Spätestens seit den Snowden-Enthüllungen ist klar: Unsere Kommunikation im Internet wird häufig überwacht. Wer dennoch vertraulich kommunizieren will – vielfach ein Muss, wenn es etwa um sensible Unternehmens-Interna geht – muss daher zu technischen Schutzmaßnahmen greifen. Glücklicherweise haben mittlerweile viele Software-Anbieter diesen Bedarf erkannt und stellen Möglichkeiten bereit, E-Mails und Instant-Messaging-Kommunikation zu verschlüsseln.
Inhaltsverzeichnis
Warum Verschlüsselung?
Das Thema Verschlüsselung hat in den letzten Jahren zunehmend an Bedeutung gewonnen. Auch Laien denken immer häufiger darüber nach, ihre digitale Kommunikation mit Hilfe von Verschlüsselung gegen unbefugte Zugriffe abzusichern. Im Unternehmensbereich ist dies in noch größerem Ausmaß Thema, werden doch häufig vertrauliche Informationen (beispielsweise Kundendaten oder wirtschaftlich bedeutende Geschäftsideen) ausgetauscht, die es zu schützen gilt.
Die größte Bedrohung sind natürlich IT-Kriminelle, insbesondere Betrüger, die versuchen, aus mitgelesenen Informationen Kapital zu schlagen. Diese haben sich in den letzten Jahren zunehmend professionalisiert und verfügen häufig über ein beachtliches Maß an technischem Know-how und spezialisierten Angriffswerkzeugen. Auch gezielte Betriebsspionage auf diesem Wege macht gelegentlich Schlagzeilen – und die Dunkelziffer dürfte hoch sein.
Wirksame Verschlüsselung gilt als unverzichtbarer Teil eines effektiven Schutzkonzepts.
Daneben ist spätestens seit den Snowden-Leaks eine andere Bedrohung für Vertraulichkeit und Privatsphäre Gegenstand der öffentlichen Diskussion: Die massenhafte Überwachung durch die Geheimdienste, insbesondere die US-amerikanische NSA und das britische GCHQ. Zunehmend kommt ans Licht: Diese haben vielfach ihre Kompetenzen überschritten und auch vollkommen unbescholtene Bürger und Unternehmen massiv überwacht. Viele Deutsche wollen ihre private oder berufliche Kommunikation – berechtigterweise – nicht einer derart intransparenten und vollkommen ohne Feingefühl agierenden Behörde ausliefern. Zumal der Vorwurf im Raum steht, dass die NSA mehrfach an Wirtschaftsspionage gegen europäische Unternehmen beteiligt war – höchstwahrscheinlich zugunsten von deren US-Konkurrenten.
Diese Bedrohungen lassen zunehmend mehr Internet-Nutzer die Wichtigkeit von Verschlüsselung erkennen. Dies wird von der überwältigenden Mehrheit der IT-Sicherheits-Fachleute uneingeschränkt begrüßt, gilt in Fachkreisen doch eine wirksame Verschlüsselung schon lange als unverzichtbarer Teil eines effektiven Schutzkonzepts.
Gefällt dir dieser Artikel?
Dann trage dich jetzt ein ins „Update am Montag“ und bleibe über neue Inhalte auf dem Laufenden. Kein Spam! Bereits knapp 2.000 Leser:innen sind dabei.
Ende zu Ende – nur so ist die Nachricht jederzeit geschützt
Wer seine Nachrichten effektiv absichern will, sollte sich der Tatsache bewusst sein, dass das bloße Vorhandensein einer Verschlüsselung – mit dem mittlerweile die allermeisten Kommunikations-Dienstleister und Sozialen Netzwerke werben – nicht unbedingt einen ausreichenden Schutz gegen unbefugte Zugriffe bedeutet. Häufig ist damit nämlich nur eine Verschlüsselung der Nachrichten auf dem Weg zum Server und vom Server zum Empfänger gemeint. Diese wird meist mit dem SSL/TLS-Protokoll realisiert, das auch bei https-Websites zum Einsatz kommt.
Eine solche Verschlüsselung bietet einige Vorteile: Nutzt man den Dienst über ein unsicheres Netzwerk – beispielsweise ein Flughafen-WLAN – könnten unbefugte Dritte unverschlüsselte Nachrichten problemlos mitlesen und so Passwörter ebenso wie die Inhalte der Kommunikation abgreifen. Dagegen schützt eine SSL- oder ähnliche Verschlüsselung in der Regel recht effektiv (wobei sich in den letzten Jahren Angriffe auf diese Form der Verschlüsselung häufen, so dass sie, je nach Umsetzung und je nach Entschlossenheit des Angreifers, nicht mehr unbedingt als sicher betrachtet werden sollte).
Weitere Tipps und Hinweise zu mehr Sicherheit im WLAN zu Hause, im Büro und unterwegs finden Sie übrigens im Beitrag von Jan Tißler in dieser Ausgabe des UPLOAD Magazins.
Andere Angriffs-Szenarien sind dagegen mit einer derartigen Verschlüsselung nicht abzuwenden. Wird beispielsweise der Server des Kommunikations-Dienstleisters kompromittiert, können dort unverschlüsselte Nachrichten noch immer mitgelesen werden. Bei US-Unternehmen wie Facebook und Microsoft kommt hinzu, dass die US-Behörden diese im Rahmen der Antiterror-Gesetzgebung häufig ganz legal zur Herausgabe von Daten zwingen können, ohne dass die Unternehmen dies den Betroffenen gegenüber erwähnen dürfen.
Eine sichere Verschlüsselung ist also (unter anderem) daran zu erkennen, dass sie als sogenannte Ende-zu-Ende-Verschlüsselung umgesetzt ist. Das bedeutet, dass Nachrichten beim Sender verschlüsselt und erst beim Empfänger wieder entschlüsselt werden. So kann an keinem Punkt der Nachrichtenübermittlung jemand unbefugt mitlesen.
E-Mail: Verschlüsselung am besten per PGP
Eine einfache E-Mail ist in etwa so gut vor unbefugten Zugriffen geschützt wie eine Postkarte. Das ist kein Wunder, stammt dieses Medium doch aus einer Zeit, in der das Internet einer kleinen Elite vorbehalten war und Sicherheitsaspekte kaum eine Rolle spielten. Dafür war die zur Verfügung stehende Hardware noch schwach und primitiv und hätte zusätzliche Sicherheitsanwendungen kaum bewältigen können. Seitdem hat sich das Internet allerdings grundlegend gewandelt. Die E-Mail ist nach wie vor ein bedeutendes Kommunikationsmittel, aber gerade im geschäftlichen Kontext werden an sie nun auch Anforderungen der Sicherheit und Vertraulichkeit gestellt. Glücklicherweise gibt es Möglichkeiten, die klassische E-Mail mit Verschlüsselung sozusagen „nachzurüsten“ und so sicherer zu machen.
Eine einfache E-Mail ist in etwa so gut vor unbefugten Zugriffen geschützt wie eine Postkarte.
Für die Verschlüsselung von E-Mails hat sich seit Jahren die Software „Pretty Good Privacy“ (PGP) bewährt. Sie arbeitet als asymmetrische Verschlüsselung nach dem sogenannten Public-Key-Verfahren. Das bedeutet, dass jeder Teilnehmer einen öffentlichen und einen privaten Schlüssel generiert. Mit dem öffentlichen Schlüssel (der, wie die Bezeichnung schon sagt, allen Kommunikationspartnern zur Verfügung gestellt wird) können Nachrichten verschlüsselt werden. Aber allein der private Schlüssel kann diese entschlüsseln.
PGP und seine Varianten gelten als sehr sicher, wenn der Schlüssel ausreichend lang ist, was aber mittlerweile bei fast allen entsprechenden Programmen voreingestellt ist. Einziger Nachteil ist die vergleichsweise aufwändige Nutzung. Schlüssel müssen generiert und ausgetauscht werden, und um sie zu verwenden, ist meist ein zusätzliches Passwort erforderlich. Dagegen spielt die für die Ver- und Entschlüsselung benötigte Rechenleistung auf moderner Hardware in der Regel praktisch keine Rolle mehr. Wird mit sensiblen Daten hantiert, sollte auf jeden Fall eine Verschlüsselung von E-Mails vorgesehen und auch konsequent umgesetzt werden.
Die quelloffene, kostenlose Variante von PGP ist unter der Bezeichnung „Gnu Privacy Guard“ oder kurz GPG bekannt. Da diese ebenfalls den OpenPGP-Standard unterstützt, ist sie zu anderen PGP-Versionen kompatibel.
Für Nutzer von Mail-Clients wie Outlook oder Thunderbird gibt es Plugins, die eine GPG-Verschlüsselung ermöglichen. Für Outlook-Nutzer ist beispielsweise Gpg4win empfehlenswert, das zusätzlich Möglichkeiten zur Verschlüsselung von Dateien und Verzeichnissen auf dem Rechner bietet. Für diejenigen, die Mozillas Open-Source-Mailclient „Thunderbird“ (oder Seamonkey) verwenden, hat sich seit Jahren das Plugin „Enigmail“ bewährt. Dieses ist, wie auch Thunderbird selbst, in Versionen für Windows, Linux und Mac OS X erhältlich.
Aber auch Webmail-Nutzer müssen anders als noch vor einigen Jahren nicht mehr auf eine Verschlüsselung per GPG verzichten. Browser-Plugins wie WebPG und Mailvelope ermöglichen das.
Selbst für Smartphone-Nutzer gibt es mittlerweile Möglichkeiten, verschlüsselte E-Mails zu senden und zu entschlüsseln – nachdem dies in den letzten Jahren zunehmend in den Fokus der Anwendergemeinde rückte und moderne Smartphones eine Rechenleistung haben, die den von einer PGP-Verschlüsselung gestellten Anforderungen mehr als genügt. Android-Nutzern stehen dafür Apps wie Squeaky Mail in Verbindung mit PGP Key Ring oder auch Plugins für einige populäre Mail-Clients zur Verfügung. Auch iPhone-Nutzer haben mit der App iPGMail eine Mail-Anwendung im Repertoire, die verschlüsselte E-Mails handhaben kann. Gleiches gilt selbstverständlich für mit Android oder iOS ausgestattete Tablets.
Klassisches Instant Messaging: Schutz per OTR-Plugin
Klassische Instant Messenger wie ICQ, MSN und AIM haben in den letzten Jahren an Bedeutung verloren. Eine Nische belegt noch immer XMPP (Jabber), da es eine dezentrale Struktur aufweist und sich so eigene Server betreiben lassen, was in punkto Sicherheit und Verfügbarkeit ein Plus ist.
Die Sicherheit dieser Messaging-Dienste ist unterschiedlich. Einige von ihnen bieten immerhin eine Verschlüsselung auf dem Transportweg an (meist SSL). Eine Ende-zu-Ende-Verschlüsselung ersetzt das aber aus den weiter oben genannten Gründen nicht.
Glücklicherweise gibt es auch für Nutzer derartiger Instant-Messaging-Anwendungen die Möglichkeit, eine Ende-zu-Ende-Verschlüsselung mit Hilfe von Drittanwender-Plugins zu realisieren. Die verbreitetste und bequemste Möglichkeit – die zudem als vergleichsweise sicher anzusehen ist – ist das sogenannte „Off the Record Messaging“, häufig abgekürzt als OTR. „Off the Record“ steht im Englischen für „inoffiziell“ oder „vertraulich“, und dies umreißt bereits das Ziel dieses Plugins. Es soll auch über unsichere Messaging-Dienste eine vertrauliche Kommunikation ermöglichen.
Mit den normalen ICQ- oder MSN-Clients ist die Nutzung von OTR nicht möglich. Es gibt aber eine Vielzahl alternativer Clients die OTR unterstützen und von vielen Nutzern sowieso aufgrund ihrer Features bevorzugt werden. Ein besonders positives Beispiel ist Adium, der wahrscheinlich populärste Messenger unter Apple-Nutzern, der dies bereits seit Jahren standardmäßig beherrscht. Die Aktivierung des Features im Optionsmenü reicht aus, um mit allen Kommunikationspartnern, die ebenfalls einen OTR-fähigen Messenger haben, zukünftig verschlüsselt zu chatten.
Andere Messenger, wie Pidgin (für alle gängigen Desktop-Plattformen verfügbar) und Miranda (Windows), lassen sich mit einem OTR-Plugin nachrüsten. Die Installation und Einrichtung ist in der Regel gut dokumentiert und nicht besonders aufwändig. Ist das Plugin einmal eingerichtet, versieht es seinen Dienst automatisch und vom Nutzer fast unbemerkt. Außer einer kurzen Verzögerung beim Aufbau der Verbindung kommt es in der Regel nicht zu spürbaren Leistungseinbußen.
Mobile Messenger: Sichere Alternativen zu WhatsApp und Co
Smartphones und andere Mobilgeräte werden zunehmend auch im geschäftlichen Kontext genutzt. Mitunter wird dabei zu Instant Messengern wie Facebook Messenger, Skype oder WhatsApp gegriffen, um schnell und unkompliziert zu kommunizieren. Aus dem privaten Bereich sind diese Apps ohnehin schon seit Jahren nicht mehr wegzudenken und gehören insbesondere bei jungen Menschen längst zum Alltag.
Allerdings sind diese Apps in Datenschutz-Hinsicht nicht unbedenklich. Nicht nur greifen einige von ihnen unnötig viel auf Funktionen und Daten des Smartphones zu (WhatsApp ist hier besonders berüchtigt). Auch die Sicherheit der übertragenen Nachrichten ist nicht gewährleistet. Zwar verschlüsseln mittlerweile die meisten entsprechenden Apps die Nachrichten gegen unbefugtes Mitlesen Dritter während der Übertragung, was durchaus löblich ist. Aber auch hier gelten die besprochenen Bedenken gegen eine proprietäre und nicht von Ende zu Ende realisierte Verschlüsselung.
Wer also sensible Kommunikation, etwa vertrauliche geschäftliche Besprechungen, per Smartphone tätigen will, sollte auf sicherere Alternativen ausweichen. Eine Möglichkeit sind die bereits angesprochenen „altmodischen“ Instant Messenger unter Verwendung von OTR. Diese stehen mittlerweile auch Smartphone-Nutzern zur Verfügung, zumindest für die gängigen Plattformen Android und iOS.
Daneben gibt es einige sichere Messenger-Alternativen speziell für Smartphones. Dieses Thema ist so relevant, dass sogar NSA-Whistleblower Edward Snowden persönlich Empfehlungen dazu aussprach. Snowden ist nicht nur Fachmann für IT-Sicherheit, sondern kennt auch die gängigen Möglichkeiten, Anwendungen und Verschlüsselung anzugreifen, von seiner Tätigkeit beim Geheimdienst und dessen Vertragspartnern, weswegen seinen Empfehlungen einiges an Gewicht beigemessen werden darf. iOS-Nutzern empfiehlt Snowden die App Signal, die unter anderem PGP verwendet, um die Nachrichten abzusichern. Unter Android ist nach Ansicht des Whistleblowers vor allem TextSecure empfehlenswert. Beide Apps bieten nicht nur eine verlässliche Verschlüsselung, sondern sind als Bonus sogar Open Source. Das bedeutet: Der Quellcode kann von jedem Interessierten eingesehen werden, was oft zur schnelleren Aufdeckung von Sicherheitslücken führt und auch heimliche Manipulationen und Hintertüren stark erschwert.
Auch bei Voice-over-IP ist Verschlüsselung ein Muss
Auch Voice-over-IP-Lösungen sind nach wie vor ein gefragtes Kommunikationsmedium. Für diese gilt das selbe wie für textbasierte Kommunikation: Auch hier ist eine Ende-zu-Ende-Verschlüsselung unbedingt empfehlenswert. Von intransparenten Lösungen wie insbesondere dem bekanntermaßen schon mehrfach kompromittierten Skype ist abzuraten. Auf einzelne Software-Lösungen einzugehen, würde angesichts der Vielzahl unterschiedlicher Angebote den Rahmen dieses Artikels sprengen. Allgemein aber gilt: Achten Sie auf eine Ende-zu-Ende-Verschlüsselung, die auf bewährten Protokollen wie PGP oder AES basiert, dann sind Sie in der Regel auf der sicheren Seite.
Fazit
Im 21. Jahrhundert ist verschlüsselte Kommunikation häufig unabdingbar, um den angemessenen Schutz sensibler Informationen zu gewährleisten. Glücklicherweise ist das Bewusstsein für die Wichtigkeit von Verschlüsselung in den letzten Jahren gestiegen. Dementsprechend sind mittlerweile zahlreiche zuverlässige Verschlüsselungs-Lösungen für die verschiedensten Kommunikations-Medien verfügbar. Auch deren Bedienung ist mittlerweile deutlich einfacher geworden und nicht mehr nur für Fachleute und „Nerds“ zu begreifen. Selbst Mobilgeräte, die lange Zeit bei der Entwicklung von sicheren Kommunikations-Lösungen eher stiefmütterlich behandelt wurden, warten mittlerweile mit attraktiven Apps für diese Nutzung auf.
In der aktuellen Situation gibt es kaum noch Gründe, auf die Nutzung von Kommunikations-Software mit guten Verschlüsselungs-Möglichkeiten zu verzichten. Dagegen gibt es viele gute Gründe, entsprechende Software zu nutzen und so seine sensible Kommunikation zuverlässig zu schützen.
Dieser Artikel gehört zu: UPLOAD Magazin 28
Diese Ausgabe liefert wichtige Einblicke und nützliche Tipps und Tricks rund um IT-Sicherheit. Die Beiträge analysieren die aktuelle Lage für Unternehmen, helfen bei der verschlüsselten Kommunikation, geben Hinweise für Mobilgeräte und WLAN und gehen nicht zuletzt auf die „Sicherheitslücke Mensch“ ein.
- Weitere Artikel aus dieser Ausgabe kostenlos auf der Website lesen ...
- Bleib auf dem Laufenden über neue Inhalte mit dem „Update am Montag“ …
Schon gewusst? Mit einem Zugang zu UPLOAD Magazin Plus oder zur Content Academy lädst du Ausgaben als PDF und E-Book herunter und hast viele weitere Vorteile!
Annika Kremer ist freie Journalistin und schreibt vor allem über IT-Themen. Einer ihrer Schwerpunkte ist der Bereich IT-Sicherheit. Insbesondere befasst sie sich mit digitaler Selbstverteidigung und Möglichkeiten, private Daten gegen unbefugte Zugriffe abzusichern.
Hallo …,
so wie SEO (insbes.) durch Googles ‚Webmaster-Richtlinien-Diktat‘ überhaupt erst seine Darseinsberechtigung erlangt hat und hieraus ein neuer florierender Markt entstand, so konnte ‚Verschlüsselung‘ nur aufgrund der massiven (Wirtschafts-)Spionagen, Datensammelwut der USA (ergo der NSA), Google, Facebook, etc., ein primäres, massentaugliches Thema werden.
Ciao, Sascha.