eMail Verschlüsselung denn eine eMail ist nur eine Postkarte

signierte und verschlüsselte eMail Kommunikation

email-verschlüsselung-smime

Ein altes Projekt aus Anfang 2007 möchte ich Ihnen hier vorstellen und ein Fazit ziehen, wo wir heute ca. 12 jahre später stehen.

Was eMails bisher fehlte, ist jetzt da: Die digitale Signatur !

In früheren Epochen wurden Briefe mit einem Wachssiegel versehen, um dem Empfänger die Gewissheit zu geben (bei ungebrochenem Siegel), dass der Inhalt weder verändert, noch der Brief von Unbefugten geöffnet wurde.

Das Pendant zum Brief ist heute eine eMail - nur, dass dieser Post die Sicherheit des Wachssiegels fehlt. Dadurch ist jede eMail so ungeschützt, lesbar und manipulierbar wie eine Postkarte. Mehr noch!

Weder Sie noch der Empfänger können sicher sein, dass die eingehenden eMails wirklich authentisch sind und nicht verändert wurden.

Oder sagt Ihnen etwa Ihr eMail Programm, ob der Empfänger echt und somit authentisch ist? Diesen Mangel nutzten bisher z.B. Virenversender und Spammer maßlos aus.

Schützen Sie Ihre eMail-Vertraulichkeiten durch eine zertifikatsichere Verschlüsselung!

Suchen Sie für Ihre vertrauliche eMail-Kommunikation eine Verschlüsselung? ein Tresor-Konzept, das ungewünschte Einsicht-, Zugriff- und Manipulatiosmöglichkeiten außer Kraft setzt. Und zwar so: Sie erwerben ein Zertifikatspaar. Dieses erhalten Sie bei einer Zertifizierungsstelle (wir beraten Sie gern) mit den entsprechenden Nachweisen über Ihre Identität. Mit diesem Schlüsselpaar sind Sie nun in der Lage, jede eMail mit einem Stempel zu versehen, damit Ihr Gegenüber sicher sein kann, dass Ihre eMail weder verändert, noch mit gefälschtem Absender versand wurde.

Hat Ihr Korrespondenzpartner ebenfalls ein solches Schlüsselpaar, können Sie Ihre Kommunikation sogar komplett verschlüsseln. Somit ist die eMail nicht nur vor Veränderung, sondern auch vor dem Zugriff unbefugter Dritter geschützt.

Stoppen Sie die Arglosigkeit im Umgang mit eMails!

Mal ehrlich: Hatten Sie bisher eine Vorstellung davon, was mit einer eMail auf dem Weg zum Empfänger so alles passieren kann? Dachten Sie je daran, dass jegliche eMail Kommunikation zu 100% unverschlüsselt über eine Vielzahl von Hops geschieht? Ist Ihnen bewusst, dass all Ihre eMails, die sich im Postfach befinden, völlig ungeschützt vor Zugriffen Dritter sind und daher jederzeit manipuliert werden können?

Oder wussten Sie, dass Ihre ungeschützten eMails auf dem Weg durch das Internet von zwielichtigen Personen gelesen, verändert oder gelöscht werden können? Und woher wissen Sie, ob der Absender wirklich der ist, für den er sich ausgibt?

Diese Risiken können Sie aus der Welt schaffen, und zwar prompt, preiswert und professionell!

Damals in der Presse

Das Bundesministerium für Wirtschaft und Technologie trifft es sehr exakt: Alle Arten der Kommunikation über das Internet sind anfällig für Lauscher: aus technischen Gründen, vor allem aber auch wegen der Sorglosigkeit der Kommunikationspartner. E-Mails werden heutzutage gerne als das moderne Pendant zur Briefpost genutzt. Dabei kann eine E-Mail aber eigentlich nur mit dem Versenden von Postkarten gleichgesetzt werden, die mit Bleistift geschrieben sind. Gründe: Die Technik macht es möglich, dass jeder sie mitlesen und verändern, womöglich sogar aufhalten kann, ohne das dies nachweisbar wäre. Quelle: http://www.bmwi.de/BMWi/Navigation/Mittelstand/E-Business/sicherheit.html BMWi - Bundesministerium für Wirtschaft und Technlogie

Gesetze zur bewussten eMail Überwachung: Seit erstem Januar 2005 müssen E-Mail Provider die laut technischen Richtlinien (TR TKÜV) festgelegte Standartschnittstelle zur Ausleitung von E-Mail an die Strafverfolgung bereithalten. Strato hat rund 200.000 Euro in diese Technik investiert. Quelle: http://www.heise.de/newsticker/meldung/print/64897 heise online 13.10.2005

Wenn sich sogar der Staat bedenklich äußerst: Wenn über Monat hinweg minutiös nachvollzogen werden kann, wer wo im Internet gesurft hat, wer wann mit wem per Telefon, Handy oder Email kommuniziert hat, wer wann welche Online-Dienste in Anspruch genommen hat, dann wird die Schwelle von der freiheitlichen Informationsgesellschaft zum digitalen überwachungsstaat überschritten, empört sich Thilo Weichert, Leiter des unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein. Quelle: http://www.heise.de/ct/04/19/138/ c’t 192004 S. 138

Besitzen Sie noch das wertvollste der Welt: Es geht um Macht über Kultur und Wissen, denn wer diese Dinge beherrscht, beherrscht die Welt. Quelle: Rickard Falkvinge / Ansprache 03.06.2006 in Stockholm

Mit der Bitte zum Nachdenken: Da werden in Deutschland und zwar in der Bundesrepublik Deutschland, überwachungsmaßnahmen legalisiert, die eine StaSi im kleinen behinderten Bruder der BRD noch beinahe gänzlich illegal durchführen musste. Völlig legal darf eine zweistellige Prozentzahl der Telefonate abgehört werden, auch im Inland, auch vom BND, weil das ja Auslandsbezug haben kann. überwachungskameras auf öffentlichen Plätzen werden immer mehr die Regel, man traut sich auf manchem Bahnhof schon nicht mehr in der Nase zu bohren, wenn’s keiner sieht, denn die Kamera und der dahinter glotzende Sicherheitsbeauftragte beobachten das ja sicher. Wenn sich in der DDR all so lieb hatten, dass sie gegenseitig Akten übereinander anlegten, dann sind wir jetzt wirklich endgültig dem Ostalgie-Wahn verfallen - und lieben uns wohl demnächst ähnlich fest und innig. Die USA, unser Freund und großes Vorbild, machen’s ja vor: Ein Präsident, der mehr ernannt als gewählt wurde, und einen zweifelhaften Krieg aus zweifelhaften Motiven heraus führt, dessen Ausgang völlig unklar ist, begründet mit einem sicher entsetzlichen terroristischen Anschlag (der leider zweifelhaft aufgeklärt wurde), mehr oder minder die Aufhebung jeder Privatheit und der oppositionelle Meinungsführer überhaupt. Wer abweicht, wer sich nicht überwachen lassen will, wer bei Unklarheiten hinterfragen will, ist einfach unpatriotisch. Denn das ist der Patriot Act - McCarthy lässt grüßen. Quelle: die datenschleuder #82 / Quartal 1 / 2004

Die CT schreibt bereits 2004: Anonyme eMails mit gefälschten Absendern machen uns das Leben schwer. Der hartnäckige Verzicht auf digitale Signaturen bei eMails hat dem Phishing den Boden bereitet. Höchste Zeit also, dass zumindest Firmen umdenken und ihre eMails fälschungssicher signieren.

Quelle: http://www.heise.de/ct/04/19/138/ c’t 192004 S. 138

Setzen Sie nicht auf Zwischenlösungen: Ende zu Ende Sicherheit wird nur erreicht, wenn die privaten Schlüssel der Zertifikatsinhaber auf dessen Computern liegen und nur durch diese ein Zugriff möglich ist.

Höchste Sicherheit: Es wird empfohlen, keine 1024 Bit Schlüssel mehr einzusetzen, sondern mind. 2048 Bit oder höher zu verwenden. Quelle: die datenschleuder #81 / zweites Quartal 2003

Wissen ist besser als hoffen: Woher wissen Sie, wer Ihr Gegenüber - bei Emails oder im Internet - ist? In offenen Netzen wie dem Internet stehen hinter Namensangaben nicht unbedingt die damit assoziierten Personen oder Institutionen. Beispiel: Unter www.xy-bank.com findet sich nicht unbedingt die XY-Bank. Ebenso sind Absenderangaben bei E-Mails leicht zu fälschen. Quelle: http://www.bmwi.de/BMWi/Navigation/Mittelstand/E-Business/sicherheit.html BMWi - Bundesministerium für Wirtschaft und Technlogie

Die Lösung

Signieren

Wer seine Geschäfts-eMails nicht signiert, verliert.

Denn vor dem Recht sind nur signierte eMails echt! Das kann Ihre eMail Signatur.

Sie können Dokumente wie Rechnungen versenden, da der Empfänger nun nachvollziehen kann, ob diese Rechnung wirklich von Ihnen ist. (20.04.2019 dies ist leider nicht so eingetreten) Der Empfänger sieht, ob der Absender echt und authentisch ist.

Der Empfänger sieht, ob die Nachricht auf dem Weg verändert wurde.

Eine signierte eMail gilt als echt und wird vor Gericht ernst genommen.

email-signieren-schaubild

Verschlüsseln

Eine eMai-Verschlüsselung ist so sicher wie ein Safe!

Alle Vorteile der Signierung gelten auch für verschlüsselte eMails!

Sie können als alleinige Person Ihre empfangenen eMails öffnen, bearbeiten und verwenden. Ein Zugriff Dritter auf dem Weg der eMail durch das Internet ist nicht möglich.

Sie können mit sehr hoher Wahrscheinlichkeit auf den echten Absender der eMail schließen, da dieser ein Zertifikat zur Verschlüsselung benötigt.

email-verschlüsselung-schaubild

Zertifikate

Wer bei der eMail-Kommunikation nicht auf Sicherheit schaut, hat das Nachsehen.

S/MIME steht für Secure/Multipurpose Internet Mail Extensions und ist eine plattformunabhängige Spezifikation für sichre elektronische Mail im MIME Format. Die dritte Version von S/MIME wurde von der IETF (Internet Engineering Task Force) im Juli 1999 zum Standart erklärt.

Bei den meisten Zertifikaten können Sie zwischen einer Schlüssellänge von 1024 bis 4096 Bit wählen.

Im Gegensatz zu freien Zertifikaten enthalten Company Zertifikate ebenfalls Ihren Unternehmensnamen (UO), ihre eMail Adresse und Ihren vollständigen Namen. Mit diesen Informationen sind Sie für die geschäftliche Kommunikation richtig ausgerüstet. Ebenfalls authentifizieren und identifizieren Sie sich bei der Ausstellungsstelle um zu bestägtigen, dass Sie der rechtmäßige Eigentürmer dieses Zertifikates sind. Zertifikate werden nur an Personen herausgegeben, die diesen Identitätsnachweis bestehen. Bei dem Erwerb eines hotshells GmbH Pakete mit Ausstellungsunterstützung kümmern wir uns um die Erbringung und Einreichung dieser Nachweise.

Sie erhalten einen öffentlichen und einen privaten Schlüssel. Der öffentliche ist zur Weitergabe an Kommunikationspartner gedacht, damit diese Ihnen verschlüsselte Nachrichten schicken können. Der private Schlüssel bleibt stets bei Ihnen und dient dem signieren und entschlüsseln Ihrer eMails.

Mein Fazit 12 Jahre später

Damals dachte ich ganz blauäugig jetzt wird alles gut und jeder wird eMails verschlüsselen und neue Arten der eMail Verschlüsselung werden sicher das Licht der Welt entdecken. Naja fast. Zumindest nutzen die meisten großen Unternehmen irgendeine Art von Private Key Infrastruktur und haben ihr Identity and Access Management etabliert. Zum Einsatz kommen meist Chipkarten auf denen die Zertifikate liegen um zu signieren und zu verschlüsseln.

Es gibt zwar immer noch einen Haufen SMTP Traffic der unverschlüsselt geschieht aber auch hier sind zumindest Bestrebungen gesetzt das zu minimieren.

Organisationsweite eMails werden zwischen den eMail-Servern verschlüsselt versendet. In Deutschland ist der Bund sehr bestrebt um Identitäten zu schützen und das wirkt sich auf viele Bereiche der IT-Sicherheit aus.

Das sind soweit die guten Nachrichten. Ich denke das die Schere der Sicherheit weit auseinander geht, wenn die Unternehmen kleiner werden. Dank DSGVO müssen sich zumindest alle einmal damit auseinander setzen die mit personenbezogenen Daten hantieren.

Alle IT-Sicherheitsberater, Ethical Hacker und Administratoren werden weiterhin ihr Bestes geben die Lücken zu schließen.