Uwe Sommer über die Datensicherheit im Email-Verkehr
Doppelt abschließen hilft

Greven -

Uwe Sommer, Chef der Grevener IT-Firma NetCon befasst sich seit Jahren mit der Sicherheit von Daten im Internet. Nachdem am Freitag die europäische Datenschutzgrundverordnung in Kraft trat, sprach unser Redaktionsmitglied Günter Benning über einen Teilaspekt mit Sommer: Die sichere Kommunikation.

Freitag, 25.05.2018, 21:14 Uhr aktualisiert: 25.05.2018, 21:20 Uhr
Uwe Sommers Arbeitsplatz. Hinter drei großen Bildschirmen analysiert der NetCon-Chef die Kommunikationsdaten seiner Kunden.
Uwe Sommers Arbeitsplatz. Hinter drei großen Bildschirmen analysiert der NetCon-Chef die Kommunikationsdaten seiner Kunden. Foto: Günter Benning

Dieses Interview wird gespeichert. Und ich werde es verwenden. Muss ich das nach der Datenschutzverordnung immer sagen?

Sommer: Ich bin kein Rechtsanwalt, ich bin Techniker. Ich geh mal davon aus, dass es schon richtig ist. Ich stimme dem zu.

Sie sind seit Jahren damit beschäftigt, für größere Kunden den Email-Verkehr sicherer zu machen. Was hat sich jetzt geändert?

Sommer: Es wird stärker darauf geachtet, dass gewisse Standards eingehalten werden. Und es wird auch mal hinterfragt, ob die Verschlüsselung wirklich sicher ist, die von großen Unternehmen verwendet wird, wenn sie mit Partnern kommunizieren.

Und was machen Sie dabei?

Sommer: Wir stellen gerade Statistiken auf, um zu sehen, mit welchen Kommunikationspartnern sichere Daten ausgetauscht werden können. Das hat man bisher sehr locker gesehen und gesagt, mit dem, der es kann, machen wir es. Mit den anderen nicht.

Ganz dumme Frage, wie können wir denn sicher Emails austauschen?

Sommer: Da gibt es verschiedene Wege. Erst mal geht es um den Austausch zwischen zwei Email-Servern. Davon bekommen Sie gar nichts mit. Die Server haben SSL-Zertifikate. Damit weist man seine Identität nach und es wird ein öffentlicher Schlüssel verwendet. Hiermit kann der sendende Server die Daten für den konkreten Zielserver verschlüsseln. Damit ist der Transportweg abgesichert und niemand kann den Datenaustausch belauschen.

Wo bekommt man einen Öffentlichen Schlüssel?

Sommer: Der stammt von einer Stelle im Internet, der beide Seiten vertrauen. Ein unterschriebener Public Key nennt sich dann Zertifikat.

Wo liegt das Problem?

Sommer: Diese Schlüssel sind zeitlich begrenzt gültig. Da wurde in der Vergangenheit nicht so genau darauf geachtet. Ein Problem entsteht dann, wenn der Herausgeber des Zertifikats ein Unbekannter ist.

Die CIA?

Sommer: Zum Beispiel. Aber die Geheimdienste haben andere Möglichkeiten. Die lassen sich von vertrauenswürdigen Stellen ein Zertifikat für den Servernamen ausstellen. Und dann lesen sie Ihre Kommunikation mit. Deswegen gibt es zusätzlich zu den Verschlüsselungen des Transportweges noch individuelle Verschlüsselungen. Da vereinbart der Sender individuell mit seinem Kommunikationspartner eine Verschlüsselung. Auch hier braucht man wieder ein Schlüsselpaar. Diese Verschlüsselung stellt sicher, dass die Verwalter von Servern, die Administratoren, nicht mehr in die Email sehen können. Das Verfahren wird als Smime- oder PGP- Verschlüsselung bezeichnet.

Falls sich jemand dafür interessiert, könnte er nicht Verdacht schöpfen, wenn er sieht, dass einzelne Menschen nur auf verschlüsselte Art quatschen?

Sommer: Natürlich. Wenn Verschlüsselungen verwendet werden, fällt jegliche Inhaltskontrolle weg. Scanner können nicht mehr hineingucken. Und das erregt erst mal Verdacht, weil der Anteil der individuell verschlüsselten Mails nicht sehr hoch ist.

Hat ihnen die neue Datenschutzverordnung viel mehr Arbeit verschafft?

Sommer: Es werden mehr Fragen gestellt zu den Statistiken auf den Servern.

Wie unsicher ist die Art und Weise, wie wir im Netz unterwegs sind? Verschicken wir da laufend Postkarten, die jeder Postbote mitlesen kann?

Sommer: Erst mal war die Email ein reiner Textaustausch zwischen zwei Servern. Aber dieser Transport geht ja im Internet über viele Vermittlungsstellen, die Router. Dort können sie mitgelesen und mitgeschnitten werden. Man kann die Datenwege nachverfolgen. Manchmal sind die Ergebnisse erstaunlich, wenn zum Beispiel Daten über ganz andere Länder umgeleitet werden. Die Routing-Konfiguration im Internet ist – vielleicht bewusst – etwas komplexer als nötig.

Wer bestimmt das?

Sommer: Das handeln die Router untereinander aus. Die sagen, ich kenne einen Weg zu deinem Ziel. Wenn ein anderer Router einen kürzeren Weg kennt, wird der zuerst benutzt.

Wie verschicken Sie denn ihre Emails?

Sommer: Das hängt von den Kommunikationspartnern ab. Die Gegenstelle muss ja mitspielen, wenn man sicher kommunizieren will. Nicht mit jedem kann man Verschlüsselungen vereinbaren. Wenn wir beide uns Mails schicken würden, wäre das wahrscheinlich Klartext. Wenn ich sicherheitsrelevante Angaben oder Kundendaten austauschen würde, dann verschlüsselt.

Wie machen Sie das in Ihrem Email-Programm. Gibt es da einen Verschlüsselungsknopf?

Sommer: Erst muss mir der Empfänger seinen Public Key, seinen öffentlichen Schlüssel zur Verfügung stellen. Oder ich kann ihn von einem öffentlichen Verzeichnis abrufen. Dann benutze ich den in meinem Mailprogramm. Ich habe ein Mailprogramm mit Kommandozeilen, ohne Knöpfchen. Ich übergebe den Inhalt der Mail an ein Verschlüsselungsprogramm. Das kommt zurück – und dann kann ich den Text als Anhang verschicken.

Klingt wie „Zurück zu den Wurzeln“, oder?

Sommer: Genau. Dann hat man aber mehr Kontrolle darüber, was passiert.

Halten Sie es für notwendig, dass man sich mehr Gedanken über den Schutz seiner Daten macht?

Sommer: Die Datenschutzgrundverordnung betrifft in erster Linie personenbezogene private Daten, die von Firmen verarbeitet werden. Und mit denen gehandelt wird. Adressaten sind die großen Unternehmen, die davon leben, mit diesen Daten Werbung zu platzieren. Die kleineren Firmen sind ein bisschen mitbetroffen, aber die Regeln gab es schon vorher. Es sollte selbstverständlich sein, dass in Unternehmen für die Nutzung von Daten klare Richtlinien herrschen.

https://event.yoochoose.net/news/705/consume/10/2/5766238?categorypath=%2F2%2F2669082%2F2670173%2F2686135%2F2686808%2F2686824%2F
Nachrichten-Ticker