Froschs Blog

Computer und was das Leben sonst noch so zu bieten hat

Zur Website | Impressum

E-Mail-Sicherheit

1. März 2011 um 16:19 Uhr von Atari-Frosch

Google mußte gerade zugeben, die E-Mails von 40.000 Usern verloren zu haben. Man arbeitet wohl noch an einer Wiederherstellung. Das ist mal wieder so ein Fall von „told you so”.

Denn immer wieder sage ich Leuten, die mich um Rat fragen, daß es keine gute Idee ist, seine E-Mails nicht lokal, sondern auf einem fremden Server mit Webmail-Interface zu lagern, und das dann natürlich auch noch unverschlüsselt. Das häufigste Gegenargument: „Aber es ist doch soooo praktisch!” Das ganze dann noch bei einem einzigen Anbieter, denn mehrere Mail-Accounts zu checken ist natürlich wieder unpraktisch.

Es mag auf den ersten Blick praktisch aussehen, wenn sich ein anderer um die Aufbewahrung der Mails kümmert. Aber das ist es in mehrerer Hinsicht nicht:

  1. Du weißt nicht, wer beim Anbieter alles zugreifen darf. Oder es tut, ohne es zu dürfen. Bei lokaler Speicherung liegt die Kontrolle bei Dir allein.
  2. Im Falle von Ermittlungen, mögen sie gerechtfertigt sein oder nicht (und ungerechtfertigte Ermittlungen sind in Deutschland oder gar in den USA ja nun wirklich keine Seltenheit mehr) können die Ermittlungsbehörden sofort und ohne daß Du was davon merkst auf Deine gesamte Mailkommunikation zugreifen. Bei einer Hausdurchsuchung kriegst Du's wenigstens mit, daß sie es versuchen. Und wenn Du richtig verschlüsselt hast, versuchen sie es ziemlich erfolglos. Vorausgesetzt, Du rückst Deine Paßwörter nicht raus (was Du in Deutschland nicht mußt).
  3. Wenn es beim Anbieter knallt, sind Deine Mails dann eben unter Umständen weg, je nachdem, wie ordentlich dort Backups gemacht werden — wie man eben gerade bei Google sieht. Sind Dir wirklich alle Deine Mails so egal, daß es darauf nicht ankommt?

Ich kann es nur immer wieder betonen: Nutzt ein richtiges Mailprogramm, holt Eure Mails auch wirklich vom Server ab (und löscht sie dort nach Abholung), speichert sie lokal und kümmert Euch selbst um ein vernünftiges Backup. Und verschlüsselt sie, wo immer es geht, und Eure Festplatten gleich mit dazu. Ach ja, und es schadet natürlich überhaupt nichts, die Mails beim Provider mit TLS oder SSL abzuholen und auch hier nicht im Klartext zu übertragen.

Ich höre häufig das Argument, man habe doch nichts Wichtiges in seinen Mails, da müsse man nicht verschlüsseln. Wenn ich sehe, zu welchen Themen (Depression oder andere Gesundheitsthemen) mich Leute ohne Verschlüsselung anschreiben, schüttelt's mich! Abgesehen davon: Wenn man nur das verschlüsselt, was man für „wichtig” hält, zeigt man damit an, welche Mails (und welche Verbindungen) wichtig sind. Wenn man alles verschlüsselt, ist das nicht mehr so einfach herausfilterbar.

(Daß ich immer wieder „peinliche” Suchbegriffe in den Logs meines Webservers habe, die ohne https (ja, ich muß noch ein Zertifikat bauen) und ohne TOR oder VPN abgeschickt wurden, ist noch ein anderes Thema ...)

11 Kommentare zu “E-Mail-Sicherheit”

  1. Voku quakte:

    … daher hab ich einen eigenen Mail-Server (da hab nur ich Zugriff) und wenn es wichtig+geheim ist kann man mir E-Mails verschlüsselt per gnupg schicken 😉 -> (http://suckup.de/blog/2010/09/30/e-mail-verschluesselung-per-gnupg/)


  2. frosch quakte:

    @Voku: Klar, ich hab auch einen eigenen Mailserver laufen, plus zwei externe Mailadressen, die ich beide nicht über Webinterface abrufe (wobei das eh nur bei der T-Online-Adresse ginge).

    Vom normalen DAU kannst Du aber keinen Mailserver verlangen (höchstens Adressen auf dem eigenen anbieten), damit ist er überfordert. Es kann ja auch nicht jeder alles können. Aber Mailprogramm und Mailverschlüsselung sollten dann schon genutzt werden. Zumindest zu Thunderbird und enigmail kann man auch DAUs mit ein bißchen Einführung bringen.


  3. Konrad quakte:

    Kann dem Gesagten nur zustimmen!
    Ich benutze den TB und sichere dementsprechend auch meine Mails…
    Mir fehlt so eine Funktion noch beim iPhone, wenn man da Emails speicher könnte, wärs perfekt… Oder kann man das schon, nur ich weiß es nicht?


  4. Jürgen quakte:

    Dieses Googlebashing ist albern.

    Wenn ich sehe über welche Themen Du hier unverschlüsselt und höchst(!)öffentlich (der Weg zur Denic-Whois Abfrage ist nicht weit) blogst, dann schüttelt’s mich ebenfalls.
    Du legst hier keinerlei Wert auf Privatsphäre, verlangst das aber von allen Googlemail-Nutzern. Das finde ich mehr als seltsam.

    Googlemail finde ich sehr gut, die Nachteile sind mir bekannt und ich weiss damit zu leben. Zugegeben, es ist nur mein Zweitpostfach.


  5. frosch quakte:

    @Jürgen: Moooment. 🙂 Der kleine Unterschied besteht darin, daß ich mich bewußt dafür entschieden habe, mit einigen Themen (nicht allen) nicht-anonym an die Öffentlichkeit zu gehen. Otto und Ottilie Normal-DAU machen das aber unwissentlich und erschrecken dann immer ganz fürchterlich, wenn man ihnen zeigt, was damit alles passieren kann.

    Whois ist übrigens nicht mal nötig, auf der statischen Website gibt es ein Impressum. Ich sollte das wohl gelegentlich auch mal aufs Blog verlinken.

    Es gibt durchaus Bereiche, in denen ich großen Wert auf Privatsphäre lege. Und wenn man mir die nehmen will, wie unsere „Sozial”-Behörden das zum Beispiel gerne tun, dann werde ich umso streitlustiger. Daß ich einen Teil an Informationen über mich rausrücke, heißt ja noch lange nicht, daß ich mich überall nackig mache 🙂

    Insofern: Wenn Du mit den Nachteilen von Googlemail leben kannst, ist das ja in Ordnung. Du hast Dich offenbar auch bewußt dafür entschieden. Google war hier übrigens nur der Aufhänger, weil die grade Mails verloren hatten, denn es betrifft ja alle Anbieter von Webmail, beispielsweise auch web.de oder GMX (wobei — ist das nicht mittlerweile dasselbe?).


  6. Symp quakte:

    Ich glaube man muss eben im klaren sein, wenn man einen kostenlosen Service verwendet. So ist es eben nun mal, wenn Daten verloren gehen…


  7. Omepra quakte:

    Also ich muß hier, auch mal was dazu sagen. Erstens kann ich, bei Google-Mail, genau meine Mail, extern abrufen und nicht nur über Webinterface. Zweitens kann ich ja, ein Mail-Programm für mehrere Postfächer einrichten und rufe da in einem Ruck, alle ab, genau wie ich nur eins abrufe. Dauert eben paar Sekunden länger. Wenn ein Mailprogramm, richtig konfiguriert ist, passiert es doch alles automatisch. Mails nach Abruf löschen usw. Sollte das wirklich ,so viele DAUs geben. Ich habe auch 5 externe Mailadressen verstreut und auf meinem Miet-ftp-Server, ist natürlich auch mein eigener Mailserver inbegriffen.
    Da habe ich ja auch, viel bessere Möglichkeiten, zur konfiguration, meine Domains, E-Mailadressen usw. Mann kan sich doch heute schon, für 2,-EUR im Monat, einen kleinen Server mieten und ist total unabhängig. Wenn das wirlich so schlimm ist, wie ihr da berichtet, sollte man solche Leuten, einfach den Stecker ziehen oder ihnen nicht mehr versuchen, mit guten Worten zu helfen, sondern ihnen sagen, daß sie einfach nur dumm sind.
    So, das wollt ich nur mal, zu dem Thema sagen.
    M.f.G.


  8. frosch quakte:

    @Omepra: Ja, es gibt so viele DAUs. Am häufigsten wirklich immer wieder gesehen: Eine einzige Mailadresse bei einem Webmailer, die mit Glück einmal pro Woche abgerufen wird. Kein lokales Backup, keine Verschlüsselung. Man kann oft schon froh sein, wenn die Leute Mail und Web überhaupt auseinanderhalten können!

    Natürlich haben wir bessere Möglichkeiten. Bessere Möglichkeiten bedeuten aber: Man muß sich damit befassen. Das ist eine große Hürde, wenn die Ansage von Standard-DAU ist: „Ich will gar nicht wissen, wie das funktioniert, es soll einfach tun, und ich will klicken.” Da machste oft einfach mal gar nix.

    Stecker ziehen — kannste da auch nicht einfach, im ungünstigsten Fall macht man sich strafbar.

    Gruß, Frosch


  9. Omepra quakte:

    Mag ja so sein, wie Du sagst. Ist nur traurig, wie die Gesellschaft verblödet.
    Weil Du, den Datenschutz und TOR angesprochen hast, mal den Hinweis von mir, auf eine coole Software. Wenn es, um Nachrichtenaustausch geht und vorallem um eine 2-Benutzer Unterhaltung.
    Zitat:
    TorChat: Anonymer, serverloser Instant Messenger, der auf den „hidden services“ von Tor basiert und das Versenden von Textnachrichten sowie den Transfer von Dateien zwischen einzelnen Tor-Nodes ermöglicht; die Windows-Version läuft ohne Installation und weitere Systemanforderungen.

    Wichtig! Nicht nur, für Windows.

    http://code.google.com/p/torchat/

    Kann ich, nur zu raten. Programm braucht manchmal eine Weile, bis es über die Nodes, eine Verbindung hat, aber ist ja normal, soll ja auch nicht nachvollziebar sein.
    M.f.G.


  10. Omepra quakte:

    Mal noch ein Nachtrag. Wer noch immer nicht begriffen hat, was im Überwachungswahnsinn abläuft, sollte mal auf die Seite, einer deutschen Firma gucken.
    http://www.elaman.de/index.php?lg=dt
    Das Zeug, verkaufen die aber auch, an Dikdaturen weltweit.
    http://blog.fefe.de/?ts=b38c7fa0
    Da kann man nur sagen, Leute wacht auf.
    M.f.G. Omepra


  11. Weiter quakte:

    Ich benutze immer Tor, auch wenn ich normal surfe, weil ich einfach keine Lust habe, dass man mich überwacht…


Kommentieren

Bitte beachte die Kommentarregeln!

XHTML: Du kannst diese Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>