Mail, an und Pfirsich

„E-Mail ist so sicher wie eine Postkarte.“ Nach diesem Satz googlen heißt, mit Hinweisen zu sicherer Mail, zum Teil noch aus der Eiszeit des Internet, zugeschüttet zu werden. In Wahrheit ist Mail sogar noch weniger sicher als eine Postkarte, denn im Allgemeinen werden von Postkarten keine unberechtigten Kopien gezogen, sie werden nicht weitergeleitet oder an einen unüberschaubaren Personenkreis verteilt etc. Für die Argumentation an dieser Stelle, die sich mit der Sicherheit privater E-Mail (also nicht der von Mails aus und auf Firmennetzen) soll dieser Satz aber einmal so stehenbleiben.

Bei Matthias Leisi habe ich eine kurze Liste von drei Kategorien gefunden, die alle Aspekte von sicherer Mail abdecken:

  • Integrität – stammt die fragliche Mail tatsächlich vom angegebenen Absender, und wurde sie unterwegs auch nicht verändert?
  • Verfügbarkeit – ist der Dienst zuverlässig zugänglich, und ist meine Mail sicher vor dem Gelöschtwerden?
  • Vertraulichkeit – wer bekommt meine Mail zu lesen, und unter welchen Umständen?

Schon diese einfachen drei Punkten zeigen uns, wie verwundbar E-Mail ist.

Die Integrität ist schon bei Absendern mit beliebig erhältlichen Webmail-Accounts nicht mehr gegeben, von den Wegen ganz abgesehen, mit denen Spammer die wahre Herkunft ihrer Mail verschleiern.

Die Verfügbarkeit von Mail steht immer dann in Frage, wenn Mail über einen gewissen Zeitraum auf einem Rechner liegt, über den man selbst keine Kontrolle hat – was bis zur Abholung der Mail auf jeden Mailserver zutrifft, solange er nicht im eigenen Haus steht.

Und die Vertraulichkeit… siehe obiges Postkarten-Argument, das durch die derzeitige, weltweite Diskussion über staatliche Zugriffsmöglichkeiten nur verschärft wird.

Hier, ganz kurz gefasst, wie eine Möglichkeit der Umsetzung der obigen Erkenntnisse aussehen kann (und in meinem Fall auch aussieht):

Die hohe Verfügbarkeit meiner Mail habe ich den Betreibern eines Mailservers anvertraut, betreibe selbst also keinen. Dieser Server steht im außereuropäischen Ausland, untersteht damit nicht der deutschen oder europäischen Gerichtsbarkeit (dass auch im Ausland Behörden Zugriff haben können, von nichtbehördlichen Angreifern ganz zu schweigen, ist nun einmal so und nicht zu vermeiden; wir wollen es den lokalen Behörden aber auch nicht zu leicht machen). Dieser Server gehört des weiteren nicht einem Großprovider, sondern wird von einer gemeinnützigen community betrieben, die sich zumindest kommerziellen Interessen gegenüber seit 20 Jahren vergleichsweise immun zeigt. Und auf diesem Server hebe ich nicht nur meine Mail auf (soweit ich sie überhaupt aufhebe – was nicht mehr gespeichert ist, ist auch nur noch schwer zu finden), was die Durchsuchung meiner lokalen Festplatte in dieser Hinsicht nutzlos macht, sondern ich schreibe sie auch dort, mit Hilfe eines auf dem Server installierten Mail-Clients namens Mutt: außer im Cache meines Terminal-Fensters hinterlässt meine Mail keine unkontrollierten Spuren auf meinem Rechner. Diese Sicherheit bezahle ich allerdings mit geringerem Bedienungskomfort (Abspeichern von attachments erfordert mehrere Schritte, bevor die Datei auf meinem heimischen Rechner liegt, HTML-Mail wird nur als Text dargestellt, auch wenn ich es einmal anders wollen würde, etc.) und – ich gebe es zu – geringerer Verfügbarkeit: Ich sehe meine Mail nur, wenn ich online bin.

Die Vertraulichkeit meiner Mail – nun, dass ist eine Sache, die ohnehin nur sehr begrenzt in meinem Einflußbereich steht; schließlich kann ich nicht nur AOL-Kunden nicht vorschreiben, was sie mit meiner Mail machen. Dass nicht jeder auf dem Server nachgucken darf, ist eine Sache, die ich der community und ihren Administratoren überlassen muss. Auf dem Weg vom Server zu mir jedoch soll die Mail nicht mitgelesen werden können, weshalb ich über das gerade erwähnte Terminalprogramm mittels des verschlüsselten Protokolls ssh mit dem Server kommuniziere. Eine noch schickere Möglichkeit, die meine community mir demnächst bieten will, ist VPN – dazu zu gegebener Zeit mehr.

Schließlich die Integrität. Tja. Großes Problem. Irgendwie scheinen sich nur vergleichsweise Wenige dafür zu interessieren, sonst hätte sich die Nutzerwelt längst auf eine Möglichkeit der Authentifizierung und einen Standard der Verschlüsselung geeinigt. Hat sie aber nicht, weshalb ich im Zusammenhang meiner eigenen Mail auf GnuPG zurückgreife, ein Open-Source-Verschlüsselungsverfahren, das auf dem PGP-Standard aufbaut. Das kann ich aber auch nur dann machen, wenn der Empfänger meiner Mail ebenfalls ein PGP-Verfahren nutzt – und das scheint keine Sau zu machen…

All diese Gedanken setzen natürlich voraus, dass weder auf meinem heimischen Rechner noch auf dem Server irgendwelche Schweinereien passieren. Wenn in meinem treuen Mac ein Verräter sitzt, der jede Eingabe protokolliert und weitersagt, bin ich, was meine Datensicherheit angeht, ohnehin und endgültig geplatzt. Solche Verräter sind jedoch überwiegend in der Windows-Welt zuhause, was dem Paranoiker in mir sehr entgegen kommt. Gleiches gilt natürlich für den Server, auf dem ich maile – auch er muss von Fremdeinflüssen frei bleiben. Hier nutze ich rotzfrech die Zusammensetzung der Betreibercommunity: UNIX-Fachleute, die eine sichere Umgebung nutzen wollen, werden schon Laut geben, wenn ihnen etwas ungewöhnliches auffällt.

Noch ein Wort zu den Kosten: ganz umsonst ist nicht einmal der Tod, und auch ein Account auf einem Community-Server kostet ein wenig Geld und Arbeits-Einsatz, wenn man Sinnvolles damit anstellen will. Der finanzielle Einsatz hält sich in engen Grenzen, der an Arbeitskraft kann beträchtlich sein (muss aber nicht). Sie sind also gewarnt.