Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
google, gmail

Bild: Shutterstock

Trotz Gmail-Verschlüsselung

Interview

«Wer E-Mails sicher versenden will, muss selbst Massnahmen ergreifen»

Google reagiert auf den NSA-Skandal und wird ab sofort alle E-Mails über eine gesicherte Verbindung senden. Ein Experte lobt zwar das Vorgehen, sieht aber noch reichlich Luft nach oben.



Tobias Ospelt arbeitet als IT-Security-Analyst bei der Modzero AG in Winterthur und berät nationale und internationale Kunden zum Thema IT-Security. Googles neue Sicherheitsmassnahmen begrüsst er zwar, bleibt aber skeptisch.

Was bringt die neue Gmail-Verschlüsselung?
Tobias Ospelt, Sicherheitsexperte: In der Gesamtbetrachtung ändert sich nichts. Sicherlich ist die interne Verschlüsselung ein wichtiger Schritt, denn Google betreibt weltweit Server. Google als Anbieter dürfte damit auch versuchen, das Vertrauen seiner Kunden teilweise zurückzugewinnen. Diese Massnahme darf jedoch nicht darüber hinwegtäuschen, dass E-Mails offen sind wie Postkarten und meistens für alle Beteiligten lesbar im Internet übertragen werden. Dies ist beispielsweise der Fall, wenn E-Mails an einen anderen Benutzer bei einem anderen Maildienstleister versendet werden.

«E-Mails sind offen wie Postkarten.»

Was ist anders als zuvor?
Beim Abruf von E-Mails über das Webinterface werden diese weiterhin über HTTPS gesichert. Dies ist bereits seit 2010 so. Nun wird auch bei der Google-internen Übertragung zwischen den Rechenzentren verschlüsselt. Ist die Übertragung abgeschlossen, liegen die Daten wiederum unverschlüsselt auf den Google-Servern und Google hat Zugriff auf die Inhalte.

Bild

Tobias Ospelt ist Sicherheitsexperte bei Modzero AG. Bild: Zvg

Sind meine E-Mails nun sicher und können nicht mehr von der NSA gelesen werden?
Ob die Daten jemals «sicher» sind, sei dahingestellt. Seine Daten Google anzuvertrauen ist eine persönliche Entscheidung. Das Abhören von E-Mails soll nun angeblich mit dieser Massnahme erschwert werden. Bei einer Organisation wie der NSA mit genügend Ressourcen gibt es aber immer Wege, um an Daten zu gelangen. Die Server von Google sind nicht der einzige Angriffspunkt. Sobald beispielsweise ein Kommunikationsteilnehmer nicht Gmail benutzt, sind die Daten nicht durch die interne Verschlüsselung geschützt.

Die NSA kann wohl auch weiterhin die Herausgabe von E-Mails verlangen?
Google kann zur Herausgabe von E-Mails gezwungen werden. Einige interessante Details zu diesem Thema finden sich im Google-Transparenzbericht.

«Transportverschlüsselung (SSL) ist eine wichtige Komponente, löst jedoch nicht alle Probleme.»

Sind nicht alle E-Mails bereits mit SSL verschlüsselt oder bringt das gar nichts?
SSL ist eine sogenannte Transportverschlüsselung und ist gemäss Google seit 2010 standardmässig beim Abfragen von E-Mails über das Webinterface aktiviert. Wie der Name bereits sagt, ist die Verschlüsselung lediglich während des Transports wirksam. Beim Benutzer im Browser und bei Google liegen die Daten jedoch unverschlüsselt vor. Ebenso muss keine SSL-Verschlüsselung erfolgen, wenn andere Maildienstleister involviert sind. Wenn deren Server keine SSL-Verschlüsselung unterstützen, wird die Mail trotzdem zugestellt. Transportverschlüsselung ist eine wichtige Komponente, löst jedoch nicht alle Probleme.

Ist Gmail nun sicherer als die Konkurrenz?
Nein. Google scheint sich um die Sicherheit Gedanken zu machen. Wer seine Kommunikationssicherheit aber wesentlich verbessern möchte, muss selbst geeignete Massnahmen ergreifen.

Wie sicher sind E-Mails im Vergleich zu SMS, WhatsApp etc.?
Das kann man so pauschal nicht beantworten. Die Frage ist vor wem und was man sich schützen will. SMS werden per Funk übertragen und sind nicht wirksam geschützt. Die verschiedenen Instant-Messaging-Apps haben unterschiedliche Designs. In der Vergangenheit sind bei einigen Anbietern auffällig viele Schwachstellen entdeckt worden. Eine Instant-Messaging-App zu verwenden, welche Ende-zu-Ende-Verschlüsselung anbietet, ist empfehlenswert. Bei E-Mails mit vertraulichem Inhalt sollte der Benutzer eine zusätzliche Verschlüsselung wie OpenPGP verwenden.

«Wenn jeder Geheimdienst der Welt den Auslandsdatenverkehr abhören darf, ist der Effekt einer Speicherung auf Schweizer Servern eher gering.»

Wären unsere E-Mails besser geschützt, wenn sie auf Schweizer Servern liegen würden?
Zumindest würden dann für die gespeicherten E-Mails Schweizer Gesetze gelten. Bei der Zustellung jedoch durchqueren E-Mails normalerweise viele Länder und damit auch verschiedene Rechtssysteme – sogar wenn Sender und Empfänger in der Schweiz sind. Wenn jeder Geheimdienst der Welt jeweils den Auslandsdatenverkehr abhören darf, ist der Effekt einer Speicherung auf Schweizer Servern eher gering.

Was empfehlen Sie Leuten, die wirklich sichere E-Mails verschicken wollen?
Eine Ende-zu-Ende-Verschlüsselung ist für die wirklich sichere Übertragung unerlässlich. Dabei wird auf dem Gerät des Absenders verschlüsselt und erst beim Gerät des Empfängers entschlüsselt. Die gängigste Methode ist OpenPGP. Im Geschäftsumfeld wird zum Teil S/MIME eingesetzt. Wer jedoch kein Vertrauen in die etlichen Zertifizierungsstellen für S/MIME-Zertifikate legen will, sollte OpenPGP bevorzugen. Aber auch da gibt es Grenzen. Ein Trojaner auf dem Computer des Absenders oder Empfängers kann die Ende-zu-Ende-Verschlüsselung unterlaufen. Daher sind begleitende Massnahmen, welche die Computer schützen, ebenso wichtig.

Verschlüsseln Sie Ihre E-Mails?

Weiterlesen zum Thema Google

DANKE FÜR DIE ♥

Da du bis hierhin gescrollt hast, gehen wir davon aus, dass dir unser journalistisches Angebot gefällt. Wie du vielleicht weisst, haben wir uns kürzlich entschieden, bei watson keine Login-Pflicht einzuführen. Auch Bezahlschranken wird es bei uns keine geben. Wir möchten möglichst keine Hürden für den Zugang zu watson schaffen, weil wir glauben, es sollten sich in einer Demokratie alle jederzeit und einfach mit Informationen versorgen können. Falls du uns dennoch mit einem kleinen Betrag unterstützen willst, dann tu das doch hier.

Würdest du gerne watson und Journalismus unterstützen?

(Du wirst zu stripe.com (umgeleitet um die Zahlung abzuschliessen)

Oder unterstütze uns mit deinem Wunschbetrag per Banküberweisung.

Nicht mehr anzeigen

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

3 Kommentare
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
3

Trumps Geheim-Projekt «Abschreckung» enthüllt – 3,5 Millionen schwarze Wähler betroffen

Der Facebook-Skandal um Cambridge Analytica ist zurück. Britische Enthüllungsjournalisten reden von «einem der grössten Leaks der Geschichte».

Bei den US-Präsidentschaftswahlen 2016 wurde durch das Wahlkampfteam von Donald Trump versucht, Wahlberechtigte in Schlüsselstaaten mit psychologischen Tricks zu entmutigen und von der Stimmabgabe abzuhalten.

Neue Enthüllungen vom Montag zeigen, dass über die Auswertung von Facebook-Nutzerdaten unter anderem 3,5 Millionen schwarze Wähler herausgefiltert und persönliche Informationen über sie in einer Datenbank gespeichert wurden. Mit dem Ziel, sie über bezahlte Facebook-Postings zu manipulieren.

Artikel lesen
Link zum Artikel