E-Mails und Chats Verschlüsselt heisst nicht zwangsläufig sicher

dj

14.2.2019

Verschlüsselung ist ein guter Start, aber keine Garantie für sichere Kommunikation.
Verschlüsselung ist ein guter Start, aber keine Garantie für sichere Kommunikation.
iStock

Das grüne Schloss im Browser und versprochene Verschlüsselung garantieren nicht, dass Kommunikation wirklich sicher ist.

Fast jeder Mensch hat wohl einen Bedarf nach Privatsphäre. Nach unzähligen Datenskandalen ist daher das Verlangen nach sicherer, verschlüsselter Kommunikation gross. Und scheinbar jeder Kommunikations-Anbieter kommt diesem Verlangen an und wirbt prominent mit der eigenen Sicherheit.

Doch Verschlüsselung ist nicht gleich Verschlüsselung. Wir zeigen daher, welche Kommunikationsarten wirklich sicher sind.

E-Mail

Jeder seriöse E-Mail-Anbieter bietet inzwischen einen verschlüsselten Zugang zu seinen Servern an. Das heisst allerdings nicht, dass E-Mails auch zwangsläufig abhörsicher sind. Zwar unterstützen immer mehr E-Mail-Anbieter — so auch «Bluewin» — mittels TLS die Verschlüsselung auch während des Transport von E-Mails, hierbei ist man immer darauf angewiesen, dass auch der Anbieter des Empfängers dies unterstützt. Standardmässig sollte man daher davon ausgehen, dass E-Mails unverschlüsselt sind. Will man sicher gehen, muss daher noch zusätzlich Verschlüsselung-Software wie OpenPGP eingesetzt werden.

Zudem haben E-Mail-Anbieter zumindest theoretisch Zugriff auf gespeicherte E-Mails ihrer Kunden und müssen diese dann etwa auf gerichtliche Anweisung herausgeben. Ist man darüber besorgt, muss man sämtliche E-Mails mit dem oben erwähnten OpenPGP verschlüsseln oder einen Anbieter wählen, der auch das Postfach seiner Kunden verschlüsselt, beispielsweise Posteo oder Protonmail.

Direktnachrichten

Viele Direktnachrichten-Dienste bieten inzwischen eine verschlüsselte Kommunikation an. Wirklich sicher ist ein Nutzer aber nur, wenn der Dienst die Ende-zu-Ende-Verschlüsselung unterstützt. Hierbei kennen nur Sender und Empfänger den Inhalt einer Nachricht, niemand sonst — auch nicht der Dienst selbst — kann sie lesen.

Bei sozialen Netzwerken wie Facebook, Instagram oder Snapchat gibt es das Feature aber nicht, hier können die Anbieter Nachrichten lesen und tun dies automatisiert zu Werbezwecken oft auch. Mainstream-Direktnachrichtendiensten wie WhatsApp und iMessage bieten Ende-zu-Ende-Verschlüsselung dagegen an. Einige Haken gibt es dabei allerdings. So wird diese Ende-zu-Ende-Verschlüsselung aufgehoben, wenn ein Cloud-Backup erstellt wird— hier hat ein Dienst dann wieder theoretischen Zugriff auf die Nachrichten.

Nicht jede Ende-zu-Ende-Verschlüsselung ist zudem gleich geschaffen. Wichtig ist ausserdem, ob auch die Metadaten verschlüsselt werden. In diesen wird festgehalten, das bestimmte Personen zu bestimmten Zeiten kommuniziert haben. So kann WhatsApp zwar nicht den Nachrichteninhalt lesen, weiss allerdings, dass man am Samstagmorgen um 3 Uhr Nachrichten mit der Arbeitskollegin ausgetauscht hat. Will man dies verhindern, muss man einen Nachrichtendienst nutzen der keine Metadaten sammeln, etwa Threema oder Signal. Erstgenannter konnte diese Woche übrigens einen wichtigen Auftrag aus der Schweiz verkünden: Smartphones von Bundesangestellten werden mit Threema Work ausgestattet.

Galerie: Sicherheit im Internet

Zurück zur Startseite