Aspekte der Sicherheit von E-Mail

Business Online 10/97

Elektronisch versandte Post ist nach wie das effektivste Transportmittel im Internet, denn Nachrichten erreichen schnell und preiswert den Partner. Ein Garant für moderne Kommunikation, könnte man denken, wenn da nicht die diversen Mängel wären.

Ist E-Mail so unsicher, wie allgemein behaupet? Die Antwort darauf muß „Ja“ lauten, denn elektronische Post reist auf ihrem Weg vom eigenen Rechner bishin zum Empfänger offen durch das Netz der Netze. Schon bevor eine E-Mail ihre Reise im Netz antritt, besteht die Gefahr, daß unbefugte Lauscher auf die Daten zugreifen: Beim Schreiben am heimischen PC oder Computer in der Firma strahlen Rechner Radiofreqenzen ab, die jedes Zeichen auf dem Bildschirm und jeden Druck auf die Tastatur verraten. Aus Entfernungen von bis zu einem Kilometer können versierte Fachleute verfolgen, welche Liebkosungen ein Mann seiner Ehefrau zukommen lassen möchte, aber auch, welche neuen Produktlinien ein Konzern demnächst auf den Markt bringen will. Da technisch und personell aufwendig, dürfte diese Art der Überwachung nur selten vorkommen; gerade in den Bereichen der lukrativen Wirtschaftsspionage wie der Arbeit der Geheimdienste wird sie aber durchaus angewendet.

Mit dem Absenden einer E-Mail über das Modem zum örtlichen Internet-Provider oder Online-Dienst steigen die Chancen des Dateneinbruchs erheblich. Jeder Provider hat uneingeschränkten Zugang zu den Mails seiner Kunden: Er kann sie öffnen, lesen und weiterreichen ohne das Absender oder Empfänger dies bemerken. Systembetreiber haben in der Regel kein Interesse an den Briefen der Kundschaft, gleichwohl ist es ihnen möglich, die Daten eines bestimmten Nutzers systematisch zu erfassen.

Der gesamte Verkehr im Internet basiert auf einer gemeinsamen Absprache, wie man Daten mittels einer einheitlich einsetzbaren Methode heil von A nach B transportiert. Ob die Daten auf ihrem Weg durchs Netz von Unbefugten abgefangen und gelesen werden konnten, gehörte nicht zu den Fragen, mit denen sich die Netzentwickler beschäftigten. So ist keines der herrschenden Protokolle im Internet wirklich sicher und für den Transport sensibler Daten geeignet. Selbst für ungeübte Freizeitbastler ist es kein Problem, über einen fremden Account und unter falschem Namen E-Mail zu versenden (Spoofing). Damit Nachrichten zum Empfänger gelangen, nutzt das Internet das Simple Mail Transfer Protocol (SMTP), welches nach dem store&forward Prinzip arbeitet. Der Rechner, von dem die E-Mail abgesetzt wird, sendet diese nicht direkt an den Zielrechner, sondern an einen günstig gelegenen Vermittlungsrechner, einem sogenannten Router, auf dem Weg zum Ziel. Erhält dieser die Mail, so speichert er sie lokal (store), sucht einen weiteren günstig gelegenen Rechner und schickt die Nachricht an diesen weiter (forward). Dieser Vorgang wiederholt sich, bis der Zielrechner erreicht ist. Eine E-Mail läuft also unter Umständen über ein Dutzend Rechner, bevor sie beim Empfänger eintrudelt. Dieses Prinzip zeigt die Schwäche des Verkehrs, denn zu allen Rechnern auf der Strecke hat immer auch ein bestimmer Personenkreis Zugang.

Bei den Internet Providern und Online-Diensten wartet die E-Mail mehr oder minder geduldig auf ihren Abruf durch den Adressaten. Bei T-Online und Bill Gates Microsoft Network (MSN) 30 Tage, bei America Online (AOL) „zwei bis drei Wochen“, wie Pressesprecher Ingo Reese sagt. CompuServe speichert Nachrichten sogar 90 Tage.

 

Lauscher

 

Auch die Behörden zeigen ein vitales Interesse daran, daß sie im Bedarfsfall auf elektronisch versandte Briefe zugreifen können. Das am 1. August letzten Jahres in Kraft getretene Telekommunikationsgesetz (TKG) verpflichtet alle Netzbetreiber, Internet Provider und Mailboxen auf die Bereitstellung einer Schnittstelle für staatlichen Ordnungshüter. Damit haben die staatlichen Stellen nicht nur jederzeit Zugriff auf alle Nachrichten der Internet-Nutzer, die Provider müssen die Leitungen zudem so einrichten, daß sie selber nichts von einem Abruf durch die Behörde mitbekommen. „Diese Situation ist der Traum eines jeden Hackers“, erklärt der Sprecher des Chaos Computer Club (CCC), Andy Müller-Maguhn mit unverhohlener Ironie. „Der Systembetreiber darf nicht einmal feststellen, wer sich in seinem Computer tummelt“.

Schon eine Ebene tiefer als bei den Netzbetreibern, im Leitungs- und Funknetz der Telekommunikationseinrichtungen, erleidet das Sicherheitsbedürfnis eines Netzbewohners ebenfalls erhebliche Einbußen durch staatliche Überwachungsmaßnahmen. Denn länger steht fest, daß der Bundesnachrichtendienst (BND) systematisch E-Mail-Konversationen belauscht. Mithilfe von Scannerprogrammen, die auf der Grundlage von Schlüsselwörtern arbeiten, sollen die Staatssicherer beinahe hundert Prozent der über das Ausland laufenden Internet-Kommunikation beschnüffeln. Andreas Pfitzmann, Verschlüsselungs-Experte am Institut für Theoretische Informatik der TU Dresden, vermutet, daß annähernd alle Internet-Mails, die die deutsche Grenzen überschreiten, von den Verfassungsschützern kontrolliert werden. Und BND-Kenner Erich Schmidt-Eenboom berichtet von einem eigenen Referat in der Abteilung sechs des BND, welches in großen Stil Hacking betreibe. Diese Vermutungen decken sich mit den Recherchen von Nicky Hager, der mit seinem Buch „Secret Power“ ein globales Überwachungsystem aufdeckte. Ein Zusammenschluß westlicher Geheimdienste spioniere, so Hager, mithilfe von Schlüsselwörtern den weltweiten Datenverkehr aus, der über Sateliten, Überlandleitungen und Radiowellen läuft.

Das Abhören von E-Mail ist einfacher, billiger und gründlicher als jede anderer Möglichkeit, Kommunikation zwischen Menschen zu überwachen.

Abseits solcher bedrohlich klingender Szenarien bedarf es keiner ausgefeilten Techniken, um in den Besitz von E-Mails zu gelangen. E-Mails liegen oft Monate oder gar Jahre auf schlecht gewarteten Rechner herum und sind damit einem potentiellen Angriff ausgesetzt. Sind die Archive zudem ungeschützt, ist es kein Problem, beim durchsuchen der Festplatte des Servers auf sie zu stoßen und sie auf den eigenen Rechner zu übertragen. Ist erst die Eingangshürde des fremden Servers überwunden, ist es per Telnet, einem gängigen Programm, welches die Fernbedienung eines Computers über das Internet erlaubt, möglich, jegliche Dateien des Servers zu kopieren, zu verändern oder gar zu löschen.

Wer sich in den öffentlichen Diskussionforen des Internets äußert, sollte ebenso vorsichtig sein, denn die in das Usenet gesandten Nachrichten sind noch lange verfügbar. Unter der Adresse www.dejanews.com kann jeder Surfer seine Mails aus den vergangenen Jahren bewundern. So mancher Netzbewohner ist mittlerweile eifrig bemüht schriftliche Ergüsse, die er für heikel hält, aus dem umfassenden Gedächnis des Internets zu löschen grunt.dejanews.com/forms/nuke.html.

Schlüsselgewalt

Wirkliche Sicherheit für E-Mail bietet nur die Verschlüsselung (Kryptographie) der Nachrichten. Keine Firma vertraut ihre Produktionsgeheimnisse Postkarten an und auch eine Privatperson wird vorsichtig bei der Versendung seiner Intimsphäre auf bunten Grußkärtchen sein. Eine der Grundlagen jedweder vertrauensvollen Kommunikation -egal ob geschäftlich oder privat- ist die Anonymität. Zudem muß sichergestellt sein, daß die Dokumente authentisch sind und damit tatsächlich vom demjenigen stammen, der vorgibt hinter einer E-Mail Adresse zu stecken. Allein die momentan in der Diskussion stehenden kryptographische Verfahren ermöglichen den sicheren, verbindlichen und integren Austausch von Daten via Internet. Früher hauptsächlich im militärischen Bereich eingesetzt, benutzen heute immer mehr Menschen Verschlüsselungsprogramme, damit kein Unbefugter ihre Nachrichten lesen kann, wenn sie um die Welt reisen. Kryptographie entspricht also einem Briefumschlag. Wirklich gute -weil nicht entschlüsselbare- Programme für den PC, wie PGP (Pretty Good Privacy), arbeiten mit zwei „Schlüsseln“. Jeder Benutzer verfügt über zwei Schüssel; einer davon, der „öffentliche Schlüssel“, ist jedermann zugänglich, während der zweite „private Schlüssel“ niemand anderem bekannt sein darf. Wollen Kunde und Anbieter über das Internet ein Geschäft eingehen, verschlüsselt jeder seine Nachricht mit dem öffentlichen Schlüssel des Partners und schickt sie in die Weiten des Netzes. Dazu hat er zunächst den Schlüssel des Partners angefordert und bekommen. Die Verschlüsselung aufheben kann nur der Besitzer des zugehörigen geheimen Schlüssels. Nun kommt schon bei geselligen Privatleuten nach einiger Zeit ein enorm großes Schlüsselbund zustande, denn von jeder Person, mit der ungestört kommuniziert werden soll, muß der öffentliche Schlüssel angefordert und zudem sichergestellt werden, daß er authentisch vom Partner stammt. Wenn Behörden und Unternehmen das Internet in Zukunft vermehrt nutzen, dürfte ihr Schlüsselbund groteske Ausmaße annehmen.

Trusty Traffic

Die jetzt entstehenden sogenannten „Trust-Center“ wollen Ordnung in das drohende Chaos bringen, indem sie die Schlüssel ihre Klienten verläßlich verwalten. Die besonders wichtige Zuordnung des öffentlichen Schlüssel zum einzelnen Teilnehmer sei, so meint zumindest Michael Hortmann vom TC TrustCenter in Hamburg, nur auf diesem Wege zu gewährleisten. Ein Beispiel: Wenn man seiner Bank vertrauliche Daten übermitteln möchte, sollte man sicher sein, daß der benutzte öffentliche Schlüssel tatsächlich der Bank gehört und nicht jemandem, der deren Identität nur vorspiegelt. Diese vertrauenswürdige Zuordnung leistet das Trust-Center durch ein digitales Zertifikat, vergleichbar einem Paß, welcher nachweist, daß Person und Schlüssel zusammen gehören. Alteingessene Bewohner des globalen Dorfes wittern aber auch hier die staatliche Krake im Hintergrund. Die große Mehrheit hält eine digitale Signatur nur dann für vertrauenswürdig, wenn niemand außer dem Inhaber Zugang zu einer Kopie des geheimen Schlüssels hat. Zudem glaubt man, daß die Regierungen mit der Vergabe und dem Entzug von Lizenzen für Verschlüsselungsverfahren den Markt regulieren werden und nur die Verfahren zulassen, die mit einigem Aufwand doch zu entschlüsseln sind. Aber auch diesen Kritikern ist klar, daß Firmen mit ausgedehntem E-Mail Verkehr auf Institutionen zugreifen müssen, die elektronische Schlüssel verwalten. Im TC TrustCenter entgegnet man solchen Ängsten mit einer einfachen Maßnhame: Hier wird der geheime Schlüssel nur auf ausdrücklichen Wunsch des Kundens in der örtlichen Datenbank verwaltet.

Digitaler Müll

Aber nicht nur Fragen der Sicherheit drängen sich in das Bewußtsein des Internet-Nutzers. Vermehrt taucht im Computer-Briefkasten neuerdings Werbung per E-Mail auf – ein Übel, welches nicht nur die ohnehin überlasteten Leitungen des Netzes verstopft, sondern Firmen und Einzelpersonen von der effektiven Anwendung von E-Mail abhält. Ein mit sogenannter „Spam“ gefüllter Briefkasten nervt nicht nur, sondern lähmt Arbeitsabläufe. Noch ist keine Ende dieser Praxis in Sicht: Im Netz präsentieren sich immer öfter Firmen, die „zielgruppensortieren E-Mail Versand“ anbieten. Auf ihren Server haben sie die Benutzerprofile tausender Netizens gespeichert und verkaufen diese Daten nun an werbewillige Unternehmen.

Inzwischen haben die meisten Programme zum Empfang und Versand von E-Mail allerdings Filter implementiert, die den Kopf einer Nachricht nach Schlüsselbegriffen durchsuchen und Werbung direkt dahin transportieren, wohin sie auch im Alltag landet: Im Papierkorb. Zuviel kann von diesen Filtern aber nicht verlangt werden, denn Versender von unverlangter Werbung schicken ihre lästige Post neuerdings mit unverfänglichen Titel durch den Cyberspace und wechseln dazu ihre Accounts öfter. So flutscht der Spam doch wieder unbehindert auf die Festplatte. Aber hier ist Abhilfe in Sicht, denn regelmäßig aktualisierte Listen von schwarzen Schafen liegen im Web zum Download bereit. Diese lassen sich in die gängigen E-Mail Clients einbauen, fortan verschont einen das Programm mit Post von gängigen Adressen – bis zum nächsten Account-Wechsel des Spammers.

Gerade die Kunden bei den großen Online-Dienste leiden verstärkt unter Werbe-Mail. AOL verwaltet in Eigenregie eine Liste von Adressen, von denen keine E-Mail an die Kundschaft weitergeleitet werden. Zwar zeigt dieses Vorgehen erste Erfolge, noch immer klagen AOL-Mitglieder aber über Junk-Mail in ihren Postfächern.

Die Mitglieder bei CompuServe sind aufgefordert, jedes Spamming zu melden. Die Firma würde gegen jeden Fall, der sich zurückverfolgen läßt, gerichtlich vorgehen, heißt es aus der deutschen Zentrale in München. Aber trotz dieser Maßnahme ist das Aufkommen an Werbe-Mail nach wie vor relativ hoch bei CompuServe.

Eifrig versucht man ebenfalls bei T-Online die Klientel vor Spam zu bewahren: Massen E-Mails werden aussortiert. Durch Wechsel der Domain schaffen es die Sender aber auch hier, durch die Filter des Online-Dienstes zu schlüpfen. MSN geht einen eigenen Weg. Der hauseigenen Filter läßt von einem fremden Account nicht mehr als 50 Nachrichten an die Kunden durchstellen. Irene Lenz von MSN bestreitet, daß ihr Dienst von Werbe-Mail behelligt wird. „Wir haben kaum Probleme mit Spam“, sagt sie.

Alle vier großen Online-Dienste setzen zum Schutz ihrer Kunden Spam-Filter ein, „aus Sicherheitsgründen“, wie es heißt, bleiben die angewendeten Programme aber geheim. Für die Zukunft bleibt gestressten User und Online-Diensten nur die Hoffnung, daß Werbung per E-Mail rechtlich der Telefaxwerbung gleichgestellt wird. Das ungefragte Zusenden von Werbefaxen ist nämlich unzulässig.

Bis dahin suchen Online-Dienste auch den umgekehrten Fall auszuschließen: Viele unterbinden den Versand von Massen-E-Mail von ihren Servern aus. Wer Inhaber einer T-Online Adresse ist, darf innerhalb von 24 Stunden höchstens 100 Mails auf die Reise schicken. Und innerhalb von 30 Tagen dürfen von seinem Account aus nur maximal 1000 Nachrichten ausgehen. „Für das Erreichen dieser Menge werden auch Mehrfachadressierungen gezählt“, erläutert Jörg Lammers das Vorgehen der Telekom-Tochter. „Will der Versender E-Mails an einen größeren Teilnehmerkreis versenden, bedarf es hierzu einer besonderen Vereinbarung.“

MSN-Kunden unterliegen einer noch restriktiveren Beschränkung ihrer Schreiblust, denn unter ihrem Namen verlassen am Tag höchstens 50 Nachrichten den Computer zu Haus oder in der Firma. Die Mitglieder bei CompuServe sollten das Kleingedruckte im Nutzungsvertrag gut lesen. Dort erklären sie sich damit einverstanden von ihrem Account aus keine Massenmails in das Internet abzusetzen. Nur AOL, Mitbewerber um Surfer und Mailer, sieht das lockerer: „Bei uns gibt es keine Beschränkungen beim Versand von E-Mail“, stellt Ingo Reese fest.

Jörg Auf dem Hövel

 

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


*