E-Mail – Warum Verschlüsselung sinnvoll ist!

In einem anderen Beitrag habe ich Euch erklärt, wie man die E-Mail-Verschlüsselung mit Open-PGP in Thunderbird unter Linux oder Windows einrichtet.
Die Einrichtung ist kinderleicht und dauert keine 10 Minuten.

In diesem Beitrag erkläre ich, warum es unbedingt notwendig ist, Deine E-Mails zu verschlüsseln.
Selbst wenn Deine E-Mails nicht mehr beinhalten, als viele in Facebook, Twitter und sonstigen Soziopathen-Plattformen von sich geben – überlege genau, ob E-Mail-Verschlüsselung für Dich nicht sinnvoll sein könnte!

Kurzfassung:
E-Mail-Anbieter scannen, lesen und manipulieren E-Mails, daher sollten Mails unbedingt verschlüsselt werden, egal wie unwichtig der Inhalt ist!

E-Mail
E-Mail ist eine sehr sinnvolle Funktion und deutlich älter als WWW.
Mails sind eine der ersten Funktionen, die im Internet implementiert worden sind. Damals ging es allerdings nur um Texte, nicht um Grafiken oder gar Multimedia-Inhalte.
Nach und nach wurde die E-Mail-Funktion aufgebohrt, da man es für nützlich befand, mit E-Mails mehr als Text zu versenden.
Neben Text waren bald auch Anhänge möglich, weil der Versand von Dokumenten irgendwann sinnvoll erschien.
Das führte allerdings später zu so “lustigen” Dingen, wie eMail-Viren, Trojanern und Phishing-Mails. Emotet ist wohl der bekannteste Vertreter für E-Mail-Malware.

Dann wurde der MIME-Standard eingeführt, die “Multipurpose Internet Mail Extensions”.
Damit konnte man dann auch Umlaute verwenden und vor allem Multimedia übertragen..

E-Mail - Warum Verschlüsselung sinnvoll ist!


E-Mails sind Postkarten

Vielleicht sollten die Dinger besser E-Postcard heißen.
Ein wirkliches Sicherheitskonzept gab es bei Mails nie, alles basierte auf Vertrauen.
Mails wurden und werden im Klartext übermittelt.
Jeder Server auf dem Weg kann Deine E-Mails lesen, kopieren oder manipulieren.


Betrachte E-Mails als Postkarte – der Briefträger und die Mitarbeiter der Briefzentren können die Postkarte lesen, bösartige Menschen könnten etwas dazu schreiben, Deine Nachbarn können die Postkarte aus dem Briefkasten fischen und lesen oder verschwinden lassen. Ja, auch Mails können verloren gehen oder vielleicht schickst Du dem falschen Empfänger eine geheime Nachricht? Als Postkarte!

Irgendwann wurde S/Mime und PGP eingeführt. Recht brauchbare Verschlüsselungsverfahren für E-Mail.

Aber Verschlüsselung klingt doch ziemlich kompliziert und überhaupt – wozu brauche ich das?

Die Einrichtung von OpenPGP ist ein Kinderspiel.

Du solltest Deine E-Mails verschlüsseln, sobald der Inhalt den Informationswert einer Postkarte übersteigt.
Hast Du vielleicht schon mal mit Deiner Bank oder Versicherung per E-Mail kommuniziert?
Glückwunsch, die NSA hat eine Kopie davon!
Du arbeitest mit Microsoft Outlook, vielleicht sogar mit einem Hotmail-Konto?
Dann kann Microsoft genau sehen, wann Du wem E-Mails schickst und der Inhalt wird ebenfalls gescannt.
Du hast Google-Mail? Freue Dich über personalisierte Werbung.
ALLE Mail-Anbieter machen das, die meisten lassen sich dieses Recht sogar in den Nutzerverträgen zusichern.

Gratis E-Mailkonten sind NICHT kostenlos. Du zahlst mit Deinen Daten!

Das ist bei allen großen Mail-Anbietern so. Microsoft ist mir nur als erstes aufgefallen und dient daher im Folgenden als Beispiel.

Die Anbieter behaupten, sie würden aus Sicherheitsgründen eMails scannen, Viren, Phishing-Versuche und Trojaner filtern und was viele nicht wissen – auch den Inhalt auswerten. Bei kriminellen oder strafbaren Inhalten soll ein Filter anspringen.
In Deutschland bekommst Du vielleicht Besuch vom Staat, wenn Du E-Mails über Waffen oder irgendwelche Rechtsradikalen Gedanken per E-Mail verbreitest. In USA sind eher Nackig-Bilder verdächtig oder falls Deine Mails Positives über Russland beinhalten.
Fotos werden übrigens auch ausgewertet, also sei vorsichtig, was Du per Mail versendest!

Einerseits ist es gut, wenn bedrohliche Inhalte ausgefiltert werden, aber andererseits ist die Auswertung ein Bruch des Briefgeheimnisses.
Wobei die Politiker sich ja noch nicht einig sind, welche Regeln in #Neuland gelten.


Seit Snowden wissen wir auch, dass “interessante” Mails automatisiert an die NSA weitergeleitet werden. Geschäftsgeheimnisse per E-Mail zu versenden, ist also keine gute Idee.

Nachweislich wurden bereits Ausschreibungen an US-Konkurrenz verloren, weil Firmen Angebote per E-Mail eingereicht hatten und seltsamerweise irgendwie davon Kopien entstanden sind, die der Konkurrenz hilfreich waren. Niemand wusste von nichts.
Das sind aber alles Verschwörungstheorien. Industriespionage macht man unter Freunden nicht, E-Mails oder Handys werden niemals nicht von unseren Freunden überwacht und die Daten, die Windows als Telemetriedaten nach Hause schickt, sind alle nur technischer Natur. Alle US-Produkte sind vollkommen DSGVO-konform.
Und morgen kommt der Osterhase…
US-Firmen unterliegen dem Patriot-Act, damit kann alles, was man US-Anbietern anvertraut, als öffentlich angesehen werden – inklusive Mails und Daten in der Cloud!


Und wo ist der Beweis für die Manipulation?

Unter Manipulation versteht man das Verändern von Mail-Inhalten. Wenn ich irgendjemandem eine E-Mail schreibe, dann gehe ich davon aus, dass meine Mail genau so dort ankommt, wie ich sie geschrieben habe.

Wenn der Empfänger oder meinetwegen auch ein Server auf dem Versandweg, einen Virenscanner über die Mail laufen lässt, dann ist das OK.

Ein Scanner auf den Inhalt ist schon kritischer. Wenn der Inhalt kopiert und ausgeleitet wird, kann das für Absender oder Empfänger zu Problemen führen.

Wenn aber der Empfänger einen anderen Inhalt erhält, als ich geschickt habe, dann ist das ein Fall von Datenmanipulation und das geht gar nicht.
Daher sollte E-Mail IMMER verschlüsselt werden!

Nachweisliche E-Mail-Manipulation

Täglich versende ich sehr viele E-Mails an Kunden. Da die meisten Kunden keine PGP-Verschlüsselung aktiviert haben, erfolgt die Kommunikation unverschlüsselt.
Man könnte meinen, das wäre kein Problem, ich habe ja nichts zu verbergen und meine eMails enthalten in der Tat keinerlei Geheimnisse. Wobei manche Kunden durchaus Prototypen oder geheime oder geschützte Vorlagen an mich schicken. Da sie das unverschlüsselt tun, kann das aber alles nicht besonders viel wert sein.

Alle Firmen machen das so, das ist Stand der Technik.
Bullshit – das ist nur der aktuelle Stand, weil die Entscheidungsträger keine Ahnung haben und die Menschen im Allgemeinen (ich auch!) faul sind.

Meine Mails wurden manipuliert!

Ich bin kein Freund von HTML-Mails (das ist die Version mit Bunt und Bling-Bling). Meine Mails sind meistens Text-Only.
Also reiner Text. Als Anhang gibt es vielleicht eine Rechnung als PDF, mehr ist das in der Regel nicht.

E-Mail - Warum Verschlüsselung sinnvoll ist!

Im Footer steht mein Name, meine Adresse und natürlich meine Webseiten.
Nicht als Link, sondern nur als Text, z.B. www.drucker-onkel.de oder www.bastel-bastel.de.
Links sind nämlich unter Umständen gefährlich!
Ich habe einen Teil meines Footers rechts als Bild eingestellt, denn auch Web-Browser tendieren dazu, Links zu erkennen und anklickbar darzustellen, damit es für Dich bequemer ist.
Wie gesagt – ich sende E-Mails nur als Text, meine Webseiten sind nicht anklickbar.

Der Empfänger bekommt aber unter Umständen eine ganz andere Mail!

E-Mail - Warum Verschlüsselung sinnvoll ist!

Die Mail, die Kunden von Microsoft-Konten empfangen, ist auf einmal in HTML, also klickibunt mit anklickbaren Links.
Selbst das dürfte noch keinen Unterschied machen, denn Text, den ich als Text und nicht als Hyperlink (das sind diese anklickbaren Texte) geschickt habe, bleibt auch in HTML-Mails einfacher Text – sollte man meinen!

Das Bild rechts zeigt, was der Empfänger bekommt.
Solche Mails liegen mir mehrfach vor, unter anderem von hotmail.com, outlook.com, hotmail.nl, usw.

Meine Webseiten sind auf einmal blau und unterstrichen, klickt man auf den Text, dann kommt man direkt auf meine Webseite. Toller Service – könnte man denken!
Aber – das ist NICHT das, was ich geschrieben habe, die Mail wurde manipuliert!
Die Links wurden von Microsoft-Servern eingefügt, ohne mich zu fragen.
Das ist ungefähr so, als würde man im Museum mit einem Filzstift einen Rembrandt “verschönern”, weil man der Meinung ist, der Urheber hätte das nicht gut genug gemacht.


Scannen auf Viren, Trojaner und Phishing-Mails ist OK, aber hier wurde der Inhalt der Mail verändert!
Wer kann garantieren, dass nicht noch andere Dinge verändert wurden? Und vielleicht (ziemlich sicher) wurde eine Kopie der Mail erstellt. Sei es nur, um nach Schlüsselwörtern zu suchen, um Absender und Empfänger beim nächsten Surfen im Web ein “besonderes Werbeerlebnis” zu ermöglichen – Werbung im Web wird tatsächlich teilweise vom Inhalt Deiner Mails beeinflusst! Die Anbieter scannen gezielt Deine Mails!

Die Scans auf Bedrohungen an sich sind nicht verwerflich.
Das wird auch offen kommuniziert
Suche beispielsweise nach Microsoft Digital Defense Report oder Security Intelligence-Berichte).
Oder falls Du Google-Mail verwendest:
Google weist in seinen Nutzungsbedingungen darauf hin, dass alle Mails gescannt werden.
Die Scans dienen zum Schutz vor Malware, aber in erster Linie (zuerst aufgeführt!) zum Zwecke der Auswertung Deiner Bedürfnisse und zur Erstellung individualisierter Werbung. Ein Auszug aus den Google-Nutzungsbedingungen dazu:

Our automated systems analyze your content (including emails) to provide you personally relevant product features, such as customized search results, tailored advertising, and spam and malware detection. This analysis occurs as the content is sent, received, and when it is stored.

Quelle: Google Nutzungsbedingungen.
Wer Nutzungsbedingungen liest, sollte es also wissen. Für die Mehrheit, die solche Regeln nur abnickt, ohne sie zu lesen, dürfte das aber eine Überraschung sein.

Wenn Du diesen Bedingungen zugestimmt hast, dann ist es ja OK.
Gratuliere – Du hast Dich verkauft.
Du wusstest es nicht? Tja, Dein Problem.

Die Manipulation von E-Mails ist aber etwas ganz anderes.

Manipulation, Tracking, Inhaltsänderung.

Gut, dass meine Webseiten im Footer der Mail jetzt direkt anklickbar sind, könnte man ja als Service sehen. Microsoft scheint sich um die Kunden zu sorgen.
ABER – die Links verweisen gar nicht auf meine Webseite!
Nicht? Aber wenn man draufklickt, gelangt man doch auf die Webseite!?
Ja schon, aber nicht direkt.
Der Link sieht nämlich so aus (für den ersten Link):

https://emea01.safelinks.protection.outlook.com/?url=http%3A%2F%2Fwww.drucker-onkel.de%2F&data=04%7C01%7C%7C6300f92348854322fad908d8ccd12f1e%7C84df9e7fe9f640afb435aaaaaaaaaaaa%7C1%7C0%7C637484546092785227%7CUnknown%7CTWFpbGZsb3d8eyJWIjoiMC4wLjAwMDAiLCJQIjoiV2luMzIiLCJBTiI6Ik1haWwiLCJXVCI6Mn0%3D%7C1000&sdata=5i9A6Rgs1bib6pbWmVPktvl1GpWVsSPXrgT9y0Ch5ao%3D&reserved=0

Was ist das jetzt bitte?

Der Link hinter www.drucker-onkel.de verweist auf emea01.safelinks.protection.outlook.com
Du klickst also auf einen vermeintlichen Link zu meiner Webseite, wirst aber auf eine Microsoft-Seite geleitet.
Genau so funktionieren auch Phishing-Mails!
Die Microsoft-Seite analysiert Deinen Klick – was genau da gemacht wird, weiß nur MS – danach geht es weiter auf die richtige Seite.

Offiziell ist das ein Schutz, beim Anklicken soll die Ziel-Webseite auf Bedrohungen überprüft werden.
Dafür würde aber die Angabe der Webseite reichen.
Ich vermute, dass die Information unter “Data” eine eindeutige Markierung ist.
Damit kann eine Datenkrake sehr viel anfangen:
Wann und von wem eine Mail geschickt wurde, steht ja schon in der Mail, das zu scannen ist einfach.
Wann eine Mail empfangen und gelesen wurde, ist sicher auch nicht schwer zu erfassen (mittels irgendwelcher Telemetrie-Daten)
Den Inhalt unverschlüsselter Mails zu scannen und zu kopieren ist ein Kinderspiel.
Wer die Daten bekommt, weiß man nicht. NSA und deren Freunde werden verdächtigt, Interesse daran zu haben.
Auch deutsche Geheimdienste freuen sich über Deine Daten.
Deswegen ist Verschlüsselung ja auch böse und soll verboten, bzw. mit einer Hintertür für den Staat versehen werden Gleichzeitig sollen alle Firmen ihre Kommunikation sicher verschlüsseln – ein Paradoxon!
Ahja – dem deutschen Staat eine Hintertür zum verschlüsselten #Neuland einzurichten ist gleichbedeutend mit einer Drehtür für alle Geheimdienste dieser Welt.

Sobald aber ein Empfänger so einen Link anklickt, kann die Datenkrake erkennen, dass der Link wohl interessant ist. Vielleicht wird der Link dann genauer untersucht?
Außerdem kann genau erkannt werden, wer den Link aufruft und wann er den Link anklickt. Denn der Klick geht ja nicht auf meine Webseite, sondern auf eine Webseite von Microsoft! Und dort passiert irgendwas, bevor Du weitergeleitet wirst.

Selbst wenn man davon ausgehen würde, dass Microsoft nur das Beste für seine Benutzer will, liegt hier eine eindeutige Manipulation meiner Mails vor. Meine Mail enthält Inhalte, die ich nie versandt habe, die hat Microsoft hinzugefügt.

Ich halte das für sehr bedenklich. Was wird morgen meinen Mails hinzugefügt oder entfernt?
Bin ich zu systemkritisch, dann bekommt der Empfänger vielleicht strafbares Material, das dann mir angelastet wird?
Da die Behörden in der Regel keine Ahnung von der Technik haben, kann man damit üble Späße treiben, wenn man in der Mail-Kette sitzt. Beweise mal einem Richter, dass die Mail zwar von Dir ist, deren Inhalt aber nicht.

Es handelt sich übrigens nur um ein Beispiel, andere Anbieter machen das genauso.

Aufgefallen ist mir diese Datenmanipulation, weil mir Kunden in der Mail-Antwort den ganzen Text meiner Mail mit angehängt hatten (meistens wird ja beim Antworten die ursprüngliche Mail nochmal drunter gehängt).

Die manipulierten Links hätte ich vielleicht gar nicht bemerkt, aber mein Mailserver hat Alarm geschlagen.
Er hat eine mögliche Phishing-Attacke erkannt und korrekt berichtet, dass der Linktext nicht zum Link passt:
Possible Fraud Alert: safelink.protection.outlook.com claims to be www.drucker-onkel.de
Das dann noch fett rot unterstrichen. Auch eine Datenmanipulation, aber diesmal eine gewollte – Schutz vor Betrügern, die mich mit Phishing reinlegen wollen.
Mein Server warnt mich: klicke bloß nicht drauf – mit dem Link stimmt etwas nicht!


Für mich ein klarer Fall von § 303a – Datenveränderung.

Aber vermutlich hat der Empfänger irgendwelche Nutzungsbedingungen angeklickt, mit denen er so einer Manipulation zustimmt.
Ich finde es jedenfalls ziemlich krass und plädiere dafür, dass JEDER für E-Mails Verschlüsselung einsetzt, sei der Inhalt auch noch so trivial!

Wer bis hier gelesen hat und immer noch unverschlüsselte E-Mails versendet, der hat wirklich nur Inhalte, die man auch als Postkarte versenden könnte.

Falls Dich das noch nicht überzeugt hat – jeder hat irgendetwas, das irgendwer gegen einen verwenden kann. Selbst wenn man es selbst gar nicht weiß, kann es irgendwann gegen einen verwendet werden!

Ich versende auch weiterhin unverschlüsselte Mails, denn zum Verschlüsseln muss der Empfänger sein Mailprogramm einrichten und dafür 10 Minuten seiner Zeit opfern. Die meisten wollen das nicht.

Dann wird der Inhalt der Mails auch nicht so wichtig sein.

Firmen und Behörden, die mit unverschlüsselter Mail arbeiten, sind grob fahrlässig unterwegs!

Henne und Ei

Beide Seiten müssen die Verschlüsselung einrichten. Irgendwer muss damit anfangen.
Ich biete allen die verschlüsselte Kommunikation an!
Jeder der mit mir verschlüsselt kommunizieren möchte, kann das problemlos einrichten. Mein PGP-Schlüssel steht im Impressum von www.drucker-onkel.de
Aber bitte – nur für Themen, die auch für mich relevant sind – ich beantworte KEINE Test-E-Mails oder Schrott-Mails.

Viel Spass beim Sicheren Kommunizieren!