Verschlüsselungsprogramme – wie sicher sind sie wirklich?
VON Robert Brettschneider Kommunikation Web
Im Internet ist die Übermittlung von Daten ein absolut üblicher Vorgang, der sich jeden Tag tausendfach wiederholt. Denn bei jedem Kauf in einem Online-Shop werden nicht nur Name und Anschrift, sondern meist auch Konto- oder Kreditkartendaten preisgegeben, da diese Informationen zur Zahlungsabwicklung benötigt werden. Damit wäre grundsätzlich kaum ein Risiko verbunden, sofern man sich an einen seriösen Shop-Betreiber gewandt hat, was man durch entsprechende Bewertungen anderer Kunden sowie durch das Vorhandensein eines allgemein anerkannten Gütesiegels leicht feststellen kann.
Ein weiterer Bereich, bei dem es zu einem intensiven Austausch von Daten kommt, ist der E-Mail-Verkehr. Da das Versenden von E-Mails unkompliziert und schnell geht, werden häufig auch sensible Daten und vertrauliche Nachrichten unbekümmert per Mail oder als Anhang versendet.
Gefährlich wird es nun, sobald es Unbefugten gelingt, Zugriff auf die übermittelten Daten zu erhalten. Wobei sich hier die diesbezügliche Bedrohungsstruktur grundlegend gewandelt hat. Waren früher hauptsächlich Konto- und Kreditkartendaten das Ziel von Attacken mit kriminellem Hintergrund, so sind heute praktisch alle Informationen, die online übermittelt werden, im Visier von Kriminellen. Der Einsatz einer erprobten Verschlüsselungssoftware stellt trotz der einen oder anderen Schwachstelle, die hin und wieder entdeckt werden mag, immer noch einen wirksamen Schutz gegen jede Art von Cyberkriminalität dar.
Was ist bei Verschlüsselungs-Programmen zu beachten?
Die Übertragung von E-Mails im Internet erfolgt stets in unveränderter Form, d. h. so, wie sie vom Empfänger verfasst worden sind. Sie können daher auf jedem Server – etwa vom Serverbetreuer – gelesen und auch von Computerprogrammen ausgewertet werden. Wer das nicht möchte, muss seine E-Mails verschlüsselt übertragen.
Die Verschlüsselung der Mails alleine reicht jedoch nicht aus. Es ist darüber hinaus sicherzustellen, dass die Übertragung der Nachrichten über eine sichere Verbindung erfolgt. Allerdings kann nur der Weg zwischen dem Postausgangs-Server des Senders und dem Empfänger-Server abgesichert werden, den restlichen Weg bis zum Postfach des Adressaten legt die Mail im Internet ungesichert zurück. E-Mails mit sensiblem Inhalt sollten daher stets chiffriert versendet werden.
Das Verschlüsseln und Entschlüsseln von E-Mails ist nur mit einer speziellen Software möglich. Am Markt werden etliche dieser Chiffrier-Programme angeboten, wobei darauf zu achten ist, dass die ausgewählte Verschlüsselungs-Software das verwendete E-Mail-Programm unterstützt. Dies ist dann der Fall, wenn passende Extensions angeboten werden, mit denen das Verschlüsselungsprogramm in die eigene E-Mail-Anwendung integriert werden kann. Etabliert haben sich das kostenpflichtige Verschlüsselungsprogramm „Pretty Good Privacy“ (PGP) sowie dessen frei erhältliches Gegenstück „Gnu Privacy Guard“ (GPG).
Auch Nutzer von Web-Mailboxen, welche ihre Nachrichten online in der Cloud bearbeiten, müssen mittlerweile nicht mehr auf wirksamen Datenschutz verzichten; viele Webmail-Anbieter haben einen Chiffrierdienst in ihr Portal integriert, welchen der Kunde als kostenpflichtigen Service nutzen kann.
Wie funktioniert die Verschlüsselung einer Nachricht?
Bei der Chiffrierung von E-Mails wird generell die sogenannte asymmetrische Verschlüsselung angewendet. Bei diesem Verfahren erfolgt das Ver- und Entschlüsseln mit jeweils unterschiedlichen Schlüsseln, beide Schlüssel bilden als Partnerschlüssel ein Schlüsselpaar. Wurde nun eine Nachricht mit einem der beiden Schlüssel verschlüsselt, kann sie nur mit dem dazu passenden Partnerschlüssel wieder decodiert werden. Der Empfängerschlüssel unterliegt absoluter Vertraulichkeit, der Empfänger hat seinen Schlüssel geheim zu halten und dem Zugriff durch Dritte zu entziehen, da nur er ermächtigt ist, die Nachricht zu dechiffrieren.
Demgegenüber ist der Schlüssel des Absenders öffentlich zugänglich, er kann auf speziellen „Schlüsselservern“ für jeden sichtbar aufbewahrt werden. Diese öffentliche Aufbewahrung ist deshalb erforderlich, da jeder, der diesem Empfänger eine Nachricht senden möchte, genau diesen Schlüssel verwenden muss. Jeder Schlüssel unterliegt bestimmten formalen Anforderungen. Er muss eine Mindestlänge von 1024 Bit aufweisen, da kürzere Schlüssel aufgrund der geringeren Anzahl an Kombinationsmöglichkeiten entsprechend leichter erraten werden können. Sowohl PGP als auch GPG verwenden Schlüsselpaare, die bei Anforderung automatisch generiert werden und den Sicherheitsanforderungen entsprechen.
Alternativ zur Hinterlegung auf einem Server kann der Schlüssel dem Empfänger auch per E-Mail gesendet oder ihm auf einem Datenträger übermittelt werden. Um eine verschlüsselte Nachricht versenden zu können, müssen sowohl Sender als auch Empfänger dem jeweils anderen ihren öffentlichen Schlüssel bekannt geben.
Standards bei E-Mail-Verschlüsselungen
Im täglichen E-Mail-Verkehr haben sich OpenPGP und S/MIME als technische Standards etabliert. OpenPGP diente als Ausgangsbasis für die Entwicklung von GPG und PGP, während S/MIME de facto den Standard bei Behörden und Unternehmen repräsentiert. Ist der Einsatz von S/MIME im eigenen Unternehmen geplant, so ist bei einer der Zertifizierungsstellen ein Schlüsselpaar samt zugehörigem Zertifikat zu beantragen. Über dieses kann das Schlüsselpaar seinem Inhaber jederzeit zugeordnet werden, was vor allem bei Verlust des Schlüssels von Bedeutung ist. Für den privaten Bereich sollte in jedem Fall eine Verschlüsselung nach dem Standard von OpenPGP ausreichend sein.
Oberstes Bild: © dencg – Shutterstock.com
