So versenden Sie private E-Mails

Wie versendet man private und verschlüsselte E-Mails?

E-Mails sind weder privat noch sicher.
Sie wurden nicht unter Berücksichtigung von Datenschutz oder Sicherheit entwickelt.

Jeder, der Ihre E-Mail während der Übertragung abfängt, kann sie lesen,
einschließlich Ihres Internetanbieters, eines Hackers oder der NSA (US-amerikanische Nationale Sicherheitsbehörde).

Zusammenfassung:

• Datenschutz bei E-Mails: Was passiert derzeit?
• in rechtlicher Hinsicht
• auf der „illegalen“ Seite
  
  
• Datenschutz bei E-Mails: die Herausforderungen
• Anonymität und Vertraulichkeit
• End-to-End-Verschlüsselung
  
  
• E-Mail-Datenschutz: Die Lösungen
• < technical >  Pretty Good Privacy - also known as PGP
• < technical >  How to use PGP encryption
• < easy >  Alternatives to PGP encryption

Was passiert heute?

in rechtlicher Hinsicht

„Der Wert einer Information wird erst dann deutlich, wenn man sie
mit etwas anderem verknüpfen kann, das zu einem späteren Zeitpunkt eintrifft.
Da man keine Punkte verbinden kann, die man nicht hat, treibt uns das in einen Modus,
in dem wir grundsätzlich versuchen, alles zu sammeln und für immer festzuhalten.“

• - Gus Hunt von der CIA über Big Data, in der Huffington Post
• - Gus Hunt von der CIA über Big Data, auf YouTube

„Sie haben gesagt, es seien nur Metadaten, es seien nur Metadaten, […]
mit wem man spricht, wann man mit ihnen spricht, wohin man gereist ist.
Das sind alles Metadaten-Ereignisse.
Bei PRISM geht es um Inhalte. […] Sie können alles sehen, weil es unverschlüsselt ist.“

• - Edward Snowden – TED 2014

Es gibt Dutzende psychologischer Studien, die belegen
, dass Menschen, die wissen, dass sie beobachtet werden könnten,
sich wesentlich konformistischer und gefügiger verhalten.
[…] Massenüberwachung schafft ein Gefängnis im Kopf […]

• - Glenn Greenwald – TEDGlobal 2014

auf der „illegalen“ Seite

Betrüger könnten auch Malware einsetzen, um in das Computernetzwerk eines Unternehmens einzudringen
und Zugriff auf E-Mail-Korrespondenz zu finanziellen Angelegenheiten zu erlangen.

• - Informationszentrum für Betrugsfälle – Manipulation von geschäftlichen E-Mails

Business Email Compromise (BEC) – auch bekannt als Email Account Compromise (EAC)
– ist eine der finanziell schädlichsten Formen der Online-Kriminalität.
Bei einem BEC-Betrug versenden Kriminelle eine E-Mail, die scheinbar von einer bekannten Absenderadresse stammt
und eine legitime Anfrage enthält […]

• - Betrug und Sicherheit – Manipulation von Geschäfts-E-Mails

Zurück zum Anfang

die Herausforderungen

Anonymität und Vertraulichkeit

Anonymität ist etwas anderes als Vertraulichkeit
[…] wir verschlüsseln Nachrichten
damit andere, selbst wenn sie sehen, dass wir eine Nachricht gesendet haben
nicht lesen können, was darin steht
aber manchmal wollen wir gar nicht, dass andere überhaupt sehen, dass wir eine Nachricht gesendet haben

• - So funktioniert TOR – Computerphile

Anonymität im Internet ist schwer zu erreichen.
Dazu sind fundierte Kenntnisse der von Ihnen gewählten Tools erforderlich.

Dieser Leitfaden vermittelt Ihnen vielleicht einen Eindruck von der Komplexität des Themas:
Private E-Mail-Anbieter

Vertraulichkeit ist leichter zu erreichen.

Auch wenn Sie nichts zu verbergen haben, trägt die Verwendung von Verschlüsselung
dazu bei, die Privatsphäre Ihrer Kommunikationspartner zu schützen
und macht Massenüberwachungssystemen das Leben schwer.

Wenn Sie etwas Wichtiges zu verbergen haben, sind Sie in guter Gesellschaft;
Es handelt sich um dieselben Tools, die Whistleblower nutzen, um ihre Identität zu schützen
und gleichzeitig Menschenrechtsverletzungen, Korruption und andere Verbrechen ans Licht zu bringen.

Der entscheidende erste Schritt besteht darin, sich selbst zu schützen
und die Überwachung Ihrer Kommunikation so weit wie möglich zu erschweren.

• - E-Mail-Selbstverteidigung – Ein Leitfaden zum Schutz vor Überwachung mit GnuPG-Verschlüsselung

End-to-End-Verschlüsselung

Durch eine End-to-End-Verschlüsselung (e2ee) für E-Mails kann sichergestellt werden,
dass nur der Absender und die Empfänger einer Nachricht den Inhalt lesen können.

Ohne diesen Schutz können Netzwerkadministratoren,
E-Mail-Anbieter und Behörden Ihre Nachrichten leicht einsehen.

Die Umsetzung von End-to-End-Verschlüsselung erfordert Sorgfalt sowohl seitens des Absenders als auch seitens der Empfänger.
Ein einziger Fehler einer der beteiligten Parteien kann bereits ausreichen, um die Sicherheit der End-to-End-Verschlüsselung zu gefährden.

E-Mail-Metadaten wie Absender- und Empfängeradresse sowie Datum und Uhrzeit können nicht durch End-to-End-Verschlüsselung geschützt werden.
Auch der Betreff der E-Mail bleibt möglicherweise ungeschützt und leicht lesbar, selbst wenn End-to-End-Verschlüsselung verwendet wird.

• - Was ist eine End-to-End-Verschlüsselung in Thunderbird?

Zurück zum Anfang

die Lösungen

< technical >  Pretty Good Privacy - also known as PGP

Die PGP-Software folgt dem OpenPGP-Verschlüsselungsstandard, dem
Standard (RFC 4880) zum Ver- und Entschlüsseln von Daten.

• - Pretty Good Privacy auf Wikipedia

PGP verschlüsselt den Text Ihrer E-Mail in einen Code
, den nur die richtige Person lesen kann.

PGP läuft auf so gut wie jedem Computer oder Smartphone.
Es ist frei lizenziert und kostet nichts.

Jeder Benutzer verfügt über einen eindeutigen öffentlichen Schlüssel und einen privaten Schlüssel,
die aus zufälligen Zahlenfolgen bestehen.

Dein öffentlicher Schlüssel ist nicht wie ein physischer Schlüssel, denn er befindet sich in einem Online-Verzeichnis, von dem andere ihn herunterladen können.
Andere verwenden deinen öffentlichen Schlüssel zusammen mit PGP, um E-Mails zu verschlüsseln, die sie an dich senden.

Dein privater Schlüssel ähnelt eher einem physischen Schlüssel, da du ihn für dich behältst (auf deinem Computer).
Du verwendest PGP und deinen privaten Schlüssel, um verschlüsselte E-Mails zu entschlüsseln, die andere dir senden.

Wenn eine mit PGP verschlüsselte E-Mail in die falschen Hände gerät, sieht sie einfach wie Unsinn aus.
Ohne den privaten Schlüssel des tatsächlichen Empfängers ist es fast unmöglich, sie zu lesen.

Um uns vor Überwachung zu schützen, müssen wir lernen, wann wir PGP nutzen sollten
und damit beginnen, unsere öffentlichen Schlüssel weiterzugeben, wann immer wir E-Mail-Adressen austauschen.

• - E-Mail-Selbstverteidigung – Infografiken

< technical >  How to use PGP encryption

Um PGP zu nutzen, benötigen Sie einen öffentlichen Schlüssel und einen privaten Schlüssel (zusammen als Schlüsselpaar bezeichnet).
Beide bestehen aus einer langen Zeichenfolge zufällig generierter Zahlen und Buchstaben, die für Sie einzigartig ist.
Ihr öffentlicher und Ihr privater Schlüssel sind durch eine spezielle mathematische Funktion miteinander verknüpft.

Es wird eine Anwendung benötigt, die die Schlüssel sowie die Ver- und Entschlüsselung von Nachrichten verwaltet,
hier ist eine Auswahl der beliebtesten Anwendungen:

• Mailvelope ist ein kostenloses Open-Source-Browser-Plugin, das für Mozilla Firefox und Google Chrome verfügbar ist:
  Es ist wahrscheinlich der einfachste Einstieg in PGP:
  „Mailvelope Demonstration“ist ein gut gemachtes Tutorial

• Die Anwendung Mozilla Thunderbird bietet alle notwendigen Funktionen zum Versenden von PGP-signierten Nachrichten
  Einführung in die End-to-End-Verschlüsselung in Thunderbird

• GnuPG ist eine vollständige und kostenlose Implementierung des OpenPGP-Standards
  Ein PGP-Leitfaden für Anfänger mit Gpg4Win [Einfache Einrichtung in 5 Minuten] erklärt, wie man es benutzt

< easy >  Alternatives to PGP encryption

PGP ist die beste Lösung für eine sichere Kommunikation mit einem Partner, der PGP bereits nutzt.
Es könnte schwierig sein, Ihren Gesprächspartner dazu zu bewegen, PGP zu nutzen.

Eine Alternative sind Dienste, mit denen man ein Geheimnis nur einmal weitergeben kann.

Wenn Sie etwas nur einmal versenden möchten, gibt es Open-Source-Webanwendungen
, mit denen Sie Informationen eingeben können, die nur einmal angezeigt werden können.

Sobald der Empfänger die Seite geöffnet hat, werden die Informationen gelöscht,
und in Ihren Chat-Protokollen oder E-Mails bleibt lediglich ein ungültiger Link zurück.

Es ist zwar nicht so sicher, als würde Ihr gesamtes Team PGP verwenden, aber es lässt sich viel einfacher einrichten und erklären.
Wir konnten damit Anmeldedaten an Personen senden, die technisch nicht besonders versiert sind, und diese fanden die Handhabung einfach.

Beispiel (ohne Passwort hinzuzufügen):

Nehmen wir an, du hast ein Passwort. Du möchtest es deiner Kollegin Jane geben. 
Du könntest es ihr per E-Mail schicken, aber dann befindet es sich in ihrer E-Mail, die möglicherweise gesichert wird, 
und wahrscheinlich auf einem Speichermedium landet, das von der NSA kontrolliert wird.

Wenn Jane einen Link zum Passwort erhält und ihn nie anklickt, verschwindet das Passwort. 
Wenn die NSA den Link in die Hände bekommt und das Passwort ansieht … nun, dann hat sie das Passwort. 
Außerdem kann Jane das Passwort nicht erhalten, aber jetzt weiß Jane, dass nicht nur jemand ihre E-Mails durchstöbert, 
sondern auch auf Links klickt.

Einige dieser Dienste, die alle kostenlos und Open Source sind, sind unten aufgeführt.
Sie können sich auch dafür entscheiden, eine Instanz auf Ihrem eigenen Webserver zu hosten.

PrivateBin (eine Art sichere Version von PasteBin) wurde in PHP entwickelt
Der Code von PrivateBin ist auf GitHub veröffentlicht – 3100 Sterne
Eine Anleitung für PrivateBin ist auf einer anderen Website verfügbar

OneTimeSecret wurde in Ruby entwickelt
Der Code und die Anleitung zu OneTimeSecret sind auf GitHub veröffentlicht – 1200 Sterne

SnapPass wurde in Python geschrieben. Es wurde ursprünglich von Pinterest entwickelt

Der SnapPass-Code und die Anleitung sind auf GitHub veröffentlicht – 600 Sterne

Zurück zum Anfang