Dresden-PGP und S/MIME Verschlüsselung bei E-Mails angreifbar

Sie haben sicherlich schon vom Vergleich der

unverschlüsselten E-Mail mit einer Postkarte

gehört. Die unverschlüsselte E-Mail kann im Klartext von jedem gelesen werden, der Zugriff auf die Datenübertragung hat.

Als Transportverschlüsselung setzen die Provider SSL (secure sockets layer) oder TSL (transport layer security) ein. Dies führt zu einer Verschlüsselung auf der Transportstrecke. Auf dem Server ist die E-Mail weiterhin im Klartext lesbar für Zugriffe.

Daher wurde eine Ende zu Ende – Verschlüsselung entwickelt. Gerade die öffentliche Hand, aber auch Kollegen setzen hierbei auf die S/MIME-Ende zu Ende Verschlüsselung (secure multipurpose internet mail extensions). Aber auch PGP (pretty good privacy) ist ein gängiges Verfahren. Beide Verfahren setzen auf die Verwendung von privaten und öffentlichen Schlüsseln bzw. Zertifikaten.

In der Praxis musste ich die Erfahrung machen, dass Mandanten die Anwendung dieser Verfahren als zu kompliziert bewerten und lieber unverschlüsselt kommunizieren. Ich kann dies nicht befürworten und rate zumindest zu einer Inhaltsverschlüsselung mittels Packprogrammen, die eine Passwortverschlüsselung der Datei mit AES – 256 (advanced encryption standard) ermöglichen.

Nachdem ein deutsches Forscherteam

erfolgreiche Angriffe auf S/MIME und PGP einen Efail-Angriff

demonstriert hat und so geheime Informationen erschlichen werden können, rate ich derzeit nur noch zur Inhaltsverschlüsselung per 7-zip und AES-256-verschlüsseltem Passwort.

S/MIME und PGP erfüllen nicht den Stand der Technik und fallen daher bei jedem Audit im Bereich Datenschutzrecht oder IT-Sicherheit bei mir durch. Stand der Technik ist AE (authenticated encryption). Die Datenintegrität wird druch S/MIME und PGP nicht gewahrt und damit sind beide Verfahren nicht datenschutzgrundverordnungskonform.

Urheberrecht und Medienrecht, Fachanwalt für IT-Recht

Datenschutzbeauftragter TÜV zertifiziert Fachanwalt für Urheberrecht und Medienrecht, Fachanwalt für IT-Recht

PGP hat bereits einen modification detection mode (MDC) ergänzt, um die Manipulierung von PGP-verschlüsselten E-Mails zu verhindern. Zuverlässig sind die MDC´s noch nicht.

S/MIME hat noch keine Gegenmaßnahmen ergriffen.

Als

Alternative kann der Messengerdienst Signal

eingesetzt werden. Mit dem Messenger können auch Dateien versendet werden. Signal erfüllt den Stand der Technik für Ende zu Ende Verschlüsselung und läuft auf Windows, Linux, macOS, iOS sowie Android.

Ihr Datenschutzbeauftragter (TÜV zertifiziert), Fachanwalt für IT-Recht und Fachanwalt für Urheber- und Medienrecht, Thilo Zachow

Author: Rechtsanwalt Zachow - Fachanwalt für IT-Recht, Fachanwalt für Urheber- und Medienrecht, TÜV zertifizierter Datenschutzbeauftragter

Ich bin Fachanwalt für IT-Recht (Fachanwaltslehrgang IT-Recht), Fachanwalt für Urheber- und Medienrecht (Fachanwaltslehrgang Urheber- und Medienrecht) und vertrete Contentprovider zu den Rechtsthemen e-commerce, Datenschutzrecht, Markenrecht, Urheberrecht und Wettbewerbsrecht. Weiterhin berate ich Hosting- und Accessprovider zum Telekommunikationsrecht. Die individuelle Beratung mittelständischer Unternehmen und von Privatpersonen aus einer Hand, fachlich kompetent durch einen sehr hohen Grad der Spezialisierung, laufende Fortbildungen und 10 Jahren Erfahrung im IT-Recht, Urheber- und Medienrecht, sind mein Anspruch. Der TÜV Nord hat mich als Datenschutzbeauftragter zertifiziert. Lernen Sie mich persönlich kennen.