Tobias Ospelt arbeitet als IT-Security-Analyst bei der Modzero AG in Winterthur und berät nationale und internationale Kunden zum Thema IT-Security. Googles neue Sicherheitsmassnahmen begrüsst er zwar, bleibt aber skeptisch.
Was bringt die neue Gmail-Verschlüsselung?
Tobias Ospelt, Sicherheitsexperte: In der Gesamtbetrachtung ändert sich nichts. Sicherlich ist die interne Verschlüsselung
ein wichtiger Schritt, denn Google betreibt weltweit Server. Google als Anbieter dürfte
damit auch versuchen, das Vertrauen seiner Kunden teilweise zurückzugewinnen. Diese
Massnahme darf jedoch nicht darüber hinwegtäuschen, dass E-Mails offen sind wie
Postkarten und meistens für alle Beteiligten lesbar im Internet übertragen werden. Dies
ist beispielsweise der Fall, wenn E-Mails an einen anderen Benutzer bei einem anderen
Maildienstleister versendet werden.
Was ist anders als zuvor?
Beim Abruf von E-Mails über das Webinterface werden diese weiterhin über HTTPS
gesichert. Dies ist bereits seit 2010 so. Nun wird auch bei der Google-internen
Übertragung zwischen den Rechenzentren verschlüsselt. Ist die Übertragung abgeschlossen,
liegen die Daten wiederum unverschlüsselt auf den Google-Servern und Google hat
Zugriff auf die Inhalte.
Sind meine E-Mails nun sicher und können nicht mehr von der NSA gelesen werden?
Ob die Daten jemals «sicher» sind, sei dahingestellt. Seine Daten Google anzuvertrauen
ist eine persönliche Entscheidung. Das Abhören von E-Mails soll nun angeblich
mit dieser Massnahme erschwert werden. Bei einer Organisation wie der NSA mit
genügend Ressourcen gibt es aber immer Wege, um an Daten zu gelangen. Die
Server von Google sind nicht der einzige Angriffspunkt. Sobald beispielsweise ein
Kommunikationsteilnehmer nicht Gmail benutzt, sind die Daten nicht durch die interne
Verschlüsselung geschützt.
Die NSA kann wohl auch weiterhin die Herausgabe von E-Mails verlangen?
Google kann zur Herausgabe von E-Mails gezwungen werden. Einige interessante
Details zu diesem Thema finden sich im Google-Transparenzbericht.
Sind nicht alle E-Mails bereits mit SSL verschlüsselt oder bringt das gar nichts?
SSL ist eine sogenannte Transportverschlüsselung und ist gemäss Google seit 2010
standardmässig beim Abfragen von E-Mails über das Webinterface aktiviert. Wie der
Name bereits sagt, ist die Verschlüsselung lediglich während des Transports wirksam.
Beim Benutzer im Browser und bei Google liegen die Daten jedoch unverschlüsselt
vor. Ebenso muss keine SSL-Verschlüsselung erfolgen, wenn andere Maildienstleister
involviert sind. Wenn deren Server keine SSL-Verschlüsselung unterstützen, wird die
Mail trotzdem zugestellt. Transportverschlüsselung ist eine wichtige Komponente, löst
jedoch nicht alle Probleme.
Ist Gmail nun sicherer als die Konkurrenz?
Nein. Google scheint sich um die Sicherheit Gedanken zu machen. Wer seine
Kommunikationssicherheit aber wesentlich verbessern möchte, muss selbst geeignete
Massnahmen ergreifen.
Wie sicher sind E-Mails im Vergleich zu SMS, WhatsApp etc.?
Das kann man so pauschal nicht beantworten. Die Frage ist vor wem und was
man sich schützen will. SMS werden per Funk übertragen und sind nicht wirksam
geschützt. Die verschiedenen Instant-Messaging-Apps haben unterschiedliche Designs.
In der Vergangenheit sind bei einigen Anbietern auffällig viele Schwachstellen
entdeckt worden. Eine Instant-Messaging-App zu verwenden, welche Ende-zu-Ende-Verschlüsselung anbietet, ist empfehlenswert. Bei E-Mails mit vertraulichem Inhalt
sollte der Benutzer eine zusätzliche Verschlüsselung wie OpenPGP verwenden.
Wären unsere E-Mails besser geschützt, wenn sie auf Schweizer Servern liegen würden?
Zumindest würden dann für die gespeicherten E-Mails Schweizer Gesetze gelten. Bei
der Zustellung jedoch durchqueren E-Mails normalerweise viele Länder und damit auch
verschiedene Rechtssysteme – sogar wenn Sender und Empfänger in der Schweiz sind.
Wenn jeder Geheimdienst der Welt jeweils den Auslandsdatenverkehr abhören darf, ist
der Effekt einer Speicherung auf Schweizer Servern eher gering.
Was empfehlen Sie Leuten, die wirklich sichere E-Mails verschicken wollen?
Eine Ende-zu-Ende-Verschlüsselung ist für die wirklich sichere Übertragung
unerlässlich. Dabei wird auf dem Gerät des Absenders verschlüsselt und erst
beim Gerät des Empfängers entschlüsselt. Die gängigste Methode ist OpenPGP. Im
Geschäftsumfeld wird zum Teil S/MIME eingesetzt. Wer jedoch kein Vertrauen in
die etlichen Zertifizierungsstellen für S/MIME-Zertifikate legen will, sollte OpenPGP
bevorzugen. Aber auch da gibt es Grenzen. Ein Trojaner auf dem Computer des
Absenders oder Empfängers kann die Ende-zu-Ende-Verschlüsselung unterlaufen.
Daher sind begleitende Massnahmen, welche die Computer schützen, ebenso wichtig.
Weiterlesen zum Thema Google