Ab dem 25.05.2018 hat sich die Rechtslage geändert. Diese Webseite enthält noch Verweise auf die bisherige Rechtslage. Sie wird fortlaufend aktualisiert.
Sonntag, 12. November 2017

Daten verschlüsselt übertragen - aber wie?

Es ist nicht ganz einfach, Inhalte so im Netz zu übertragen, dass Dritte nicht hineinsehen können. Beim E-Mail-Verkehr können die Mail-Anbieter von Absender und Empfänger prinzipbedingt mitlesen, bei Cloudspeicherdiensten der jeweilige Cloud-Betreiber.

Wer privat kommunizieren möchte, ist daher oft auf Hilfsmittel angewiesen.

Einzelne Dokumente

Sollen einzelne Dokumente wie PDF-Dateien oder Excel-Tabellen verschickt werden, ist die einfachste Lösung eine ZIP-Datei mit AES-Passwort. Dabei ist es wichtig, dass das ZIP-Programm nicht das veraltetete und gebrochene Verfahren ZipCrypto verwendet, sondern die Verschlüsselungsmethode AES. Unter Windows benötigen Sie zwingend ein separates ZIP-Programm, da das mitgelieferte Werkzeug kein AES unterstützt. Eine Übersicht über verschiedene ZIP-Programme finden Sie beispielsweise bei heise[Extern]. Teilweise sind diese Tools kostenfrei und quelloffen (OpenSource).

Die resultierende ZIP-Datei können Sie gefahrlos per Mail oder über das Internet weitergeben. Der Empfänger benötigt ein Packprogramm, das mit AES-Verschlüsselung umgehen kann. Dabei muss es sich nicht zwingend um dasselbe Programm handeln.

E-Mail-Kommunikation

Der Austausch per E-Mail ist nicht ohne weiteres zu sichern. Das E-Mail-Protokoll sieht keine Ende-zu-Ende-Verschlüsselung vor, so dass ohne weitere Maßnahmen zumindest die beteiligten E-Mail-Provider Einblick in den Mailverkehr nehmen können. Um sich davor zu schützen, müssen sich beide Kommunikationspartner auf ein gemeinsames Verfahren zur Verschlüsselung einigen und dann jeweils Vorbereitungen dafür treffen. Dazu muss sichergestellt werden, dass die  verwendeten kryptographischen Schlüssel eindeutig den Kommunikationspartnern zugeordnet sind.  Dies geschieht mit Hilfe eines Zertifikats, das Nutzernamen, Schlüssel und meist auch die E-Mailadresse fest miteinander verknüpft. Leider hat sich bislang kein Verfahren flächendeckend etablieren können.

S/MIME

Nahezu alle E-Mail-Programme unterstützen von Haus aus das S/MIME-Verfahren. Hierfür müssen beide Kommunikationspartner ein Zertifikat besitzen, welches von einer Zertifizierungsstelle ausgestellt worden ist. Solche S/MIME-Zertifikate bekommt man für den Privatgebrauch vereinzelt auch kostenfrei. Eine Websuche nach "smime zertifikate gratis" hilft hier weiter.

GPG

Ein anderes Verfahren zur E-Mail-Verschlüsselung stellt GnuPG dar (früher PGP). Hier werden die Zertifikate nicht von Organisationen ausgegeben, sondern von den Nutzern selbst erstellt. Das senkt einerseits den Aufwand an dieser Stelle, dafür müssen für GPG in der Regel mehrere Zusatzprogramme installiert werden, da die meisten Mailprogramme das Verfahren von sich aus nicht unterstützen. Ein guter Einstiegspunkt für die Verschlüsselung mit GPG ist die Webseite GPG4Win.de[Extern]. Mit Hilfe dieses Softwarepakets gelangt die Verschlüsselungssoftware auf den eigenen Computer. Das Paket bringt eine Schnittstelle für Microsoft Outlook mit. Beim Mailprogramm Thunderbird muss zusätzlich noch die Erweiterung Enigmail installiert werden, damit Thunderbird das Verschlüsselungsprogramm ansprechen kann.

Beim Einsatz von Smartphones und Tablets zur E-Mail-Kommunikation kann es Probleme geben, wenn Verschlüsselung zum Einsatz kommt. Zum einen muss das jeweilige mobile E-Mail-Programm das genutzte Verschlüsselungsverfahren unterstützen, zum anderen müssen verwendete Schlüssel oder Zertifikate auch auf die Mobilgeräte kopiert werden. Damit geht allerdings ein erhöhtes Risiko einher, weil beim Verlust beispielsweise des Smartphones auch die Schlüssel leicht in fremde Hände gelangen können.

Instant Messenger

Ein Großteil der online-Kommunikation erfolgt inzwischen über Messenger wie WhatApp und Threema. Tatsächlich unterstützen diese Dienste inzwischen eine Ende-zu-Ende-Verschlüsselung, die es Dritten wie auch dem Dienstbetreiber selbst unmöglich macht, die versendeten Nachrichten einzusehen. Die Verschlüsselung der Messenger folgt dabei im Allgemeinen etablierten Standards und kann theoretisch als sicher angesehenen werden. Problematisch ist in diesem Zusammenhang allerdings, dass die eigentliche Software oftmals im Sinne von "Closed Source" nicht einsehbar ist. Auch die Auslieferung der Apps und ihrer Updates über einen Dienstleister wie Apple oder Google macht es schwierig, diesen Programmen vollständig zu vertrauen. Ein weiteres Problem stellen die Metadaten („Wer chattet wann wie oft mit wem?“) dar:  Denn obwohl Dienstbetreiber wie Facebook im Falle von WhatsApp keinen Einblick in die Inhalte haben, die über den eigenen Messenger verschickt wird, so haben die Betreiber doch umfassende Kenntnisse über die Rahmendaten der Kommunikation in Form von Protokolldaten. Eine unbeobachtete Kommunikation ist unter diesem Aspekt nicht möglich.

Eine anschauliche Übersicht über die meisten aktuell verfügbaren Messenger bietet die deutschssprachige Wikipedia[Extern]. Bei der Auswahl eines geeigneten Messengers sollten Sie auf folgende Punkte achten:

  • Ende-zu-Ende-Verschlüsselung mit etablierten Methoden.
  • Verschlüsselte Client-Server Verbindung mit etablierten Methoden.
  • Keine oder höchstens optionale Weitergabe der Adresbuchdaten an den Dienstanbieter.
  • Idealerweise Freie Software