Home | Impressum  
 
Webseitenlogo

Allgemein

Grundlagen

Praxis

Sonstige Texte

Für Hinweise, Kommentare, oder Kritik nutzen Sie bitte den Menüpunkt "Kontakt & Sonstiges"

E-Mails - Stille Post die Bände spricht
 


Auch wenn die Möglichkeiten mit denen Daten im Internet übertragen werden können stetig wachsen, ist die E-Mail statistisch gesehen nach wie vor das beliebteste Kommunikationsmittel im Internet. Dementsprechend vielseitig sind die Gefahren für die persönlichen Daten des Benutzers. Aus diesem Grund befasst sich dieses Kapitel mit den Themen der Sicherheit und des Datenschutzes der E-Mail.

Privatsphäre der E-Mail
- Überwachung durch den Staat
- Google Mail als Risiko
- Web Bugs: wenig bekannt

E-Mail Spam
- Wie Spammer an Mails gelangen
- Arten von E-Mail Spam
- Spam-Mafia und Spam-Gangs

Sicheres E-Mailen
- Umgang mit Accounts
- Adressen verfremden
- Wegwerf-Mails

Sicherer Umgang mit Mails

- Texformat und Scripte
- Dateianhänge
- Datenschutz der E-Mail
- Verschlüsselung von E-Mails

Wie Eingangs gesagt, ist der Versand von E-Mails trotz Instant Messaging und Mikroblogging nach wie vor wichtig für Korrespondenzen im Netz. Zu diesem Ergebnis kam im Februar 2008 auch eine repräsentative Untersuchung von 1000 Personen ab 16 Jahren, die von Web.de in Auftrag gegeben worden war. Dabei gab praktischer jeder an über eine E-Mail-Adresse zu verfügen.

Nach eigener Aussage verbrachten über 82% der Befragten mehr als eine Stunde pro Woche mit dem Schreiben und der Beantwortung von E-Mails und ganze 76% haben mehr als einen E-Mail-Account (was sehr begrüßenswert ist, wie man im weiteren Verlauf dieses Kapitels sehen wird).

Bei einer derart umfangreichen Nutzung sind natürlich auch die Risiken für Datenschutz und Sicherheit entsprechend vielseitig, von denen die bekanntesten sicher so genannte Viren und Würmer sind. Die Zeiten in denen Viren nur dem fragwürdigen "Spaß" dienten Rechner weitgehend unbrauchbar zu machen und Nutzer zu erschrecken sind jedoch längst vorbei.

Weshalb sollten Kriminelle ein Interesse daran haben, durch Passwortdiebstahl in den Besitz eines fremden E-Mail Kontos zu gelangen? Immerhin handelt es sich nicht um etwas lukratives wie etwa die Zugangsdaten für ein Bankkonto.

Tatsächlich gibt es sogar mehrere gute Gründe für Kriminelle, das E-Mail Konto eines durchschnittlichen privaten Internetnutzers zu infiltrieren

Doch eben diese Privatsphäre ist nicht mehr allein durch Würmer & Co gefährdet (gegen die man sich schon mit gesundem Menschenverstand schützen kann), sondern gerät auch immer weiter ins Visier von Staatsanwaltschaft, Geheimdiensten und dem viel zitierten "Anti-Terror-Maßnahmen" (längst schon sollte der Begriff "Terrorismus" als Unwort des Jahres gelten). In Anbetracht all dieser Umstände, stellt sich für den Nutzer der Maildienste die berechtigte Frage:


Wie steht es um die Privatsphäre der E-Mail?

E-Mail-WallpaperWer glaubt, die Überwachung von Mails finde entweder nur in den Köpfen irgendwelcher Spinner, oder nur im kommunistischen China statt, der irrt sich gewaltig. Bereits seit einigen Jahren hat auch die Regierung der Bundesrepublik Deutschland entsprechende Maßnahmen ergriffen, um neben dem Telefon auch moderne Formen der Telekommunikation zu überwachen:

So gilt bereits seit dem ersten Januar 2005 eine überarbeitete Version der so genannten Telekommunikations-Überwachungsverordnung (TKÜV).Durch sie sind alle Anbieter von digitalen Kommunikationsdiensten dazu gezwungen, Abhörschnittstellen, etwa zur Überwachung des E-Mail-Versandes für Verfassungsschutz & Co einzurichten und demzufolge haben das auch praktisch alle getan.



Problematisch sind in diesem Zusammenhang die durch die Europäische Union initiierten Pläne zur elektronischen Vorratsdatenspeicherung die am 1. Januar 2008 in Kraft trat, jedoch durch die Entscheidung des Bundesverfassungsgerichts vom Märu 2010 in Deutschland ausgesetzt wurde, bis eine überarbeitete Version des Gesetzes in Kraft tritt, das die rechtlichen Vorgaben durch das Bundesverfassungsgericht angemessen berücksichtigt.

Die elektronische Vorratstdatenspeicherung (VDS) verpflichtete in ihrer bisherigen Form die Betreiber dazu, Telekommunikationsdaten (Telefonverbindungen, E-Mail, SMS etc) aller Bundesbürger ein halbes Jahr lang zu speichern - ohne jeden Tatverdacht. Ironischerweise war es gerade die Bundesregierung die im Oktober 2008 erklärte, man wolle die Bürger vor unbefugter Handy-Ortung per GPS schützen. Unabhängig davon wie die vermeintliche Neuregelung des Gesetzes in Deutschland aussehen mag - Ein Konflikt mit der EU-Vorgaben scheint vorprogrammiert.

Zur Überwachung durch den Staat gehört auch die Einführung der so genannten De-Mail, ein Projekt der Bundesregierung dar, mit deren Vorteilen der Benutzer zur freiwilligen Aushändigung von Daten und die Aufgabe der Anonymität überredet werden soll.

Um überhaupt ein De-Mail Konto zu erhalten, muss der Benutzer sich einwandfrei mit seinen Realdaten identifizieren. Dadurch entfällt praktisch die Möglichkeit anonym zu kommunizieren, denn nicht nur dass über 1000 Behörden ohne weiteres die Identität des Benutzers abfragen können – auch andere Privatpersonen können dies einfordern.

Das sowohl Strafverfolgung als auch Geheimdienste keine richterliche Genehmigung benötigen, um bei einer De-Mail an weitere Daten zu gelangen wundert da nur wenig. Sogar die versprochene Sicherheit und Verschlüsselung sind nicht so perfekt wie sie dargestellt werden.

Zwar ist die Nutzung der De-Mail noch keine gesetzliche Verpflichtung, doch je mehr Personen sie Nutzen, desto mehr Einfluss gewinnt sie, so dass bei ausreichender Vebreitung des Dienstes, beispielsweise Internet-Händler dazu übergehen könnten, nur noch Kunden mit De-Mailaccount zu akzeptieren.

Das einzig wirksame Mittel gegen diese Entwicklung ist daher für alle, die ihre Daten nicht nur vor anderen Internetnutzern schützen, sondern auch eine noch größere Kontrolle durch den Staat verhindern will, der Boykott der De-Mail und die weitere Information anderer Bürger

Neben der Überwachung von staatlicher Seite, gilt es auch auf andere Dinge zu achten, will man vertraulich kommunizieren. So sind beispielsweise am Arbeitsplatz die Admins von Firmennetzwerken dazu in der Lage sowohl ein- als auch ausgehende E-Mails nachzuvollziehen (wie bereits im Kapitel über den Datenschutz am Arbeitsplatz beschrieben).

Doch nun zu den Problemen die bei der Nutzung von E-Mails entstehen können.

So gilt es etwa ganz allgemein die Anbieter von Webmaildiensten im Auge zu behalten, da sie natürlich ebenfalls Zugriff auf die elektronischen Postfächer und die Daten ihrer Kunden haben. Entsprechende Angaben können dann etwa zu Marktforschungszwecken ausgewertet oder an andere Unternehmen weitergeben werden. Nicht zu vergessen ist auch, dass die Daten auf den Servern nicht nur verkauft, sondern auch von Kriminellen gestohlen werden könnten. Es gilt also bereits bei der Anbieterwahl zu bedenken, dass die Daten dort keineswegs sicher sind.

Dabei gibt es einen Maildienst-Anbieter, der nicht nur für seinen großzügigen Speicherplatz bekannt ist, sondern auch einen besonderen Platz einnimmt, wenn es um die Vertraulichkeit der elektronischen Post geht:

Gmail™ - der Mailspion

Googlemail (Gmail) der E-Mail-Dienst des Suchmaschinen-Anbieters Google, ist für seinen hervorragenden Spamfilter bekannt. Daher lassen sich online tatsächlich auch Anleitungen finden, wie man seine elektronische Post erst über das Gmail-Konto eines eigens zu diesem Zweck eingerichteten Accounts laufen lässt, bevor es die Mails weiterleitet und an der Standardadresse abliefert, wobei eine große Menge Spam heraus gefiltert wird.

Für diesen Service nimmt man dann auch gerne die Werbeanzeigen die sich in den Mails finden in Kauf. Interessanterweise scheint die Werbung dabei stets zum Thema der Mail zu passen. Sendet man etwa seinem Bekannten eine E-Mail in der man über seine neusten Erfolge im Sport berichtet, finden sich dazu passende Anzeigen von Sportartikelherstellern in der Mail.

Nun stellen sich zwei berechtigte Fragen. Zum einen, wie Google so gute Filterergebnisse und Spamerkennungsraten erreicht, während bei anderen Anbietern weitaus mehr Spam das Postfach erreicht. Zum anderen wie es Google möglich ist, Werbung einzublenden, die kontextbezogen, also auf den Inhalt der Mail zugeschnitten zu sein scheint.

Die Antwort auf beide Fragen ist einfach;


Gmail™ liest die eingehenden Mails.

Während die Spamüberprüfung anderer E-Mailanbieter lediglich die Betreffzeile (den Header) auf verdächtige Begriffe wie "ViAgRa" testet und die Absenderadresse mit Listen von bekannten Spamservern (Blacklists) vergleicht, geht Gmail noch einen deutlichen Schritt weiter, indem es die Mail "öffnet", und auf Inhalte die auf Spam schließen lassen abscannt (dazu bedarf es keiner Mitarbeiter, der Prozess findet automatisch statt), bevor die Mail schließlich an den Empfänger weitergesendet wird.

Dieses Scanning der Mails erfolgt jedoch nicht nur um Spam fern zu halten - es ermöglicht Google den Inhalt der einzelnen Mail zu analysieren um dem Benutzer anschliessend kontextbezogene, das heisst zum Inhalt der Mail passende, Werbeanzeigen in der E-Mail präsentieren zu können. Dabei wird versichert, dass keinerlei Daten an Dritte weitergegeben werden.

Bei Gogle Mail selbst liest sich das wie folgt (Passagen wurden der besseren Lesbarkeit wegen gekürzt, es wurden jedoch keine relevanten Informationen dabei entfernt):

[...]Google verwaltet und verarbeitet Ihr Google Mail-Konto und dessen Inhalt, um Ihnen den Google Mail-Dienst anbieten zu können und um diesen Service zu verbessern. Der Google Mail-Dienst präsentiert relevante Werbung und verwandte Links auf Grundlage der IP-Adresse, des Inhalts der Nachrichten und anderer Daten im Zusammenhang mit Ihrer Verwendung von Google Mail.

Die Computer von Google werten die Informationen in Ihren Nachrichten aus verschiedenen Gründen aus, unter anderem zur Formatierung und Darstellung der Informationen für Sie, zur Schaltung von Anzeigen und verwandten Links, zur Vermeidung von unerwünschten Massen-E-Mails (Spam), zur Sicherung Ihrer Nachrichten und zu anderen Zwecken im Zusammenhang mit dem Angebot von Google Mail.[...]"


(Quelle: Datenschutzerklärung zu Gmail)

Im Mai 2008 zeigte sich dann, dass Google seinen Mailservice Gmail auch in den Dienst der Strafverfolgung stellt und Informationen an die zuständigen Stellen weitergibt. Nachdem ein indischer IT-Spezialist sich in Googles Social Network Orkut vulgär über die indische Politikerin Sonia Gandhi geäußert hatte, was nach dortigem Recht eine Straftat ist, gab es Versuche diesen Nutzer zu identifizieren. Dank der Mithilfe von Google konnte, durch Überprüfung des Google Mail-Accounts der Mann überführt werden.

Ironischerweise sind es gerade Gmail-Accounts die zu Spamming missbraucht werden. Immer wieder werden entsprechende Versuche von Google, durch zusätzliche Maßnahmen mehr Schutz vor automatisierten Registrierungen zu erlangen, unterwandert, so dass Massenversand von Spam möglich ist.

Weitere Risiken durch E-Mails

Ein besonderes Problem, das nicht an Anbieter gebunden und leider den meisten Benutzern gänzlich unbekannt ist, stellt eine Überwachungsmethode dar, die auch auf Webseiten Verwendung findet.

Die Rede ist von Web Bugs in E-Mails. Durch Einsatz von Web Bugs ist es beispielsweise Spam-Versendern unter anderem möglich zu erkennen, ob eine Mail vom Benutzer empfangen undgeöffnet wurde. Das wiederum ist natürlich eine Bestätigung dafür, dass der E-Mail-Account existiert und daher im Wert als Ziel von weiterem Spam steigt. Schuld daran sind unter anderem die Verwendung veralteter E-Mail-Programme, die es dem Versender ermöglichen so genannte Web Bugs einzusetzen.

Wie bereits im Kapitel über Datenschutz-Einstieg erklärt, handelt es sich bei diesen Web Bugs (die auch unter einigen anderen Begriffen wie etwa "Tracking-Pixel" oder "Web beacon" bekannt sind) umd 1x1 Pixel große Grafiken im GIF-Format, die meist durchsichtig sind und so vom menschlichen Auge nicht wahrgenommen werden können.

Ruft der Anwender die Mail auf, meldet der Web Bug seinem Server dies und überträgt unter Umständen auch weitere Daten, darunter neben der Art des Betriebssystems auch weitaus kritischere - wie etwa die IP des Rechners. Es sieht also gleich aus mehreren Gründen duster für die Privatsphäre der E-Mail aus. Informationen wie Web Bugs unschädlich gemacht werden können, finden sich im Abschnitt über den sicheren Umgang mit Mails. Seitenanfang


E-Mail-Spam - Ein Fall für den Papierkorb

Eine Dose SpamIm Vergleich dazu scheint Spam - unverlangt zugesandte Mails - eher lästig als gefährlich zu sein. Meist handelt es sich um Werbung für Pharmazieprodukte oder Luxusgüter. Dennoch hat auch Spam seinen Anteil an dem Verlust persönlicher Daten, vor allem aufgrund der Tatsache, dass der Versand von Phishing-Mails, wie er im Kapitel über Datenschutz am Arbeitsplatz als modernere, aber dafür unspezifische Form des Social Hackings vorgestellt wurde, meist in Form von Spam erfolgt.

Doch auch wenn man auf die Tricks von Betrügern nicht hereinfällt. Nervig sind die Massen an Werbemüll allemal. Dabei stellt sich vielen Benutzern vor allem die Frage




Wie kommen die Spammer an die E-Mail-Adressen ihrer Opfer?


Darüber hört man gerade unter Neulinge teilweise die erstaunlichsten Theorien:

So erzählte ich in einem Chat beispielsweise einmal, dass ich den Spam für sexuelle Dienstleistungen sehr lästig fände. Als Antwort darauf kam der hämische Kommentar, "Selber Schuld wenn du dich auf solchen Schmuddelseiten rumtreibst". Auf Nachfrage, was denn das eine mit dem anderen zu tun hätte, wurde mir verblüfft erklärt "ich dachte, daher haben sie die E-Mail-Adressen?"

Diese Ansicht ist natürlich zum Schmunzeln - die Frage zur Herkunft von E-Mail-Adressen, bleibt aber vorerst bestehen. Denn auch wenn es technisch unmöglich ist, alleine durch den Aufruf einer Webseite in den Besitz einer Adresse gelangen, verlassen sich Spammer längst nicht nur auf eine Möglichkeit, sondern wenden verschiedene Techniken an. Die Einteilung in verschiedene Techniken ist uneinheitlich. Manche Aufstellungen über Spam sind sehr ausführlich, an dieser Stelle wird eine möglichst einfache und kompakte Einteilung verwendet.

Da wäre zum einen automatischer Spam-Versand. In diesem Fall muss die E-Mail-Adresse gar nicht erfasst sein. Es werden willkürlich verschiedene Worte generiert und in Kombination mit diversen Anbietern durchprobiert: mustermann@gmx.de , mustermann@yahoo.de, mustermann@gmail.com etc. Spam dieser Art ist am ungenausten, es werden auch E-Mail-Accounts angespammt, die es gar nicht gibt.

Zum anderen Erfassung durch Harvester. Diese Methode dürfte neben automatischem Spam die meist genutzte sein. Hierbei werden Programme (so genannte Harvester) verwendet, die sich durch das Internet graben und dabei auf Webseiten alles aufgreifen, was nach E-Mail-Adresse aussieht. Gästebücher und Kommentarfunktionen von Webseiten sind dabei oft eine besonders ergiebige Quelle.

Die gleiche Technik wird im Übrigen von Suchmaschinen verwendet, die Webcrawler und Spider einsetzen um Webseiten in ihren Index aufzunehmen. Harvester-Spam ist effektiver als automatisierter, allerdings können die derart aufgegriffenen Adressen auch aus jahrealten Foren-Postings stammen und längst nicht mehr genutzt werden.

Sich selbst verbreitender Viren-Spam. Wird eine manipulierte E-Mail geöffnet und der Virus aktiviert, infiziert er das Adressbuch des E-Mail-Programms (Microsoft Outlook, Mozilla Thunderbird etc) und versendet sich selbst an alle Adressen die sich dort finden. Das ist besonders heimtückisch, da die E-Mail-Adresse ja dem zweiten Empfänger bekannt ist und dieser in der Regel dem Absender vertraut.

Am effektivsten sind gekaufte E-Mail-Adressen. Hierbei werden beispielsweise Mitarbeiter großer Firmen mit entsprechenden Summen bestochen, damit sie E-Mail-Adressenlisten von Kunden herausgeben. In diesem Fall kann der Spam-Versender in der Regel sicher sein, dass diese Adressen existieren und auch noch weitestgehend verwendet werden.

Nachdem die E-Mail-Adressen einmal in falsche Hände gelangt sind, ist es praktisch unmöglich die Verteilung von Spam aufzuhalten. Tatsächlich ist es trotz der Meldungen in den Medien vielen Benutzern noch nicht bekannt, woher die Massenmails und der ganze Werbemüll eigentlich stammen, beziehungsweise wer hinter dem Versand von Spam-Nachrichten steht.

Berichte über eine Spam-Mafia scheinen zunächst übertrieben zu sein, allerdings sollte jedem klar sein, dass die Massen an E-Mails nicht von Einzelpersonen in Handarbeit verschickt werden. Tatsache ist, dass diese Spam-Versender über eine entsprechende Logistik verfügen und organisiert vorgehen. Wie effektiv diese Gruppentaktik wirklich ist, zeigt sich daran, dass laut Angaben des "Register of Known Spam Operations" (ROKSO) rund 80% des Spams in Nordamerika und Europa von einem harten Kern aus gerade einmal 100 - 200 so genannten professionellen Spam Gangs produziert wird. Dabei sind neben den USA vor allem China und Russland stark beteiligt.

Diese Spam Gangs bekommen dann etwa von unseriösen Anbietern den Auftrag, für ein bestimmtes Produkt massenhaft Werbemails zu versenden und werden dafür bezahlt. Diese kontaktieren den Betreiber eines Botnetzes (sofern sie nicht selbst schon eines betreiben) und bezahlen diesen, um im Anschluss daran die infizierten Rechner des Botnetzes zum Versand seiner Spam-Mails zu mißbrauchen.

Da das Geschäft mit dem illegalen E-Mail-Versand lukrativ ist, gehen diese Gruppierungen nicht besonders sanft mit Spam-Gegnern um. In der Vergangenheit sind daher bereits verschiedene Anti-Spam-Dienste, die Möglichkeiten zum Spam-Schutz anbieten, schon mehrmals von Spammern angegriffen worden - etwa indem die Server der Webseiten beim Angriff durch ein Botnetz mit Aufrufen überlastet wurden (eine so genannte "Distributed Denial of Service" oder DDoS-Attacke). Einige dieser Angebote wurden als Folge davon sogar komplett eingestellt.

Wie man sich neben anderen Risiken, auch vor dem massenhaften Empfang von unerwünschten E-Mails schützen kann wird im folgenden Abschnitt erklärt werden.  Seitenanfang



Sicheres E-mailen - Was kann man tun?

Wie nachvollziehbar ist,  gibt es so etwas wie die perfekte "Datenschutz Mail" nicht. Daher können an dieser Stelle lediglich Strategien und Tipps vermittelt werden, wie die Sicherheit des E-Mail-Verkehrs verbessert werden kann

Im Bezug auf die Vorratsdatenspeicherung gilt, dass bisher  "nur" Anbieter mit mehr als 1000 direkten Kunden dazu verpflichtet sind, diese Lauscheinrichtung für den Staat einzurichten. Solange diese Verordnung in der vorliegenden Form bleibt, ist also die einfachste Methode sich weniger überwachen zu lassen, kleinere Anbieter zu suchen.

Beispielsweise bieten Foren oft die Möglichkeit sich eine Foren-E-Mail-Adresse im Stil von nickname@forenname.de anzulegen. Im Zweifelsfall einfach recht freundlich den Boardadmin fragen. Solange das Forum nicht überlaufen ist, wäre dies zumindest ein relativ einfaches Mittel der TKÜV zu entgehen - leider besteht das Problem der Datensammlung für die Vorratsdatenspeicherung auch hier.

In jedem Fall ist die Verwendung mehrerer E-Mail-Accounts mit unterschiedlichen Passwörtern empfehlenswert. Besonders sinnvoll ist es, mindestens drei verschiedene E-Mails zu verwenden - und tatsächlich macht dies mittlerweile eine große Zahl der deutschen Internetnutzer.

Dabei dient die erste E-Mail der offiziellen Korrespondenz mit öffentlichen Stellen und persönlichen Bekannten, eine zweite E-Mail zur Weitergabe an Online-Kontakte und die dritte E-Mail für Anmeldungen bei Newslettern und anderen Diensten bei denen eine ungewollte Weitergabe erfolgen könnte. Dabei wird in der Regel letztere am häufigsten Spam erhalten.

Zur Erstellung mehrerer E-Mail-Adressen bieten sich Webmail-Dienste wie GMX an, deren Erstellung schnell und einfach gemacht ist. Meist werden bei der Anmeldung persönliche Daten wie Name und Anschrift, sowie die Nennung einiger Interessengebiete verlangt, um entsprechende Werbung machen zu können.

Auch wenn die AGB von Webmail-Anbietern die Verwendung fiktiver Daten verbieten, so ist natürlich auch bei der Erstellung eines E-Mail-Accounts der Grundsatz der Datensparsamkeit zu berücksichtigen. Aus diesem Grund gehen viele Benutzer noch einen Schritt weiter und verwenden den Fake Name Generator (EN) , mit dem sich durch einen Mausklick fiktive Identitäten erstellen lassen.

Selbstverständlich sollten E-Mails nicht zu lange in Postfächern von Webmail-Anbietern verbleiben, sondern wenn möglich umgehend gelöscht werden. Je kürzer die Speicherdauer von Daten im Internet ist und je weniger Informationen generell online gelangen, umso besser.

Ebenfalls sinnvoll können Überlegungen zum Inhalt der E-Mail-Adresse sein. So ist man etwa bei der Nutzung von lokalen Anbietern örtlich leichter festzulegen - beispielsweise über eine Adresse wie nickname@ortsname.de, wie sie stellenweise angeboten werden. Eine mögliche Alternative wären hier Anbieter, bei denen die länderspezifische Herkunft nicht sofort ersichtlich ist, etwa nickname@anbieter.net.

Von Interesse ist auch der vorraussichtliche Verwendungszweck der E-Mail, sowie der private und berufliche Gebrauch. Mit einer ausgefallenen Adresse wie etwa lustiger-lumpenhund@anbieter.de mag der Benutzer unter Online-Freunden beliebt sein - für offizielle Korrespondenzen eignet sie sich nicht. Aus diesem Grund lässt sich häufig auch eine weitere, seriöser wirkende Form der E-Mail-Adresse finden, nämlich das Muster vorname.nachname@anbieter.de. Hier ist natürlich sofort offensichtlich, dass auf diese Weise Informationen über die eigene Identität preisgegeben werden und auch diese Art der E-Mail-Adresse für den allgemeinen Gebrauch vermieden werden sollte.

All dies sind Gründe anhand derer deutlich wird, dass die Verwendung mehrerer E-Mail-Konten durchaus angebracht ist. Dennoch erscheint der Aufwand für das Anlegen einer E-Mail-Adresse rein aus Datenschutzgründen vielleicht manchem etwas zu hoch.

Deshalb sollte neben dem Datenschutz keinesfalls der zusätzliche Sicherheits-Aspekt bei der Verwendung mehrerer E-Mail-Accounts unterschätzt werden: Die Benutzung lediglich einer einzigen E-Mail-Adresse für alle Aufgaben im Internet ist ausgesprochen riskant und alles andere als empfehlenswert.

Wird das Passwort der einzigen E-Mail-Adresse beispielsweise durch Phishing bei einem Dienst wie Twitter gestohlen, können Betrüger versuchen, unter Verwendung der E-Mail-Adresse ihres Opfers neue Zugangsdaten für Foren, Social Communities und PIN-Nummern anzufordern. Da viele Online-Shops und Foren anbieten, sich ein neues Passwort per Mail zusenden zu lassen falls man es einmal vergessen haben sollte, ist dieser Trick oft erfolgreich.


Der Schutz vor Spam ist für viele Benutzer sicher einer der interessantesten Maßnahmen. Die Grundregel um ungewolltem Werbemüll zu entgehen ist einfach: Spam-Mails sollten grundsätzlich niemals geöffnet werden. Bereits dieser Grundsatz wird jedoch von vielen Anwendern missachtet. So ergab etwa eine Umfrage der MAAWG im März 2010 das fast die Hälfte aller Nutzer bewusst Spam-Mails öffnet und sie bearbeitet.

Nicht allein dass durch das Herunterladen und öffnen von Dateianhängen oder das klicken von Links der PC mit Schadsoftware (Malware) infiziert werden kann. Oft enthalten Spam-Mails auch einen Abbestellungs-Link durch den sich die unerwünschte Werbung angeblich "abbestellen" lässt. Tatsächlich bestätigt dieser Klick dem Versender der Werbung sogar, dass die Mail von einem Benutzer geöffnet wurde und daher die Adresse wirklich existiert. Somit steigert der Benutzer den Wert der E-Mail für Spammer und macht sie zum Ziel von noch mehr Spam.

Die Verfremdung von E-Mail-Adressen wird seit langem als Schutz vor Spam empfohlen - und ist vielfach praktisch wirkungslos. Dennoch findet sich seit Jahren immer noch der Hinweis, um seine E-Mail-Adresse vor der automatischen Erfassung durch Spam-Dienste zu schützen, solle man das @-Zeichen (auch Klammeraffe genannt) durch andere Zeichen ersetzen. Die angeblich Spam-sicheren E-Mail-Adressen lauten dann etwa "nickname [at] anbieter [dot] de".

Dieser Trick funktioniert allerdings nur noch bei sehr einfachen Harvestern, die lediglich darauf programmiert sind nach der Kombination von Buchstaben die mit einem @ und einem Punkt getrennt werden zu suchen, also nach dem Muster: irgendwas@irgendwas.irgendwas. Zum Vergleich: Auch eine manuelle E-Mail-Suche bei Google oder anderen Suchmaschinen nach dem Schema "@gmx.de" oder "@yahoo.com" bringt keine brauchbaren Ergebnisse.

Der moderne Harvester ist dagegen effektiver. Er sucht zunächst ebenfalls nach einer derartigen Konstellation, im zweiten Durchgang kann er jedoch genau so gut nach weiteren Kombinationen suchen, die nicht unbedingt ein @ enthalten müssen - beispielsweise nach  irgendwas [at] irgendwas [dot] irgendwas.  Eine E-Mail-Suche bei Google nach dem Schema "at gmx.de" zeigt daher auch entsprechenden Erfolg.

Bei einem Versuch am 01. Dezember 2009 wurden bei Google mit dem Suchbegriff "at gmx.de" insgesamt 3.320.000 Ergebnisse gefunden. Andere Verunstaltungen wie "at yahoo dot" brachten soga 9.570.000 Ergebnisse.


Auf diese Weise gelangt der Spam-Harvester auch trotz dieser Verfremdung an die Adresse.

Mittlerweile reicht auch bereits das vorhanden sein eines bekannten Anbieters, um eine E-Mail-Adresse als solche zu erkennen. Die Verwendung von mustermann [at] gmx [dot] de als Schutz vor Spam ist also weitgehend wirkungslos, da durch "gmx" oder "gmail" bereits erkenntlich ist, dass es sich um eine E-Mail-Adresse handelt.

Komplexere Veränderungen (man könnte fast von Entstellungen sprechen) der E-Mail-Adresse wie "musternann(hier ein klammeraffe)geh-em-iks.de" sind dem gegenüber zwar wesentlich sicherer - allerdings nicht nur für Sehbehinderte kompliziert zu verwenden, sondern eventuell auch ein wenig lächerlich.


Sinvolle Alternative zu Verfremdung und damit effektiver gegen Spam, ist auch hier die Verwendung mehrerer E-Mail-Adressen, von denen eine (oder mehrere) öffentlichen Zwecken dienen, während andere privat gehalten und nur einem engen Personenkreis zugänglich gemacht werden.

Für einmalige Nutzung, etwa um Gästebuch-Einträge zu machen, oder Kommentare in Blogs schreiben zu können, eignen sich Wegwerf-E-Mail-Adressen wie sie etwa von Diensten wie trash-mail (DE) angeboten werden. Dabei sollte aber unbedingt berücksichtigt werden, dass theoretisch jeder Zugriff auf das erstelle E-Mail-Konto hat und sich diese Methode nicht für die Nutzung mit sensiblen Daten eignet. Auch die Verwendung von 10-Minute-Mail (EN/DE) mit dem sich nur zehn Minuten existierende E-Mail-Adresen generieren lassen, ist keine Garantie für Vertraulichkeit, erspart aber zumindest die unnötige Herausgabe einer E-Mail-Adresse.

Möglich wäre für Kurzmitteilungen an Kontakte auch die Verwendung von Diensten für Einweg-Nachrichten wie etwa Privnote (DE/EN) mit der die Erstellung von kurzen, "selbstzerstörenden" Notizen möglich ist. Nach dem selben Prinzip funktioniert auch der Dienst 7em! (DE) - Nachricht verfassen, optional mit Anhang, Verfallsdatum festlegen und dann den Message-Code an alle gewünschten Empfänger weitergeben.

Eine wesentlich sicherere und professionellere Alternative, die sich auch für sensiblere Daten eignet, ist die Anonbox (DE/EN/ETC) des Chaos Computer Clubs. Wird dieses temporär verfügbare Postfach zusammen mit verschlüsselten Mails verwendet und jeweils mit Nutzung des TOR-Netzwerks aufgerufen, ist eine Rückverfolgung des Absenders praktisch unmöglich möglich, da kein kommerzieller Anbieter mitloggt.Seitenanfang



Sicherer Umgang mit E-Mails

Selbstverständlich sind die zuvor genannten "Agenten-Film Methoden" kein Ersatz für den Standard E-Mail-Verkehr. Daher ist es sinnvoll, die gegebenen Möglichkeiten zu nutzen mit denen der alltägliche und oft leichtsinnige Umgang mit E-Mails sicherer gemacht werden kann. Diese können von jedem Benutzer selbst umgesetzt werden, da sie keinen Mehraufwand erfordern.

Als erster Schritt sollte die Wahl des E-Mail Programms überdacht werden. Microsoft Outlook Express ist bereits standardmäßig in jeder Windows-Installation enthalten. Die weite Verbreitung eines bestimmter Software macht sie allerdings, wie bereits im Kapitel zuvor erwähnt, besonders für Angreifer interessant.  Als Alternative zu Outlook Express bietet sich unter Windows beispielsweise der Mozilla Thunderbird an.

Aus diesem Grund beziehen sich die praktischen Hinweise im Text auf Mozilla Thunderbird. Die Grundsätze gelten jedoch auch für andere E-Mail-Clients und lassen sich auf diese übetragen, da dort ähnliche Funktionen vorhanden sein sollten.

Um etwa Manipulationen durch eventuell in der Mail enthaltende schädliche Inhalte, die bereits beim Öffnen der Mail ausgeführt werden zu vermeiden, ist es sinnvoll in seinem E-Mail-Programm entsprechende Änderungen vorzunehmen.

Ein erster Schritt besteht bereits darin die E-Mail ohne HTML, lediglich in der reinen Textversion anzeigen zu lassen. Auf diese Weise wird man gleichzeitig Risiken im HTML-Code und lästige Grafiken und Animationen los, die der Absender eingefügt hat. Im Mozilla Thunderbird findet sich der entsprechende Menüpunkt unter "Ansicht" - "Nachrichtentext" - "reiner Text".

Um nicht dem Empfänger versehentlich selbst eine HTML-Mail zu senden und sich ungewollt an der Verbreitung von schädlichen Inhalten zu beteiligen , sollte unter "Bearbeiten" - "Konten" - "Verfassen und Adressieren" das Häkchen vor "Nachrichten im HTML-Format verfassen" entfernt werden.

Doch neben HTML gibt es weitere Risiken in Mails. Beispielsweise das ausführen von Javascript in E-Mails. Standardmäßig sollte dies abgestellt sein. Hier hilft jedoch ein Blick in die about:config von Thunderbird. Dabei handelt es sich quasi um das Innenleben des Programms und jede Änderung dort wirkt sich aus. Dorthin gelangt man über die Schritte "Bearbeiten" - "Einstellungen" - Fenster öffnet sich - "Erweitert" - "Konfiguration bearbeiten".

Im Fenster das sich dann öffnet genügt es "java" einzugeben, um alle relevanten Einstellungen sehen zu können. Steht dort die Einstellung "javascript.allow.mailnews" auf "false" werden keine Scripte aus E-Mails ausgeführt. Auch der Menüpunkt "javascript enabled" sollte sicherheitshalber per Doppelklick von "true" auf "false" geändert werden. Im Gegensatz dazu wird "security.enable.java" unbedingt auf "true" gestellt - auch das funktioniert durch einen einfachen Doppelklick.

Um die besonders hinterlistigen Web Bugs entschärfen zu können, scheint es sinnvoll das Laden externen Grafiken zu verbieten, praktischerweise ist diese Funktion in Mozilla Thunderbird standardmäßig aktiviert.  Auch hier gilt das Whitelisting-Prinzip: Zunächst alles verbieten um dann gezielte Ausnahmen festzulegen.

Neben möglichen Gefahren in den Mails selbst, sind besonders Dateianhänge von E-Mails kritisch. Keinesfalls sollten Anhänge wie Grafiken, Audiodateien oder Texte unbedarft heruntergeladen und geöffnet werden. Dieser Grundsatz ist sogar dem früheren Innenminister Dr. Wolfgang Schäuble bekannt, der nicht gerade durch besonders gute Kenntnisse im Umgang mit dem Internet auffiel. In einem taz-Interview am 08.02.2007 erklärte er auf die Frage, ob er Angst vor Spionageprogrammen habe:

"Nein, ich öffne grundsätzlich keine Anhänge von E-Mails, die ich nicht genau einschätzen kann. Außerdem bin ich anständig, mir muss das BKA keine Trojaner schicken".

Das mag beruhigend klingen - allerdings reicht dies nicht aus um die Gefahr von manipulierten Dateianhängen zu bannen. Um zu verhindern, dass bereits beim Lesen der E-Mails  unsichere Anhänge geladen werden, empfiehlt es sich über das Menü unter "Ansicht" das Häkchen vor "Anhänge eingebunden anzeigen" zu entfernen.

Datenschutz der E-Mail

Damit ist die Sicherheit der E-Mail verbessert - ebenso wichtig ist aber der Datenschutz der E-Mail. Die Inhalte eines Mailwechsels gehen ebenso wie bei einem Telefonat prinzipiell nur zwei Personen etwas an: Absender und Empfänger der E-Mail. Da aber immer das Risiko besteht, dass Dritte auf irgendeine Weise Zugriff auf die Mails haben, gilt es dem entgegenzuwirken.

Daher wäre es eine etwas weiter gehende Maßnahme , zu einem Anbieter zu wechseln, der die Verschlüsselung von E-Mails ohne Zutun des Benutzers anbietet. Dazu würde  etwa nach eigenen Angaben der englischsprachige Anbieter hushmail zählenWer nun aber bedenken gegenüber einem US-Unternehmen hat, ist in diesem Fall durchaus gut beraten (auch wenn der Sitz des Unternehmens in Vancouver, Kanada ist). Tatsächlich gibt es seitens der bekannten Enthüllungs-Webseite Cryptome.org Verdachtsmomente, Hushmail könnte einem privaten Partner des amerikanischen Geheimdienstes NSA gehören. Gleiches soll für den Anbieter Safe-mail.net gelten.

Zusätzlich kann einen die Hushmail-Webseite ein wenig zum Schmunzeln bringen:  Ruft man die Seite (immerhin automatische Verbindung per https) mit abgeschalteten Scripten auf (etwa weil man die Firefox-Erweiterung NoScript verwendet), wird man darauf hingewiesen dass Javascript erforderlich ist um sich einzuloggen...eine interessante Sicherheits-Philosophie.

Eine der effektivsten und sichersten Möglichkeiten bleibt daher nach wie vor E-Mails selber zu verschlüsseln - was durchaus einfacher sein kann, als gedacht. Das größte Problem besteht darin, dass die Verschlüsselung nur dann Sinn macht, wenn der Empfänger der Mail diese auch entschlüsseln kann - das heißt, um eine sichere Kommunikation per E-Mail zu etablieren, müssen möglichst viele Kontakte (wie etwa Arbeitskollegen, Bekannte und Freunde) mitmachen. Viele empfinden diese Maßnahme zu Unrecht übertrieben.

Eine Möglichkeit zur provisorischen Sicherung von E-Mails, die jedoch lediglich vor neugierigen Blicken schützt, wurde im vorangegangenen Kapitel bereits genannt: Das verschlüsseln von Archiven. Der geheime Text wird hierzu in eine Dokument eingetragen, dieses wird anschliessend zu einer Zip-Datei komprimiert und mit einem Passwort gesichert. Der Empfänger kann das Archiv dann nur bei Kenntnis des Passworts öffnen. Gegen professionelle Überwachung der elektronischen Kommunikation hilft eine derartige Maßnahme selbstverständlich nicht ausreichend.

Die Verschlüsselung von E-Mails mit dem GNU Privacy Guard (EN/DE) ist eine professionelle Methode, die nachdem man das zugrunde liegende Prinzip verstanden hat sowohl sicher als auch einfach einzusetzen ist. Für Windows-Anwender gibt es mit Gpg4win ein Installationspaket mit allen benötigten Anwendungen. Der Link hierzu findet sich in der Liste freier Software unter Windows.

Abschließend sei noch darauf hingewiesen dass zudem noch die Möglichkeit besteht, so genannte anonyme Remailer zu verwenden. Es würde den Rahmen dieser Anleitung sprengen, genauer auf dieses Thema einzugehen, daher folgt nur eine stark vereinfachte Zusammenfassung.

Im Normalfall enthält die E-Mail neben Informationen über den Absender, den Empfänger und die Versandzeit auch noch weitergehende darüber, welche Server die Mail weitergeleitet haben und mit welchem Programm sie versandt wurde. Anhand dieser Informationen ist die Rückverfolgung einer E-Mail relativ einfach.

Personen die ein besonderes Interesse an Anonymität haben (z.B. Journalisten) senden daher ihre E-Mails über einen Remailer. Dieser entfernt die oben genannten Informationen aus der E-Mail und macht es praktisch unmöglich, den Namen und die E-Mail-Adresse des Versenders zu ermitteln.

Soviel sei gesagt über den (Daten-)Schutz der E-Mail, im folgenden Abschnitt wenden wir uns einer weiteren populären Kommunikationsform im Internet zu.

 


CC Lizenz
Dieses Werk von zazengate steht
unter einer Creative Commons Lizenz.