Weltweit wird der unverschlüsselte E-Mail Verkehr systematisch gescannt. Führend ist die NSA mit Echelon, das auch zur Industriespionage sowie zum Abhören von NGOs verwendet wird. Frankreich betreibt ein ähnliches System unter dem Namen "French ECHELON". Das russische Pendant zur NSA ist der SSSI (früher FAPSI). Der schwedische Geheimdienst FRA und das Schweizer Onyx Projekt nutzen Supercomputer zur Verarbeitung der Datenmengen. Für Saudi Arabien, Syrien, Iran und Ägypten wurden entsprechende Aktivitäten nachgewiesen und die "Great Firewall" von China verfügt ebenfalls über die nötigen Features.
In Deutschland wird der E-Mail Verkehr im Rahmen der
"Strategischen Fernmeldeaufklärung" von den Geheimdiensten gescannt. Eine von der G-10 Kommision des Bundestages freigegebene Stichwortliste mit 16.400 Begriffen (Stand 2010) wird für die automatisierte Vorauswahl verwendet, um nach Waffenhandel, Prolieferation und Terroristen zu suchen. Im Jahr 2010 meldeten die Scanner 37 Mio. E-Mails als verdächtig. 2011 hat der BND es geschafft, die automatisierten Scanner mit einem Spamfilter zu kombinieren, so dass "nur noch" 2,1 Mio. E-Mails als verdächtig gemeldet und kopiert wurden.
Ein allgemein gehaltener Bericht der PKGr zur Spionagepraxis des BND (
lokale Kopie, PDF) zeigt, dass der BND seinen Spionageauftrag unzulässig weit ausdehnt und genau wie die NSA einige EU Institutionen gezielt beobchtet, Ministerien bzw. Regierungsvertreter befreundete EU/NATO Staaten ausspioniert und auch NGOs gezielt beobachtet.
OpenPGP, S/MIME und das neuere PEP
OpenPGP und S/MIME sind seit fast 20 Jahren etablierte Standards für E-Mail Kryptografie. Sie können folgende Aufgaben erfüllen:
- Mit dem Verschlüsseln von E-Mails wird die Vertraulichkeit des Inhalts der E-Mail gewährleistet. Eine Nachricht kann nur vom Empfänger geöffnet und gelesen werden.
- Mit dem Signieren von E-Mails wird die Authentizität der Nachricht gewährleistet. Anhand der Signatur kann der Empfänger prüfen, ob eine Mail wirklich von dem angegebenen Absender kommt und unterwegs nicht modifiziert wurde.
- Die Metadaten im Header der E-Mail (Absender, Empfänger, verwendete Software, evtl. die IP-Adresse des Absenders usw.) werden durch diese beiden Verfahren nicht(!) verschleiert und können für die Kommunikationsanalyse verwendet werden.
OpenPGP und S/MIME haben es in den letzten 20 Jahren nicht geschafft, eine massentaugliche Usability zu entwickeln. Wenn man erst einmal 20 Seiten Anleitung lesen muss, um die E-Mail Verschlüsselung zu verstehen, Software selbst konfigurieren muss, sich selbst die notwendigen Schlüssel erstellen muss oder beglaubigen lassen muss, sich um die Verteilung der Schlüssel selbst kümmern muss und es danach noch jedem Partner einzeln erklären muss, dann ist diese Krypto einfach nicht massentauglich.
PEP (
Pretty Easy Privacy) ist relativ neu. Bisher gibt es nur wenig Software, die diese Variante der E-Mail Verschlüsselung unterstützt, für Thunderbird gibt es noch keine Lösung. PEP hat das Ziel, die Usability zu verbessern und damit eine breitere Anwendung von E-Mail Verschlüsselung zu ermöglichen. Man muss nur 5 Seiten Handbuch lesen, um die Verschlüsselung zu verstehen und der Schlüsseltausch wird deutlich vereinfacht.
Trotz der Hürden beim Einsatz lohnt es sich aber, wenn man sich mit dem Thema E-Mail Verschlüsselung beschäftigt. E-Mail ist immernoch ein wichtiges Kommunikationsmedium, trotz des Booms der Messaging Dienste auf Smartphones.
Asymmetrische Verschlüsselung
OpenPGP, S/MIME und PEP nutzen Asymmetrische Kryptografie. Das heißt, es werden unterschiedliche Schlüssel zum Verschlüsseln und zum Entschlüsseln verwendet:
- Jeder Anwender besitzt ein Schlüsselpaar bestehend aus einem geheimen und einem öffentlichen Schlüssel. Während der geheime Schlüssel sorgfältig geschützt nur dem Anwender selbst zur Verfügung stehen sollte, ist der öffentliche Schlüssel an alle Kommunikationpartner zu verteilen.
- Wenn Beatrice eine verschlüsselte Nachricht an Anton senden will, nutzt sie den öffentlichen Schlüssel von Anton, um die Nachricht zu chiffrieren. Nur Anton kann den Inhalt dieser E-Mail mit seinem geheimen Schlüssel dechiffrieren und lesen.
- Wenn Anton eine signierte E-Mail an Beatrice senden will, erstellt er eine Signatur (digitale Unterschrift) mit seinem geheimen Schlüssel. Beatrice kann mit dem öffentlichen Schlüssel von Anton die Unterschrift und damit die Echtheit der Nachricht verifizieren, da nur Anton Zugriff auf seinen geheimen Schlüssel haben sollte.
Verschlüsselung und Signatur können kombiniert werden. Dabei wird der Inhalt der Nachricht zuerst signiert und dann alles zusammen (Nachricht + Signatur) verschlüsselt.