bedeckt München 22°
vgwortpixel

App-Überblick:Leicht angreifbar: die gute alte SMS

SMS

SMS werden über GSM-Netzwerke gesendet. Das heißt: Jede SMS wird vom Telefon des Senders an eine Kurzmitteilungs-Zentrale geschickt, die in der Regel der Netzbetreiber unterhält. Sie liest die Zielnummer aus und sendet die Nachricht entweder im eigenen Netz weiter oder übergibt sie an den Netzbetreiber des Empfängers. Kann eine Nachricht nicht direkt zugestellt werden, wird sie in der Kurzmitteilungszentrale des Empfängernetzes bis zu sieben Tage lang gespeichert.

GSM-Netzwerke verschlüsseln Kurznachrichten zwar, allerdings nur während sie verschickt werden. Werden die Nachrichten auf dem Server gespeichert, sind sie nicht gesichert. Weil sie von Netz zu Netz gereicht werden, sind sie zudem anfällig für sogenannte Man-in-the-Middle-Attacken: Mit einem IMSI-Catcher - einem Gerät, das die Verschlüsselung deaktiviert und so tut, als wäre es ein Netzwerk - können Nachrichten gelesen und sogar verändert werden. Sender und Empfänger merken davon nichts.

Behörden können vom Netzanbieter zudem Informationen über den SMS-Verkehr von Zielpersonen erhalten. Die Anbieter müssen im Zuge der Vorratsdatenspeicherung alle Metadaten bis zu zehn Wochen lang speichern und auf Nachfrage an Behörden weiterleiten. Die können mit der Anordnung eines Richters auch die Kommunikation von Einzelpersonen - und damit Inhalte von SMS - mitlesen. Das dient der Strafverfolgung oder der Gefahrenabwehr.

E-Mail

Die am weitesten verbreiteten Techniken zur E-Mail-Verschlüsselung in Deutschland sind Pretty Good Privacy (PGP, übersetzt "ziemlich gute Privatsphäre") sowie seine quelloffene Variante OpenPGP und S/MIME. Nutzer sollten darauf achten, ob ihr E-Mail-Anbieter eine dieser Techniken für Ende-zu-Ende-Verschlüsselung anbietet.

Jedes Postfach, das PGP verwendet, hat einen öffentlichen und einen privaten Schlüssel, also eine Kombination aus Buchstaben, Zahlen und Zeichen. Der öffentliche Schlüssel wird zwischen den E-Mail-Konten ausgetauscht und verschlüsselt den Inhalt einer Mail. Der Absender sichert eine Mail, indem er den Inhalt mit dem öffentlichen Schlüssel des Empfängers codiert. Dieser Inhalt kann nur mit dem privaten Schlüssel des Empfängers gelesen werden.

Der Standard S/MIME funktioniert ähnlich, nur dass der öffentliche Schlüssel des Empfängers zusätzlich durch digitale Zertifikate geprüft wird. Die Zertifikate garantieren, dass der öffentliche Schlüssel auch wirklich zum richtigen E-Mail-Konto gehört. Andernfalls könnten sich Dritte mit einem falschen öffentlichen Schlüssel zwischenschalten, um den Inhalt mitzulesen. Es gibt sie in verschiedenen Sicherheitsstufen, sie müssen von einem zentralen Anbieter ausgestellt werden.

Anbieter wie Protonmail versprechen standardmäßig Ende-zu-Ende-Verschlüsselung für eine begrenzte Zahl und Größe von Mails. Deutsche E-Mail-Dienste wie gmx.de und web.de sowie De-Mail-Anbieter haben mittlerweile Schnittstellen für OpenPGP eingebaut. Nutzer müssen dafür ein Add-In installieren und dürfen oft nur bestimmte Browser und mobil die hauseigenen Apps der E-Mail-Anbieter benutzen. Die E-Mail-Verschlüsselung ist immer noch umständlich - und das ist das Problem. PGP und S/MIME funktionieren nur, wenn beide Seiten dieselbe Methode verwenden. Laut Branchenverband Bitkom verschlüsseln nur 15 Prozent der Befragten ihre Mails.

Damit auch die Metadaten einer E-Mail wie Empfänger, Sender und Betreff verschlüsselt sind, muss der Datentransfer zwischen den verschiedenen E-Mailservern zusätzlich per SSL geschützt werden. Das ist ein Verfahren, dass eine sichere Kommunikation zwischen Web-Servern herstellt.

Zur SZ-Startseite