Ist Gmail sicher genug für Firmen? (könnte sein)

Ist Googles populärer E-Mail-Service Gmail sicher genug für Firmen? Für die meisten lautet die Antwort „ja“, doch es gibt Bereiche, in denen Gmail für die Arbeit nicht geeignet ist.

Die Standardeinstellungen von Gmail bieten recht robuste Sicherheit. Die Daten, die die Anwender sehen, werden mit dem Industriestandard – einer 128-Bit-Verschlüsselung – geschützt. Google überträgt die Daten an die Anwender über Transport Layer Security 1.1, ebenfalls ein Industriestandard. Auf Anwenderseite, werden die verschlüsselten Daten über die kryptografische SHA1-Hash-Funktion authentisiert und mit einem ECDHE_RSA-Schlüssel entschlüsselt.

Wenn sich das verwirrend anhört, ist das nur, weil wir hier über Kryptografie, also Verschlüsselung, sprechen. Und die Kryptographie ist ziemlich verwirrend für alle, die sich nicht laufend mit mathematischen Problemen beschäftigen. Einfach gesagt, sendet Google verschlüsselte Informationen, für die nur Sie den Schlüssel haben.

Für die meisten von uns ist Gmail also auch für Arbeitsaufgaben sicher genug – vorausgesetzt, es werden starke Passwörter auf geschützten Computern eingesetzt, und vor allem, wenn Googles Zwei-Faktoren-Authentifizierung genutzt wird.

Besorgniserregender ist, dass Google automatische, nicht von Menschen ausgeführte Prüfungen der Inhalte von Gmail-Konten und -Nachrichten durchführt, um dem Anwender passendere Werbung anzeigen zu können. Theoretisch ist es damit für einen Angreifer möglich, sehr viel über die Arbeit seines Opfers zu erfahren, und zwar einfach durch das Beobachten der verhaltensbasierten Werbung, die das Opfer angzeigt bekommt, oder die personalisierten Suchergebnisse. Und auch wenn keine solchen Angriffe bisher bekannt sind, heißt das nicht, dass sie nicht möglich wären.Wenn Ihre Arbeit also so vertraulich ist, dass Sie nicht möchten, dass andere darüber Bescheid wissen, sollten Sie Gmail dafür nicht einsetzen.

Technisch es es möglich, den Datenverkehr von Gmail über einen infizierten Computer und gefälschte digitale Zertifikate abzufangen, und nach den jährlichen Transparenzberichten von Google zu urteilen, steht auch außer Frage, dass Google sich an die Regeln bei gerichtlichen und anderen Anfragen von Regierungsseite hält.

Sie müssen also die Art der Kommunikation mit Gmail genau bewerten und selbst entscheiden, ob der Dienst für Ihr Unternehmen und Ihre Arbeit sicher genug ist. Wenn Sie Regimekritiker oder Aktivist sind, oder in einem Überwachungsstaat leben und gegen die Interessen Ihrer Regierung arbeiten, möchten Sie Gmail wahrscheinlich nicht nutzen. Regierungen können von Google die Herausgabe von Gmail-Informationen verlangen und in manchen Fällen kann Google auch nichts anderes tun, als die Anfrage zu bearbeiten. Zudem haben Regierungen das Geld und die Ressourcen, die Verschlüsselung von Gmail zu knacken oder gefälschte Zertifikate (wie oben erwähnt) zu bekommen. Damit hätten Sie die Möglichkeit, sich als Google auszugeben und sozusagen eine Man-in-the-Middle-Attacke durchzuführen.
Zahlreiche Experten haben darüber spekuliert, ob iranisch unterstütze Hacker im letzten Jahr die holländische Zertifikatsfirma Diginotar angegriffen hatten, so dass das Land seine eigenen Bürger ausspionieren konnte. Keiner weiß natürlich, ob das stimmt, doch die Angriffe auf Diginotar und Comodo in den letzten Jahren zeigten, dass diese Gefahr auf jeden Fall existiert. Selbst wenn für diese und andere Attacken keine Staaten verantwortlich waren, steckte doch irgendjemand dahinter. Und der Angriff auf eine Zertifikatsfirma bedeutet, dass irgendjemand sich im Internet als jemand anderer ausgibt, was dazu führt, dass ein Anwender unwissenderweise Daten über einen Dienst überträgt, der nicht das ist, was er vorgibt zu sein.

Wenn man all das bedenkt, sollten Anwender, die nicht möchten, dass die Regierung oder jemand anderes von ihrer Arbeit etwas mitbekommt, Gmail nicht nutzen – egal, ob es sich um Menschenrechte oder etwas warum auch immer illegales handelt. Generell gesagt: Wenn Sie regelmäßig mit vertraulichen Daten oder wertvollen Informationen arbeiten, sollten Sie Gmail oder andere Online-/Cloud-Mail-Systeme vielleicht nicht nutzen, denn wertvolle Informationen sind gefragt – von Cyberkriminellen, kleinen Gaunern und staatlichen Hackern.

Natürlich möchte niemand, dass sein Gmail-Konto gehackt oder seine Kommunikation abgehört wird – egal, um was es sich dabei handelt. Und es gibt sicher auch einige, die Gmail auf jeden Fall in der Firma einsetzen möchten. Daher hier ein paar Tipps:

Sie sollten Ihr Gmail-Konto nur von einem gut geschützten PC aufrufen, auf dem eine zuverlässige Sicherheitslösung installiert ist. Und noch einmal: Es ist enorm wichtig, dass Sie die Zwei-Faktoren-Authentifizierung von Google nutzen, die dabei hilft, das Konto vor Hackern zu schützen. Melden Sie sich auch immer ab, wenn Sie vom Computer weggehen, selbst wenn Sie den PC nur kurz alleine lassen. Und natürlich sollten Sie Ihren Browser, das Betriebssystem und alle anderen installierten Programme immer mit den neuesten Patches aktuell halten und unsichere Netzwerke vermeiden, vor allem unverschlüsselte öffentliche WLAN-Netze.