Sicherheit
E-Mails und gefährliche Liebschaften
von
Thorsten
Eggeling - 20.11.2012
Auf Technik-Websites liest man selten etwas von US-Generälen und ihren Liebesbeziehungen. Hier machen wir eine Ausnahme und erklären nebenbei, wie Sie Ihre E-Mails besser schützen.
Der CIA-Chef und ehemalige Vier-Sterne-General David Petraeus ist im November 2012 von seinem Amt zurückgetreten. Der Grund dafür war eine außereheliche Beziehung zu Paula Broadwell, die durch eine FBI-Ermittlung bekannt wurde.
Die Tricks der Terroristen: Bei einem Geheimdienst-Chef und einer West-Point-Absolventin, die zudem als Terrorismus-Expertin gilt, kann man mehr als nur Grundkenntnisse beim Thema Computersicherheit vermuten. Beide haben auch tatsächlich versucht, ihre E-Mail-Kommunikation geheim zu halten und zu verschleiern. Dabei kam eine Methode zum Einsatz, die auch bei Terroristen beliebt ist. Petraeus und Broadwell nutzten ein gemeinsames Gmail-Konto. Sie schickten die E-Mails aber nicht ab, sondern sie legten die Nachrichten in den Ordner "Entwürfe". Hier konnten beide sie lesen, liefen aber nicht Gefahr, dass jemand die E-Mails beim Transport abfängt.
E-Mails und IP-Adressen: Das FBI beschäftigte sich mit den E-Mails des inzwischen nicht mehr ganz so verliebten Paares erst nach einem kleinen Umweg. Paula Broadwell schickte anonyme E-Mails mit unpassendem Inhalt an Jill Kelley. Sie vermutete eine Affäre zwischen Kelley und Petraeus. Jill Kelley schaltete das FBI ein, das die E-Mails zu Paula Broadwell zurückverfolgen konnte. Das war möglich, weil Broadwell die E-Mails zwar von einem anonym angelegten Gmail-Konto aus gesendet, dabei aber ihre IP-Adresse nicht verschleiert hatte. Sie wähnte sich sicher, weil Sie auf Ihren Reisen dabei die Internet-Zugänge unterschiedlicher Hotels genutzt hatte. Das FBI musste nur die IP-Adressen der Hotels mit den jeweiligen Gästelisten abgleichen, um Paula Broadwell als Quelle der anonymen E-Mails zu identifizieren.
Konten und IP-Adressen: Das FBI stieß dann auf ein weiteres Gmail-Konto, das von denselben verdächtigen IP-Adressen aus genutzt wurde - und dieses ließ sich zu David Petraeus zurückverfolgen. Die FBI-Ermittler lasen die Nachrichten-Sammlung im Entwurfs-Ordner und stellten so die Verbindung zwischen Petraeus und Broadwell her. Der Verdacht bestätigte sich, als das FBI auf dem Computer von Paula Broadwell weites belastendes Material sicherstellte.
AnonymisierungMit ein paar einfachen Maßnahmen hätten Broadwell und Petraeus ihre Privatsphäre besser schützen können. E-Mail-Kommunikation über den Browser lässt sich mithilfe eines Anonymisierungsdienstes wie Tor Browser Bundle oder einem VPN-Anbieter wie Hotspot Shield absichern. Dadurch wird die IP-Adresse verschleiert und die Nutzung des E-Mail-Kontos ist nicht mehr so leicht nachvollziehbar. Vollständige Sicherheit bietet aber auch dieses Verfahren nicht. Die Nutzer müssen darauf vertrauen, dass etwas ein VPN-Anbieter tatsächlich keine Log-Dateien speichert.
VerschlüsselungMehr Schutz verspricht dagegen eine gründliche Verschlüsselung der Nachrichten, die allerdings immer etwas umständlich ist. Im E-Mail-Programm können Sie PGP einsetzen, in Thunderbird beispielsweise über das Ad-on Enigmail. Für Firefox und Google Chrome gibt es WebPG. Die Gmail-Unterstützung stufen die Entwickler allerdings noch als "experimentell" ein. Einfacher geht's mit einer Textdatei, die Sie einfach in ein ZIP-Archiv packen und mit einem Passwort sichern. Mit dieser Methode können Sie auch Dokumente auf dem PC gesichert ablegen. Die ZIP-Verschlüsselung etwa von 7-Zip gilt als sicher, solange Sie ein ausreichend kompliziertes und langes Passwort verwenden (mindestens 16 Zeichen, gemischte Groß-/Kleinschreibung, Sonderzeichen).
Mehrere E-Mail-Anbieter nutzen
Mehrer Konten bei ein und demselben E-Mail-Anbieter lassen sich über die IP-Adresse leicht auf bestimmte Personen zurückführen. Dazu muss Google nur die Gmail-Log-Dateien auswerten. Wer unterschiedliche Anbieter verwendet, kann die Ermittlungen immerhin erschweren, wenn auch nicht ganz verhindern. Die Behörden haben wahrscheinlich Zugriff auf die Log-Dateien aller größeren Anbieter von E-Mail-Diensten.
Mehrer Konten bei ein und demselben E-Mail-Anbieter lassen sich über die IP-Adresse leicht auf bestimmte Personen zurückführen. Dazu muss Google nur die Gmail-Log-Dateien auswerten. Wer unterschiedliche Anbieter verwendet, kann die Ermittlungen immerhin erschweren, wenn auch nicht ganz verhindern. Die Behörden haben wahrscheinlich Zugriff auf die Log-Dateien aller größeren Anbieter von E-Mail-Diensten.
Unnötige Inhalte löschenUnverschlüsselte Dokumente sollte man nicht über einen längeren Zeitraum in seinem E-Mail-Postfach oder bei Dropbox und anderen Cloud-Diensten aufbewahren. Was Sie nicht mehr benötigen, sollten Sie löschen.
