Google schützt Sie mit Verschlüsselungen überall

19.05.2016 | Petra Alm

Google ist der größte Anbieter von Internetdiensten und in den letzten Jahren ist er bemüht, die Sicherheit seiner Nutzer ständig zu verbessern. Falls Sie Gmail verwenden, haben Sie bestimmt eine neue Funktion bemerkt, die mit der Absicherung von E-Mails zusammenhängt. Der heutige Artikel wird Ihnen diese Neuheit vorstellen und ihre mögliche Nutzung erklären. Das höhere Niveau der Absicherung betrifft auch den Browser Chrome.

Chrome wird einige Web-Elemente ohne HTTPS blockieren

Die neueren Versionen des Chrome Browsers verhindern es, bestimmte Funktionen des Webs zu verwenden, falls diese nicht mit Verschlüsselungen abgesichert sind. Falls die Webseite zum Beispiel einen Inlineframe mit HTTPS enthält, muss die den Iframe enthaltende Seite (Hauptseite) mit einem SSL-Zertifikat abgesichert sein.

Den nicht abgesicherten Webs hat Google auch verboten, einige multimediale Tools wie ein Mikrofon oder Tablet zu verwenden. Die nicht abgesicherte Verbindung zu geolocation API wird in der Version 50 blockiert.

Die erwähnten Änderungen werden von einigen Web-Betreibern zwar für kontrovers gehalten, aber Google erzielt nur den Schutz seiner Benutzer. Außerdem stehen Googles Maßnahmen im Einklang mit Grundsätzen eines sicheren Webinhaltes, die von der Organisation W3C veröffentlicht werden und nach den sich auch Firefox richten möchte. Das Bemühen, das nicht abgesicherte Protokoll HTTP so bald wie möglich zu eliminieren, ist offensichtlich.

Google zeigt Ihnen, welche E-Mail nicht verschlüsselt übertragen worden ist

Schauen wir uns die neuen Eigenschaften von Gmail an, die Sie bei der elektronischen Kommunikation schützen.

Hinweise auf eine nicht abgesicherte Verbindung und potenzielles Abhören

Die Verschlüsselung von übertragenen Daten zwischen Mailservern stellt eine Technologie dar, die weit verbreitet ist und schon mehrere Jahre funktioniert. Trotzdem können wir nicht erwarten, dass  unsere E-Mails deshalb in Sicherheit sind. Es hat sich gezeigt, dass ein großer Teil der elektronischen Post immer noch unverschlüsselt übertragen wird. Aus Forschungen geht hervor, dass bis 20 % der von Gmail abgesendeten Nachrichten absichtlich in Textform übertragen wird, in Tunesien sind es sogar 96 %. Dieser Mangel betrifft sogar die Server, die die Verschlüsselung unterstützen. Schuld daran ist das Protokoll STARTTLS, das die verschlüsselte Kommunikation von einer nicht verschlüsselten leitet. Dazu verwendet es nur einen Port des Servers (eine gegensätzliche Einstellung haben Webserver, die für SSL/TLS den Port 443 und für HTTP den Port 80 nutzen). Mehr über dieses Problem und über einen Downgrade Angriff finden Sie in dem Artikel Don’t count on STARTTLS to automatically encrypt your sensitive e-mails.

Bei STARTTLS kann nicht überprüft werden, ob die E-Mail verschlüsselt oder als abhörbar übertragen worden ist. Deshalb hat sich Google entschlossen, seine Benutzer besser zu informieren. In Gmail wurde ein neues Feld darüber ergänzt, ob der Mailserver des Absenders/des Empfängers die Verschlüsselung unterstützt und ob seine Identität sichergestellt ist.

Falls Sie eine nicht verschlüsselte E-Mail erhalten, die auf ihrem Weg abgehört werden konnte, wird Ihnen in Gmail ein Symbol eines offenen roten Sperrschlosses angezeigt:

ohne Absicherung übertragene E-MailSo macht Gmail auf eine ohne Absicherung übertragene E-Mail aufmerksam.

Falls die Identität des Absenders unbekannt ist und nicht überprüft werden kann, wird Sie darauf im Avatar (Symbol bei dem Namen) ein Fragezeichen aufmerksam machen - siehe den folgenden Absatz. In diesem Fall empfehlen wir Ihnen maximal aufmerksam und misstrauisch zu sein.

Kontrolle der Identität des Absenders

Das Prinzip von E-Mails ermöglicht als Absender eine beliebige Person aufzuführen, zum Beispiel auch V. Putin: putin@kreml.ru - diese Angabe sieht dann der Empfänger als Adresse des Absenders.

Verfälschte E-Mail

Beispiel einer gefälschten E-Mail – der Name, den Sie in den Absender einschreiben, wird in der Nachricht tatsächlich dargestellt.

Zur Kontrolle der Herkunft der Post dienen die Funktionen SPF und DKIM, die auch die Absendung von gefälschten E-Mails von einer anderen Domain verhindern. Ihre Eigenschaften werden in den Links beschrieben, für uns ist jedoch wichtiger, dass in Gmail beim Absender ein Fragezeichen dargestellt wird. Das Fragezeichen weist darauf hin, dass die E-Mail wahrscheinlich einen anderen Absender hat, als die betreffende Domain erlaubt. Dessen Identität kann somit nicht überprüft werden und es kann sich um Phishing handeln, mit dem Ziel, Sie zu berauben:

Verfälschte E-Mail

Beispiel einer gefälschten E-Mail - Hinweis auf die Diskrepanz zwischen dem Absender und der Domain

Wir müssen uns dessen bewusst werden, dass die E-Mail ein sehr altes Kommunikationstool ist und aus Prinzip nicht privat und sicher sein kann. Obwohl heute die Mehrheit von Servern übertragene Nachrichten verschlüsselt, verschlüsselt praktisch niemand (außer darauf spezialisierte Experten) die Nachrichten beim Speichern. Die Mails sind auf den Mailservern als bloßer Text gespeichert und können einfach erworben werden.

Wie sollte eine vertrauenswürdige Nachricht aussehen?

Wie wir an den aufgeführten Beispielen gesehen haben, kann Gmail nicht nur Einwände gegen die Vertrauenswürdigkeit einer Nachricht erheben, sondern auch aktiv überprüfen, wie sie übertragen worden ist und ob sie von einer verfälschten Adresse stammt.

Öffnen Sie die Nachricht und in ihrem Kopf klicken Sie den Pfeil neben dem Namen des Absenders an - es werden mehrere Informationen angezeigt. Auf dem Beispiel unten sehen Sie eine vertrauenswürdige Nachricht von Zoner Software. Sie wurde verschlüsselt übertragen und die Domain wird mit DKIM signiert.

Vertrauenswürdige E-Mail

Beispiel einer vertrauenswürdigen Nachricht und ihrer Kontrolle

Wir empfehlen Ihnen, (mindestens einige) von den eingehenden Nachrichten zu überprüfen und sich an die neue Funktion von Gmail zu gewöhnen. Je früher Sie sie zu Ihrem Nutzen verwenden, desto schneller minimieren Sie das Risiko eines Missbrauchs.

Quellen:

  1. Official Gmail blog. Making email safer for you.
  2. Gmail help. Email authentication.
  3. arstechnica.com. Don’t count on STARTTLS to automatically encrypt your sensitive e-mails.

Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de