Sicherheitshinweise
Problem: Datenschutz bei ePost (= eMail) und Netzseiten (= Websites)
Bei der Verwendung jeder Netzseite droht der Datenschutz zu kurz zu kommen. Das Internet selbst besteht aus Daten. Nach dem derzeitigen Stand der Technik ist es nicht auszuschließen, dass Dritte von Daten, die Sie durch Navigation auf Netzseiten oder die Eingabe in Kontaktformularen preisgeben, Kenntnis erhalten.
Bei dem Versenden von ePost gehen Sie generell das Risiko ein, dass Ihre Nachricht – der dezentralen Struktur des Internet einerseits und technischen Möglichkeiten des Ausspähens solcher Nachrichten andererseits geschuldet – von unbefugten Dritten zur Kenntnis genommen wird. Das ist vielleicht nicht sehr wahrscheinlich aber technisch viel einfacher, als den Inhalt einer Postkarte auf dem Postweg zu erfassen. Zu meiner Sturm-und-Drang-Zeit hätte das wohl jeder interessierte Heranwachsende geschafft. Heute dürften wir im Jugendlichen- oder Kindesalter angekommen sein. Daher werde ich mit Ihnen unverschlüsselt via ePost nur dann kommunizieren, wenn Sie mir die Freigabe dazu vorher schriftlich erklären.
Lösung: Nutzen Sie sichere Software
Nutzen Sie bitte sichere Webbrowser, zum Beispiel den Mozilla Firefox in der aktuellen Version. Nutzen Sie auch die Sicherheit verbessernde Zusatzsoftware wie zum Beispiel für den "Feuerfuchs" unter addons.mozilla.org erhältlich.
Lassen Sie bei elektronischer Post Ihre sensiblen Daten und Informationen zumindest in einer passwortgeschützten, angehängten Datei (Beispiel: Verschlüsseltes PDF - siehe z. B. www.freepdfxp.de oder verschlüsselte Archive - siehe z. B. www.winrar.de) oder nutzen Sie direkte Verschlüsselungstechnik für die elektronische Nachricht selbst (bekannt unter pretty good privacy – vergleiche www.pgp.com und www.gnupg.org). Auf Anfrage erhalten Sie den öffentlichen Schlüssel des von Ihnen gewünschten Ansprechpartners. Im Falle der Verschlüsselung denken Sie bitte daran, Ihre ePost auch mit Ihrem eigenen öffentlichen Schlüssel zu verschlüsseln, sonst können Sie diese nach dem Versand selbst nicht mehr lesen.
Einzelheiten
Das Internet besteht nur aus Daten, sobald Sie sich darin "bewegen" – eine wirkliche Bewegung ist das nun gerade nicht – hinterlassen Sie eine Spur, welche verfolgt werden kann; diese so genannten "Verkehrsdaten" oder "Bewegungsdaten" werden für eine gewisse Zeit gespeichert, auch auf dem Serversystem meiner Netzseite. Wenn Sie damit nicht einverstanden sind, besuchen Sie meine Seite einfach nicht. Aus Gründen der Praktikabilität biete ich derzeit eine generelle Verschlüsselung der Kommunikation Ihres Webbrowsers mit dem http-Server meiner Netzseite nicht an, daher obliegt der Schutz der Daten, welche Sie meinem http-Server zum Beispiel als 'cookie' zur Verfügung stellen, alleine Ihnen selbst. Das ist auch im übrigen Netz nicht anders. Nur erzählt schreibt kaum jemand darüber.
Ein eBrief ist unverschlüsselt für jedermann lesbar, der sie "abfängt". Sie besteht im Kern aus ASCII-Code, häufig heute unnütz aufgebläht mit hübsch bunten Bildchen und Styles, welche ihrerseits versteckten Schadcode enthalten oder "unterwegs" aufsammeln können, ohne dass der Versender das gewollt hätte. Eine Nur-Text-Nachricht im UTF-7 oder UTF-8-Format ist an dieser Stelle wenigstens relativ sicher, wenn sie keine Anlagen (Bilder etwa) hat. Das ist aber ein anderers Thema. Ein eBriefl läuft wegen der dezentralen Struktur des Internet theoretisch einmal um die ganze Welt, wenn Sie einen eBrief von sich aus nur zwei Straßen weiter zu Ihrem(r) besten Freund(in) senden wollen. Man kann nicht vorhersagen, welchen Weg sie nehmen wird. Sie läuft über eine unbestimmte Vielzahl von Netzknoten, welche "sauber und unverdächtig" oder auch "von Trojanern verseucht" sein können. Ein Trojaner ist ein Programm welches unter anderem dazu programmiert wurde, Daten ganz unintelligent zu kopieren und an jemand weiterzuleiten. Diese Daten können eben auch eBriefe sein, welche einen Netzknoten passieren. Weder Absender noch Adressat(en) eines eBriefs können so einen Kopiervorgang bemerken, erst recht nicht das Weiterleiten und spätere Auswerten.
Eine hinreichend sichere kryptographische Verschlüsselung könnte hier Abhilfe schaffen.
Für die geschützte Kommunikation via ePost halten Sie bitte zumindest den eigentlichen Inhalt der ePost frei von sensiblen Daten oder Angaben und nutzen diiese als schlichtes Transportmittel für eine anhängende, aber passwortgeschützte Datei mit der eigentlichen Nachricht. Dazu müssen Sie mit dem Adressaten Ihrer elektronischen Post natürlich das Passwort auf irgend einem Weg austauschen. Dazu bieten sich das Telephon, das Telefax oder sonstige Wege – zum Beispiel die generelle Absprache eines Passwortes – an.
Am besten funktioniert jedoch eine Verschlüsselung mit einem Verfahren nach dem "Privater-Schlüssel-Öffentlicher-Schlüssel"-Prinzip. Bei so einer Verschlüsselung der ePost über das kommerzielle Verfahren von PGP oder das offene von GnuPG kann die elektronische Post selbst so verschlüsselt werden , dass auch Hochleistungsrechner sich daran die "Zähne ausbeißen" würden. Sie verschlüsseln Ihre Nachricht mit dem vorher bekannten öffentlichen Schlüssel des Adressaten und Ihrem eigenen geheimen Schlüssel, zusätzlich mit Ihrem öffentlichen. Umgekehrt geht es genauso. Ein Austausch der Passwörter auf konventionellen Wegen ist dann zukünftig nicht erforderlich, da bei richtiger Nutzung Ihr Programm die Schlüssel speichert. Wenn Sie Ihren geheimen (privaten) Schlüssel wirklich geheim halten, ist die Wahrscheinlichkeit unberechtigter Zugriffe äußerst gering.
Wenn Sie sich mit dem Thema nicht so gut auskennen, lesen Sie bitte bei dem BSI und/oder bei dem Projekt GPG4Win nach, damit müssten eigentlich alle Fragen beantwortet sein.