Seit Heartbleed und Snowden wird mehr denn je über Verschlüsselung und Sicherheit in der Online-Welt diskutiert. Auch am E-Mail-Marketing ging diese Diskussion nicht vorüber. Doch welche Möglichkeiten gibt es, wie sicher sind diese und was muss ich dabei beachten? Diesen Fragen wollen wir uns ein wenig widmen.
Schützenswerte Inhalte
Zunächst muss man die Frage beantworten, wie schützenswert ein Inhalt tatsächlich ist. Ein häufig genanntes Argument ist „Ich habe nichts zu verbergen, deswegen brauche ich auch keine Verschlüsselung“. Hinter dieser Ausrede steckt nicht selten eine Rechtfertigung der eigenen Bequemlichkeit, nicht zu verschlüsseln. Oder würde man seine privaten Fotos auch an das schwarze Brett im Supermarkt hängen, nur weil man nichts zu verbergen hat? Der Grad der Öffentlichkeit ist derselbe – eine E-Mail wird häufig auch mit einer offenen Postkarte verglichen, deren Inhalt auf jedem Server, über den sie geht, im Klartext lesbar ist.
Und bedeutet diese Aussage im Umkehrschluss zudem, dass nur wichtige Kommunikation verschlüsselt werden muss? Sprich: Alles, was verschlüsselt ist, ist auch ein interessantes Angriffsziel? Gerade um ungewollte Entschlüsselung zu vermeiden ist es wichtig, den Anteil „unwichtiger“ verschlüsselter Nachrichten signifikant zu erhöhen.
Sind Massennachrichten schützenswerte Inhalte?
Die Frage ist berechtigt, ob eine Werbemail nun auch zu den schützenswerten Inhalten gehört. Bei privater Kommunikation würde man klar mit „ja“ antworten. Bei unpersonalisierter Werbung, die mit Wurfpost verglichen werden kann, eher mit „nein“. Das E-Mail Marketing bietet durch Personalisierung jedoch sehr viel Grauzone. Massennachrichten können anhand persönlicher Attribute gestaltet und verändert werden. Zum Teil werden schützenswerte Informationen, wie die private Handynummer oder eine Kundennummer genannt. Über E-Mail versandte Rechnungen oder Passwort-Zusendungen sind sicherlich schützenswert. Aber auch hier liegt der verschlüsselte Anteil noch im sehr niedrigen Bereich. Grundsätzlich wäre also eine gewisse Möglichkeit der Verschlüsselung wünschenswert, auch wenn diese nicht in jedem Fall notwendig erscheint.
Welche Arten der Verschlüsselung gibt es?
Eine sehr sichere Methode zur Verschlüsselung ist die Ende-zu-Ende Verschlüsselung. Hierbei verschlüsselt der Versender selbst und nur der Empfänger hat den passenden Schlüssel, um die Nachricht wieder entziffern zu können. Eine weitverbreitete Umsetzung bietet PGP (Pretty Good Privacy, in verschiedenen Varianten), ein bereits 1991 entwickeltes, auf Public-Key-Verfahren beruhendes System. Hierzu müssen Sender und Empfänger jedoch zunächst einen Schlüssel austauschen und jede Nachricht individuell verschlüsseln, was den Einsatz bei Massennachrichten faktisch ausschließt.
Sehr populär ist an der Stelle in letzter Zeit TLS (Transport Layer Security), eine Transportverschlüsselung. In der ursprünglichen Version ebenfalls bereits in den 1994 entwickelt, wurde erst seit nach medialen Aufschrei nach Sicherheit knapp 20 Jahre später die Notwendigkeit erkannt, die Technik flächendeckend einzusetzen. Bei TLS wird die Nachricht vom Versender unverschlüsselt an den Server übertragen. Dieser probiert, die Verbindung mit der Gegenseite zu verschlüsseln, falls diese das Protokoll anbietet. Im Anschluss wird die Nachricht über die verschlüsselte Leitung übertragen, liegt jedoch auf dem Zielserver wieder unverschlüsselt vor.
Der Einsatz von TLS und die Zusage, untereinander TLS anzubieten ist auch der zentrale Aspekt der Kampagne „E-Mail made in Germany“ von T-Online, Strato und United Internet in Deutschland.
Welche Möglichkeiten habe ich? Welche Methode sollte ich privat verwenden?
Für die private Nutzung empfehle ich die Verwendung von PGP bzw. einer Ihrer zahlreichen, kostenlosen Implementierungen (z.B. GPG) oder auch S/MIME, einer zertifikatbasierten Verschlüsselung. Für die breite Masse der E-Mail Nutzer ist die Einstiegshürde für Ende-zu-Ende Verschlüsselung jedoch nach wie vor sehr hoch, zudem mangelt es oftmals an vorhandenen Verschlüsselungspartnern im privaten Kreis.
Die deutschen Anbieter Posteo und Mailbox.org haben hier ihre Nische erkannt: Im Gegensatz zu den Freemailern, deren Hauptgeschäftsmodell auf dem personalisierte Werben basiert, bieten Sie E-mail als Bezahldienst an. Im Gegenzug erhalten Kunden ein breites Spektrum an Sicherheitsmerkmalen- und Optionen die TLS, DANE, PGP, Transparenzberichte über Behördenanfragen und eine verschlüsselte Datenhaltung auf deutschen Rechenzentren. Eine Menge Sicherheit für wenig Geld – und eine realistische Chance auf einen steigenden Anteil verschlüsselter Kommunikation und somit mehr Privatsphäre.