Archiv

Archive for Juli 21, 2009

Twitter-Hack zeigt, warum man Emails verschlüsseln sollte

Email-Kontent können gehackt werden – wenn nicht bei einem selbst, dann eventuell bei Kommunikationspartnern. Die beste Methode um sich davor zu schützen ist es Emails zu verschlüsseln. Der neueste Twitter-Hack zeigt das sehr deutlich. Selbst in großen Unternehmen,(=Organisationen) und Behörden ist es offenbar noch unüblich, Emails zu verschlüsseln. Gerade dort aber wäre es sehr einfach.

Gerade in Organisationen kann man da vieles organisieren, wie z.B.:

  1. Für jeden Mitarbeiter schon bei Eintritt in der Organisation eine Verschlüsselung organisieren, z.B. mit GnuPrivacyGuard oder S/MIME.
  2. Evt. wichtige internen Emails im Unternehmen zusätzlich zum Empfänger auch für eine zentrale Instanz  verschlüsseln, so dass im Zweifelsfall interne Emails des Unternehmens wieder gelesen werden können. Klassischer weise also Emails an mehrere Empfänger. Ansonsten besteht die Gefahr, das wichtige Informationen für immer verloren gehen.
  3. Grundsätzlich natürlich dazu ermuntern oder durch Schulungen und Installationshilfe die Verwendung der Verschlüsselung sicherstellen. Bei Thunderbird+Enigmail kann man z.B. pro Empfänger festlegen, das dieser IMMER verschlüsselte Emails bekommt.

Diese Vorgehensweise bedeutet dann, das bei einem geknackten Email-Konto viele wichtige Informationen nicht lesbar sind. Ein Angreifer kann zwar ohne weiteres die verschlüsselten Emails im Quellcode lesen – aber nicht im Klartext, dazu fehlen im zwei Komponenten:

  1. Der private Schlüssel des Kontoinhabers
  2. Das Schlüsselpasswort

Nur wer beides kennt, bzw hat kann die Emails auch entschlüsseln. Dies ist keine 100%ige Sicherheit – kann aber viele gängige Attacken verhindern.

Und denkt daran, das selbst wenn euer Konto sicher ist: Das von euren Kontakten eventuell nicht. Daher: Versucht in euren Organisationen Verschlüsselung zentral zu etablieren – und auch in lockeren Zusammenhängen und im privaten Kreis macht das Sinn. Zum einen zeigt der Fall Twitter, dass auch im Privaten viele Details versteckt sind, die nicht veröffentlicht gehören. Und übrigens deckt sich die Verwendung von Verschlüsselung nicht mit der Verwendung von Webmail. Denn den privaten Schlüssel legt man natürlich nicht auf einem Server ab. Man kann den privaten Schlüssel auch auf einem USB-Stick am eigenen Schlüsselbund mit sich führen um ggf. von unterwegs auch mal von fremden Rechnern aus Emails zu entschlüsseln. Dieser USB-Stick sollte aber nicht für andere Daten benutzt werden. Auch hier ist Vorsicht angesagt.

Zum Schluss noch: Man kann Sicherheit beliebig weit fassen. Ich vertrete die Auffassung, das es bei Email-Verschlüsselung vor allem wichtig ist, das Leute überhaupt damit anfangen. D.h. man sollte nicht zu viele wenn schon, denn schon-Regeln aufstellen. Weil dann die Leute es weiterhin gar nicht benutzen. Leute sind vermehrt bereit ihre  Emails zu verschlüsseln, wenn der Aufwand absehbar ist. Man kann dann gerne einige Tips geben – und je mehr sie wissen, desto besser gehen sie mit der Technologie um. Aber bitte baut keine Mauern um die Verschlüsselung auf! Was im Moment das wichtigste ist, ist das möglichst viele Leute Verschlüsselung nutzen.

Emails signieren, ist noch mal ein eigenes Thema, das ich nichzt so wesentlich finde. Es hat seinen Nutzen, erfordert aber ein anderes Vorgehen und andere Begründungen. Daher nicht an dieser Stelle.

Follow

Erhalte jeden neuen Beitrag in deinen Posteingang.

Schließe dich 118 Followern an