Bitmessage (PyBitmessage) – Sichere Alternative zur E-Mail?

Computer und Sicherheits-Wissen Artikel 26


Tech-Writer Uwe und Thomas

Tech-Writer Uwe und Thomas am 26.10.2016



Gesamt: 2286
Dieses Jahr: 937
Diesen Monat: 22
Diese Woche: 11
Heute: 1


E-Mails werden meist unverschlüsselt übermittelt, vergleichbar einer Postkarte. Insbesondere die E-Mail-Provider, wie beispielsweise Google (gmail.com) oder Yahoo, sind durch ihre automatisierten E-Mailscanner in die Schlagzeilen geraten. Längst wissen die meisten, dass eine E-Mail wie eine Postkarte von Dritten gelesen und ausgewertet werden kann. Die klassische E-Mail ist heute zum großen Teil von Spam (unerwünschte Werbung), Viren und Phishing-Attacken geprägt. Nicht einmal die Identität des Absenders kann garantiert werden oder ein befallener PC nutzt die eigene E-Mail um im Geheimen Schadsoftware oder kriminelle Inhalte zu übermitteln.


Copyright und Lizenz: Selbst erstellte Grafik zum Blog über Bitmessage.

In diesem Blog möchte ich euch gerne die kostenlose Alternative Bitmessage (PyBitmessage) vorstellen, die unter dem Link https://bitmessage.org/wiki heruntergeladen werden kann.

Zunächst möchte ich aber nochmals auf die Gefahren der klassischen E-Mail eingehen.

Was gehört nicht in eine unverschlüsselte E-Mail

Immer wieder erleben wir, dass äußerst sensible Daten wie Passwörter, Konto- und Kreditkartendaten, private Nachrichten und Bilder unverschlüsselt gesendet werden. Automatisierte Scanner und Schadsoftware analysieren den Inhalt der E-Mail und erstellen im simpelsten Fall ein Profil von dir. Dieses Profil kann an die Werbeindustrie für gutes Geld verkauft werden und du erhältst personalisierte Werbung entsprechend deinen Interessen oder Wünschen.

Passwörter, Kreditkartendaten und private Bilder können abgefangen und auf Foren (meist im Deepweb) veröffentlicht oder verkauft werden. Insbesondere Geheimdienste und Strafverfolgungsbehörden haben ein großes Interesse am Inhalt deiner E-Mails. Eine unverfängliche E-Mail an einem Freund mit dem Inhalt: "Ich flieg in die USA und lass da mal ne Bombe platzen...", kann schon mal zu einem mehrtägigen Aufenthalt im Untersuchungsgefängnis führen.

Warum die E-Mail nicht einfach verschlüsseln?

Die meisten Verschlüsselungs-Apps sind für die meisten Nutzer zu umständlich oder kompliziert. Häufig ist die Unsicherheit darin begründet, ob mein Gegenüber diese E-Mail auch wieder öffnen und lesen kann. Wenn ich eine E-Mail für einen oder mehrere Empfänger verschlüssele, so müssen diese Empfänger auch in der Lage sein diese wieder zu entschlüsseln. Damit der Nutzer nicht ständig seine geheimen Passwörter für die Entschlüsselung an die Empfänger weiter geben muss, wurde das zertifikatsbasierte X.509- oder PGP-System entwickelt. Hierbei werden 2 Schlüssel benötigt. Erstens der öffentliche Schlüssel (PUBLICKEY) zum Verschlüsseln und zweitens der passende geheime Schlüssel (PRIVATEKEY) zum Entschlüsseln. Dieses System ist äußerst sicher und wird heute im professionellen Umfeld erfolgreich eingesetzt. Leider ist dieses System mit PUBLIC- und PRIVATEKEY für viele Anwender zu kompliziert oder aufwendig. Schlussendlich will der Nutzer mit „diesem technischen Kram“ nichts zu tun haben, sondern einfach und schnell mit seinem Gegenüber kommunizieren.

Sollte ich weiterhin E-Mails zur Kommunikation nutzen?

Für den größten Teil unverfänglicher Kommunikation kann die E-Mail in ihrer klassischen Form weiter verwendet werden. Jedoch sollten keine geheimen oder sensiblen Daten übermittelt werden. Eine E-Mail sollte vom Sender auch so erstellt werden, dass der Empfänger am Betreff, Wortwahl und Form die Seriosität erkennen kann. Eine E-Mail an Dritte sollte immer persönlich mit einem klaren Anliegen erstellt werden. Auf Anlagen (Attachments) sollte weitestgehend verzichtet werden, weil diese meist empfängerseitig automatisch entfernt werden. Attachments werden gerne zum Verbreiten von Schadsoftware verwenden und sollten auch vom Empfänger NIE ohne Prüfung oder Nachfrage geöffnet werden. Falls eine Anlage unbedingt erforderlich ist, sollte diese insbesondere bei Bewerbungen als PDF-Dokument beigelegt werden.

Tipp beim Umgang mit E-Mails

Schadsoftware kommt in vielen Fällen entweder beim Surfen im Internet oder mit E-Mails auf den eigenen PC. Virenscanner bieten hier kaum oder besser keinen Schutz und melden den Virus erst (wenn überhaupt), wenn es zu spät ist. Aus diesem Grund sollte wie beim Surfen im Internet mit E-Mails von Unbekannten aber auch von Freunden sehr vorsichtig umgegangen werden. Generell empfehlen wir die E-Mail nicht im Browser abzurufen, sondern mit einem externen Programm, wie Outlook oder Thunderbird. Zudem sollte die automatische Vorschau der E-Mail-Nachricht deaktiviert sein. Im Zweifelsfall sollte wie folgt vorgegangen werden:

  1. Direkt beim Absender nachfragen, ob er die E-Mail auch wirklich verschickt hat.
  2. Die E-Mail als Textdatei (*.txt) auf der Festplatte speichern. Hierbei werden alle aktiven Elemente entfernt und die Nachricht kann mit Notepad oder einem anderen Editor ohne Gefahr geöffnet werden.
  3. Die E-Mail ohne zu öffnen einfach löschen.

Die Alternative "Bitmessage"?

Nun sind wir beim eigentlichen Thema des Blogs. Für die Kontaktaufnahme zu Unbekannten kann auf die klassische E-Mail nicht verzichtet werden. Im Bekannten-, Freundes- und auch Arbeitskreise ist die Verwendung von "Bitmessage" jedoch eine Alternative.

Screenshot: Bitmessage Fenster
Copyright und Lizenz: Selbst erstellter Screenshot der Anwendung Bitmessage

Bitmessage verwendet ein dezentralisierte Peer-to-Peer Kommunikationsprotokoll zum Versenden und Empfangen von verschlüsselten Nachrichten an einzelne oder mehrere Empfänger. Das Gute dabei ist, dass der Anwender sich um die Ver- und Entschlüsselung nicht selber kümmern muss. Die Kommunikation erfolgt über OpenSSL, wobei der Schlüsselaustausch automatisch und im Hintergrund erfolgt. Um mit einem neuen Partner kommunizieren zu können, muss nur eine 37-stellige Zeichenkette (Hash des öffentlichen Schlüssel) ausgetauscht werden, welche mit „BM-„ beginnt.

Bitmessage kann Nachrichten mit Anlagen wie gewohnt erstellen und an eine oder mehrere Personen senden. Der Inhalt wird dabei direkt auf dem Client (PC) verschlüsselt und erst beim Empfänger (PC) entschlüsselt. Der gesamte Kommunikationsweg über den eigenen ISP (Internet Service Provider), E-Maildienstleister über die diversen Abgriff-Punkte von Geheimdiensten und Strafverfolgungsbehörden bis hin zum E-Maildienstanbieter und ISPs des Empfängers.

Verwendung von Bitmessage, kurz skizziert:

Einrichten:

Nach der Installation öffnet sich das Bitmessage-Fenster. Im Tab „Nachrichten“ befindet sich der Schalter „Neue Identität“. Darüber öffnet sich ein Dialog, wo Ihre persönliche Adresse erstellt wird.

Empfänger anlegen:

Um kommunizieren zu können, muss die Empfängeradresse in Bitmessage eingetragen werden. Dazu wird zum Tab „Senden“ gewechselt. Über den Schalter „Kontakt hinzufügen“ und links öffnet sich ein Dialog. Unter Adresse wird der 37-stellige und mit „BM“ beginnende Hash-Wert des Kontakts eingetragen. Damit eine Zuordnung der Adresse zu einer Person erfolgen kann, sollte ein eindeutiger Name oder Alias unter „Name oder Bezeichnung“ angegeben werden.

Nachricht verschicken:

Nach dem Anlegen des Kontakts kann auch direkt im Tab „Senden“ eine Nachricht erstellt werden. Unter „Von“ werden Ihre Identitäten in einem Pulldown-Menü angezeigt. Unter „An“ erscheinen die entsprechenden Kontakte nach eintippen des ersten Buchstabens. Wählen Sie den entsprechenden Kontakt aus. Mehrere Empfänger können, wie bei E-Mail-Programmen gewöhnt, mittels Semikolon getrennt werden. Noch „Betreff“ und „Nachricht“ eingeben und auf den Schalter „Senden“ klicken.

Weitere Tabs:

Unter "Abonnenten" können Broadcast verwaltet werden. Das heißt, es kann ein Rundbrief an alle Abonnementen geschickt werden.

Der Tab „Chan“ ist wichtig, wenn auf mehreren Geräten derselbe private Schlüssel verwendet werden soll. Somit erhalten alle Geräte oder auch mehrere Personen dieselbe Kopie eine an eine Adresse verschickte Nachricht.

„Blacklist“ ist jedem klar, hier können einzelne Adressen geblockt werden.

Und unter "Netzwerkstatus" werden die Verbindungen zu anderen Rechnern mit Bitmessage, sowie eine Statistik der Aufgaben angezeigt.

Weitere Infos auch im deutschsprachigen Forum: https://bitmessage.org/forum/index.php/board,4.0.html

Kurzum, der Inhalt deiner E-Mail wird sicher übermittelt und die Identität des Absenders durch dessen öffentlichen Schlüssels gesichert. Wir setzten untereinander und mit Freunden nur noch Bitmessage ein. Es erspart uns den gesamten Spam, Werbung und Viren. Jede E-Mail die auf Bitmessage reinkommt, ist im privaten oder geschäftlichen Rahmen authentisch.

Fazit:

Bitmessage kann die klassische E-Mail nicht ersetzen, dazu ist das Ganze zu wenig verbreitet. Dieser Nachteil ist aber insbesondere ein Vorteil für den kleinen Rahmen. Durch die geringe Verbreitung ist Bitmessage zurzeit noch von ungewollten und schädlichen E-Mails verschont und sehr überschaubar. Es spart Zeit und beim schnellen entfernen von Spams werden nicht versehentlich wichtige E-Mails von Freunden, Bekannten oder Arbeit gelöscht.

Die Oberfläche von Bitmessage könnte noch optimiert werden. In einigen Punkten hapert es an der Bedienbarkeit. Allerdings handelt es sich noch um eine BETA-Version, die zukünftig diese schwächen beseitigen wird.

Impessum des Autor Kontakt zum Autor