Unverschlüsselte E-Mail: die Postkarte für das World-Wide-Web

In Zeiten von bekannten "Datenkraken" wie Facebook oder Whatsapp werden E-Mails allgemein als eher sichere und seriöse Art empfunden, Nachrichten auszutauschen. Als weltweites, medial schriftliches Kommunikationsmedium Nr. 1 nutzen sie Privatpersonen, um Texte, Bilder oder Dateien zu versenden. Aber auch offizielle Bewerbungsschreiben, Bankdaten, Gutachten und firmeninterne Geschäftsdetails werden ohne Bedenken auf diesem Weg durch das Netz geschickt.
Was den meisten dabei immer noch nicht klar ist: die E-Mail ist, während sie ihren Pfad vom Sender zum Empfänger bestreitet, ähnlich gut geschützt wie eine Postkarte. Die Inhalte werden im Klartext versendet und sind damit prinzipiell überall lesbar. Es gibt nur einen kleinen Unterschied: E-Mails enthalten im Gegensatz zu Postkarten nicht nur Informationen über die Temperatur am Pool, das All-Inklusive-Buffet oder den strahlenden Sonnenschein auf Mallorca.

 

Der Weg vom Sender zum Empfänger

Wer davon ausgeht, dass die Mail nach dem Klick auf "Senden" einfach von einem Computer zum anderen wandert und quasi in das Postfach des Empfängers teleportiert wird, der irrt. Ein Großteil aller Nachrichten reist oft tausende Kilometer durch ein Geflecht aus Kupfer- und Glasfaserkabeln sowie hunderten oder tausenden Zwischenstationen um den halben Erdball, bevor er seinen Bestimmungsort erreicht. Damit das problemlos funktioniert, ist ein ausgefeilter Apparat an sogenannten "Netzwerkprotokollen" (Vereinbarungen zur Art des Datenaustausches) nötig, die die Kommunikation zwischen den verschiedenen Netzwerkknoten und damit die erfolgreiche Zustellung der Mails sichern.

Nehmen wir hierzu ein kleines Beispiel: Erik Netzmann möchte seine neusten Schnappschüsse von seinem E-Mail-Konto Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! an seinen Freund Jan Zweifel mit der Adresse Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! senden. Sobald er die Nachricht verschickt, übernimmt das sog. "TCP/IP" (Transmission Controll Protocol/Internet Protocol) den Transport der Daten und verwandelt Text und Bilder in binäre, durch Datenleitungen verschickbare Codes. Weil die Datenmenge zur Übertragung eine gewisse Größe nicht überschreiten darf, wird die codierte E-Mail in mehrere kleine Pakete zerlegt, die oft jeweils auf unterschiedlichen Leitungen durchs Netz gesendet werden.

Auf ihrem Weg durchqueren die Daten von Erik zahlreiche Zwischenknoten, also andere Rechnereinheiten (Server) oder Verbindungseinheiten (z.B. sog. "Switches"), die als "weiterleitende Schaltstellen" fungieren. Dafür müssen die Daten kurz gespeichert werden (können aber technisch gesehen auch an jeder Stelle für immer gespeichert bleiben). Ihr erstes wichtigeres Zwischenziel nach vielen solcher Zwischenknoten ist der Mailserver von Eriks Mailanbieter, also Googlemail. Damit die Nachricht dort sicher angelangt, wird ein weiteres Protokoll genutzt, das sogenannte SMTP (Simple Mail Transfer Protocol). Auf dem Mailserver angekommen liest eine Software, ein sogenannter Mail Transfer Agent (MTA) den Mailanbieter des Nachrichtenempfängers (Jan) aus dem "Briefkopf" und SMTP schickt die Mail weiter an dessen Server - wiederum über zahlreiche Zwischenknoten.

 

Trifft die Nachricht beim Server von GMX ein, untersucht ein Mail Delivery Agent (MDA) die Empfängeradresse und sortiert die Nachricht in Jans Postfach ein. Dieses Postfach kann wiederum auf zwei unterschiedlichen Arten von Servern liegen, im Falle von Jan auf einem "POP3"-Server. Das Post Office Protocol (POP) ist ein Protokoll, das die Nachrichten auf dem Server zwischenspeichert, bis sie vom Empfänger tatsächlich "abgeholt" werden. Sobald Jan also auf Eriks Mail in seinem Nachrichteneingang klickt, wird diese auf seinen Computer weitergeleitet. Im Idealfall wird die Nachricht dabei vom Server weitestgehend gelöscht.

Alternativ dazu werden die meisten Mails heute jedoch auf sogenannten "IMAP"-Servern gespeichert. Das Internet Message Access Protocol (IMAP) ermöglicht, dass Nachrichten dauerhaft auf dem Server gelagert werden und damit von verschiedenen Computern aus einsehbar sind. Solange Nachrichten dort nicht aktiv gelöscht werden, bleiben sie dort - je nach Anbieter und Technik - besser oder schlechter geschützt bis in alle Ewigkeit liegen.

Um die Nachrichten-Übertragung zwischen verschiedenen Netzwerkknoten sicherer zu machen, werden sie heute teilweise (also nie oder nur selten auf allen Übertragungsstrecken!) mit dem Sicherheitsprotokoll Secure Sockets Layer (SSL bzw. seinem Nachfolger TLS) verschlüsselt. Abgesehen davon, dass dieses Protokoll als teilweise unsischer gilt (Stichwörter: Heartbleed und NSA), bezieht es sich auch nur auf die Übertragung, nicht auf die Speicherung. Wer sich also Zugriff auf einen Speicher verschafft, kann unverschlüsselte Nachrichten wiederum ungehindert im Klartext lesen.

Über die Funktionsweise von E-Mails und E-Mail-Übertragung können Sie sich auch weiter informieren:

 
Wo liegt die Gefahr?

Eine Mail muss folglich einen ziemlich langen Weg zurücklegen, bevor sie beim Empfänger auftaucht und ist auf diesem Weg an vielen Stellen angreifbar. Wer seine Nachrichten vollkommen ungeschützt als "Postkarte" versendet, geht demnach unkalkulierbare Risiken ein. Das Hauptproblem dabei: anders als bei einem Brief oder selbst bei einer Postkarte lässt sich einer ungeschützten E-Mail nicht ansehen, ob sie auf dem Weg kompromittiert, d.h. gelesen oder verändert wurde.

  1. Wie bereits mehrfach deutlich wurde, wird der Inhalt einer unverschlüsselten E-Mail (aber auch Twitter- oder Facebook-Nachricht) offen ins weltweite Netz geschickt. Ein Zugriff auf diese Daten ist an jedem Übertragungsknoten und heute ohne größere IT-Kenntnisse möglich. Zwar gilt für E-Mails in Deutschland genauso das "Postgeheimnis" (Art. 10 Abs. 1 Grundgesetz) wie für analoge Nachrichten. Abgesehen davon, dass Politik und Sicherheitsorgane seit 2001 dieses Grundrecht immer häufiger und immer stärker einschränken, gelten die Schutzvorschriften nur auf deutschem Rechtsgebiet. Regelmäßig passieren Nachrichten auf ihrem Weg von Server zu Server gänzlich andere Länder, in deren Gesetzen Privatsphäre häufig noch viel weniger verankert ist. Was dort mit den Daten sofort oder auch erst in ferner Zukunft geschieht, ist ungewiss. Die Folgen können auch noch Jahrzehnte später verheerend sein.
  2. Weiterhin besteht die Möglichkeit, dass die Mail nicht nur mitgelesen, sondern auch abgefangen oder verändert wird, ohne dass einer der Kommunikationspartner dies bemerkt. Denn während in einem Brief zum Beispiel der ungeöffnete Umschlag oder die eigene Unterschrift Authentizität anzeigen können, basiert die Anerkennung der Zugehörigkeit einer E-Mail ausschließlich auf gegenseitiges Vertrauen. Wirklich sicher sein, dass die Nachricht unverändert auch tatsächlich vom angeblichen Sender stammt, kann man sich ohne zusätzliche Maßnahmen nicht sein.
  3. Gefahren für die Privatsphäre lauern aber nicht nur auf dem Übertragungsweg: Wer sich Zugriff auf die Server eines Mailanbieters verschafft, ist leicht in der Lage, die dort gespeicherten E-Mails bequem und automatisiert zu durchsuchen, herunterzuladen, zu speichern oder auch an anderer Stelle frei zugänglich zu veröffentlichen. Dafür reichen in der Regel einfache Suchanfragen und nach nur wenigen Sekunden sind große Datenmengen, viele Tausend Nachrichten kompromittiert. Im schlimmsten Fall können von dem Angreifer (ebenso leicht) auch fremde Daten hochgeladen werden: gegenüber späteren Anschuldigungen ist der Betroffene später hilflos ausgeliefert.

Es wird deutlich: Die Digitalität der Nachrichten verändert vieles und macht an Stellen verwundbar, die im Zeitalter der analogen Postämter schon aus praktischen Gründen nahezu ausgeschlossen waren: ein Einbrecher auf der Poststelle scheiterte schon daran, ähnliche Mengen an Briefen überhaupt zu transportieren, geschweige denn alle zu öffnen und zu lesen. Wem etwas daran liegt, seine elektronischen Postkarten vor fremder Leserschaft zu schützen, der sollte damit beginnen, ihnen durch Verschlüsselung mehr als nur einen Briefumschlag zu verpassen.