Das hohle Gerede von sicherer E-Mail

Die NSA und ihre britischstämmigen Freunde im Commonwealth hören offenbar jeden und alles im Internet ab, indem sie sich einfach in die entsprechenden Leitungen einklinken, wie  wir nun seit einiger Zeit wissen. Dagegen kann man ganz einfach etwas unternehmen: den Transport von Daten verschlüsseln. Doch offenbar wollen viele Unternehmen das gar nicht.

Wer meine E-Mails mitlesen kann, erfährt so einiges. Aus den und Bestell- und Zahlungsbestätigungen von Amazon, PayPal und Co. kann man ganz einfach erfahren, was ich mir so alles kaufe und wie ich dafür bezahle. Ich lebe nicht nur online, ich kaufe vor allem online: Fahrkarten, Kinotickets, Musik, Bücher, Bettzeug, Lebensmittel, Pizza, Reisen, Spielzeug, Geschenke und was es noch so alles gibt. Nahezu mein ganzes Leben ist mittlerweile hierüber nachvollziehbar. Das bedeutet aber auch, dass ich natürlich kein Interesse daran habe, dass Dritte hierzu einen einfachen Zugang haben, da ich meine Privatsphäre doch eher schätze und selber bestimmen möchte, was ich davon überhaupt preisgeben will. Auf nahezu allen Webseiten, die elektronischen Handel anbieten, gibt es deswegen eine durch SSL gesicherte Verbindung, die man am HTTPS:// und dem grünen Schlüssel in der Adressleiste erkennt. Diese Verbindungen sind also gegen das Mitlauschen durch Dritte weitestgehend geschützt.

Ganz anders verhält es sich aber, wenn nach der Bestellung eine E-Mail an mich verschickt wird. Diese E-Mail kann man auf zwei Weisen sichern: Entweder verschlüsselt man den Inhalt der E-Mail mit dem Schlüssel des Empfängers oder man verschlüsselt zumindest den Transport der E-Mails. Die letzte Variante ist seit fast 15 Jahren technisch etabliert und für die Betreiber von Mailservern einfach umzusetzen. Es ist auch insgesamt die einfachste Lösung, weil man hier nur den Transport zwischen Mailserver A und B verschlüsseln muss. In den Kopfzeilen einer E-Mail erkennt man das häufig an einem Eintrag, der dann so aussieht:

TLS1.0:DHE_RSA_AES_256_CBC_SHA1:256 – (Dabei seht das TLS1.0 für die Version des Verschlüsselungsprotokolls und die Angaben hinter dem Doppelpunkt geben das Verfahren an, das zur Verschlüsselung eingesetzt wurde.)

Hier wurde also der Transport der E-Mail durch einen verschlüsselten Transport zum Zielserver gesichert. Das machen einige Anbieter so: Zum Beispiel Twitter, Pizza.de oder Facebook. Deren E-Mails werden also gesichert auf dem empfangenden Mailserver eingeliefert.

Es gibt aber leider auch andere Anbieter, die hierauf keinen Wert legen: Amazon, PayPal, Immobilienscout24 und auch der Hamburger Verkehrsverbund (HVV), der die Bestätigungsmails für bestellte elektronische Tickets ungesichert über das Netz verschickt.

Nun habe ich dort einmal nachgefragt, zumal das Aktivieren der Verschlüsselung für den Transport trivial ist. Das ist in jedem Mailserer möglich und bereitet in der Praxis auch keine Probleme, weil Mailserver bei möglichen Problemen einfach auf eine „normale“ Verbindung zurückfallen und dann einfach auf eine Verschlüsselung verzichten. Nur wollen diese Anbieter das anscheinend nicht, aus welchen Gründen auch immer.

So hieß es auf meine Anfrage von PayPal:

„Herr Bojens, bei den von PayPal versendeten E-Mails bedarf es keiner Transportverschlüsselung, da wir Ihnen keine sensiblen Daten per E-Mail senden.
Die einzigen Daten, die per E-Mail versendet werden sind Ihre Wohnanschrift, gekaufter Artikel, Preis des bezahlten Artikels oder ähnliches. Somit also keine Datenschutzrelevanten Daten. Daten wie Kreditkartennummer, Bankkontonummern, Telefonnummern usw. werden von PayPal nicht via E-Mail versendet (wenn, dann nur die letzten Ziffern, der Rest wird durch x- ersetzt) und somit ist auch der Datenschutz gewährt.“

Bezüglich des HVV habe ich einmal beim Hamburger Datenschutzbeauftragten angefragt. Von dort antwortete man mir:

„Vorliegend werden in der Bestätigungsmail das gewählte Produkt, das Datum, der Preis der Karte, die Starthaltestelle und der Name übermittelt. Hierbei handelt es sich zwar um personenbezogene Daten, nicht jedoch um personenbezogene Daten mit besonderer Sensitivität.“

Amazon schrieb mir:

„(…) wir versichern dir, dass wir den Schutz und die Sicherheit der Daten unserer Kunden sehr ernst nehmen.
Allerdings müssen wir dir mitteilen, dass wir deine Anfrage nicht nachvollziehen können.“

Und das ist dann die bittere Realität im Jahr 2014: Es wäre ein Einfaches die mir zugesandten E-Mails zu sichern, indem man ganz einfach Verfahren einsetzt, die seit fast 15(!) Jahren etabliert sind. Wer sich aber  darauf zurückzieht, dass das zwar personenbezogene aber doch bitte schön keine sensiblen Daten seien, hat offenkundig daran ganz offenbar überhaupt kein Interesse. Und so landen meine Daten auch weiterhin in den Datenbanken von Geheimdiensten, die ungehemmt das Internet belauschen. Schönen Dank auch!