TechReport: E-Mail Security

Nicht nur durch den Einsatz von E-Mail droht Unternehmen Gefahr. Auch die Nachrichten selbst können das Ziel von Angriffen sein. Digitale Signaturen und Verschlüsselung könnten hier einen Ausweg bieten.

Bislang war nur von den Risiken die Rede, die sich Anwender von E-Mail auf den eigenen Rechner oder ins lokale Netz holen können. Gefahren ganz anderer Art sind aber auch die versendeten Nachrichten selbst ausgesetzt: der böswilligen Manipulation und der unbefugten Einsichnahme.

Riskante Reise
Rufen wir uns noch einmal den Weg in Erinnerung, den eine E-Mail zurücklegt. Vom Client geht es zum Mail-Server und von dort über das Internet zum Zielnetzwerk. Von der gesamten Strecke lässt sich nur ein kleiner Teil direkt vom Anwender beeinflussen, nämlich der zwischen Client und Mail-Server. Der Einsatz von Secure Socket Layer (SSL) erlaubt es immerhin, Nachrichten per IMAP, POP3 und SMTP sicher zwischen diesen Systemen auszutauschen, auch wenn die Kommunikation über offene Netze wie das Internet erfolgt.

Ist eine ausgehende Nachricht jedoch erst einmal auf dem Mail-Server gelandet, setzt sie von dort aus ihre Reise in der Regel unverschlüsselt fort. Ähnlich einer Postkarte, die jeder am Transport beteiligte Postbote lesen kann, steht der Nachrichteninhalt allen auf dem Weg der Mail liegenden Systemen zur Einsicht offen. Und nicht nur das. Selbst die Manipulation der Nachricht, beispielsweise das Ersetzen des Inhalts oder auch nur das Ändern einiger Abschnitte ist möglich, ohne dass der Empfänger eine Chance hätte, dies zu bemerken.

Heikel wird die ganze Angelegenheit, geht es in der elektronischen Post nicht einfach nur um netten Plausch, sondern etwa um Angebote, Vertragsinhalte oder andere geschäftskritische Themen. Wer würde nicht gerne die Angebote der Mitbewerber kennen, um diese zu unterbieten? Personen mit etwas mehr krimineller Energie könnten sogar versuchen, die Angebote des Mitbewerbs nach oben zu manipulieren.

Kryptographie und E-Mail
Einen Ausweg könnte der Einsatz von digitaler Signatur und Verschlüsselung bieten. Schon seit geraumer Zeit arbeiten die Koordinierungs- und Beratungsstelle der Bundesregierung und das Bundesamt für Sicherheit in der Informationstechnik im Pilotprojekt „Sphinx“ an einer Lösung für die sichere Kommunikation per E-Mail, die auf digitaler Signatur und Verschlüsselung fußt.

So sieht eine Nachricht aus, nachdem sie mit dem privaten Schlüssel codiert wurde. (Abbildung vergrößern)

Kernstück ist dabei das kostenfrei verfügbare GNU Privacy Guard (GnuPG), das einen vollwertigen Ersatz für das bislang kommerziell vertriebene und mittlerweile eingestellte Produkt Pretty Good Privacy (PGP) bietet. Grundlage beider Verfahren ist ein Schlüsselpaar, das aus einem privaten wie einem öffentlichen Schlüssel besteht. Den öffentlichen Schlüssel sendet man entweder den Personen zu, denen man signierte oder verschlüsselte Nachrichten zukommen lassen möchte, oder aber, man hinterlegt ihn auf einem öffentlichen Schlüssel-Server (Public Key Server), von wo er für Jedermann abrufbar ist.

Nach der Entschlüsselung wird der Original-Text lesbar, sofern man den richtigen Schlüssel besitzt. (Abbildung vergrößern)