Sichere digitale Kommunikation per E-Mail

Eines der vielen Themen, die in der Digitalisierung früher oder später auf der Agenda stehen, ist wohl das Thema digitale Kundenkommunikation. Nicht zuletzt dank der EU-DSGVO und ein paar hinkender Vergleiche ist dieses Thema oft eine Tortur. Insbesondere in regulierten Branchen wie den Versicherungen kommt man hier schnell zum Stillstand. Aber warum?

Die IT-Sicherheit und der Datenschutz bemühen sich seit jeher um anschauliche Beispiele, um dem technikfernen Manager in wenigen Worten einen Sachverhalt zu erklären:

“E-Mails sind wie Postkarten” – oder in den Worten der Wikipedia: “Herkömmliche (unverschlüsselte) E-Mails sind mit einer Postkarte vergleichbar, weil deren Inhalt offen und einfach lesbar verschickt wird. Verschlüsselte E-Mails entsprechen einem verschlossenen Brief, aber E-Mail-Verschlüsselung ist heute immer noch eher die Ausnahme.”

Liebe Datenschützer, liebe Wikipedia-Autoren, liebes technikfernes Zielpublikum. Lasst uns doch das Thema ein mal etwas ausführlicher betrachten – tut auch nicht weh!

Kleiner Exkurs vorab: “sichere digitale Kommunikation” sollte bedeuten, dass wir die üblichen Schutzziele Verfügbarkeit, Integrität und Vertraulichkeit wahren – kennt mittlerweile ja wirklich jeder. Nicht zu vernachlässigen, auch wenn oft weggelassen, ist gerade in der Kundenkommunikation explizit das Thema Nichtabstreitbarkeit. Wir möchten also frei übersetzt erreichen, dass eine Nachricht:

a) ankommt (Verfügbarkeit)

b) unverändert ist (Integrität)

c) nicht von unberechtigten Dritten gelesen wird (Vertraulichkeit)

d) garantiert vom Absender stammt, den wir erwarten (Nichtabstreitbarkeit)

Die Postkarte

Wenn wir eine Postkarte schreiben (@Nerds: Das ist das, was manchmal zu Weihnachten noch von Oma kommt), dann nehmen wir ein Blatt Papier und einen Stift. Wir kritzeln etwas drauf, schreiben einen Empfänger dazu, kleben eine Briefmarke drauf, laufen zum Briefkasten und werfen unsere Karte ein.

Was wissen wir nun als Absender?

a) keine Ahnung, ob die Karte jemals ankommt (erlebte Beispiele: Weihnachtskarten 2018)

b) keine Ahnung, ob nicht jemand etwas drauf schreibt

c) keine Ahnung, wie viele Leute die Karte lesen

d) – ist ein Empfänger-Problem –

Was weiß dagegen der Empfänger?

a) keine Ahnung, ob überhaupt eine Karte kommen sollte

b) keine Ahnung, ob nicht jemand etwas drauf geschrieben oder die Karte ausgetauscht hat

c) keine Ahnung, wer oder wie viele Leute die Karte gelesen haben

d) keine Ahnung, ob der Absender auf der Karte wirklich auch der Versender der Karte ist

Ist das wirklich “vergleichbar” mit einer E-Mail im Unternehmensumfeld?

Die E-Mail

Nun, schreiben wir eine E-Mail: Auf unserem verschlüsselten Laptop/Smartphone verfassen wir eine E-Mail, welche über STARTTLS zu unserem E-Mail-Relay geschickt wird. Dieses schaut zunächst über DNS nach, wohin eine E-Mail an diese Domäne geschickt werden soll und baut eine Verbindung zum E-Mail-Server des Empfängers auf, der in der Regel heute ebenfalls mindestens STARTTLS spricht. Hierzu wird eine TCP-Verbindung verwendet, die über einen 3-Wege-Handschlag sicher stellt, dass der Empfänger zuhört und die Nachricht empfängt. Entsprechend verschlüsselt wird die Nachricht übertragen und der erfolgreiche Empfang in der Regel vom Zielserver quittiert. Haben wir die falsche Adresse auf die Postkarte geschrieben, erhalten wir von vielen Servern umgehend eine Rückmeldung. Der Empfänger wird über die E-Mail von seinem Mail-Server benachrichtigt und kann die E-Mail dort (verschlüsselt) nach vorheriger Authentifizierung abholen.

Was weiß ich als Sender?

a) ist der Mailserver nicht erreichbar oder der Empfänger unbekannt bekommen wir i.d.R. eine Rückmeldung; wir können also ansonsten davon ausgehen, dass unsere Nachricht angekommen ist.

b) keine Ahnung, ob die Nachricht verändert wurde. Aber auf der Transportstrecke zwischen den Mailservern kann schon mal wenig passieren, da hier eine verschlüsselte Verbindung über das Internet aufgebaut wurde – anders als zwischen Briefkasten und Zustellungsort.

c) keine Ahnung, wer die Nachricht alles gelesen hat. Aber wenn sitzt er in unserem Rechenzentrum oder beim Empfänger, da die Nachricht dazwischen verschlüsselt war: sicherlich haben Virenscanner mitgelesen, der Postbote (bzw. Netzeanbieter oder “das Internet”) eher nicht

d) – ist ein Empfänger-Problem –

Was weiß ich als Empfänger?

Zusätzlich zum Sender ist hier eigentlich nur d interessant) wir können im E-Mail-Header nachvollziehen, von wo aus die E-Mail empfangen wurde, also in der Regel den Server-, sowie DNS-Namen und die IP-Adresse des Absender-Servers – ist hier etwas gefälscht, wird die E-Mail in der Regel sowieso im Spam verenden.

Ist eine Postkarte nun vergleichbar mit einer E-Mail? Nein. Aber vergleichen wir doch die E-Mail mit einem Brief – immerhin bekommen wir per Brief alle unsere vertraulichen Daten zugeschickt.

Der Brief

Wir schreiben also wieder mit einem Stift auf ein Blatt Papier. Dieses stecken wir in einen Umschlag, ehe wir den Empfänger drauf schreiben und zum Briefkasten laufen. Achtung Sarkasmus: Hier kommt die wahre Sicherheit ins Spiel: Unsere geheimen Daten stecken in einem Millimeter dünnen Umschlag, der mit Spucke, Wasser oder Klebemittel verschlossen ist – unknackbar.

Wären wir an dieser Stelle in der IT-Welt, dann würden vielleicht Mitglieder des Chaos Computer Clubs (im positiven Sinne gemeint! Ihr leistet super Arbeit und wir brauchen euch!) darauf hinweisen, dass man mit einer Taschenlampe Fragmente des Briefinhalts bei ausreichend dunkler Schrift lesen kann, ohne den Umschlag zu öffnen. Sicherheitsforscher würden warnen, dass mit Hilfe von Wasserdampf viele Klebestreifen ohne sichtbare Schäden auftrennbar wären. Und die Pragmatiker unter den Hackern würden den Umschlag aufreißen, den Inhalt lesen/kopieren und den Brief in einen neuen Umschlag packen – weiß der Empfänger etwa, welchen Umschlag der Absender verwendet hat?

Was wissen wir also als Sender eines Briefes?

a) keine Ahnung, ob er jemals ankommt (oder schicken Sie jede Beitragsrechnung per Einwurfeinschreiben? Die Finanz-Abteilung wird Sie lieben…)

b) keine Ahnung, ob überhaupt der Brief ankommt oder ein gänzlich anderes Stück Papier in einem falschen Umschlag steckt (“Dieses Schreiben wurde maschinell erstellt und ist ohne Unterschrift gültig”!)

c) keine Ahnung, wer alles unterwegs eine Taschenlampe hatte

d) – Empfänger-Problem –

Und als Empfänger?

a) keine Ahnung, ob ich einen Brief erwarte oder einer kommen sollte

b) keine Ahnung, ob noch das drin steht, was der Absender geschrieben hat

c) keine Ahnung, wer alles unterwegs mitgelesen hat

d) keine Ahnung, von wem der Brief wirklich stammt

Also: Feuer frei für Gesundheitsdaten per plaintext-E-Mail? Nein, so natürlich auch nicht. Es ist ja dennoch richtig, dass viele Anbieter kostenloser E-Mail-Postfächer die elektronischen Nachrichten automatisiert durchsuchen, verschlagworten und analysieren. Gewisse Vorsicht ist hier also geboten. Das gilt übrigens auch bei der genialen Idee, einfach nur einen Link zu verschicken, über den dann das Dokument ohne weitere Authentifizierung abrufbar ist: Liebe technikferne … viele E-Mail-Provider haben Techniken im Einsatz, die Links in E-Mails abrufen und analysieren, um die Empfänger vor potentiellem Schadcode zu schützen. Bei Microsoft versteckt sich u.a. dieses Feature aktuell unter dem Namen “ATP Safe Links” (die Chance ist hoch, dass sich der Name bis zum Lesen dieses Artikels geändert hat…) mit der Funktion: “Provides time-of-click verification of URLs, for example, in emails messages and Office files. Protection is ongoing and applies across your messaging and Office environment. Links are scanned for each click: safe links remain accessible and malicious links are dynamically blocked.

Die digitale Zukunft

Wie nun also die digitale Kommunikation der Zukunft angehen?

Naja, angefangen mit der Realität. Eine E-Mail ist kein UDP-Dienst – und somit weder Vergleichbar mit Brief, noch mit Postkarte. Also Schluss mit dusseligen Vergleichen.

Was haben Sie denn überhaupt im E-Mail Bestand? Bei der Analyse für einen Kunden im regulierten Umfeld (mit klassischerweise eher Offline-Kommunikation) haben wir etwa folgende Größenordnungen entdeckt:

Von gut 20% aller Kunden waren in der Datenbank E-Mail-Adressen hinterlegt.

Hiervon waren knapp 30% mit einer Kontaktaufnahme per E-Mail einverstanden (opt-in).

Die E-Mail-Adressen verteilten sich auf knapp 3500 Domains – und somit potentiell 3500 verschiedene E-Mail-Provider. Wobei die Top 15 E-Mail-Provider aus dieser Liste für etwa 85% der Kunden die E-Mail-Dienste erbrachten. Die Top 30 E-Mail-Provider sind zusammen für gut 90% der Kunden-Email-Adressen zuständig. Die Überprüfung der Top 30 E-Mail-Provider ergab, dass 100% davon STARTTLS sprechen, also die verschlüsselte Kommunikation zwischen dem Absender- und dem Empfänger-E-Mail-Server erlauben. Bezieht man in die STARTTLS-Analyse alle der etwa 5500 identifizierten MX-Server für die 3500 Domains mit ein, dann sprechen nur noch 25% davon STARTTLS. Die Analyse geht hier natürlich noch einige Schritte weiter (gültige Zertifikate, angebotene Verschlüsselung, …), was aber hier den Rahmen sprengen würde.

Was sagen uns nun diese Zahlen? Möchten wir mit dem Kunden kommunizieren, dann können wir die Verbindungsstrecke in 90% der Fälle absichern – die anderen 10% können wir automatisiert identifizieren und hierüber bei Bedarf informieren oder den E-Mail-Versand in die Poststraße aussteuern. Ob nun als Verschlüsselung für den E-Mail-Transport am Ende ECDHE-ECDSA-AES256-CCM8 oder DHE-RSA-DES-CBC3-SHA für die Übertragung zum Einsatz kommen: Dann holen wir halt den Vergleich doch noch mal aus dem Keller: Wir sprechen hier in der Offline-Kommunikation per Post über das akzeptierte Schutzniveau eines angeleckten Briefumschlags!

Wenn wir nun also ‘schützenswerte’ Daten in ein PDF-Dokument packen, was mit dem Geburtsdatum oder der Anschrift des Empfängers verschlüsselt ist – brauchen wir dann ein Portal? Multi-Faktor-Authentifizierung und anonyme “Sie haben Post”-Benachrichtigungen für die Rechnung einer KFZ-Versicherung?

Vielleicht liegt die Abwägung im Einzelfall. Aber das Sicherheitsniveau eines Briefs ist schon mal kein gültiges Kriterium für umständliche digitale Kommunikation.