Unsichere Smartphones So schützen Sie Ihre Mails

Das kann peinlich werden: Wer eine E-Mail bekommt, die gleichzeitig an einen zweiten Empfänger geschickt wurde, sollte nicht beiden gleichzeitig antworten. Das ist schnell passiert. Man regt sich über einen Kollegen auf, der es dann eine Minute später selbst lesen darf, oder blamiert sich vor Geschäftskunden. Doch auch normale Mails kann nicht nur der Empfänger lesen – ein Problem, dessen sich viele Internetnutzer nicht bewusst sind. Das Bundesamt für Sicherheit in der Informationstechnik hat den Regierungsbeamten empfohlen, keine Blackberrys und iPhones zu benutzen – sie sind zu unsicher.

Der Inhalt einer einfachen E-Mail ist so schlecht gesichert wie der einer Postkarte: „Private Mails kann jeder mitlesen, der Interesse an ihrem Inhalt und ein wenig technisches Verständnis hat“, sagt der Datenschutzexperte Hartmut Pohl von der Gesellschaft für Informatik. Das kann ein Nachbar sein, ein Konkurrent oder auch der Geheimdienst. Denn eine E-Mail wird über mehrere Schnittstellen geschickt – unabhängig davon, ob sie von einem Computer oder einem internetfähigen Telefon, einem Smartphone, kommt. Jede Schnittstelle bietet eine potentielle Sicherheitslücke.

Der Wunsch nach ständiger Erreichbarkeit macht laxer

Konzerne und Behörden wissen das und schützen die Kommunikation ihrer Mitarbeiter so gut sie können. Denn ein Smartphone hat fast jede Führungskraft. Und auch die politischen Spitzenkräfte simsen und mailen die ganze Zeit. Den ganzen Tag erreichbar zu sein gilt als Selbstverständlichkeit. Doch der Umgang mit sensiblen Daten ist dadurch laxer geworden. Denn eine E-Mail mit brisantem Anhang ist schneller verschickt, als früher ein Treffen hinter verschlossenen Türen anberaumt wurde. Studien zufolge beziffert sich der durchschnittliche wirtschaftliche Schaden bei einer Datenpanne auf 2,5 Millionen Euro.

Davor warnt Datenschutzexperte Pohl: „Wenn sensible Geschäftsdaten wie Übernahmeangebote per Mail verschickt werden, kann man davon ausgehen, dass sie jemand liest, für den sie nicht bestimmt sind.“ Die Mail gelangt zunächst an den Zentralrechner des Unternehmens oder des E-Mail-Anbieters, wie etwa Hotmail. Diesen ersten Übertragungsweg kann man mit dem sogenannten SSL-Protokoll verschlüsseln. Bei Gmail funktioniert das automatisch, bei Outlook kann man es manuell aktivieren. Mit Hilfe eines virtuellen privaten Netzes (VPN) lässt sich die Kommunikation über den Firmenrechner verschlüsseln. Hierbei strömen alle Daten durch einen virtuellen Tunnel innerhalb des Internets, der von außen nur schwer durchdrungen werden kann.

Technik, an der sich selbst Geheimdienste die Zähne ausbeißen

Doch für Experten sind auch die zu knacken: Beide Techniken lassen sich mit einem „man in the middle“-Angriff überlisten. Ein Hacker täuscht vor, der jeweils andere Kommunikationspartner zu sein, und kann auf diese Weise den Datenstrom einsehen. Ein wirksamer Schutz dagegen sind digitale Zertifikate, die den Server und die dazugehörigen Empfangsgeräte eindeutig identifizieren. Diese sollten vor jeder Dienstreise nachgeprüft werden, rät Frank Rosengart vom Chaos Computer Club.

Im privaten Gebrauch können Premiummitgliedschaften von Anbietern für ein paar Euro im Monat einige Schwachstellen im Datenschutz schließen. Doch auch dann haben die Anbieterfirmen noch Zugriff auf die Daten. Für hochsensible Daten greifen Datenschützer daher zu einer noch aufwendigeren Verschlüsselungstechnik, an der sich selbst Geheimdienste die Zähne ausbeißen: PGP. Sender und Empfänger tauschen digitale Schlüssel aus, wobei der Code mit einem Schlüssel chiffriert wird und mit einem anderen wieder aufgeschlossen: „Je länger ein Schlüssel ist, desto besser. Denn desto länger dauert es, die Mail zu entschlüsseln“, erklärt Hartmut Pohl.

Der PGP-Code ist so schwer zu knacken, dass er gar unter das amerikanische Kriegswaffenkontrollgesetz fiel. Erfinder Phil Zimmermann durfte ihn 1993 nicht in andere Länder ausführen. Für Bücher galt diese Beschränkung jedoch nicht, daher gab er den Quellcode kurzerhand als Buch heraus, immerhin mehrere tausendseitige Bände, die dann per Flugzeug in die Schweiz gebracht und dort wieder eingescannt wurden.

Konzerne verlassen sich lieber auf ihre eigenen Systeme

Heute ist die PGP-Grundversion für die private Anwendung nach wie vor frei erhältlich, ebenso die Open-Source-Variante GnuPG. Beide Varianten basieren auf einem einheitlichen Standard und sind daher kompatibel. Sie funktionieren bisher aber nur für Mails, die am Computer geschrieben werden. Smartphones kann man damit noch nicht schützen. Für Firmen sind diese Versionen jedoch nur mäßig brauchbar.

Viele Dax-Konzerne haben deswegen sehr aufwendige eigene Sicherheitsvorschriften für die zahlreichen Mitarbeiter mit Internet-Handys. Im Lufthansa-Konzern sind zum Beispiel rund 4000 Smartphones im dienstlichen Gebrauch. Vertrauliche Mails werden mit einem eigenen System verschlüsselt, auch die, die von Blackberrys verschickt werden. Obwohl RIM, die Hersteller-Firma der Blackberrys, damit wirbt, dass der Mailverkehr über ihre Geräte sehr sicher sei, ist man sich in den Unternehmen der verbleibenden Risiken bewusst und überwacht diese Geräte zusätzlich mit eigenen Systemen. Die Deutsche Post verschlüsselt Mails, die zwischen den verschiedenen Unternehmens-Servern verschickt werden, zusätzlich.

Besonders wichtig ist die Verschlüsselung bei sensiblen politischen Informationen. Angela Merkels Telefon, mit dem sie so gerne ihre SMS verschickt, ist eines der sichersten im Land. Und der amerikanische Präsident Barack Obama galt vor seinem Amtsantritt als geradezu süchtig nach seinem Blackberry. Nach der Wahl wurde es jedoch so mit Sicherheitsvorkehrungen überfrachtet, dass ihm das Mailen damit jetzt überhaupt keinen Spaß mehr macht. In Amerika kann die gesamte Kommunikation des Präsidenten später eingesehen werden. Da würde sich niemand mehr trauen, ihm interessante Sachen zu schicken, sagte er in einer Talkshow. Und überhaupt hätten nur noch zehn Leute Zugang zu seinem Telefon – meistens würden sie ihn nur über die nächste Sitzung informieren.