Nicht nur die NSA, ALLE können mitlesen

Unter dem Titel „Uncle Sam liest unsere Mails mit” hat Arno Maierbrugger vom Wirtschaftsblatt die pte Geschichte „US-Geheimdienst stöbert in ausländischen E-Mails” aufgegriffen, die auf der Aussendung „NSA liest ausländische Mails unkontrolliert mit” des E-Mail Dienstleisters Retarus basiert.

Fr. List (Blog derzeit nicht aktiv) hat mich auf diese Geschichte aufmerksam gemacht, zu der ich ein paar Sachen anzumerken habe.

Konkret bedeutet das, dass jedes E-Mail, das von Europa in die USA geschickt wird (und auch jedes Telefonat), von der NSA unter die Lupe genommen bzw. abgehört werden kann.

Die Zeiten, als Mails noch über mehrere MTAs (von denen einer meistens in den USA beheimatet war) an ihr Ziel transportiert wurden, sind schon LANGE vorbei. Heutzutage baut ein Mailserver zumeist eine direkte SMTP-Verbindung zum Empfänger auf – Mails, die nicht in die USA geschickt werden, können daher von der NSA nur abgehört werden, wenn diese Zugang zu den europäischen IXPen hätten.

Tatsache ist allerdings, dass ein Großteil des E-Mail Verkehrs immer noch unverschlüsselt abgewickelt wird, da die dafür wichtigen Protokolle SMTP, IMAP4 und POP3 prinzipiell unverschlüsselt abgewickelt werden. Vielen Chefs, CxOs und Managern ist immer noch nicht klar, dass sie Ihre Geschäftskommunikation quasi wie eine Postkarte verschicken und damit nicht nur der NSA das Mitlauschen erleichtern, wenn sie eine Mail in die USA schicken, sondern auch den Wirtschaftsspionen im eigenen Land die Arbeit sehr leicht machen. Hat dieser Zugriff auf den Netzwerkverkehr an einem IXP, kann er die Geschäftskommunikation vieler Unternehmen einfach mithören.

Dabei entstehen dann so perverse Situationen, dass der Manager eine VPN-Verbdindung in seine Firma aufbauen muss, um E-Mails zu verschicken. Auf dieser sicheren Leitung werden die Mails dann verschlüsselt an den Mailserver im Unternehmen geschickt und der MBA besitzende Manager hat das Gefühl, dass alles super sicher ist und sein supergeheimer Übernahmevorschlag ausreichend sicher an seinen Geschäftspartner geschickt wird. Was er nicht bedenkt ist die Tatsache, dass die Mail vom Unternehmensserver aus IM KLARTEXT zu seinem Geschäftspartner geschickt wird. Wer immer im Netzwerk dazwischen hängt, könnte diesen Text mitlesen.

Selbiges gilt natürlich auch für den mobilen Zugriff auf E-Mails mit dem Handy. Da wird RIM angefeindet, dass sie ev. Geheimdiensten das Mitlesen der Mails ermöglichen, da werden Unsummen dafür ausgegeben, dass der Zugriff vom Handy aus „sicher” ist, aber dass 96% (Hausnummer) aller Unternehmen freiwillig ihre E-Mails im Klartext über das Internet schicken, daran kann/will keiner denken. Anscheinend auch die Kollegen der schreibenden Zunft.

Was ist zu tun? Als CTO, … würde ich mich mal mit meinen wichtigsten Geschäftspartnern zusammensetzen und ausmachen, dass man ab dem Tag X die Kommunikation untereinander nur noch per GnuPG bzw. S/MIME Verschlüsselung abwickelt. Firmenintern muss man mit den Mail-Admins reden, dass zumindest die Ausgehenden E-Mails verschlüsselt werden. Hat man IBM Lotus Domino, so hätte man die S/MIME Infrastruktur quasi schon fertig am Laufen, aber auch eine Gateway-Lösung wie etwa GPGrelay

Aber es ist immer einfacher, mal auf die böse NSA zu schimpfen, als mal drüber nachzudenken, ob man selber schon genug getan hat, um seine Kommunikation adäquat abzusichern.

Ach, ja. Meinem neuen Hobby kann man auf der Homepage des Wirtschaftsblattes auch frönen. Die ist nämlich auch schön rosa:

wirtschaftsblatt-rosa

Tagged as: , , , | Author:
[Sonntag, 20070923, 19:38 | permanent link | 2 Kommentar(e)

Wärs da ned mal an der Zeit dein GnuPG wieder zu aktivieren? :D
Btw: IBM bietet auch eine Gateway-basierende eMail-Verschlüsselung an. Der Kontaktmann dafür ist Michael Manthey. Jaja, ich war brav auf dem Symposium und hab mich gebildet. :p

Jaja, dein neues Hobby habe ich schon mitbekommen - sehr nett! Und seit du rosa statt grau verwendest hast du auch 0 false positives ;)

lg,
Mike

Comments are closed for this story.


Disclaimer

„Leyrers Online Pamphlet“ ist die persönliche Website von mir, Martin Leyrer. Die hier veröffentlichten Beiträge spiegeln meine Ideen, Interessen, meinen Humor und fallweise auch mein Leben wider.
The postings on this site are my own and do not represent the positions, strategies or opinions of any former, current or future employer of mine.

Me, Elsewhere

Tag Cloud

2007, 2blog, 2do, 2read, a-trust, a.trust, a1, accessability, acta, advent, age, ai, amazon, ankündigung, apache, apple, audio, austria, backup, barcamp, basteln, bba, big brother awards, birthday, blog, blogging, book, books, browser, Browser_-_Firefox, bruce sterling, buch, bürgerkarte, cars, cartoon, ccc, cfp, christmas, cloud, coding, collection, command line, commandline, computer, computing, concert, conference, copyright, covid19, css, database, date, datenschutz, debian, delicious, demokratie, design, desktop, deutsch, deutschland, dev, developer, development, devops, digitalks, dilbert, disobay, dna, dns, Doctor Who, documentation, domino, Domino, Douglas Adams, download, downloads, drm, dsk, dvd, e-card, e-government, e-mail, e-voting, E71, education, Ein_Tag_im_Leben, elga, email, encryption, essen, eu, EU, event, events, exchange, Extensions, fail, fedora, feedback, film, firefox, flash, flightexpress, food, foto, fsfe, fun, future, games, gaming, geek, geld, git, gleichberechtigung, google, graz, grüne, grüninnen, hack, hacker, handtuch, handy, hardware, HHGTTG, history, how-to, howto, hp, html, humor, IBM, ibm, ical, iCalendar, image, innovation, intel, internet, internet explorer, iot, iphone, ipod, isp, it, IT, itfails, itfailsAT, itfailsDE, java, javascript, job, jobmarket, journalismus, keyboard, knowledge, konzert, language, laptop, law, lego, lenovo, life, links, Linux, linux, linuxwochen, linuxwochenende, live, living, lol, london, lost+found, lotus, Lotus, Lotus Notes, lotus notes, lotusnotes, LotusNotes, Lotusphere, lotusphere, Lotusphere2006, lotusphere2007, Lotusphere2008, lotusphere2008, lustig, m3_bei_der_Arbeit, mac, mail, marketing, mathematik, media, medien, metalab, microsoft, Microsoft, mITtendrin, mobile, mood, motivation, movie, mp3, multimedia, music, musik, männer, nasa, nerd, netwatcher, network, netzpolitik, news, nokia, Notes, notes, Notes+Domino, office, online, OOXML, open source, openoffice, opensource, orf, orlando, os, outlook, patents, pc, pdf, performance, perl, personal, php, picture, pictures, podcast, politics, politik, pr, press, presse, privacy, privatsphäre, productivity, programming, protest, public speaking, qtalk, quintessenz, quote, quotes, radio, rant, recherche, recht, release, review, rezension, rip, rss, science, search, security, server, settings, sf, shaarli, Show-n-tell thursday, sicherheit, silverlight, smtp, SnTT, social media, software, sony, sound, space, spam, sprache, spö, ssh, ssl, standards, storage, story, stupid, summerspecial, sun, surveillance, sysadmin, talk, talks, technology, The Hitchhikers Guide to the Galaxy, theme, think, thinkpad, thunderbird, tip, tipp, tools, topgear, torrent, towel, Towel Day, TowelDay, travel, truth, tv, twitter, ubuntu, ui, uk, unix, update, usa, usb, vds, video, videoüberwachung, vienna, Vim, vim, vintage, vista, vorratsdatenspeicherung, vortrag, wahl, wcm, web, web 2.0, web2.0, web20, Web20, webdesign, werbung, wien, wiener linien, wikileaks, windows, windows 7, wired, wishlist, wissen, Wissen_ist_Macht, wlan, work, workshops, wow, writing, wtf, wunschzettel, Wunschzettel, www, xbox, xml, xp, zensur, zukunft, zune, österreich, övp, übersetzung, überwachung

AFK Readinglist