchte, kann das aber nicht, weil der Entschlüsselungsschlüssel fehlt.

Gut, Kritiker werden jetzt sagen, dass der Staat, wenn er denn mitlesen will, das auch irgendwie schaffen wird und sei es, indem er auf dem PC des Empfängers „einbricht“. Könnte sein, aber sicherlich 99,9% aller unaufgeforderten Mitleser kann man auf diesem Weg ganz einfach von der eigenen Kommunikation ausschließen.

Und die Politik: schweigt stille.

Die Politik sagt nichts. Natürlich nicht, denn gerade die Politik hat ja ein erhebliches Interesse daran, dass die Bürger ihre Kommunikation eben nicht verschlüsseln. Zumindest nicht, wenn er (der Staat) nicht mitlesen kann! Vorratsdatenspeicherung, Rasterfahndung, Datenbankaufbau, Zusammenarbeit (=Datenaustausch) von Geheimdiensten: Die beste Währung unserer Zeit ist die Information. Egal, wie wir an sie gekommen sind. Da braucht es keine Agenten mehr, die Dokumente kopieren und schmuggeln, da braucht es nur sorglose Bürger, die sich lieber über den Datenschutz bei Facebook & Co. echauffieren, anstatt Überwachungssoftware, die alles mitlesen kann. Gut für den Staat. Der wird sich hüten und den Bürgern raten, besser auf ihre Daten aufzupassen. Das machen die Datenschutzbeauftragten natürlich auch nicht. Ein Schelm …

Facebook macht es vor!

Verschlüsselung von E-Mails einzurichten ist viel einfacher, als man zuweilen denkt. Der obigen Anleitung muss man folgen und damit hat man schon mal den ersten Schritt gemacht. Oder das untenstehende Video anschauen – geht auch! Man generiert einen öffentlichen und einen privaten Schlüssel und schon kann es losgehen mit der geheimen Kommunikation.

Das funktioniert übrigens nicht nur beim klassischen Mailversand. Facebook macht es vor (ja, Facebook!). In den eigenen Einstellungen (unter Kontaktinformationen) kann man seinen öffentlichen Schlüssel ebenfalls hinterlegen. Fortan bekommt man alle E-Mails von Facebook ausschließlich verschlüsselt. Zusätzlich kann man den hinterlegten Schlüssel hier auch öffentlich zum Download hinterlegen und so verbreiten.

Gleiches wäre zum Beispiel auch in Onlineshops, beim Homebanking, für Newsletter-Versender oder in anderen sozialen Netzwerken als Option denkbar. Nicht jeder muss wissen, was ich online einkaufe, meine Kontoauszüge mitlesen oder meine Status-Mitteilungen von Twitter&Co. mitlesen. Das einzige, was die Diensteanbieter im Netz machen müssten: Dem Beispiel von Facebook folgen. Es könnte so einfach sein!

Verschlüsselung jetzt!

Verschlüsselt! Eure! Daten! JETZT!
Verschlüsselt Eure Daten auf dem heimischen PC, verschlüsselt Eure Daten in der Dropbox, in Evernote und allen anderen Cloud-basierten Diensten und, um Himmels Willen, verschlüsselt endlich Eure E-Mails. Es wird höchste Zeit, alle Unbefugten von der persönlichen Kommunikation auszuschließen!

Und übrigens: Auch mir kann man verschlüsselt schreiben. Meinen öffentlichen PGP-Key gibt es auf meiner Webseite, bei Facebook und in der Signatur jeder E-Mail, die ich verschicke. Schade nur, dass so wenige andere ihre Kommunikation vor den Blicken Dritter schützen!

 

 

 

Ergänzung vom 06.03.2017: Volksverschlüsselung

Um das Thema rund zu machen, hier noch ein kleiner Hinweis auf eine externe Quelle. Karsten Schramm schrieb vor einiger Zeit einen Kommentar, warum die vom Fraunhofer Institut und der Telekom entwickelte Volksverschlüsselung keine Alternative zu PGP/GPG ist. Lesenswert: https://klartext.unverschluesselt.net/volksverschluesselung/

Tobias Kollewe ist Gründer und Geschäftsführer des CoworkingCampus, Unternehmensberater mit Fokus Coworking und Flexibles Arbeiten bei cnsult.io und Vorstandsmitglied im Bundesverband Coworking Deutschland.

Tagged: , , ,

2 Comments

  1. Hallo Tobias,
    ich habe mich bisher – trotz guter fachlicher Betreuung durch Euch – um das Thema Verschlüsselung gedrückt. Wohlwissend, dass eigentlich…und der Kundendaten wegen….und wegen der Nutzung der verschiedensten Clouds …
    Gerade mit Evernote und Dropbox per Boxcryptor fertig geworden und: tip top!
    Emails kommen dann morgen. Oder so.
    Danke für die detaillierte und genaue Anleitung.
    Gruß Marietheres

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .