Warum eine E-Mail nie völlig privat sein wird

Zwei extrem geschützte E-Mail-Dienste haben ihren Service aus Sicherheitsbedenken eingestellt – und zeigen damit, wie schlecht sich bei dieser Kommunikationsform Spähangriffe verhindern lassen.

Zunächst traf es Lavabit. Diesen E-Mail-Dienst hatte NSA-Whistleblower Edward Snowden benutzt. Anfang August stellte das Unternehmen seinen Betrieb ein. Ihm lag ein Gesuch der US-Regierung vor, Informationen offen zu legen, so zumindest lassen sich Äußerungen des Gründers Ladar Levinson deuten. Als Reaktion griff Konkurrent Silent Circle zu einer drakonischen Maßnahme: Er löschte sämtliche gespeicherten E-Mails seiner Kunden.

Die Episode zeigt zwei grundlegende Schwächen des Systems. Erstens: Selbst wenn ein Dienst aus Sicherheitsgründen E-Mails verschlüsselt, wie Lavabit und Silent Circle dies taten, verraten die Übermittlungsprotokolle, wer Absender und wer Empfänger ist. Diese Metadaten alleine können bereits wertvoll sein. Als E-Mail-Programme vor 40 Jahren entwickelt wurden, waren weder die IT-Sicherheit noch die Anonymität Teil des Designs. Die für die Übermittlung wichtigen Protokolle zeigen daher klar einsehbar, welcher Computer die Nachricht gesendet und wer sie wann erhalten hat. Zweitens können die Passwörter zum Entschlüsseln der E-Mail von ausgefeilten Spionageprogrammen ausgespäht oder von Regierungen eingefordert werden, sofern der E-Mail-Dienst sie besitzt.

Sowohl Lavabit als auch Silent Circle versprachen, E-Mails immer verschlüsselt zu lassen – außer, wenn Kunden sie auf ihrem eigenen Rechner lesen. Dieses Versprechen schien Lavabit aber nicht mehr halten zu können. Das zumindest lässt sich aus Bemerkungen von Firmengründer Levinson schließen. Er beende seinen Service lieber, als "zum Komplize von Verbrechen gegen das amerikanische Volk zu werden". Gelöscht habe sein Unternehmen die Daten nicht, so Levinson. Weiter dürfe er dazu aber nichts sagen, betonte er gegenüber der New York Times. Dies legt nahe, dass entweder das FBI oder die NSA Auskünfte verlangt haben, um einen Fall von nationaler Sicherheit untersuchen zu können. Der Empfänger des entsprechenden Schreibens darf dann nicht einmal bestätigen, es überhaupt erhalten zu haben.

Diese Information reichte Mike Janke, Geschäftsführer von Silent Circle, für seinen radikalen Schritt: "Als wir sahen, was mit Lavabit passierte, wussten wir, dass wir nicht Tage, sondern Stunden hatten, um eine Entscheidung zu treffen." Er habe zwar nie ein Gesuch auf Herausgabe der Informationen erhalten. Das Problem seien aber zum einen die Metadaten: "In den Protokollen sind zu viele Informationslecks schon eingebaut", erklärt Mike Janke. "Was auch immer man mit E-Mail-Programmen macht, diese Schwachstellen bleiben vorhanden." Zum anderen hätten 98 Prozent aller Nutzer von Silent Mail die Schlüssel zur Decodierung der Nachrichten bei seinem Unternehmen hinterlegt. Das mache die Kommunikation zwar einfacher. Dafür aber hätte man Silent Circle zwingen können, sämtliche Nachrichten zu entschlüsseln. "Also haben wir Silent Mail eingestellt", betont Janke. "Wir haben alles gelöscht, verbrannt und mit Schlössern und Ketten versehen in den Ozean geworfen. Die Kunden haben alle ihre E-Mails verloren." Zu ihnen gehören Mitarbeiter von Unternehmen und Regierungsbehörden, die ihre Geheimnisse gut verwahrt wissen wollen. Die Reaktion? Sie habe gereicht von "Warum habt ihr das getan?" bis zu "Danke, dass ihr es getan habt".

Silent Circle bleibt weiter im Geschäft, weil nur weniger als fünf Prozent seiner Kunden den nun geschlossenen E-Mail-Service einsetzten. Die meisten nutzen andere Silent-Circle-Dienste, die Telefongespräche, Kurznachrichten und Videoinhalte verschlüsseln. Diese erlauben Nutzern beispielsweise, eine Datei zu verschicken und dieser eine Selbstzerstörungsfunktion zu verpassen, mit der sich das Dokument dann automatisch nach einer gewissen Zeit wieder selbst löscht.

Trotzdem ist es möglich, dass diese Dienste von Datenschädlingen untergraben werden, Schlüssel stehlen oder Informationen entwenden, die bereits entschlüsselt wurden. "Es ist sehr schwer, gegen Malware geschützt zu sein", sagt Radu Sion, Sicherheitsexperte an der Stony Brook University. "Ein Gegner, der es wirklich will – ich sage jetzt bewusst nicht, dass das eine Regierung ist – wird Zugriff auf jede Maschine auf der Erde haben."

Bestehende E-Mail-Dienste könnten etwas privater werden, wenn sie zumindest die sogenannten Header-Informationen schützen würden. Diese Technik ist zwar gut erforscht, doch es gab bislang wenig Nachfrage, sagt Sion. "Die Öffentlichkeit fragt das nicht nach, weil die Leute sich bislang kaum für Datenschutz interessierten. Die Cloud-E-Mail-Dienste verdienen wiederum sehr viel Geld damit, die Dokumente ihrer Nutzer zu durchforsten." (Das tut beispielsweise Google, das Werbung in seinem E-Mail-Dienst Gmail passend zu Inhalten erscheinen lässt.)

Silent Circle hat das Thema elektronische Post noch nicht ganz aufgegeben. Die Firma arbeitet derzeit daran, E-Mail durch ein neues System zu ersetzen, das nicht auf den traditionellen Protokollen aufsetzt. Dabei landen weder Inhalte noch Metadaten bei Silent Circle selbst. Stattdessen basiert es auf Protokollen, die bei Instant-Messaging-Anwendungen verwendet werden. Ziel sei nicht, so zu sein wie E-Mail, sagt Janke, "aber es wird sich eben so anfühlen und so aussehen". (bsc)