Heute berichten zahlreiche Medien (z.B. die FAZ) über schwerwiegende Sicherheitslücken in E-Mailverschlüsselung. Nach Angabe der Entdecker sollen die beiden Standards OpenPGP und S/Mime betroffen sein und die akute Gefahr bestehen, dass der Inhalt von verschlüsselten E-Mails von einem Angreifer ausgeleitet wird. Dies soll auch für E-Mails aus der Vergangenheit gelten. Entgegen der teilweise in den Medien verbreiteten Darstellung betreffen die beiden Sicherheitslücken jedoch gar nicht OpenPGP und S/Mine direkt, sondern „nur“ die Software mit der die Handhabung der Verschlüsselung vereinfacht wird. Zahlreiche Programme, darunter auch Mozilla Thunderbird, machen dabei Fehler bei der Behandlung von HTML. Diese ermöglichen es einem Angreifer die Inhalte von verschlüsselten E-Mails aus der E-Mailsoftware des Opfers auszuleiten.
Zum warrant canary von riseup
Ein Update des warrant canary von Riseup ist inzwischen schon seit geraumer Zeit überfällig. Zunächst war unklar, ob Riseup überhaupt eine Regierungsanfrage (National Security Letter, kurz NSL) mit einer gag order, also dem Verbot über die Anfrage zu informieren, bekommen hat oder das Update des canary einfach verspätet erscheinen würde. Mittlerweile gilt es als sicher, dass Riseup eine Regierungsanfrage bekommen hat, jedoch keine Daten herausgegeben hat und noch im Besitz des Zugriffs auf die Server ist. Riseup kann also nach wie vor als sicher betrachtet werden. Nutzer von Riseup sollten aber dennoch ihre Mails sichern, wenn sie sie nicht ohnehin (wie empfohlen) mittels POP3 abrufen. Eine ausführliche Analyse zum Fall liefert der Artikel „Something Happened to Activist Email Provider Riseup, but It Hasn’t Been Compromised“ von Micah Lee bei The Intercept.
Best Practice: E-Mails
Gerade für Einsteiger ist die Frage, wie E-Mail-Kommunikation möglichst sicher gestaltet werden kann, oft kompliziert. Mit diesem Übersichtsartikel will ich das Problem zumindest eindämmen und eine best practice zum Umgang mit E-Mails für Einsteiger vorstellen. Euer E-Mailkonzept sollte (neben Backups, die immer anzufertigen sind) zumindest die folgenden Punkte umfassen:
1. Lokale Speicherung der E-Mails: E-Mails sollten lokal immer verschlüsselt gespeichert werden. Es hat sich als sehr sinnvoll erwiesen hierfür einen TrueCrypt- bzw. VeraCrypt-Container zu verwenden und in diesen Thunderbird-Portable zu installieren. Die Verwendung eines zusätzlichen verschlüsselten Containers ist je nach Sicherheitsbedürfnis auch für Geräte mit Vollverschlüsselung zu empfehlen, da die E-Mails dann nur zugänglich sind, wenn man sie wirklich braucht.
Vertrauenswürdige Emailanbieter
Eine Bemerkung gleich zu Anfang: Ein vertrauenswürdiger Emailanbieter ist nur ein Baustein für die Sicherheit euer Emails. Wer sicher per Email kommunizieren will, muss seine Emails Ende-zu-Ende verschüsseln, z.B. mit PGP. Klar dürfte auch sein, dass man seine Emails nicht über Anbieter wie GMX, Yahoo & Co. abwickeln sollte, denn diese Anbieter kooperieren mit Strafverfolgungsbehörden und Geheimdiensten. Was bedeutet, dass diese im Zweifelsfall, neben den Inhalten von unverschlüsselten Emails, auch die Metadaten von verschlüsselten Emails (Wer hat wann mit wem geschrieben?) auswerten und gegen euch verwenden können. Außerdem können sie sehen, welche Daten bei der Registrierung des Dienstes hinterlegt wurden. Lässt also von GMX, Yahoo & Co. besser die Finger!
Bessere Möglichkeiten (mit absteigendem Schwierigkeitsgrad) sind beispielsweise: „Vertrauenswürdige Emailanbieter“ weiterlesen
PGP im Video erklärt
E-Mailverschlüsselung mit PGP
PGP verstehen, installieren und benutzen? Dafür hat die Free Software Foundation eine hervorragende Infoseite erstellt, die zum einem die Funktionsweise der assymetrischen Verschlüsselung erklärt und zum anderen eine detaillierte Schritt für Schritt-Anleitung zur Installation und Verwendung von PGP hat. Die Anleitung gibt es für Apple, Mac und Windows.
Besonderes Feature: Ob man alles richtig gemacht hat, kann man gleich testen, indem man mit „Edward“, einem Computer der FSF, testweise, verschlüsselte Emails austauscht.