Datensicherheit im e-Mail-Verkehr Test von Security E-Mail V2.5 von Profiler3d

Die zunehmende Einsehbarkeit des elektronischen Schriftverkehrs nimmt in Anbetracht der steigenden Entwicklung in der Datentechnologie, Überwachung durch staatliche Einrichtungen und anderweitiger Wirtschaftsinteressen einen immer höheren Stellenwert ein. Nicht der bekannte 11. September ist alleinige Ursache für die Zunahme des Lauschen, Lesen oder Aufzeichnen der Datenströme & -Inhalte, dies hat es zuvor ebenso schon gegeben. Nicht nur Behörden haben heute Interesse daran, Inhalte oder den Datenverkehr zu verfolgen, sondern eine viel größere Bandbreite, bis hin zum einfachen User, dem es einfach nur Spaß macht, sich Inhalte von Emails anderer Menschen auf den eigenen Bildschirm anzusehen.

Viele Internetnutzer wie Nicht-Nutzer stehen, wenn es um die Fragen der Sicherheit von Daten on- und offline geht, dem Thema gleichgültig gegenüber. Die Begründung: Es gibt ohnehin nichts zu verbergen. Diese Aussagen haben jedoch mit dem Grundrecht auf Schutz der Privatsphäre gar nichts zu tun. Mit jedem Tag werden wir Menschen transparenter, unsere Handlungen, gerade im Nutzungsverhalten innerhalb elektronischer Bereiche wie Mobiltelephon oder Internet, haben Folgen. Ob wir diese nun bewusst wahrnehmen oder nicht.

Heute werden teilweise in Email-Clienten Verschlüsselungstechnologien integriert, die im Einklang mit Interessen von Weltkonzernen entwickelt wurden. Dies sollte mit Skepsis betrachtet werden. Microsoft ist beispielsweise schon öfters einschlägig in die Schlagzeilen geraten, weil der Konzern Einsicht in Daten genommen hat, die ihn, um es einmal lapidar zu formulieren, schon gleich gar nichts angehen.

Gegenwärtig ist die Verbreitung von Verschlüsselungssoftware die einen gesichterten e-Mail-Verkehr zwischen Absender und Empfänger gewährleistet, eher Ausnahme als Regelfall. Mit Sicherheit wird es nur noch wenige Jahre dauern, bis die breite Masse der User die Notwendigkeit von sicherer Verschlüsselungssoftware im Alltag des Internets erkennt. Zahlreiche Unternehmungen bieten gegenwärtig die Verschlüsselungsmöglichkeit von e-Mail-Anhängen an, jedoch eine praktikable Lösung für die e-Mail in ihrer Gesamtheit, findet sich nur in geringerem Maße.

Für diesen Beitrag haben wir ein Programm begutachtet, daß laut dem Entwicklerteam Günter HANDRICH & Michael GOUJOV, von Profiler3d, am 1. Juni 2004 zu einem Preis von 49,95 € mit der Bezeichnung Security E-Mail V2.5 veröffentlicht werden soll. Die Besonderheit der Verschlüsselungstechnologie dieses Programms liegt in folgenden Punkten:

E-Mail Security V2.5 von P3dE-Mail Security V2.5 von P3d – Verschlüsselung von e-Mails

  • die Verschlüsselung erfolgt mittels eines nichtlinearen symmetrischen Verfahrens;
  • Das Programm wurde so konzipiert, daß es keine Einschränkung für die Schlüssellänge (Kennwortlänge) gibt und das Passwort auch nicht mit der Datei gespeichert wird;
  • Laut Herstellerangaben befindet sich in der codierten Datei selbst keine Funktion, die es ermöglicht, das Passwort abzufragen;
  • Der Versuch einer automatisierten Kennwortrasterung ist zusätzlich erschwert, da jede Eingabe eines falschen Kennwortes zu einer falschen Decodierung der Mail führt, und diese somit unleserlich bleibt.

Die Konzeption des Verschlüsselungsprogrammes erfolgte auf der Grundlage folgender Ausgangspunkte:

  • Es muß vom Betriebssystem unabhängig sein;
  • Die Speicherung von Kennwörtern und Kontrollsummen darf nicht erfolgen;
  • Es darf keine Funktion beinhalten, die die Gültigkeit des Passwortes überprüft;
  • Auch bei falscher Passworteingabe muß ein Ergebnis bei geöffneter e-Mail zu sehen sein;
  • Um die automatisierte Entschlüsselung zu erschweren, muß die Art der Datei auch unkenntlich gemacht werden.

Alle Punkte, auf deren die Entwicklung basiert, sind essentiell, daher ist dieses Programm aus Sicht der Verschlüsselung sehr empfehlenswert.

geöffnete e-Mail-Ansicht nach Paßworteingabe geöffnete e-Mail-Ansicht mit falschem Paßwort

links: verschlüsselte e-Mail geöffnet | rechts: Ansicht der geöffneten e-Mail mit falscher Passworteingabe

So gut die Verschlüsselung auch ist, gibt es derzeit jedoch noch einige Punkte, die uns nach unterschiedlichsten Testläufen zu der Empfehlung bewegen, nochmals an den Schreibtisch zurückzukehren und eine Überarbeitung des Programmes vorzunehmen. Dazu die Anführung der wesentlichen Punkte:

  • Security E-Mail V2.5 verfügt über eine sogenannte Email-Vorschau ohne vorangegangenem Download der Mail vom Server. In zahlreichen unterschiedlichen Probedurchgängen war es jedoch nicht möglich, eine tatsächliche Vorschau am Server zu erreichen. Sofern das Programm auf eine e-Mail zugriff, erfolgte auch gleichzeitig der Download des gesamten Datenvolumens. Je nach Konfigurationseinstellung des e-Mail-Clienten verblieb dann gegebenenfalls die gleiche e-Mail am Server und wurde beim nächsten Serverbesuch wieder ausgewiesen. Die Ansicht der Headerdaten über den Server, wie beispielsweise bei Vivian Mail 3, war nicht möglich.

Voransicht am Server bei Vivian Mail 3Voransicht am Server bei Vivian Mail 3

Die Voransicht über den Server kommt dem Verlangen vieler User nach, daß eingelangte Post vorab begutachtet werden kann. Damit wird eine sehr effiziente Entscheidungshilfe gegeben, die in Anbetracht der Virenflut und wahnwitzig hoher, per e-Mail unaufgefordert verschickter Datenvolumen der Beschädigung des eigenen Systems entgegentreten. Der User, ist wie bei unserem Beispiel mit Vivian Mail3, in der Lage, die Post auf unterschiedliche Weisen zu behandeln. Er hat die Möglichkeit, diese direkt am Server ungelesen zu löschen, vom Server auf den PC zu holen und dort automatisiert zu löschen oder die Kopie zu ziehen und das Original auf dem Server zu belassen. Eine perfekte Lösung, die nur wenige Email-Clienten offerieren.

  • Während des Arbeitens innerhalb von Security E-Mail V2.5 ist es nicht möglich, gleichzeitig mehr als eine Email zu öffnen/bearbeiten. Es erscheint auch in der unteren Bildschirmleiste keine Registerkarte, die es ermöglichen würde, innerhalb von unterschiedlichen Emails von einer zu anderen zu wechseln. Sofern eine Email geschrieben wird oder mittels Reply-Button eine Antwort auf eine eingelangte Post erfolgen soll und man beispielsweise in ein anderes Programm wechselt, um dort Daten einzusehen bzw. zu kopieren, passiert es, das die gesamte Email verschwindet. Um diesen Datenverlust vorzubeugen, sollte man die neue Email sicherheitshalber zuvor speichern. Das hatte jedoch zur Folge, daß es mehrfach nicht möglich war, diese e-Mail nach Fertigstellung abzusenden. Selbst mit dem Verschieben in den Ordner der zu versendenen Nachrichten und mit dem nochmaligen „Senden“-Klick versehen, wurde die Email dennoch nicht abgeschickt, obwohl eine Audio-Meldung den Versand bestätigte. Dies ist ein wunder Punkt, da es bei mehreren Durchläufen auch zum umgekehrten Fall kam. Die im Programm integrierte Tonansage teilte mit, daß die Nachricht nicht verschickt werden konnte, dennoch gelangte sie zum Empfänger. Man müßte sich durch Einsicht in dem Ordner der versendeten Nachrichten jedes Mal davon überzeugen, ob nun tatsächlich ein Versand erfolgt ist oder nicht und darf sich auf die Stimme der freundlichen Frau nicht verlassen;

Registerleiste des unteren BildschirmrandesRegisterleiste des unteren Bildschirmrandes

  • In der Bildschirmansicht können die Header-Daten eingesehen werden, jedoch ist die Aufteilung nicht dem Umfang der jeweiligen Gruppen gerecht eingeteilt.Während für die Daten des Absenders, Empfängers und des Betreffs ungenügend Platz vorhanden ist, bleibt im rechten Teil der Bildschirmansicht überproportional viel Platz ungenutzt. Jedoch werden die wichtigen Daten des linken Blocks einfach abgeschnitten.

Screenshot der Platzeinteilung bei Security E-Mail V2.5Screenshot der Platzeinteilung bei Security E-Mail V2.5

  • Wenn e-Mails gelöscht werden sollen, dann können nicht gleichzeitig mehrere markiert und zusammen in den Papierkorb gelegt oder mittels Lösch-Button entsprechend verschoben werden. Die endgültige Löschung aus dem Papierkorb kann nur Mail für Mail erfolgen.
  • Eine Konfiguration mit einer SSL-Serververbindung war trotz entsprechender Port-Eingabe in das Konfigurationsmenü nicht möglich, das Programm hing sich bei Verbindungserstellung jedes Mal auf, ein manueller Abbruch über die entsprechenden Fensterauswahl führte im Programm zur Instabillität;
  • Bei geöffnetem e-Mail-Clienten erhöhte sich auch in allen anderen Anwendungen die Blinkfrequenz des Cursors, was visuell als unangenehm empfunden wird;
  • Gerade für Mehrfacharbeitsplätze ist das Einfügen von unterschiedlichen Signaturen von großer Bedeutung. Bei Security E-Mail V2.5 ist das Einfügen von Signaturen gar nicht erst möglich;
  • Die integrierte Stimme, die den User auch beim Öffnen der Software je nach Tageszeit begrüßt, ist eine nette Sache, wenn man jedoch 14 e-Mails vom Server abholt, dann wird der Download unnötig verlängert, da die verbale Mitteilung über die Abholung jeder einzelnen e-Mail erfolgt. Die Stimme kann verständlicherweise nicht der Geschwindigkeit des Downloads folgen. Somit wird der entsprechende Sound für jede e-Mail abgespielt, bevor die nächste e-Mail gezogen wird.
  • Nach dem Verschieben von e-Mails von einem Ordner in einen anderen erfolgt eine Veränderung der Textansicht. Man erhält unvermutet am Bildschirm nach Öffnung einer verschobenen Nachricht die HTML-Quelltextansicht (Codeansicht)
  • Sofern man Textformatierungen vornimmt, ist das Resultat bei unterschiedlichen Empfängern mit verschiedenen E-Mail Clienten uneinheitlich. Beispielsweise war eine Farbänderung eines Wortes gar nicht ersichtlich und in einem weiteren Fall anstelle eines einzelnen gefetteten Wortes der ganze Absatz ab dieser Stelle in Fettdruck zu sehen.

Resumée

Selbst wenn das Programm das Doppelte des obigen Preises kosten würde, ist die Verschlüsselungstechnologie den Preis mit Sicherheit wert. Die hier bemängelten Punkte gehören jedenfalls einer Überprüfung und Anpassung unterzogen. Beispielsweise die Bearbeitung von mehreren e-Mails zugleich und das Einfügen von Signaturen sollten ein Selbstverständnis darstellen, wie auch die Möglichkeit einer SSL-Serververbindung. Eine reale Begutachtung der e-Mails am Server mit dortiger Bearbeitung würden das Programm in eine Sphäre aufsteigen lassen, die für Konkurrenten wohl schwer zu erreichen sein dürfte.

In der vorgelegten Form ist es jedoch im Puncto Userfreundlichkeit und -verhalten noch nicht zu empfehlen.

Dem Entwicklerteam Profiler3d wurde unser Testbericht übermittelt. Laut dessen Angaben sind gegenwärtig entsprechende Überarbeitungen im Gange. Nach Fertigstellung und neuerlicher Begutachtung werden wir berichten.

Reaktion vom Entwicklerteam

Das Entwicklerteam übermittelte uns in der 27. Kalenderwoche folgendes Schreiben, das wir auszugsweise zitieren:

Ihre Anregungen und Kritik in Ihrem Artikel zu Security E-Mail V2.5, haben uns veranlasst unseren E-Mail Clienten nochmals gründlich zu überarbeiten. Wie mit Ihnen besprochen übersenden wir Ihnen, die neue überarbeitete Version.

Die verbesserte Version reichte noch nicht für eine uneingeschränkte Empfehlung aus.

050606

Schreibe einen Kommentar