IT-Sicherheit für Einsteiger: Gut und sicher kommunizieren

In einer taz.de-Serie beschäftigen wir uns diese Woche täglich mit dem Thema IT-Sicherheit für Einsteiger. Heute: Mail und andere Kommunikationskanäle verstehen und schützen.

Sicher mailen ist einfach, wenn man es kann. Bild: dpa

BERLIN taz | Das Internet wird zunehmend multimedial, hochauflösende Videos oder schnelle 3D-Spiele sind längst technisch kein Problem mehr. Trotzdem ist die Kommunikation per E-Mail noch immer eine der Hauptanwendungen vieler Netznutzer. Erstaunlicherweise hat sich jedoch bei diesem beliebten und schnellen Medium in Sachen Sicherheit eher wenig getan, was viele User schlicht nicht wissen.

Grundsätzlich muss man davon ausgehen, dass eine E-Mail nichts anderes ist als eine Postkarte, die der Briefträger lesen könnte, wenn er sich für sie interessiert. Die digitale Botschaft läuft standardmäßig unverschlüsselt durch das Netz und kann an einigen Stellen, etwa bei den zwischengeschalteten Providern von Sender oder Empfänger, mitgelesen werden. Aus diesem Grund gehören auch grundsätzlich keine sensiblen Informationen wie Passwörter, Kreditkartendaten, usw. in eine E-Mail - außer man verschlüsselt sie vorher.

Letzteres ist leider insbesondere für Einsteiger nicht trivial. E-Mail-Verschlüsselung auf der Sender- und Empfängerseite funktioniert nur, weil sie noch immer nicht direkt in das System der elektronischen Post integriert ist . Der Text, der verschickt wird, erscheint nachdem er vom Sender verschlüsselt wurde auf dem Transportweg als unlesbarer Code und muss dann auf Empfängerseite wieder entschlüsselt werden. Die am stärksten verbreitete Lösung hierfür nennt sich "GnuPG" oder auch "OpenPGP". Dabei wird mit einem öffentlichen und einem privaten Schlüssel gearbeitet: Der Sender verschlüsselt die Mail öffentlichen Schlüssel des Empfängers, die dieser wiederum mit seinem privaten Schlüssel dekodieren kann.

Was sich kompliziert anhört, ist es leider für Einsteiger auch. Zum Glück gibt es aber inzwischen relativ einfach zu nutzende und kostenlose Programme wie "EnigMail" und "FireGPG", die die Verschlüsselungsfunktion in bestehende Programme wie Firefox (Browser) oder Thunderbird (E-Mail) integrieren. Problematisch ist auch, dass zur E-Mail-Verschlüsselung immer zwei gehören: Sender und Empfänger müssen die Technik nutzen und beide über die richtigen Schlüssel verfügen.

Aber auch wer glaubt, seine Mails nicht verschlüsseln zu müssen, stößt auf Sicherheitslücken, die man unbedingt umgehen sollte. Nicht unproblematisch können etwa Webmail-Dienste sein, die bei zahlreichen Nutzern inzwischen traditionelle E-Mail-Programme wie Outlook oder Thunderbird verdrängt haben. Hier lagert die Post nicht mehr auf dem heimischen Rechner, beziehungsweise wird auf diesen heruntergeladen, sondern verbleibt auf dem Server des Anbieters im Netz. Geschrieben und gelesen wird die Post im Web-Programm (Browser) wie Firefox oder Internet Explorer. Viele Webmail-Anbieter setzten dabei lange auf unsichere Übertragungsprotokolle.

Das heißt, dass bestenfalls die Übertragung der Passworteingabe verschlüsselt war, doch die gesamte restliche Kommunikation im Klartext durchs Netz rauschte. Wer dann seine Post etwa in einem Internet-Cafe per Laptop abfragte, musste damit rechnen, dass alle anderen im gleichen Netz operierenden Rechner alles mitlesen konnten. Auch auf dem Weg vom Server des Anbieters zum PC des Nutzers war dieses Belauschen möglich. Immerhin haben inzwischen einige Anbieter, etwa Google Mail, damit begonnen, eine Verschlüsselung bei Webmail vorauszusetzen - diese erkennt man im Browser am kleinen Schloss. Darauf sollte man dringend bei der Auswahl eines Anbieters achten.

Andere textliche Kommunikationsformen wie Chats sind ebenfalls häufig unverschlüsselt und können auf dem Transportweg belauscht werden. Auch hier sollte man darauf achten, dass die genutzte Software zumindest die Option bietet, Inhalte zu verschlüsseln. So bietet etwa das Chat-Protokoll Jabber entsprechende Funktionen, auch Skype wird verschlüsselt. Laut Anbieter wird eine eigene Technik dafür verwendet, die er allerdings bislang nicht offen legt.

******

Dieser Text ist für Sie kostenlos verfügbar. Dennoch wurde er nicht ohne Kosten hergestellt! Wenn Ihnen der Text gefallen hat, würden wir uns freuen, wenn Sie der taz dafür einen kleinen Betrag bezahlen. Das können wenige Cent sein - wir überlassen es Ihnen.

Für unabhängigen Journalismus: taz-Konto 39316106 | BLZ: 10010010 | Postbank Berlin - Verwendungszweck "taz.de".