Der Kollege liest mit Sicherheit für Ihre E-Mails von Orlow P. Busch Sie schreiben Ihre E-Mail und alle gucken zu? Wer Post durchs Internet schickt, sollte sich im klaren darüber sein, dass eine Postkarte (ohne Kuvert) ungefähr dem gleichen Sicherheitsstandard genügt wie ungeschützte E-Mail. Aber nicht nur im Bereich der E-Mails lauern Mitwisser: auch Browser beispielsweise sind angreifbar. FirstSurf zeigt ihnen, wie wichtig Präventivmaßnahmen im Internet sind – und was für tolle Möglichkeiten es für Ihren Schutz schon gibt... "Die Übernahme des Browser-Marktes ist ein sehr, sehr wichtiges Ziel für uns" – so ist es in einer E-Mail von Bill Gates zu lesen, datiert am 5. Januar 1996. Der Chefankläger des US-Justizministerium im Kartellrechtsprozess gegen Microsoft, David Boies, hielt Bill Gates diese Zeilen Anfang letzten Jahres unter die Nase und widerlegte damit die Behauptungen des Microsoft-Chefs, man hätte nie ernsthaft Überlegungen gegen Konkurrent Netscape angestrengt. Die Mail wurde direkt aus dem elektronischen Briefkasten von Bill Gates gefischt! Wir wissen nicht, ob Bill Gates sich danach vielleicht doch für E-Mail-Verschlüsselung interessiert hat. Aber egal, ob Sie sich demnächst mit der amerikanischen Justiz anlegen wollen oder nicht: dass Ihre Post auf dem Weg durchs Internet eher einer Postkarte mit dem Vermerk "Bitte lesen" gleicht, darüber sollten Sie sich bewusst sein. Unverschlüsselt gehen die Daten gleich einem offenen Buch auf ihre Reise: der letzte Ärger mit dem Chef, Nachrichten an die Geliebte, Tipps an den Steuerberater. Ohne zu tief in die Abgründe der menschlichen Seele vordringen zu wollen, gibt es sicherlich viele Gelegenheiten, bei denen ein entsprechender Schutz für die Post dringend gewünscht wird. E-Mail-Schutz kostenlos und einfach Und die gute Nachricht kommt jetzt: Verhütung kann so einfach sein... und kostenlos! Mit PGP (Pretty Good Privacy) steht ein Verschlüsselungstool zur Verfügung, das nicht nur hohen Sicherheitsanforderungen gerecht wird, sondern auch noch als Freeware im Netz zu haben ist! PGP gilt mittlerweile als der Standard in Sachen E-Mail-Verschlüsselung. Die Einschränkung, dass die internationale Version von PGP weniger sicher ist als die amerikanische, gilt heute nicht mehr. Die Unterschiede haben lediglich lizenzrechtliche Gründe. Wie funktioniert PGP? Jeder Anwender hat ein Schlüsselpaar aus einem öffentlichen und einem geheimen Schlüssel. Nachrichten oder Dateien, die mit dem einen Schlüssel kodiert wurden, lassen sich nur mit dem jeweils anderen wieder entschlüsseln. Mit dem öffentlichen Schlüssel des Empfängers kann also jeder einen Text verschlüsseln, den nur noch dieser mit seinem geheimen Schlüssel wieder entziffern kann. Ein Beispiel: "First" will eine verschlüsselte E-Mail von "Surf" erhalten. Dann muss First vorher Surf seinen öffentlichen Schlüssel übermitteln, den PGP für ihn generiert hat. Surf kann jetzt die Post mit dem öffentlichen Schlüssel von First verschlüsseln, und nur First kann die Post, wenn sie bei ihm angekommen ist, mit seinem geheimen Schlüssel wieder öffnen. Mit Hilfe des geheimen Schlüssels kann man eine E-Mail außerdem so kennzeichnen, dass sich mit dem zugehörigen öffentlichen Schlüssel überprüfen lässt, ob sie wirklich vom angegebenen Autor stammt und ob sie auf dem Übertragungsweg verändert wurde, was der digitalen Signatur entspricht. So arbeiten Sie mit PGP Wenn Sie noch nicht über einen PGP Key (Schlüssel) verfügen, sollten Sie das zuerst erledigen. Klicken Sie dazu nach der Installation das PGP-Icon in der Task-Leiste an und wählen Sie die Option "PGPkeys". Befolgen Sie dann einfach die Anweisungen in der Dialogbox. 1. Wenn Sie jetzt beispielsweise Outlook starten, um eine E-Mail zu schreiben, werden Sie schon gleich ein neues Icon mit Schlüsselsymbolen von PGP finden. 2. Haben Sie eine E-Mail geschrieben, können Sie im Menü "PGP" festlegen, ob die E-Mail gleich oder erst beim Versenden verschlüsselt und signiert werden soll. Dazu müssen Sie dann noch den vorher von Ihnen angelegten Verschlüsselungssatz eingeben. 3. Hier kann sich dann der nächste Hacker die Zähne dran ausbeißen! Auch rechtliche Aspekte machen den Einsatz von Verschlüsselungstools sinnvoll: wer unbefugt einen persönlichen, verschlossenen Brief öffnet, kann nach dem deutschen Strafrecht bestraft werden. Und was handgeschriebenen Briefe Recht ist, das gilt auch für Ihre E-Mails – allerdings mit der Einschränkung, dass das Ganze erst dann als strafbar anzusehen ist, wenn die E-Mails besonders gesichert sind, wie z.B. durch eine Verschlüsselung mittels PGP. Wer also auf Nummer Sicher gehen will und dabei auch strafrechtliche Konsequenzen im Sinn hat, sollte seine virtuelle Post verschlüsseln. Steganographie: was niemand weiß... eben der Verschlüsselung mit PGP macht können Texte auch mit Hilfe steganographischer Programme unerkannt über das Internet verschickt werden. Diese Programme lassen Texte spurlos in anderen Dateien, meist Bilddateien, verschwinden. Nur der Empfänger weiß, dass sich hinter der blühenden Toscana-Landschaft eine Botschaft versteckt! "JPHS for Windows" ist ein solches Programm, dass ebenfalls wie PGP kostenlos im Netz zu erhalten ist. So arbeiten Sie mit JPHS Bevor Sie JHPS starten, sollten Sie schon mal ein Bild zur Verfügung haben, in das Sie gleich die Nachricht verstecken wollen und die Nachricht als Datei abgespeichert haben. 1. Starten Sie dann JHPS und klicken Sie auf "Open JPEG". Geben Sie die ausgesuchte JPEG-Datei an. 2. Geben Sie dann durch Anklicken von "Pass phrase" den Verschlüsselungssatz ein, die geheime Parole, die der Empfänger zum Auspacken der Datei benötigt. 3. Nun klicken Sie "Hide" an und suchen die Datei aus, die Sie gerne verstecken möchten. Zum Schluss speichern Sie das Ergebnis noch über "Save jpeg" oder "Save jpeg as" ab – fertig! Neben JPHS gibt es noch einige andere steganographische Programme mit mehr oder weniger notwendigen zusätzlichen Möglichkeiten, die übers Internet zu beziehen sind. Die meisten davon zumindest ebenfalls als Shareware. Eine Liste der wichtigsten Programme und ihrer Bezugsquellen gibt es bei StegoArchive.com. Tipp: Sicherheit zum kleinen Preis Wem das alles zu kompliziert vorkommt, der sollte wenigstens einen Tipp beherzigen und den Inhalt seiner E-Mails als Zip-Archiv mit Kennwort verschicken. Verschlüsselte ZIP-Archive gelten nach wie vor als äußerst schwer zu knacken. Allerdings richtig unkompliziert ist diese Methode auch nicht, da dem Empfänger dann auf anderem Wege, zum Beispiel per Telefon, das Passwort noch übermittelt werden muss, wenn nicht vorher ein Standard-Passwort schon vereinbart wurde. Aber das wäre dann auch nicht mehr richtig sicher... Wie sicher ist mein Browser? Neben den E-Mails ist insbesondere der verwendete Browser und die Kommunikation mit anderen mehr oder weniger vertrauenswürdigen Sites Sicherheitsrisiko Nummer Eins. Wie sicher Ihr Browser wirklich ist, lässt sich über einen Online Sicherheits-Check über die Homepage des Datenschutzbeauftragten des Kantons Zürich abfragen, bei dem der Browser per Internet auf Herz und Nieren geprüft wird. Entstanden ist diese ungewöhnliche Art der Überprüfung in Zusammenarbeit mit der Hochschule Rapperswill. Der Test kann über die Schaltfläche "Browser-Test" aufgerufen werden. Er ist in zwei Schritte unterteilt. Im ersten Teil, der nicht länger als eine Minute dauert, bringen die Analysten online in Erfahrung, welche Informationen sie "auf die Schnelle" abrufen können: dabei handelt es sich zum Beispiel über den Browser-Typ, die IP-Adresse des zu prüfenden Computers oder dessen Java-Fähigkeit. Wer die zweite Hälfte des Tests durchführen will, muss eine entsprechende Erklärung abgeben und braucht ein wenig Geduld. Die Ergebnisse stehen nicht sofort bereit. Sie werden später per E-Mail an den "Probanten" gesandt. Hier versuchen die Tester, auf die Festplatte zuzugreifen und zu ermitteln, ob sich nicht zumindest Teile davon via Internet ausspionieren lassen. Ein Sicherheitsrisiko soll diese Überprüfung nicht mit sich bringen. Die Test-Ergebnisse werden für kurze Zeit im System des Datenschutzbeauftragten gespeichert und danach gelöscht. Sicherheit nur gegen Bares: Zertifikate Auch die Browser setzten für die digitale Post Verschlüsselungsmechanismen ein, die allerdings nur gegen Bares zu bekommen sind! Voraussetzung dafür ist nämlich ein sogenanntes Zertifikat, das im Browser abgelegt wird. Dieses Zertifikat muss man bei den entsprechenden Firmen, den sogenannten Trust Centern beantragen. Die bekanntesten sind GlobalSign oder VerySign, weitere finden Sie auch über die Hilfe-Funktion der Browser. Bei beiden Firmen kann ein solches Zertifikat erhalten werden, das dann ähnlich wie PGP über das Schlüsselpaar Private-/Public-Key und eine Prüfnummer die Originalität des Dokuments oder seines Absenders bestätigt. Einfache Zertifikate, bei denen allerdings nur der tatsächliche Zusammenhang von Name und E-Mail-Adresse geprüft wird, können online bestellt werden und z.B. bei GlobalSign kostenlos oder für eine Testphase gratis bei VerySign zu haben. Je gründlicher die Personalien überprüft werden, desto höher der Preis. Bei hohen Sicherheitsstufen ist zur Überprüfung der Angaben sogar ein persönliches Erscheinen mit Personalausweis erforderlich. Auch in Deutschland hat sich beispielsweise mit der Post Com, das die elektronischen Dienste der Deutschen Post organisiert, ein erstes Trust Center an den Start gewagt. Sicherheit ist machbar Es tut sich also einiges in punkto Sicherheit beim Surfen. Vieles hat sich auch schon getan und ist in vielen Fällen sogar kostenlos zu haben. Die Mühe, mit den entsprechenden und zur Verfügung stehenden Sicherheitstools tatsächlich auch zu arbeiten, muss jedoch jeder selbst auf sich nehmen... 21/2000, 22. Mai