Kategorie-Archiv: IT Security

Plädoyer für die Verschlüsselung von Mails

Was lehren uns letztendlich die von Edward Snowden publizierten Ethüllungen bezüglich der Spionage-Aktivitägen der NSA?

Aus meiner Sicht gibt es hierzu zwei klare Schlussfolgerungen und Konsequenzen. Zum einen, die große Enttäuschung darüber, dass die USA überhaupt in dieser Weise mit “Partnern” umgehen, wobei hier anzumerken ist, dass es bei derartigen Aktionen – insbesondere beim Abhören von Politikern – wohl kaum um die Abwehr von Terroranschlägen gehen kann. Es liegt der Verdacht nahe, dass abgehörte Informationen zur eigenen Vorteilsnahme der USA bzw. zur Wirtschaftsspionage dienen.

Zum anderen sollte man aber auch darüber nachdenken, weshalb wir überhaupt in vielen Fällen derart lax mit unseren Daten umgehen und unsere Kommunikation unverschlüsselt, quasi für jeden einsehbar, über das Internet verschicken. Dies gilt insbesondere für das am meisten genutzte Kommunikationsmittel: die E-Mail.

Am E-Mail Protokoll selbst, dem Prozess des Sendens und Empfangens von Mail Nachrichten, hat sich seit seiner Entwicklung eigentlich nicht wirklich viel verändert. Gerade in Bezug auf die Sicherheit ist nicht wirklich viel passiert. Allenfalls wird die direkte Kommunikation zwischen Mail-Client und Mail-Eingangs- bzw. Ausgangs-Server verschlüsselt, was dem “Normal-Nutzer” ein gewisses Gefühl von Sicherheit vermitteln soll. Immerhin wird mit dieser Maßnahme das Abfangen der Mail-Server Zugangsdaten verhindert – eine Sicherheit in Bezug auf die vertrauliche Übermittlung der Mail-Nachrichten selbst bietet dieses System jedoch nur auf dem ersten Abschnitt des Sendevorgangs bis zum Mail-Server des jeweiligen Providers. Was anschließend passiert und über welche diversen Server die unverschlüsselte E-Mail ihren Weg nimmt, darauf hat der Nutzer keinen Einfluss (vergleichbar beispielsweise mit einer Postkarte, die durch viele Hände weitergereicht wird).

Die einzige Lösung, um wirkliche Vertraulichkeit und auch Integrität bei der Übermittlung von EMails zu gewährleisten, besteht im Einsatz von sicheren kryptographischen Verfahren.

Interessanterweise existieren derartige sichere kryptographische Methoden für die Verschlüsselung von Daten und Mails schon seit langem – sie haben sich nur nie in der Praxis durchgesetzt. Dementsprechend sollte man sich die Frage stellen, weshalb dies nicht der Fall ist?

Ein immer wieder aufgeführtes Argument gegen einen flächendeckenden Einsatz von Verschlüsselungstechnologien bei E-Mails besteht in der Komplexität. Auch ich als Informatiker muss zugeben, dass erhöhte Sicherheit oft im Gegensatz zu Benutzerfreundlichkeit steht. Die Einrichtung von S/Mime Verschlüsselung mit Outlook 2010 inklusive dem Aufsetzen einer Certification Authority, dem Generieren und Installieren entsprechender Zertifikate dürfte für Normalnutzer nicht wirklich praktikabel sein. Und selbst die Einrichtung einer GPG Verschlüsselung mit dem Mozilla Mail Client Thunderbird ist für Standardnutzer eine relativ komplizierte Angelegenheit (abgesehen von dem Fakt, dass bei anderen Mail-Clients wie Outlook 2010 kein wirklich brauchbares, kostenloses GPG Plugin zur Verfügung steht).

Was wäre also zu tun?

In jedem Fall sollte daran gearbeitet werden, Verschlüsselungstechnologien für Normalnutzer verständlich und einfach bedienbar zu machen. Es wäre zum Beispiel denkbar, dass Mail-Provider beim Einrichten eines neuen Accounts automatisch Schlüssel generieren (lokal beim Nutzer) und die öffentlichen Schlüssel über ein sicheres Protokoll zur Verfügung stellen. Mail Clients sollten außerdem nutzerfreundlichere Kryptographie-Features implementieren, die für jeden Nutzer verständlich und einfach zu bedienen sind.

Aber gerade auch die Unternehmen sollten überlegen, wie E-Mail Kommunikation in Zukunft sowohl intern als auch extern mit Kunden oder Geschäftspartnern mit Hilfe von Kryptographie abgesichert werden kann, sodass Integrität und Vertraulichkeit gewahrt bleiben. Hier ist S/Mime sicherlich der bisher beste Ansatz.

Microsoft zahlt höhere Prämien für Sicherheitslücken

Wie heute unter anderem bei ZDNet zu lesen ist, hat Microsoft angekündigt, in Zukunft sehr viel höhere Beträge für die Meldung von kritischen Sicherheitslücken in Windows bzw. im Internet Explorer zu zahlen.

Konkret geht es bei der Ankündigung um bis zu 100.000 US Dollar für das Finden und Melden von Exploits in der Preview Version der kommenden Windows Version “Windows 8.1” sowie bis zu 11.000 US Dollar für kritische Sicherheitslücken in der Preview Version des Internet Explorer 11.

Microsoft liegt damit in Bezug auf die für Sicherheitslücken gezahlten Beträge deutlich höher als beispielsweise Google mit seinem Vulnerability Reward Program, bei dem Maximalbeträge von 20.000 US Dollar für einen remote code execution Exploit bezahlt werden.

Darf man im Internet kursierenden Berichten glauben schenken, so liegen diese Beträge aber immer noch um einiges unter den Summen, die von Geheimdiensten oder anderen Schwarzmarkt-Käufern für brauchbare Exploits gezahlt werden…