Pentest Blog

03. August 2017 – Secutorial

33 Jahre Internet-E-Mail, 25 Jahre Verschlüsselung – und immer noch "Neuland"

Platzer Motte B-3 D-MAIL im Verkehrsmuseum Dresden (Bild: © Ad Meskens/Wikimedia Commons)

Ein Kommentar zum Tag der E-Mail von Senior IT Security Consultant Micha Borrmann

Seit einigen Jahren wird in Deutschland – stets am 3. August – an den Geburtstag der E-Mail erinnert, denn am 3. August 1984 wurde die erste Internet-E-Mail in Deutschland empfangen.

Ich selbst nutze dieses Kommunikationsmittel mittlerweile zwei Drittel der Zeit, die es überhaupt nutzbar ist. Auch wenn ich den Tag nicht mehr exakt bestimmen kann, so weiß ich dennoch, dass ich im August 1995 die erste E-Mail aus dem Internet erhielt und auch verfasste.

Seitdem hat die Nutzung von E-Mail massiv zugenommen. E-Mail ist eines der essenziellen Kommunikationsmittel im Internet. Auch wenn gelegentlich das Ende der E-Mail prognostiziert wird: Die vermeintlichen Alternativen weisen im Vergleich zu E-Mails erhebliche Defizite auf. E-Mails sind vollständig unabhängig von der verwendeten Hard- und Software nutzbar. Für nahezu jedes Gerät, das per Internet kommunizieren kann, gibt es die Möglichkeit, E-Mails zu lesen und zu senden. Diese Eigenschaft hat den Siegeszug der E-Mail klar begünstigt. Twitter, Slack, WhatsApp etc. sind in dieser Hinsicht keine Alternative. Speziell WhatsApp ist ausschließlich auf Smartphones verfügbar, jedoch nicht auf jedem vorhanden. Per E-Mail dagegen ist nahezu jedes Smartphone  erreichbar. Nicht zuletzt wird die Nutzung der diversen App-Stores erst durch eine E-Mail-Adresse ermöglicht.

Trotz der immensen Verbreitung und der großen Popularität gibt es allerdings auch zahlreiche Schwierigkeiten und Probleme mit E-Mails. So wurde das zugrunde liegende Simple Mail Transfer Protocol (SMTP) vor 35 Jahren in den USA entwickelt und verwendet einen 7-bit-Zeichensatz. Dies hat zur Folge, dass die im Deutschen üblichen Umlaute nicht berücksichtigt sind. Auch wenn zwischenzeitlich Lösungen zum Umgang mit anderen Zeichen und Zeichensätzen (z. B. kyrillisch) entwickelt wurden, sind Probleme, wenn man – wie die SySS GmbH – in T?bingen ansässig ist, nicht gänzlich behoben. Dies gilt natürlich ebenso für Einwohner von Köln, München, D├╝sseldorf oder N³rnberg.

Da E-Mails nahezu gratis versendet werden können, ist die Problematik nicht erwünschter E-Mails ("Spam") ebenfalls bis heute ungelöst – Anti-Spam-Produkten sowie Maßnahmen wie Sender Policy Framework (SPF) zum Trotz.

Ein besonders trauriges Kapitel bei E-Mails ist deren Sicherheit im Sinne der Vertraulichkeit. E-Mail-Verschlüsselung existiert zwar seit mehr als 25 Jahren. Und es gibt zwei unterschiedliche, jedoch zueinander inkompatible Verfahren: S/MIME und PGP. Deren reale Nutzung geht – trotz besserer Verfügbarkeit in den vergangenen Jahren – dennoch zurück. Die Ursache ist in der starken Verbreitung "elektronischer Spielzeuge" (iPhones) als E-Mail-Client begründet. So nutzt selbst der Erfinder von PGP Phil Zimmermann seine eigene Verschlüsselungssoftware kaum noch, da auf seinen verwendeten Geräten kein PGP installiert ist – auch wenn es mit Umwegen nutzbar wäre (vgl. Op-ed: I’m throwing in the towel on PGP, and I work in security und Even the Inventor of PGP Doesn’t Use PGP).

Folgende E-Mail erhielt ich vor einigen Monaten vom Information Security Manager eines bekannten deutschen Konzerns:

"Ich kann leider S/MIME verschlüsselte Mails nicht mobil einsehen, daher kann ich nur verzögert von meinem Arbeitsplatz antworten. Bitte schicken Sie mir doch zukünftig nur verschlüsselte Mails, wenn vertrauliche Informationen enthalten sind."

Ich selbst lernte PGP zur Sicherung der Privatsphäre für E-Mails bereits 1995 kennen und nutzen. Da eine partielle Nutzung von Verschlüsselung bereits offenbart, wann vertrauliche oder geheime Informationen übermittelt werden, sollten stets alle Nachrichten verschlüsselt werden, um derartige Informationen nicht zu publizieren. Im Web wird durch Initiativen wie HTTPS Everywhere und Let's Encrypt eine vollständige Verschlüsselung angestrebt, was recht erfolgreich gelingt. Dass derartige Gedankengänge keine Utopie sind, ist spätestens seit dem Sommer 2013 durch Edward Snowden bekannt geworden. Er verwendet übrigens auch PGP für die E-Mail-Kommunikation.

In Deutschland gilt dies alles jedoch – auch nach 33 beziehungsweise 25 Jahren – als "Neuland". Und so wird hierzulande dem existierenden traurigen Kapitel E-Mail-Verschlüsselung  noch ein spezieller, traurigerer Anhang hinzugefügt: So besteht für die auf S/MIME basierende "Volksverschlüsselung" keine signifikante Nutzungsgrundlage. Darüber hinaus sind die Einstiegshürden extrem hoch. Die auf der E-Mail- Technologie basierende, aber dazu nicht kompatible De-Mail ist ebenfalls zur Nicht-Nutzung verurteilt und wird am Besten als D-MAIL im Verkehrsmuseum Dresden bestaunt. 

Beim Abschluss einer Onlineversicherung las ich diesbezüglich vor einigen Monaten folgende Passage in den Vertragsvereinbarungen: "Hinweis: Die Verwendung von E-Post- und De-Mail-Adressen ist nicht möglich."

Dies zeigt, dass die klassische, altmodische E-Mail unverändert akzeptiert wird.

Deshalb denke ich, dass trotz der bekannten Mängel E-Mails auch weiterhin das Rückgrat der Kommunikation im Internet darstellen. Wenn Sie möchten, dürfen Sie mir dazu – natürlich – eine E-Mail schreiben. Gern auch mit S/MIME oder PGP verschlüsselt.

micha.borrmannsyss.de

Termine

06.09.2017
Vortrag: Angriffe auf RDP, Dr. Adrian Vollmer, D·A·CH SECURITY 2017, Neubiberberg bei München
12.09.2017 - 13.09.2017
SySS-Schulung – Hack7: Sicherheit und Einfallstore bei Webapplikationen
15.09.2017
SySS-Schulung – Secu5: IT-Recht und Datenschutz für IT-Verantwortliche
19.09.2017 - 20.09.2017
SySS-Schulung – Hack1: Hacking Workshop 1