Erstellt am: 31. 8. 2009 - 16:37 Uhr
"This E-Mail will self-destruct in 3...2...1..."
von Christian Stiegler
Was passiert eigentlich mit meiner E-Mail, nachdem ich auf "Senden" gedrückt habe? Wer garantiert mir nun, dass sie sonst keiner liest und sie auch beim Empfänger ankommt? Wo werden meine Nachrichten gespeichert und vor allem für wie lange?
Hans Zeger
"Eine E-Mail mit sensiblen Informationen zu versenden ist genauso sicher, wie wenn man dafür eine Postkarte verwenden würde", meint Hans Zeiger, Obmann der ARGE Daten Österreich und Geschäftsführer der
E-Monitoring GmbH.
Mit etwas Hintergrundwissen sei jede unverschlüsselte Mail abzufangen und zu kopieren. Häufig genutzte E-Mail-Provider wie Yahoo, Gmail oder Hotmail seien für ihn nichts anderes als "professionell organisierte Spamplattformen", die möglichst viele Kunden mit ihrem Gratisangebot locken wollen, aber denen die Sicherheit der Mails egal ist. Jede E-Mail wird bei den Providern sogar für bis zu sechs Monate gespeichert. Es existieren also zwei vordergründige Sicherheitslücken: Das "Postkartenprinzip" des Mediums E-Mail und die fehlende Kontrolle über seine eigenen Daten bei den Providern.
Kobra, übernehmen Sie...
Eine Forschungsgruppe aus dem US-Bundesstaat Washington D.C. um die Informatikerin Roxana Geambasu möchte das ändern. Mit einer wilden Idee: E-Mails, die sich nach einer gewissen Zeit selbst zerstören.
Deutsches Institut für Wirtschaftsforschung
"Vanish" heißt das Programm, das jedes Datenpaket einer Mail, welches nicht beim Empfänger ankommt, nach einer bestimmten Zeit löscht. Vor allem längere E-Mails mit Attachments müssen beim Versenden in kleinere Einheiten aufgeteilt werden, die über verschiedene Server zum Empfänger gelangen. So eine Verbindung kann man aber anzapfen, eine Kopie der E-Mail machen, den ASCII-Text aus den Mails rauskopieren und noch einiges mehr. Und wenn man Pech hat, dann landet manch privates Detail in den falschen Händen. Da kann ich meine Postkarten gleich aus dem Fenster werfen.
Also was macht "Vanish" nun genau? Die Grundfunktion des Programmes basiert auf der Idee der dezentralisierten P2P-Netzwerke und deren DHT-Hashtabelle, mit der alle Datenpakete gleichmäßig verteilt werden. Jedes Paket wird dank "Vanish" verschlüsselt. Und zwar mit einem Schlüssel, den nicht mal der Absender kennt und der bewirkt, dass sich das Paket nach einer festgelegten Zeit zerstört, sofern es nicht beim Empfänger angekommen ist. Auch der Schlüssel löscht sich dann automatisch. Kommen Datenpakete aus irgendwelchen Gründen nicht am Zielort an, werden sie unbrauchbar.
Who´s got Mail?
In der Praxis sieht das dann so aus: Ich tippe zuversichtlich meine Mail, lege den Empfänger fest und bin bereit sie abzuschicken. Vorher werde ich aber noch darauf aufmerksam gemacht, dass sich die Mail - nach Hausnummer 16 Stunden - selbst zerstören wird. Ist sie beim Empfänger angekommen: fein. Geht ein Paket verloren (Provider-, Server- oder Verbindungsfehler, Hack), dann zerstört es sich nach 16 Stunden. Genauso beim Provider, denn auch der kann gegen die Verschlüsselung logischerweise nichts machen. Großer Nachteil: Die Zeitspanne des Sendevorganges. Kommt die Nachricht in dieser Zeit nicht beim Empfänger an, dann wird sie das nie tun, da auch er sie nicht mehr öffnen könnte.
Roxana Gaembasu
Aber auch sonst ist die Idee nicht ganz lückenlos. Zum einen sind 16 Stunden lang. Das Programm verlangt nämlich einen 8-Stunden-Rhythmus für den Sendevorgang. Genug Zeit, um eine Mail abzufangen. Außerdem ist "Vanish" ein Programm, das der Benutzer am PC installieren müsste und Programme kann man sowieso knacken. Und ob sich die E-Mail-Provider ein solches Plug-in gefallen lassen, wenn sie dadurch die Datenkontrolle verlieren, ist ebenso zu bezweifeln. Auch Hans Zeger glaubt nicht, dass sich "Vanish" durchsetzen wird: "Das Ganze klingt mir zu sehr nach Mission Impossible."
Sollte "Vanish" mehr als nur ein Open-Source-Prototyp werden, dann dürfen wir nicht nur mehr unser eigenes Zeitmanagement im Internet kontrollieren, sondern auch noch das unserer Nachrichten.
Das ist also mit "E-Monitoring" gemeint.