Bewertung Der GMX/Mailvelope-Ende- Zu-Ende-Verschlüsselung

Verena Schochlow, Stephan Neumann, Kristoffer Braun, Melanie Volkamer Bewertung der GMX/Mailvelope-Ende- zu-Ende-Verschlüsselung

Ende-zu-Ende-verschlüsselte E-Mail-Kommunikation gewinnt in Anbetracht aktueller Geschehnisse erneut an Relevanz. Obwohl die entsprechenden Möglichkeiten seit mehr als zwei Jahrzehnten gegeben sind, bleiben die technischen Umsetzungen Endanwendern häufig unzugänglich. Ein wesentlicher Grund dafür ist die Benutzbarkeit dieser Umsetzungen wie frühere Studien belegen. Ein Schritt wird derzeit von den Anbietern GMX und WEB.DE in Zusammenarbeit mit Mailvelope unternommen, Ende-zu-Ende-verschlüsselte E-Mail- Kommunikation in den gewohnten Benutzerschnittstellen der E-Mail-Anbieter zu ermöglichen. Zur Bewertung dieses Ansatzes wurde im Rahmen dieser Arbeit ein Cognitive Walkthrough durchgeführt. Darüber hinaus wurde die Sicherheit des Ansatzes bewertet. Die Ergebnisse dieser Arbeit sollen als Grundlage zukünftiger Entwicklungen dienen.

1 Einleitung wird insbesondere der aus Nutzersicht kritische Schlüssel- austausch und die Sicherung der Schlüsseldaten über die In- Eine der bedeutendsten digitalen Kommunikationskanäle tegration von Mailvelope in die bestehende Infrastruktur stellt die E-Mail dar; über 80% der Deutschen nutzen das In- der E-Mail-Anbieter vereinfacht. Dieser Schritt der E-Mail- ternet zum Versenden und Empfangen von E-Mails1, Ten- Anbieter könnte zukünftig Nutzern den Weg zur E2E-Ver- denz steigend. Nicht zuletzt die Snowden-Enthüllungen ha- schlüsselung ihrer E-Mail-Kommunikation erleichtern. ben der Allgemeinheit die technischen Möglichkeiten zur di- Ziel dieser Arbeit ist die Bewertung der Integration der gitalen Massenüberwachung aufgezeigt und zahlreiche Fra- Browsererweiterung Mailvelope in die bestehende Infra- gen zur Sicherheit und Privatsphäre digitaler Kommunika- struktur des E-Mail-Anbieters GMX aus Sicht der „benutzba- tion aufgeworfen. Ziel kryptographischer Ansätze ist die E- ren Sicherheit“. Dieser Artikel beschränkt sich daher auf den Mail-Kommunikation ausschließlich zwischen Sender und GMX-Webdienst und schließt die Betrachtung dedizierter E- Empfänger offenzulegen; also den Zugriff auf E-Mails auch Mail-Clients (z.B. Microsoft Outlook, Mozilla Thunderbird) E-Mail-Anbietern unmöglich zu machen. aus. Obwohl technische Lösungen bzw. Standards existieren Zunächst werden dem Leser die Grundlagen der Integra- (z.B. S/MIME, OpenPGP), die eine solche Ende-zu- tion von Mailvelope in GMX zur Verfügung gestellt; dabei Ende(E2E)-Verschlüsselung der E-Mail-Kommunikation er- wird die GMX-Terminologie verwendet. Anschließend wer- möglichen, sind diese Endanwendern häufig nicht zugäng- den die Ergebnisse eines Cognitive Walkthrough (CW) prä- lich wie zahlreiche Studien belegen [1, 2]. In den letzten Jah- sentiert und diskutiert. Im Rahmen des CW wurde die Be- ren wurden eine Reihe von Browsererweiterungen zur E2E- nutzbarkeit folgender, relevanter Nutzeraufgaben evaluiert: 4 verschlüsselten E-Mail-Kommunikation im Browser entwi- Einrichtung der verschlüsselten Kommunikation , Senden ckelt, z.B. WebPG, mymail-crypt und Mailvelope, die eine verschlüsselter E-Mails und Entschlüsseln verschlüsselter nutzerfreundliche E2E-Verschlüsselung für zahlreiche web- E-Mails. Zuletzt werden die wesentlichen Sicherheitsas- basierte E-Mail-Dienste versprechen2. Erste Studien bele- pekte der Integration von Mailvelope in die Infrastruktur gen jedoch, dass auch derartige Browsererweiterungen die des E-Mail-Anbieters GMX beleuchtet. Benutzbarkeitsprobleme früherer technischer Lösungen nicht ausreichend adressieren [3, 4]. 2 Grundlagen der Integration von Ein weiterer Vorstoß in Richtung benutzbarer E2E-ver- schlüsselter E-Mail-Kommunikation wird derzeit von Mail- Mailvelope in GMX velope in direkter Kooperation3 mit GMX und WEB.DE (bei- des Marken der 1&1 Mail & Media GmbH und beide Partner Im Folgenden werden die Grundlagen der E2E-verschlüssel- der Initiative „E-Mail made in Germany“) unternommen. So ten E-Mail-Kommunikation anhand der drei wesentlichen

1 http://de.statista.com/statistik/daten/studie/204272/umfrage/nutzung-des-in- 3 https://www.mailvelope.com/de/coop_gmx (abgerufen am 29.03.2016) ternets-fuer-versenden-empfangen-von-e-mails-in-deutschland/ (abgerufen am 4 GMX bezeichnet die E2E-verschlüsselte E-Mail-Kommunikation als verschlüs- 29.03.2016) selte Kommunikation. 2 https://www.mailvelope.com/de/help (abgerufen am 29.03.2016) Funktionen beschrieben: 1) Einrichtung der verschlüssel- AES-Schlüssel in Form eines 26-stelligen Wiederherstel- ten Kommunikation, 2) Senden einer verschlüsselten E-Mail lungscodes, mit dem er bei Bedarf die verschlüsselte Kom- und 3) Entschlüsselung einer verschlüsselten E-Mail. munikation wiederherstellen kann. GMX empfiehlt diesen 2.1. Einrichtung der verschlüsselten Code sicher und außerhalb des Computers aufzubewahren. Kommunikation Es ist nachträglich möglich weitere Sicherungen zu erstel- len; dabei wird die vorherige Sicherung auf den Servern von Die verschlüsselte E-Mail-Kommunikation bei GMX basiert GMX gelöscht und eine neue, mit passendem Wiederherstel- auf einer E2E-Verschlüsselung mit dem Verschlüsselungs- lungscode, hochgeladen. Ältere Codes werden dadurch un- standard OpenPGP. Dieser verwendet ein hybrides, also gültig. In den GMX-Einstellungen besteht die Möglichkeit die eine Kombination aus einem asymmetrischen und einem Sicherung nachträglich von den GMX-Servern zu entfernen. symmetrischen, Verschlüsselungssystem. Ein Absender er- Wenn sich der Nutzer entscheidet keine Sicherung einzu- zeugt für jede Nachricht einen symmetrischen Sitzungs- richten und das Schlüsselpasswort verloren geht, können schlüssel, welcher mit dem öffentlichen Schlüssel des Emp- verschlüsselte E-Mails nicht mehr entschlüsselt werden. Die fängers verschlüsselt wird. Die Nachricht wird anschließend verschlüsselte Kommunikation muss erneut eingerichtet mit dem Sitzungsschlüssel verschlüsselt und abgeschickt. werden. Dazu muss sich der Nutzer an den GMX-Support Der Empfänger entschlüsselt den Sitzungsschlüssel mit sei- wenden. nem privaten Schlüssel und anschließend die Nachricht mit Nach der Einrichtung wird der öffentliche Schlüssel des dem entschlüsselten Sitzungsschlüssel. Nutzers standardmäßig im Schlüssel-Verzeichnis von GMX Um die verschlüsselte E-Mail-Kommunikation einzurich- abgelegt, aus dem die öffentlichen Schlüssel anderer Nutzer ten, müssen drei Schritte befolgt werden. Als Erstes ist es abgerufen werden können. Dort werden ebenso die in Ko- notwendig, dass der Nutzer die Browsererweiterung Mail- operation von Mailvelope mit WEB.DE generierten öffentli- velope installiert. Dabei handelt es sich um ein Open Source chen Schlüssel abgelegt. Der Nutzer kann diese Speicherung Projekt, das unter anderem auf dem OpenPGP.js-Projekt, ei- in den Einstellungen von GMX widerrufen. ner Open Source JavaScript-Implementierung des Open- Die Dialoge sämtlicher Berechnungen, die lokal durchge- PGP-Standards, basiert. führt werden, sind mit einem besonderen Rahmen, dem so- Bei der Einrichtung der verschlüsselten Kommunikation genannten Sicherheitshintergrund, gekennzeichnet. Der Si- wird der Nutzer im zweiten Schritt dazu aufgefordert ein so cherheitshintergrund erscheint beispielsweise beim Schrei- genanntes Schlüsselpasswort5 mit mindestens vier Zeichen ben oder Entschlüsseln einer E-Mail. Um zu verhindern, zu vergeben, welches seinen privaten Schlüssel schützen dass er imitiert wird, kann er in den Einstellungen von Mail- soll. Nach der Eingabe erzeugt Mailvelope lokal auf dem velope angepasst werden. Computer des Nutzers, je einen 4096 Bit langen privaten 2.2. Senden einer verschlüsselten E-Mail und öffentlichen RSA-Schlüssel, die sowohl zum Ver-/Ent- schlüsseln und Signieren/Verifizieren von E-Mails verwen- Wenn der Nutzer nun mit einem anderen Nutzer von GMX det werden 6 . Beide Schlüssel werden anschließend lokal oder WEB.DE, der auch die verschlüsselte Kommunikation (auf dem Rechner des Nutzers) in der Schlüsselverwaltung eingerichtet hat, verschlüsselt kommunizieren möchte, von Mailvelope gespeichert; dabei wird der private Schlüs- dann erstellt er eine neue, E2E-verschlüsselte E-Mail und sel mit dem Schlüsselpasswort des Nutzers verschlüsselt. gibt die E-Mailadresse des Empfängers ein. Daraufhin öffnet Sie enthält Details zu den eigenen und den gespeicherten, sich bei der ersten E-Mail an diesen Empfänger ein neues öffentlichen Fremd-Schlüsseln, beispielsweise den Finger- Fenster mit der Anfrage, den Kontakt zur verschlüsselten abdruck oder das Erstellungsdatum. Kommunikation zu bestätigen. Dabei werden dem Nutzer Im dritten und letzten Schritt der Einrichtung kann der Name, E-Mailadresse des Kommunikationspartners als Ent- Nutzer eine so genannte Sicherung einrichten. Diese soll er- scheidungsgrundlage geboten. Durch Klicken eines kleinen möglichen, dass er bei Verlust der Schlüssel eine Möglich- „i“-Symbols kann der Nutzer darüber hinaus den Fingerab- keit hat, diese, und damit die verschlüsselte E-Mail-Kommu- druck des öffentlichen Schlüssels des intendierten Kommu- nikation, wiederherzustellen. Außerdem kann damit das nikationspartners einsehen. Sobald der Nutzer dies bestä- Verfahren besonders einfach auf anderen Geräten, bei- tigt, wird der öffentliche Schlüssel des Empfängers aus dem spielsweise Laptops oder Smartphones, des Nutzers einge- Schlüssel-Verzeichnis geladen. Nach einem Klick auf „Ver- richtet werden. Stimmt der Nutzer der Sicherung zu, wer- schlüsselt senden“ wird der Absender aufgefordert sein den sein Schlüsselpasswort und sein Schlüsselpaar, beste- Schlüsselpasswort 7 einzugeben. Daraufhin wird die Mail hend aus dem privaten und öffentlichen Schlüssel, in einem und, sofern vorhanden, der Anhang (bis 10 MB) mit Hilfe Paket mit AES-256 und einem zufälligen AES-Schlüssel ver- des öffentlichen Schlüssels des Empfängers verschlüsselt. schlüsselt, und auf die Server von GMX hochgeladen. Diese 2.3. Entschlüsselung einer verschlüsselten E-Mail symmetrische Verschlüsselung geschieht lokal, auf dem Nach Erhalt einer E2E-verschlüsselten E-Mail wird der Nut- Computer des Nutzers. Der private Schlüssel ist zu keinem zer aufgefordert sein Schlüsselpasswort einzugeben. Nach Zeitpunkt unverschlüsselt auf den Servern von GMX. An- erfolgreicher Eingabe wird die verschlüsselte E-Mail mit schließend erhält der Nutzer innerhalb von Mailvelope den

5 GMX bezeichnet die Passphrase als Schlüsselpasswort. 7 Das Schlüsselpasswort kann 30 Minuten lang zwischengespeichert werden. 6 Dieser Artikel beschränkt sich auf die Betrachtung der E2E-Verschlüsselung. Signieren und Verifizieren von E-Mails wird daher nicht beleuchtet. Hilfe des privaten Schlüssels des Empfängers entschlüsselt Jeder Handlungsschritt wurde anhand der vier Kriterien und dadurch lesbar. nach Wharton et al. [8] mit dem Fokus auf der Menüführung bewertet. Aufgrund des Fokus dieses Artikels wurden zu- sätzlich folgende Kriterien berücksichtigt: 3 Benutzbarkeitsanalyse - Information: Erhält der Nutzer Informationen, die es ihm ermöglichen ein Verständnis für die zugrundeliegende Mit zunehmender Bedeutung der Benutzbarkeit wurden Technik der E2E-Verschlüsselung zu entwickeln? (Dieses Methoden entwickelt, um diese zu prüfen und zu steigern. Kriterium ist nicht erfüllt, wenn der Nutzer z.B. mit unver- Neben Nutzerstudien, die zwar effektiv, aber auch zeit- und ständlichen Fachbegriffen konfrontiert wird.) kostenintensiv sind, wurden Methoden konzipiert, die auf - Privatsphäre: Wird die Privatsphäre des Nutzers gewahrt? der Analyse der Benutzerschnittstellen durch Experten be- (Dieses Kriterium ist nicht erfüllt, wenn der Nutzer z.B. ruhen. Dazu zählt auch der Cognitive Walkthrough (CW), unzureichende Informationen zum Umgang mit seinen der häufig bei der Evaluation von Softwarelösungen [5], und Daten erhält oder dazu gebracht wird, für die Funktion auch im Bereich der IT-Sicherheit [1, 6], zur Anwendung nicht benötigte, persönliche Informationen preiszuge- kommt. ben.) 3.1. Methode Cognitive Walkthrough - Sicherheit: Ist die Handlung, die der Nutzer ausführt, si- Beim CW steht die Erlernbarkeit bestimmter Aufgaben in- cher? (Dies ist nicht erfüllt, wenn der Nutzer z.B. unbeab- nerhalb einer Anwendung im Fokus [7, 8] was im IT-Sicher- sichtigt eine nicht E2E-verschlüsselte E-Mail senden heits-Bereich von besonderer Bedeutung ist. Zum einen kann.) scheinen Nutzer Schwierigkeiten bei der korrekten Nutzung Durchgeführt wurde der CW im Webinterface von GMX in- von Verschlüsselungssoftware zu haben [1]. Zum anderen nerhalb des Browsers Firefox-Version 44.0.2 und mit der ist Sicherheit neben Primärzielen wie Surfen oder dem Ver- Mailvelope-Version 1.3.6. senden von Mails als sekundäres Nutzerziel mit einer ver- 3.3. Ergebnisse und Diskussion ringerten Lernmotivation zu bewerten [1]. Im Folgenden werden die Ergebnisse in Bezug auf die Be- Der CW gliedert sich in eine Vorbereitungs- und eine Ana- nutzbarkeit der Menüführung, die Information des Nutzers lysephase. In der Vorbereitungsphase werden Annahmen sowie sicherheitsrelevante Aspekte in zusammengefasster über den potenziellen Nutzer getroffen, die zu untersu- Form vorgestellt und diskutiert. chende Aufgabe festgelegt und die korrekte Handlungsab- folge zur Aufgabenbewältigung definiert. In der Analyse- 3.3.1 Einrichtung des Verschlüsselungsverfahrens phase wird die festgelegte Handlungsabfolge chronologisch Initiiert der Nutzer erstmalig die intendierte E2E-verschlüs- durch Experten bearbeitet. Für jeden Schritt wird evaluiert, selte E-Mail-Kommunikation, so wird er zunächst zum Ein- ob ein potenzieller Nutzer diesen Schritt in der geplanten richtungsprozess geleitet. Der einmalige Schritt der Einrich- Weise ausführen würde oder nicht. Zur Bewertung können tung ist unter technischen Gesichtspunkten nachvollzieh- bestimmte Kriterien wie beispielsweise bei Wharton et al. bar, könnte allerdings für den Laien unerwartet sein. Dar- [8] herangezogen werden. In beiden Fällen wird dokumen- über hinaus könnte der zusätzliche Aufwand zum Erreichen tiert, warum der potenzielle Nutzer eine Aktion ausführen des sekundären Nutzerziels Sicherheit ein Hindernis für po- würde bzw. was zum Misserfolg geführt haben könnte. Un- tenzielle Nutzer mit dem Primärziel einfacher und schneller abhängig von der Bewertung der Handlung werden die fest- Kommunikation darstellen. gelegten Handlungsschritte weiter bearbeitet, als ob der vo- In Bezug auf die Menüführung des Einrichtungsprozesses rausgehende Schritt erfolgreich gewesen wäre. Auf diese wurde keine wesentliche Verletzung der Kriterien identifi- Weise versuchen die Experten in der Analysephase eine ziert. Mehrere Wege führen zum Einrichtungsprozess hin, plausible Nutzungsgeschichte zu erzählen und den kogniti- die Menüführung selbst ist geradlinig aufgebaut und bietet ven Problemlöseprozess des potenziellen Nutzers zu model- wenige Optionen und damit auch wenige Fehlerquellen für lieren. den Nutzer. Anleitungen, wenn auch nicht immer in ihrer Symbolik oder Begrifflichkeit konsistent gehalten, verdeut- 3.2 Durchführung des Cognitive Walkthrough lichen den Prozess. Die Mehrheit der identifizierten Prob- Der CW umfasste die wesentlichen Schritte der E2E-ver- leme lässt sich vor allem den Kriterien Information, Pri- schlüsselten E-Mail-Kommunikation: 1) Einrichtung der vatsphäre und Sicherheit zuordnen. Diese werden im Folgen verschlüsselten Kommunikation, 2) Senden einer ver- erläutert: schlüsselten E-Mail, sowie 3) Entschlüsselung einer ver- Information - Begrifflichkeiten. Für Laien unverständliche schlüsselten E-Mail. Für diese wurden korrekte Handlungs- bzw. neue Begriffe wie z.B. „PGP-Verschlüsselung“, „Brow- abfolgen definiert. Hinsichtlich der Nutzer wurde von Laien sererweiterung“ und „Schlüsselpasswort“ werden während mit Vorkenntnissen im Bereich der E-Mail-Kommunikation des Einrichtungsvorgangs nicht erläutert. mit GMX, aber mit fehlenden Sicherheitskenntnissen ausge- Information/Privatsphäre - Mailvelope. Zum Anbieter, den gangen. Zugriffsrechten oder zur Funktionsweise der herunterzula- Durchgeführt wurde der CW von vier Personen mit Exper- denden Erweiterung Mailvelope erhalten die Nutzer im Pro- tise in den Bereichen IT-Sicherheit, Benutzbarkeit und Psy- zess ebenfalls keine näheren Informationen. chologie, da sich gezeigt hat, dass Experten mit verschiede- Information/Sicherheit – unterschiedliche Verfahren. Für nen Perspektiven Probleme unterschiedlicher Art identifi- den potenziellen Nutzer ohne Vorkenntnisse wird der Un- zieren [9]. terschied der E2E-Verschlüsselung zu anderen Sicherheits- Laien ermöglichen sollte. Der Nutzer erhält durch den Si- konzepte wie De-Mail, „E-Mail made in Germany“ oder „ver- cherheitshintergrund und eine geänderte Beschriftung von trauliche Kommunikation“ 8 nicht deutlich. Hinweise, be- Buttons wie z.B. „verschlüsselt senden“ das Feedback, sicher reits mit dem automatisch eingerichteten „E-Mail made in zu kommunizieren. Wählt der Nutzer einen Kontakt aus, der Germany“ sicher zu kommunizieren, können vom Nutzer das gleiche Verschlüsselungsverfahren verwendet, so muss missinterpretiert werden. er einmalig entscheiden, ob er diesen Kontakt zur Schlüssel- Information/Sicherheit - Funktionsweise. Relevante Infor- verwaltung hinzufügen möchte. Nach der Bestätigung ist mationen zum Verfahren und zur Sicherheit erfolgen erst E2E-verschlüsselte Kommunikation mit dem Kontakt mög- nach Abschluss des Einrichtungsvorgangs; z.B. Hinweis das lich. Wozu der Zusatzschritt dient, ist dem Nutzer jedoch Verfahren nur auf Rechnern einzurichten, die nicht von un- möglichweise nicht ersichtlich. bekannten Dritten genutzt werden. Weiterhin erfährt der Wählt der Nutzer einen Kontakt aus, der das Verschlüsse- Nutzer erst an dieser Stelle, dass E2E-verschlüsselte Kom- lungsverfahren nicht nutzt, wird dem Nutzer ein Problem munikation nur mit Personen möglich ist, die das Verfahren durch ein kleines rotes, statt im Regelfall graues, Schloss- bereits nutzen. Symbol an der Mailadresse signalisiert. Erst beim Absenden Information – Voraussetzungen. Weitere mögliche Hinder- der Mail wird der Nutzer jedoch explizit darauf hingewie- nisse das Verschlüsselungsverfahren als Laie zu benutzen, sen, dass eine Kommunikation mit diesem Kontakt nur nach bestehen in den Voraussetzungen, auf die der Nutzer erst im Einladung zur Nutzung des Verfahrens möglich ist. Als Al- Laufe des Einrichtungsprozesses aufmerksam gemacht ternative bleibt dem Nutzer nur die nicht E2E-verschlüs- wird: Die Browsererweiterung Mailvelope ist nur für selte Kommunikation mit diesem Kontakt. Die Abhängigkeit Chrome und Firefox verfügbar, die Installation gilt nur auf der Verschlüsselung von der Nutzung des Verfahrens durch dem jeweiligen Endgerät und ein Drucker zum Ausdrucken andere Kontakte könnte ein Hindernis für die Nutzung eines Wiederherstellungscodes, der bei Problemen mit durch Laien darstellen. Schlüsselpasswort, Browser oder Endgerät benötigt wird, Nach Schreiben der Mail genügen ein Klick auf „verschlüs- sollte zur Verfügung stehen. selt senden“ und die Eingabe des Schlüsselpassworts. Ver- 3.3.2 Senden einer verschlüsselten E-Mail besserungswürdig erscheint hier, dass sich das Feedback Bis nach Abschluss der Einrichtung wird dem Nutzer nicht nach Absenden einer Mail nicht von dem einer nicht E2E- erläutert, wie das Verschlüsselungsverfahren funktioniert verschlüsselten Mail unterscheidet. und welche Schritte er unternehmen muss, um nun eine ver- 3.3.3 Entschlüsselung einer verschlüsselten E-Mail schlüsselte Mail zu versenden bzw. zu entschlüsseln. Wählt Eine E2E-verschlüsselte E-Mail, gekennzeichnet durch ein der Nutzer auf Vorerfahrung basierend den Button „E-Mail Schloss-Symbol, wird ebenso wie eine herkömmliche Mail schreiben“ aus, so hat er keine Möglichkeit, eine geschrie- im Postfach des Nutzers angezeigt und auf gleiche Weise ge- bene Mail zu verschlüsseln. Ein entsprechender Hinweis er- öffnet. Der einzige Unterschied besteht darin, dass der Nut- folgt jedoch nicht. Darüber hinaus kann die Option inner- zer vor dem Lesen der Nachricht zur Eingabe seines Schlüs- halb einer nicht E2E-verschlüsselten E-Mail vertraulich zu selpassworts aufgefordert wird. Nach Eingabe und Bestäti- kommunizieren, vom Nutzer missinterpretiert werden. Nur gung des Passworts erscheint die entschlüsselte E-Mail vor durch Recherche in den Versandoptionen erfährt der Nut- einem Sicherheitshintergrund aus Schloss-Symbolen, was zer, dass eine „vertrauliche“ Mail rein informativen Charak- dem Nutzer Sicherheit suggeriert. Dieser Vorgang scheint ter aufweist. Eine mögliche Folge könnte der Versand sen- auch für Laien leicht umsetzbar, da er dem Umgang mit sibler Daten in einer nicht E2E-verschlüsselten E-Mail sein. nicht E2E-verschlüsselten Mails gleicht. Eine E2E-verschlüsselte Mail kann nur durch Klick auf das verhältnismäßig kleine Schloss-Symbol verfasst werden (siehe Abbildung 1). Aufgrund der Zwischenspeicherung 4 Sicherheitsbewertung begonnener, unverschlüsselter Nachrichten bei GMX macht diese Trennung technisch Sinn, ist aber für den Laien nicht Die Erweiterung Mailvelope und auch OpenPGP.js wurde in unbedingt ersichtlich. Darüber hinaus stellen begonnene, den vergangenen Jahren durch die Sicherheitsunternehmen 9 unbeabsichtigt nicht E2E-verschlüsselte E-Mails ein Sicher- Cure53 und iSECpartners auf Schwachstellen geprüft . Die heitsrisiko dar. auf der Webseite genannten Schwachstellen wurden in der neusten Version von Mailvelope behoben. Vor der Generierung der Schlüssel muss ein Schlüssel- Abbildung 1: Darstellung der Menüleiste bei GMX. passwort festgelegt werden. Die einzige Anforderung an dieses Passwort ist eine Mindestlänge von vier beliebigen Zeichen. Das Bundesamt für Sicherheit in der Informations- technik (BSI) [10] empfiehlt im IT-Grundschutz eine Min- Wählt der Nutzer jedoch das kleine Schloss-Symbol, findet destlänge von acht Zeichen. Außerdem sollten mindestens er sich in einer Umgebung, die der gewohnten Mail-Umge- zwei der folgenden Arten von Zeichen enthalten sein: Groß- bung stark ähnelt, was eine einfache Nutzung auch durch buchstaben, Kleinbuchstaben, Sonderzeichen und Zahlen.

8 https://hilfe.gmx.net/email/mailversand.html#optionen (abgerufen am 9 https://github.com/mailvelope/mailvelope/wiki/Security (abgerufen am 29.03.2016) 29.03.2016) Eine Mindestlänge von nur vier Zeichen kann damit ein Si- Insbesondere aus Sicht der IT-Sicherheit ist die Umset- cherheitsrisiko darstellen. Falls der private Schlüssel in die zung des Verfahrens verbesserungswürdig. So besteht auf- Hände eines Angreifers fällt, ist das Passwort der einzige grund fehlender Hinweise, dem unauffälligen Schlosssym- Schutz um eine unbefugte Nutzung zu verhindern. bol und für den Nutzer irritierender Formulierungen wie Nach Eingabe des Passwortes werden ein privater und ein „vertrauliche“ Kommunikation die Gefahr ungewollt nicht öffentlicher RSA-Schlüssel der Länge 4096 Bit erzeugt. E2E-verschlüsselt zu kommunizieren. Daher sollte beim Diese Schlüssellänge erfüllt die aktuellen Sicherheitsanfor- Schreiben einer unverschlüsselten Nachricht ein entspre- derungen. So empfiehlt beispielsweise das BSI ab dem Jahr chender Hinweis erfolgen. Die Anforderungen an Schlüssel- 2017 eine Mindestlänge von 3072 Bit [11]. passwörter können aus Sicht der IT-Sicherheit als kritisch Die Erzeugung der Schlüssel wird lokal auf dem Computer angesehen werden. Diese sollten daher zukünftig an etab- des Nutzers durchgeführt. In diesem Schritt verlässt keiner lierte Empfehlungen angepasst werden. Letztlich beruht die der beiden Schlüssel dessen Computer. Somit ist die Sicher- Sicherheit des Verfahrens darauf, dass verwendete öffentli- heit der Schlüssel ohne Vertrauen in zentrale Server ge- che Schlüssel tatsächlich von den intendierten Kommunika- währleistet10. tionspartnern erzeugt wurden. Insbesondere die fehlenden Im Falle der Sicherung werden die Schlüssel und das Informationen zum Abgleich der Fingerabdrücke stellen da- Schlüsselpasswort des Nutzers in ein Paket zusammenge- her ein Sicherheitsrisiko für die Kommunikation dar. Daher fasst und mit dem 26-stelligen Wiederherstellungscode mit- sollten zukünftig eine für Laien nachvollziehbarere Möglich- tels AES-256 verschlüsselt. Laut IT-Grundschutz ist AES- keit zur Authentizitätsprüfung öffentlicher Schlüssel erar- 256 ein sicherer Algorithmus für die symmetrische Ver- beitet werden. schlüsselung und stellt daher kein Sicherheitsrisiko dar [10]. Darüber hinaus wird das Paket ausschließlich auf dem Computer des Nutzers verschlüsselt. Danksagung E2E-verschlüsselte E-Mail-Kommunikation beruht auf der Authentizität des zur Verschlüsselung verwendeten Diese Arbeit ist über CRISP durch das Bundesministerium Schlüssels. Zur Erleichterung dieser Authentizitätsprüfung für Bildung und Forschung (BMBF) und über CASED durch ist der Abgleich sogenannter Fingerabdrücke vorgesehen. die Landes-Offensive zur Entwicklung Wissenschaftlich- Aufgrund der Tatsache, dass dem Nutzer eine Beschreibung ökonomischer Exzellenz (LOEWE) finanziert. zum Abgleich der Fingerabdrücke sowie Informationen über die Notwendigkeit dieser Handlung fehlen, kann die Literatur Umsetzung dieses Sicherheitsmerkmals als unzureichend angesehen werden. [1] Whitten, A. and J.D. Tygar. Why Johnny Can't Encrypt: A Usability Ein weiteres Sicherheitsrisiko stellt die Einstellung "Nut- Evaluation of PGP 5.0. in Usenix Security. 1999. zungsstatistiken und Absturzberichte automatisch an [2] Sheng, S., et al. Why johnny still can’t encrypt: evaluating the usability Google senden" im Browser Google Chrome dar. Dadurch of email encryption software. in Symposium On Usable Privacy and könnten beim Absturz Speicherinhalte mit dem privaten Security. 2006. Schlüssel an Google gesendet werden. Auf dieses Sicher- [3] Ruoti, S., et al., Why Johnny Still, Still Can't Encrypt: Evaluating the Usability of a Modern PGP Client. 2015. heitsrisiko wird der Nutzer nur in den FAQs von Mailvelope [4] Ruoti, S., et al., “We’re on the Same Page”: A Usability Study of Secure hingewiesen. Aus Sicherheitsgründen wäre es sinnvoll den Email Using Pairs of Novice Users, in 34th Annual ACM Conference on Nutzer vor der Einrichtung darauf hinzuweisen. Human Facors and Computing Systems (CHI 2016). 2016: San Jose, CA, USA. [5] Hollingsed, T. and D.G. Novick. Usability inspection methods after 15 5 Fazit years of research and practice. in Proceedings of the 25th annual ACM international conference on Design of communication. 2007. ACM. Die Benutzbarkeitsanalyse ergab, dass die Menüführung der [6] Good, N.S. and A. Krekelberg. Usability and privacy: a study of Kazaa E2E-verschlüsselten E-Mail-Kommunikation weitestgehend P2P file-sharing. in Proceedings of the SIGCHI conference on Human auch für Laien nachvollziehbar sein sollte, da sie im Aufbau factors in computing systems. 2003. ACM. [7] Lewis, C. and C. Wharton, Cognitive walkthroughs. Handbook of der gewohnten E-Mail-Kommunikation ähnelt. Allerdings human-computer interaction, 1997. 2: p. 717-732. sollte das Symbol zum Schreiben verschlüsselter E-Mails, [8] Wharton, C., et al. The cognitive walkthrough method: A practitioner's das im Verhältnis zum regulären „E-Mail schreiben“ sehr guide. in Usability inspection methods. 1994. John Wiley & Sons, Inc. klein und unauffällig ist, präsenter gestaltet werden. Ein [9] Karat, C.-M., R. Campbell, and T. Fiegel. Comparison of empirical Hinweis auf das Symbol sollte bereits am Ende des Einrich- testing and walkthrough methods in user interface evaluation. in tungsprozesses erfolgen. Weiterhin erhält der Nutzer kaum Proceedings of the SIGCHI conference on Human factors in computing Informationen zum Mehrwert, in Abgrenzung zu „E-Mail systems. 1992. ACM. [10] Bundesamt für Sicherheit in der Informationstechnik, IT-Grundschutz- made in Germany“ und De-Mail, und zur Funktionsweise der Kataloge. 2014. E2E-Verschlüsselung. Integrierte Informationen, die ein [11] Bundesamt für Sicherheit in der Informationstechnik, konzeptuelles Verständnis für das Verfahren ermöglichen, Kryptographische Verfahren: Empfehlungen und Schlüssellängen. können außerdem die Benutzbarkeit steigern [12] und Nut- 2016. zungswahrscheinlichkeit erhöhen [13].

10 Sicherheitsbewusste Nutzer haben die Möglichkeit den Quellcode von Mailve- lope selbst zu überprüfen und zu kompilieren. [12] Ruoti, S., et al., Why Johnny Still, Still Can't Encrypt: Evaluating the Usability of a Modern PGP Client, in Conference for Human-Computer Interaction (CHI’16). 2016: San Jose, CA, USA. [13] Renaud, K., M. Volkamer, and A. Renkema-Padmos. Why doesn’t Jane protect her privacy? in Privacy Enhancing Technologies. 2014. Springer.