Wie funktionieren Verschlüsselungsprogramme und wie sicher sind sie?

Häufig ist von Sicherheitslücken bei der Datenübertragung im Internet die Rede, auch vom Ausspähen, von Datenmissbrauch und anderen Formen der Cyberkriminalität wird gesprochen. Sollte man deshalb im Internet zur Sicherheit besser gar keine Daten mehr übermitteln? Oder ist eine chiffrierte Software mit Sicherheitslücke trotzdem günstiger als überhaupt keine Verschlüsselung? Und wie arbeitet solch ein Verschlüsselungsverfahren überhaupt? Lesen Sie hier darüber in Form eines kurzen Chiffrier-Knigges.

Die Übermittlung von Daten im Internet ist ein durchweg gebräuchlicher Vorgang, der sich täglich zigtausendfach wiederholt. Zum Beispiel beim Einkauf in einem Online-Shop: Es werden nicht nur der Name und die Adresse, sondern in aller Regel auch Konto- oder Kreditkartendaten eingegeben, weil diese Informationen zur Abwicklung der Zahlung nötig sind. Generell ist damit auch kaum ein Risiko verbunden, hat man sich an einen seriösen Shop-Betreiber gewandt, was durch Bewertungen von anderen Kunden oder das Vorhandensein eines allgemein anerkannten Gütesiegels einfach herauszubekommen ist.

Ein weiterer Bereich mit intensivem Datenverkehr, ist die E-Mail-Kommunikation. Weil das Versenden von E-Mails rasch und unkompliziert funktioniert, werden hierüber oft auch sensible Informationen und vertrauliche Nachrichten vollkommen unbekümmert versendet.

Gefährlich wird es dann, wenn es Unbefugten gelingt, auf die übermittelten Daten zuzugreifen. Dabei hat sich die diesbezügliche Bedrohungsstruktur inzwischen schon grundlegend verändert. Früher waren bevorzugt Konto- und Kreditkartendaten das Ziel der kriminellen Attacken. Heute stehen praktisch alle Informationen, welche online transportiert werden, im Visier von Kriminellen. Jedoch stellt erprobte Verschlüsselungssoftware trotz dieser oder jener Schwachstelle, die ab und zu entdeckt werden kann, einen wirksamen Schutz vor Cyberkriminalität jeder Art dar.

Was muss man bei Verschlüsselungs-Programmen beachten?

Die Übertragung von E-Mails im Internet erfolgt so, dass sie stets in der Form, in der sie vom Absender verfasst worden sind, beim Empfänger ankommen. Daher können sie auf jedem Server – beispielsweise vom Serverbetreuer – gelesen und eben auch von Computerprogrammen ausgewertet werden. Wer das unterbinden möchte, der muss seine E-Mails verschlüsselt übertragen.

Leider reicht allein die Verschlüsselung der Mails noch nicht aus. Darüber hinaus muss sichergestellt sein, dass die Nachrichtenübertragung mittels einer sicheren Verbindung erfolgt. Allerdings kann hierbei bloss der Weg zwischen dem Postausgangs-Server des Senders und dem Empfänger-Server abgesichert werden. Der restliche Weg bis zum Postfach des Adressaten bleibt für die Mail im Internet ungesichert. Aus dem Grund sollten E-Mails mit sensiblem Inhalt unbedingt chiffriert versendet werden.

Das Ver- und Entschlüsseln von E-Mails ist nur mit einer speziellen Software machbar. Es sind mehrere dieser Chiffrier-Programme erhältlich. Achten Sie aber darauf, dass die ausgewählte Verschlüsselungs-Software das von Ihnen verwendete E-Mail-Programm unterstützt. Das ist dann der Fall, wenn passende Extensions angeboten werden, mit denen das Chiffrierprogramm in die eigene E-Mail-Anwendung eingebaut werden kann. Etabliert haben sich die kostenpflichtige Verschlüsselungssoftware „Pretty Good Privacy“ (PGP) sowie dessen kostenfreies Pendant „Gnu Privacy Guard“ (GPG).

Sind Sie Nutzer einer Web-Mailbox und bearbeiten Ihre Nachrichten online in der Cloud, müssen Sie unterdessen auch nicht mehr auf leistungsfähigen Datenschutz verzichten. Viele Webmail-Anbieter integrierten den Chiffrierdienst bereits in ihr Portal, sodass der Kunde ihn als kostenpflichtigen Service nutzen kann.

---

---

Wie funktioniert die Nachrichtenverschlüsselung?

Bei der Chiffrierung von E-Mails wird grundsätzlich die sogenannte asymmetrische Verschlüsselung genutzt. Dabei erfolgt das Ver- und Entschlüsseln jeweils mit unterschiedlichen Schlüsseln, beide bilden aber als Partner ein Schlüsselpaar. Das heisst: Wird eine Nachricht mit einem der beiden Schlüssel chiffriert, kann sie nur mit dem dazu passenden Partnerschlüssel decodiert werden. Der Empfängerschlüssel ist absolut vertraulich zu behandeln, der Empfänger muss seinen Schlüssel geheim halten und darf keinen Zugriff durch Dritte zulassen, weil nur er allein berechtigt ist, die Nachricht zu dechiffrieren.

Im Gegensatz dazu ist der Schlüssel des Absenders öffentlich verfügbar, er kann auf speziellen „Schlüsselservern“ sichtbar für jedermann gelagert werden. Diese offene Form der Aufbewahrung ist deshalb obligat, da jeder, der diesem Empfänger eine Botschaft senden möchte, ganz genau den einen Schlüssel verwenden muss. Jeder Code unterliegt ausgewählten formalen Anforderungen. So muss er mindestens eine Länge von 1024 Bit aufweisen, weil kürzere Schlüssel aufgrund der niedrigeren Zahl von Kombinationsmöglichkeiten entsprechend einfacher erraten werden können. Sowohl PGP als auch GPG verwenden Schlüsselpaare, die jeweils bei Anforderung automatisch erzeugt werden und diese Sicherheitsanforderungen garantieren.

Als Alternative zur Hinterlegung auf einem Server kann man den Schlüssel auch per E-Mail an den Empfänger senden oder ihn auf einem Datenträger übergeben. Damit eine verschlüsselte Nachricht versendet werden kann, müssen Sender wie auch Empfänger dem jeweils anderen ihren öffentlichen Schlüssel bekannt machen.

---

---

Technische Standards

Im E-Mail-Verkehr des Alltags haben sich OpenPGP und S/MIME als technische Standards einen Namen gemacht. OpenPGP diente als Ausgangsbasis für die Entwicklung von GPG und PGP, S/MIME repräsentiert praktisch den Standard bei Behörden und Unternehmen. Planen Sie den Einsatz von S/MIME in Ihrem eigenen Unternehmen, müssen Sie ein Schlüsselpaar mit zugehörigem Zertifikat bei einer Zertifizierungsstelle beantragen. Darüber kann das Schlüsselpaar jederzeit seinem Inhaber zugeordnet werden, was vor allem beim Abhandenkommen des Schlüssels von grosser Bedeutung ist. Für den privaten Bereich ist eine Verschlüsselung nach dem Standard von OpenPGP als ausreichend zu betrachten.

 

Oberstes Bild: Häufig ist von Sicherheitslücken bei der Datenübertragung im Internet die Rede. (© m00osfoto / Shutterstock.com)