Open Source im professionellen Einsatz
Linux-Magazin 03/2016
© Vlad Kochelaevskiy, Fotolia

© Vlad Kochelaevskiy, Fotolia

E-Mails in Clouddiensten verschlüsseln

Aktion Briefgeheimnis

,

Abseits der sozialen, überwiegend privat genutzten Medien bleibt in der geschäftlichen Korrespondenz E-Mail die Nummer eins. Entsprechend groß ist der Schaden, wenn es Dritten gelingt, Nachrichten abzufangen oder beim Provider gespeicherte IMAP-Folder abzuschnorcheln.

789

Wahrscheinlich gibt es kaum Internetnutzer ohne E-Mail-Account. Kein Wunder, E-Mail-Postfächer gibt es bei vielen Anbietern kostenlos oder als Beigabe zu einem Tarif beim Cloud-Dienstleister. Der Zugriff erfolgt per Browser über ein Webfrontend oder mit einem E-Mail-Client über die etablierten Protokolle POP3, IMAP und SMTP. Mittlerweile bauen alle seriösen Dienste auf die verschlüsselnden Varianten der Protokolle. Immer mehr setzen zudem Perfect Forward Secrecy ein, das ein Abhören der Kommunikation erschwert [1].

Dass die Verbindung zwischen Kunden und Provider vor neugierigen Blicken zu schützen ist, lässt sich als Folge erhöhten Problembewusstseins nach Edward Snowdens Veröffentlichungen deuten. Seither ist vielen Privatanwendern klar, dass einzelne Mails mit heiklem Inhalt, aber auch ihre tägliche Korrespondenz als Ganzes so viel verraten, dass deren Schutz einen erhöhten Aufwand rechtfertigt. Umso mehr gilt das für Mails, die Firmen untereinander und zu ihren Kunden verschicken.

Den Kanal zwischen Clientrechner und Mailserver beziehungsweise Webmail-Frontend zu verschlüsseln, reicht jedoch nicht aus. Denn eine verschickte Mail wandert vom SMTP-Server weiter zum Mailserver des Empfängers und von dort in Richtung Empfänger-Client.

Zwar verständigen sich Mailprovider zunehmend darauf, die Transportwege zwischen ihren Servern zu verschlüsseln, aber für den Absender einer Nachricht ist die Sicherheit der Zwischenabschnitte nicht planbar. Hinzu kommt, dass auf jeder Zwischenstufe die Mail im Klartext auftaucht – also einsehbar wird für von Natur aus neugieriges oder von Konkurrenten geschmiertes Personal sowie für Backdoors von Geheimdiensten.

Darum bietet eine End-to-End-Verschlüsselung oft den größten Sicherheitsgewinn. Garantiert vor neugierigen Augen geschützt ist eine Nachricht folglich nur dann, wenn der Nutzer den privaten Schlüssel besitzt und die Ver- und Entschlüsselung auf seinem Rechner beziehungsweise Smartphone erfolgt. In der Praxis durchgesetzt haben sich die Standards S/MIME und PGP. Erstgenannter setzt gute Zertifikate voraus, während PGP ein vom User selbst angefertigtes Schlüsselpaar verwendet.

E-Mail-Clients

Der beliebte E-Mail-Client Thunderbird kann von Haus aus per S/MIME ver- und entschlüsseln. PGP rüstet ein passendes Add-on wie Enigmail (Abbildung 1, [2]) nach, das wiederum auf das Kommandozeilentool Gnu PG [3] zurückgreift. Mit dessen Hilfe ver- und entschlüsselt auch Kmail Nachrichten. Das unter Gnome favorisierte Geary kann derzeit noch nicht mit verschlüsselten E-Mails umgehen. Für Administratoren ist dieser Weg über Standard-E-Mail-Clients besonders elegant, da die Anwendungen Bestandteil der meisten Linux-Distributionen sind. Das Thunderbird-Add-on-Repository hält Enigmail zudem aktuell.

Beim Einsatz der genannten Programme sinkt jedoch der Komfort. So muss sich der User zunächst in die teilweise recht kryptisch aufgebauten Anwendungen einarbeiten, was unter Umständen Schulungskosten verursacht. Besonders Enigmail gilt als wenig intuitiv.

Hinzu kommt das häufige Eintippen der Passphrase. Außerdem lagern die Schlüssel für das Ver- und Entschlüsseln auf dem aktuellen Rechner. Wer seine Post auch am Smartphone lesen will, muss erst umständlich per Hand den Schlüssel dorthin übertragen und noch eine E-Mail-App finden, die mit dem PGP-Standard umgehen kann.

Abbildung 1: Das Thunderbird-Add-on Enigmail rüstet den Mailclient mit GPG-Support aus, ist aber nicht durchgängig komfortabel zu handhaben.

Vorgeschalteter Webmailer

Findige Linux-Admins kommen vielleicht auf die Idee, auf einem eigenen kleinen Webserver (Abbildung 2) eine Webmail-Anwendung wie Horde Groupware [4] zu installieren. Die Webanwendung dient als Benutzeroberfläche für den eigentlichen IMAP-Server. Die Verschlüsselung erfolgt direkt im Browser beziehungsweise in Horde und Mail passiert den IMAP-Server ausschließlich chiffriert. Eine Alternative zu Horde ist Roundcube [5], das allerdings erst mit der bei Redaktionsschluss kurz vor der Veröffentlichung stehenden Version 1.2 mit verschlüsselten E-Mails umgehen kann.

Der Einsatz eines vorgeschalteten Webmailers hat den Vorteil, dass im Unternehmen alle Mitarbeiter die gleiche E-Mail-Verwaltung nutzen und der Administrator nur eine Software auf einem Zentralserver warten muss. Das ist zugleich der Nachteil: Er benötigt einen extra Webserver, was den erwünschten Vorteil beim Cloud Computing, den Wegfall des Wartungs- und Pflegeaufwands, konterkariert.

Glücklicherweise entdecken immer mehr E-Mail-Dienstleister die Verschlüsselung als Feature, mit dem sie sich von der Konkurrenz abheben. Sie schaffen eine für die Benutzer einfach bedienbare Infrastruktur, die Schlüssel verwaltet, abzusetzende Mails ver- und empfangene Mails entschlüsselt. Die meisten Dienste generieren und speichern die zur Chiffrierung der Nachrichten verwendeten Schlüssel aber auf ihren Servern und führen dort auch die eigentliche Verschlüsselung durch.

Das hat zwar den Vorteil, dass sich der User um die Verschlüsselung keine Gedanken machen muss und von jedem beliebigen PC, Smartphone oder Tablet aus seine E-Mails verwalten kann. Doch besitzt der Dienstanbieter den privaten Schlüssel und könnte somit die E-Mails jederzeit und vor allem unbemerkt von seinen Kunden wieder entschlüsseln.

Abbildung 2: Einen kleinen Webserver mit einer Webanwendung ins Unternehmen zu stellen, löst zwar manches Privacy-Problem, läuft aber dem Weg in die Cloud entgegen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Clients

    Ob private oder betriebliche Kommunikation – das Unbehagen wächst. Denn Geheimdienste und Mitbewerber trachten danach, aus dem Urgestein E-Mail eine sprudelnde Quelle abzuschöpfen. Der Schwerpunkt dieser Ausgabe informiert über mögliche Gegenmaßnahmen. Los geht es mit verschlüsselnden Clients.

  • Neue Mail-Verschlüsselung bei Posteo

    Der E-Maildienst Posteo führt eine neue Verschlüsselungsoption ein: Den Posteo-Krypto-Mailspeicher. In den kommenden Wochen wird Posteo die Funktion schrittweise für alle Postfächer freischalten.

  • Feature-Update bei Mailbox.org

    Der deutsche E-Mail-Anbieter Mailbox.org hat seinem kostenpflichtigen Service neue Features spendiert. Dazu zählen das direkte bearbeiten von verschlüsselten Dokumente, Tabellen und Präsentationen im Online-Speicher und ein verbesserter Spamfilter.

  • Mailbox.org startet Tor Exit Node

    Mailbox.org wird Teil des Anonymisierungsdienstes Tor Onion Route und will damit seinen Kunden einen sicheren Kommunikationsweg anbieten.

  • Mailbox.org: Heinlein startet modernisiertes Mail-Angebot

    Die Heinlein Support GmbH hat unter Mailbox.org einen neuen Mail-Dienst mit Servern in Deutschland und besonderem Augenmerk auf Sicherheit und Vertraulichkeit gestartet.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.