Vermeintliche Sicherheit: Verbraucherschützer kritisieren GMails neue ‚vertrauliche E-Mails‘-Funktion
Vor einigen Monaten hat Google die Confidential Mails eingeführt, mit denen sich vertrauliche E-Mails senden lassen, die mehr Sicherheit und Kontrolle in den E-Mail-Verkehr bringen sollen. In dieser Woche wurde die Funktion auch in der Android-App eingeführt und kann sich somit noch schneller verbreiten. Doch es gibt auch große Kritik an diesen Funktionen, die laut Experten nicht das halten, was sie versprechen.
Wer einen Brief in den Briefkasten wirft, verliert in diesem Moment die Kontrolle darüber, was mit dem Brief geschieht. Man darf zwar darauf hoffen, dass er den gewünschten Empfänger erreicht, aber das ist selbst bei Einschreiben nicht immer garantiert. Was der Empfänger dann mit diesem Brief anstellt, lässt sich natürlich auch nicht mehr beeinflussen. Das ist bei der E-Mail nicht anders, doch Google möchte mit den „vertraulichen E-Mails“ mehr Sicherheit hereinbringen.
Der Modus vertrauliche E-Mails bietet grundlegend drei Funktionen an, die normalerweise bei einer E-Mail nicht vorgesehen sind: Der Inhalt der E-Mail kann zurückgeholt bzw. der Zugriff wieder entzogen werden, die E-Mail kann ein Ablaufdatum erhalten oder sie lässt sich nur nach Eingabe eines per SMS zugestellten PIN-Codes öffnen. In allen drei Fällen ist es dem Empfänger außerdem nicht möglich, die E-Mail weiterzuleiten oder diese Auszudrucken.
Diese drei Funktionen bringen mehr Sicherheit in den E-Mail-Verkehr, sind aber eben nur ein Aufsatz auf eine Technologie, die viele Jahrzehnte auf dem Buckel hat. Grundsätzlich löst Google das Problem dadurch, dass statt dem Inhalt einer E-Mail eigentlich nur ein Link zu den Inhalten versendet werden, die auf Googles Servern gespeichert und bereitgehalten werden. GMail-Nutzer bemerken das nicht, da die Inhalte automatisch angezeigt werden, externe Nutzer hingegen sehen nur den Link und müssen diesen öffnen.
Doch es gibt viel Kritik an diesen Modi, da sie nicht das halten, was sie versprechen. Das liegt aber weniger an Lücken in diesem System, sondern viel mehr wieder einmal an der Formulierung und dem Namen des Produkts. Die US-Organisation EFF (Electronic Frontier Foundation) fasst das recht detailliert zusammen.
Es gibt keine Ende-zu-Ende-Verschlüsselung
Die Inhalte der E-Mails werden nicht zu Ende-zu-Ende-Verschlüsselt übertragen, womit es für Google theoretisch möglich ist, alle Inhalte er E-Mails mitzulesen. Wir sprechen natürlich von einer theoretischen Möglichkeit, denn GMail wird wohl eher nicht die „vertraulichen“ Mails scannen. Dennoch spricht die EFF auch von vertraulichen Mails „Between You, Me, and Google“.
E-Mails sind nicht „vertraulich“
Die EFF stößt sich vor allem an dem Begriff „vertraulich“ bzw. „confidential“, denn genau das sind die E-Mails eben nicht. Ohne die SMS-Kontrolle lassen sich die E-Mails von beliebig vielen Nutzern öffnen, sie sind auf Googles Servern gespeichert und eine Art DRM gibt es nicht. Viel mehr gibt es ein IRM (Information Rights Management). Mit diesem wird gesteuert, wie der Nutzer mit der E-Mail interagieren kann – siehe dazu auch den nächsten Punkt.
E-Mails können trotz Sperre repliziert werden
Die auf den Google-Servern gespeicherten E-Mails lassen sich weder ausdrucken noch weiterleiten, womit zumindest ein Mindestmaß an Schutz gewährleistet ist, da die Mails nicht versehentlich von anderen Nutzern gesehen werden können. Aber das heißt natürlich nicht, dass der Empfänger nicht einfach einen Screenshot macht, das Display abfotografiert oder die E-Mail einfach abschreibt. Das sollte aber natürlich jedem Nutzer klar sein.
E-Mails werden nicht nach Ablauf gelöscht
Die E-Mails können ein Ablaufdatum bekommen und sind nach der festgelegten Zeit dann nicht mehr vom Empfänger abrufbar. Das funktioniert auch wie gewünscht, allerdings sind die Mails dann nicht wirklich weg. Denn sie stehen auch danach im Gesendet-Ordner des Absenders und damit auch auf den Google-Servern zur Verfügung. Vom Löschen von E-Mails kann also keine Rede sein.
Google sammelt zusätzliche Daten
Eine Option ermöglicht es, dass der Nutzer zum Öffnen der E-Mail einen per SMS empfangenen PIN-Code eingeben muss. Diese Telefonnummer wird vom Absender festgelegt, wodurch Google zusätzliche Daten bekommt – nämlich die passende Telefonnummer zu einer E-Mail-Adresse. Anders ist mit dieser Lösung zwar nicht möglich, aber gerade bei Nutzern die auf Vertraulichkeit und Datenschutz wert legen, ist es vielleicht nicht ganz so vorteilhaft, wenn mögliche Geheimnummern für Google freigegeben werden.
All diese Dinge müssen eigentlich jedem Nutzer bekannt sein, wenn man nur kurz über dieses Feature nachdenkt. Wer eine E-Mail sehen kann, kann deren Inhalt natürlich auch weiter verbreiten. Das ist nicht die Schuld von GMail, denn auch der allerbeste Schutz bringt nichts, wenn der Nutzer notfalls einfach mit der Kamera den Bildschirm abfotografiert oder die Inhalte klassisch mit Zettel und Stift abschreibt. Das lässt sich nicht verhindern und sollte jedem klar sein.
Dass die E-Mails auf Googles Servern vorgehalten werden müssen, ist ebenso logisch und lässt sich nicht anders lösen. Entweder man versendet die Daten oder man gibt sie frei, eine dritte Variante gibt es nicht. Bei erstem gibt man die Kontrolle aus der Hand, bei zweitem behält man sie in eingeschränkter Form. Eine Lösung wäre es, externe Anbieter hinzuzuziehen oder eine Möglichkeit zu schaffen, diese E-Mails auf einem eigenem Server abzulegen. Aber auch dann könnte Google nicht mehr von „vertraulich“ sprechen, da man das selbst nicht garantieren kann.
Am Ende muss Google aber dennoch reagieren und den Modus anders bezeichnen. Das Problem hatten wir gerade erst wieder mit der Speicherung der Standortdaten in Google Maps & Co. und vor wenigen Monaten auch mit dem vermeintlichen Inkognito-Modus im Chrome-Browser, der von vielen Nutzer falsch verstanden wird und aus diesem Grund auch umbenannt wird.
» Informationen zu den vertraulichen E-Mails beim Google Support
Siehe auch
» Confidential Mode: Das neue GMail kann E-Mails mit Ablaufdatum und Autorisierungszwang versenden
» GMail Confidential Mode: Vertrauliche E-Mails lassen sich jetzt auch über die Android & iOS-Apps versenden
» Google Maps & Co.: Nach Kritik an Speicherung der Positionsdaten ändert Google die Formulierungen
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Gerade getestet.
Man muß eigentlich nichts abfotografieren oder abschreiben.
Ein Screenshot/Scrollshot ist problemlos machbar.
d.h. Mehr als ein zusätzliches kleines Mosaiksteinchen für ein kleines bisschen mehr
„Sicherheit“ ist das eigentlich nicht. Und ja, über die Bezeichnung „vertraulich“ kann
man durchaus geteilter Meinung sein.
Aber eigentlich alles nichts neues….und. wer e-Mails mit einem Brief (und dessen Briefgeheimnis)
gleichsetzt, der hat e-Mails sowieso und sehr grundsätzlich nicht verstanden.
Danke für die differenzierte Betrachtung Jens. Am Ende muss sich der User mit dem Thema beschäftigen und selbst schauen, was er bekommt und wozu er es gebrauchen kann.
Von einem Wort – das nun mal unterschiedliche Bedeutungen hat – kann man nicht irgendwelche überzogenen Erwartungen ableiten. Außer natürlich, wenn man Datenschützer ist.
Ich denke, man kann durch aus damit rechnen, dass „vertrauliche“ Mails vertraulich (im Sinne der aktuellen technischen Möglichkeiten) sind. Leider ist Verschlüsselung die einzige wichtige Funktion, die GMail nicht bietet. Und auch niemals bieten wird, solange Googles Geschäftsprinzip auf personalisierte Werbung setzt. Dass es problemlos möglich wäre, sieht man ja an einigen Messengern (Signal, Telegram und selbst Whats-App zum Teil).
Finde schön, dass der Artikel die Kritik der EFF so gut zusammenfasst. Allerdings würde ich davon abraten von der eigenen Kenntnis auf andere zu schließen. Sicherlich kann man davon ausgehen, dass diese E-Mails nicht wirklich „vertraulich“ sind, gerade wenn man sich mit Materie auskennt und weiß wie Google funktioniert. Aber viele wissen das nicht und vertrauen auf die Gutmütigkeit der Entwickler. Ein wenig Skepsis tut bei einem so unfassbar mächtigem Unternehmen natürlich immer gut.
Ich glaube, Menschen, die für sich selbst entscheiden, dass eine Information vertraulich sein soll, könnten durch diese Funktion glauben, sie hätten einen sicheren Weg gefunden. Das könnte tatsächlich gefährlich werden, falls zum Beispiel Widerstandsanhänger in Diktaturen darauf vertrauen.
Ich verstehe einfach nicht, warum Google echte Verschlüsselung nicht anbietet. Angeblich werden die Mails ja nicht gescannt, also was hätten sie zu verlieren. Vielleicht wollen sie sich auch die Option offen lassen, ihre Policy wieder zu ändern und dann rückwirkend die Mails zu scannen? Zumindest würde das erklären, warum selbst die vertraulichen Mails nach Ablauf weiterhin gespeichert bleiben (im Gegensatz zu vergleichbaren Funktionen von Telegram z.B.).