Aktualisierungen als RSS-Feed

Privacy-Handbuch

Weltweit wird der unverschlüsselte E-Mail Verkehr systematisch gescannt. Führend ist die NSA mit Echelon, das auch zur Industriespionage sowie zum Abhören von NGOs verwendet wird. Frankreich betreibt ein ähnliches System unter dem Namen "French ECHELON". Das russische Pendant zur NSA ist der SSSI (früher FAPSI). Der schwedische Geheimdienst FRA und das Schweizer Onyx Projekt nutzen Super­computer zur Verarbeitung der Daten­mengen. Für Saudi Arabien, Syrien, Iran und Ägypten wurden entsprechende Aktivitäten nach­gewiesen und die "Great Firewall" von China verfügt ebenfalls über die nötigen Features.

In Deutschland wird der E-Mail Verkehr im Rahmen der "Strategischen Fern­melde­aufklärung" von den Geheimdiensten gescannt. Eine von der G-10 Kommision des Bundestages frei­gegebene Stichwortliste mit 16.400 Begriffen (Stand 2010) wird für die automatisierte Vor­auswahl verwendet, um nach Prolieferation, Waffen­handel und Terroristen zu suchen. Im Jahr 2010 meldeten die Scanner 37 Mio. E-Mails als verdächtig. 2011 hat der BND es geschafft, die automatisierten Scanner mit einem Spamfilter zu kombinieren, so dass "nur noch" 2,1 Mio. E-Mails als verdächtig gemeldet und kopiert wurden.

Ein allgemein gehaltener Bericht der PKGr zur Spionagepraxis des BND (lokale Kopie, PDF) zeigt, dass der BND seinen Spionageauftrag unzulässig weit ausdehnt und genau wie die NSA einige EU Institutionen gezielt beobchtet, Ministerien bzw. Regierungsvertreter befreundete EU/NATO Staaten ausspioniert und auch NGOs gezielt beobachtet.

OpenPGP, S/MIME und das neuere PEP

OpenPGP und S/MIME sind seit fast 20 Jahren etablierte Standards für E-Mail Kryptografie. Sie können folgende Aufgaben erfüllen:
  1. Mit dem Verschlüsseln von E-Mails wird die Vertraulichkeit des Inhalts der E-Mail gewährleistet. Eine Nachricht kann nur vom Empfänger geöffnet und gelesen werden.
  2. Mit dem Signieren von E-Mails wird die Authentizität der Nachricht gewährleistet. Anhand der Signatur kann der Empfänger prüfen, ob eine Mail wirklich von dem angegebenen Absender kommt und unterwegs nicht modifiziert wurde.
  3. Die Metadaten im Header der E-Mail (Absender, Empfänger, verwendete Software, evtl. die IP-Adresse des Absenders usw.) werden durch diese beiden Verfahren nicht(!) verschleiert und können für die Kommunikationsanalyse verwendet werden.
OpenPGP und S/MIME haben es in den letzten 20 Jahren nicht geschafft, eine massen­taugliche Usability zu entwickeln. Wenn man erst einmal 20 Seiten Anleitung lesen muss, um die E-Mail Verschlüsselung zu verstehen, Software selbst konfigurieren muss, sich selbst die notwendigen Schlüssel erstellen muss oder beglaubigen lassen muss, sich um die Verteilung der Schlüssel selbst kümmern muss und es danach noch jedem Partner einzeln erklären muss, dann ist diese Krypto einfach nicht massentauglich.

PEP (Pretty Easy Privacy) ist relativ neu. Bisher gibt es nur wenig Software, die diese Variante der E-Mail Verschlüsselung unterstützt, für Thunderbird gibt es noch keine Lösung. PEP hat das Ziel, die Usability zu verbessern und damit eine breitere Anwendung von E-Mail Verschlüsselung zu ermöglichen. Man muss nur 5 Seiten Handbuch lesen, um die Verschlüsselung zu verstehen und der Schlüsseltausch wird deutlich vereinfacht.

Trotz der Hürden beim Einsatz lohnt es sich aber, wenn man sich mit dem Thema E-Mail Verschlüsselung beschäftigt. E-Mail ist immernoch ein wichtiges Kommunikationsmedium, trotz des Booms der Messaging Dienste auf Smartphones.

Asymmetrische Verschlüsselung

OpenPGP, S/MIME und PEP nutzen Asymmetrische Kryptografie. Das heißt, es werden unterschiedliche Schlüssel zum Verschlüsseln und zum Entschlüsseln verwendet: Verschlüsselung und Signatur können kombiniert werden. Dabei wird der Inhalt der Nachricht zuerst signiert und dann alles zusammen (Nachricht + Signatur) verschlüsselt.
Lizenz: Public Domain