Auf Zeit Online gab’s neulich mal wieder einen Artikel zum Thema e-Mailverschlüsselung und über die wie Pilze aus dem Boden sprießenden e-Mailanbieter, die dem Benutzter e-Mailverschlüsselung nahebringen wollen. Nicht das ich an dieser Stelle den Neulingen per se unterstellen möchte, quasi Ausgründungen der Geheimdienstwelt zu sein, aber eine gewisse Vorsicht scheint angebracht zu sein, bevor man sich womöglich in falscher Sicherheit wiegt. Ich persönlich habe eine prinzipielle Abneigung gegen alle Verfahren, bei denen private Schlüssel, in welcher Form auch immer, beim Anbieter erzeugt werden und/oder dort verbleiben. Diese Sammlungen werden immer, auch wenn der Anbieter keine verdeckte Agenda hat, ein primäres Ziel von Angreifern (Justiz, Geheimdienste, Hacker) darstellen. Private Schlüssel gehören grundsätzlich nicht in fremde Hände — auch nicht in die Cloud —, sondern ausschließlich auf den eigenen Rechner. Will der Angreifer unter diesen Bedingungen an private Schlüssel kommen, ist er gezwungen jeden einzelnen Rechner zu infiltrieren, was derzeit ein pauschales Abgreifen im Vorübergehen bei Millionen von Nutzern wirkungsvoll aushebelt. Ist der Angreifer allerdings Willens und in der Lage den Rechner eines Benutzers zu infiltrieren, hat der Benutzer ein echtes Problem, denn an diesem Punkt verliert die Wichtigkeit zum Zugang des privaten Schlüssels enorm an Bedeutung, da der Angreifer Zugriff auf die Daten vor der Ver-, bzw. nach der Entschlüsselung hat. Auch eine verschlüsselte Festplatte ist dann nutzlos. Trotz aller Sammelwut der Geheimdienste und der sie beauftragenden Regierungen, würde eine individuelle Infiltration immer noch hochselektiv erfolgen. Derzeit werden die Daten nur deshalb in dem ungeheuren Ausmaß gesammelt, weil es eben sehr einfach ist und sich praktisch niemand dagegen zur Wehr setzt. Weiterlesen
Tag Archiv für PGP
PGP ist zu kompliziert
Rechtsanwalt für Internetrecht klagt gegen BND, bietet aber keinen PGP-Schlüssel an
Wie der Spiegel berichtet (via CR-Online), klagt der Berliner Anwalt Niko Härting (Twitter: @nhaerting) vor dem Bundesverwaltungsgericht gegen eine Durchleuchtung von e-Mails aus dem Jahre 2010, da aus dem Jahresbericht (vgl. hier) des parlamentarischen Kontrollgremiums hervorging, daß der BND 37 Mio. e-Mails abgefangen, aber nur in 12 Fällen auf nachrichtendienstlich relevantes Material gestoßen sein soll. Soweit so gut, je mehr Klagen vor unterschiedlichen Gerichten gegen diese Schnüffelei vorliegen, desto größer ist auch die Wahrscheinlichkeit, daß Licht in die Sache kommt und Verantwortliche mindestens Rede und Antwort stehen müssen (man wird ja bescheiden, bei dieser Regierung).
Was den Fall aber interessant macht ist etwas Anderes und genau passend zu zwei anderen Artikeln zu Rechtsanwälten hier im Blog (hier und dort): Weiterlesen
Diese e-Mail enthält vertrauliche Informationen
Regelmäßig findet sich in der Signatur von e-Mails im Gechäftsverkehr mit Firmen, Freiberuflern — Rechtsanwälte eingeschlossen! — ein Passus, manchmal sogar in drei oder vier Sprachen, der mehr oder weniger höflich bis drohend darauf hinweist, daß die e-Mail und deren Anhänge vertrauliche und/oder rechtlich geschützte Informationen enthalte und daß man, sofern man nicht der intendierte Empfänger ist, sowohl den Absender informieren möge, als auch die Weitergabe der Informationen — unter Strafandrohung — zu unterbleiben habe. In etlichen Fällen enthalten diese E-Mails durchaus Informationen, die nicht für jedermann bestimmt sind. Offensichtlich ist man sich der Problematik bewusst, daß e-Mails technisch bedingt deutlich weniger vertraulich sind, als Briefe. Gemeinsam ist diesen e-Mails aber, jedenfalls bei dem was ich bisher gesehen habe, dass sie niemals irgendeinen Hinweis auf einen kryptografschen Schlüssel, sei es PGP oder S/MIME, enhalten. Man möchte zwar die Vertraulichkeit gewahrt wissen, ist aber selbst nicht bereit etwas dafür zu tun. Allein der Einsatz einer kryptografischen Signatur könnte die Irrläuferquote reduzieren, da sie bereits beim Absender mit hoher Wahrscheinlichkeit entdeckt werden würden, weil der Einsatz eines zwar zu der e-Mailadresse passenden Schlüssels, aber falschen Empfängers nicht vollständig vermeidbar wäre, aber einfache Tippfehler in den Mailadressen zu einer Rückmeldung führen würden. Weiterlesen
Kundenverarsche „E-Mail made in Germany“
Die Deutsche Telekom und United Internet (Web.DE & GMX) haben heute ihr gemeinsames Projekt „E-Mail made in Germany“ vorgestellt, bei dem sie in Zukunft den Mailverkehr zwischen ihren Mail-Servern verschlüsselt übertragen werden, d.h. der Transportweg wird verschlüsselt, das ist etwas anderes als wenn die e-Mails verschlüsselt werden, denn am Ende des Weges wird wieder entschlüsselt. Es ist sicherlich nicht prinzipiell falsch was Deutsche Telekom und United Internet hier vorhaben, aber es geht im Grunde am eigentlichen Problem vorbei. Zunächst stammt der dazugehörige Standard STARTTLS (RFC 2595, RFC 3207) bereits von 1999 und 2002. Man muss sich also fragen, wieso die das erst jetzt implementieren und dies nicht schon vor zehn Jahren erfolgt ist. Bei den genannten Providern kann der Endkunde bereits seit Jahren seine e-Mails verschlüsselt über TLS (Nachfolger des veralteten SSL) einreichen, sofern er dies auf seinem Rechner in seinem e-Mailprogramm konfiguriert hat, d.h. die Technik ist bei den Unternehmen schon lange im Einsatz und wird jetzt nur auf den Austausch der E-Mails zwischen ihnen ausgedehnt. Weiterlesen
Sollte man seine e-Mails verschlüsseln? Ja, aber …
Seit langem wird aus aktuellem Anlass mal wieder darüber diskutiert, ob man seine e-Mails verschlüsseln sollte oder nicht. Ich persönlich würde sagen ja. Das gilt uneingeschränkt für Privatleute und Unternehmen. Wie die Projekte Prism und Tempora hoffentlich eindrucksvoll gezeigt haben, ist das Mitlesen der über TCP/IP-laufenden Kommunikation deutlich einfacher, als bei herkömmlichen Kommunikationsformen und -wegen, da dies vollautomatisch und vor allen Dingen spurlos erfolgt. Die Verschlüsselungssoftware (GnuPG, S/MIME) ist frei verfügbar und nach einmaliger Einrichtung auch problemlos nutzbar. Man sollte die Verschlüsselung als eine Art von Notwehr verstehen: Weiterlesen
Rechtsanwälte im Internet
Ich hatte in den letzten Monaten, bereits lange vor der Snowden-Affäre, viel Kontakt mit Rechtsanwälten. Neben der Suche nach geeigneten Kanzleien kam es dabei auch zu, über den Erstkontakt hinausgehender, Korrespondenz, die unter Anderem per e-Mail geführt wurde. Einige Anwälte bevorzug(t)en sogar ausdrücklich die Abwicklung per e-Mail, auch gegenüber dem Telefon, da sie schwer erreichbar sind. Schon damals ist mir aufgefallen, daß zwar fast jede Kanzlei im WWW vertreten ist, aber die Allerwenigsten einen Hinweis auf die Möglichkeit einer verschlüsselten Kontaktaufnahme bieten (weder auf der Webseite, noch in den Mailsignaturen). Gerade bei RA sollte man eigentlich ein höheres Sicherheitsbewusstsein erwarten. Selbst wenn die Leistung vom Klienten nicht aktiv nachgefragt wird, müsste ein RA spätestens bei der ersten Mailantwort seinem Mandanten die Möglichkeit zumindest anbieten. Weiterlesen
Können die Geheimdienste SSH und PGP entschlüsseln?
Mitte Juni behauptete Edward Snowden in einem Chat mit Lesern des „The Guardian“ (Edward Snowden: NSA whistleblower answers reader questions), daß Verschlüsselung tatsächlich schützt. Weiterlesen
Der E-Postbrief mit Ende-zu-Ende-Verschlüsselung — Sicher?
In einer Presseerklärung bewirbt die Deutsche Post ihren e-Postbrief jetzt für Berufsgruppen, die einem Berufsgeheimnis unterliegen, wie Rechtsanwälte, Ärzte etc. Ermöglicht werden soll dies durch eine Ende-zu-Ende-Verschlüsselung der elektronischen Kommunikation, wobei der Verschlüsselungsvorgang selbst direkt im Browser abläuft. Weiterlesen
Filehoster Mega: Sicherheit aus Anwendersicht
Der erste Ansturm auf den neuen Filesharingdienst Mega von Kim Schmitz alias Kim Dotcom hat sich gelegt und Alltag macht sich breit. Eines der Hauptwerbeargumente von Mega („The Privacy Company“) ist seine Sicherheit mittels durchgängiger Verschlüsselung. Abseits der rein technisch-mathematischen, aber wichtigen Diskussion (Antwort von Mega) zur Sicherheit der verwendeten Algorithmen und deren Implementation bleiben prinzipielle Schwachstellen im System, deren Behebung unweigerlich auf Kosten der universellen Nutzbarkeit und Einfachheit gehen würde, was wiederum die Masse der Anwender abschrecken würde. Weiterlesen