Google hat kürzlich ein
neues Google Mail-
Design eingeführt . Falls gewünscht, kann jeder Benutzer darauf umsteigen, und bald werden alle Benutzer von G Suite
gezwungen sein, zu übertragen .
Dieses Design implementiert mehrere neue Sicherheitsfunktionen, einschließlich des sogenannten
vertraulichen Modus . Hier legt der Absender die Gültigkeitsdauer des Briefes fest, nach der er „verschwindet“. Zumindest sollte das funktionieren. Tatsächlich
gibt es verschiedene Möglichkeiten , um diesen Schutz zu umgehen, die empfangene Nachricht zu speichern, zu kopieren oder zu drucken.
Erstellen eines vertraulichen Google Mail-Briefes: Das Datum, an dem die Nachricht verschwunden ist und der Aktivierungscode aus der SMS eingegeben wurde, der eingegeben werden muss, um Zugriff darauf zu erhaltenGoogle nennt dieses System Information Rights Management - ein Begriff, den
Microsoft vor mehr als einem Jahrzehnt für eine ähnliche Funktion in Microsoft Office
erfunden hat. In Wirklichkeit ist dies eine Art DRM-Analogon, nur für E-Mail.
Spezialisten der Electronic Frontier Foundation sehen
verschiedene Probleme bei der Implementierung des Google Mail-Datenschutzmodus.
Leichtfertiger Schutz
Erstens sind dies einfache Methoden, um diesen „Schutz“ zu umgehen. Natürlich können Sie einen Screenshot des erhaltenen Briefes machen. Sie können es einfach in seiner ursprünglichen Form speichern. Obwohl Google Mail keine Schaltfläche zum Speichern oder Herunterladen von E-Mails hat, gibt es eine solche Schaltfläche im Browser, die normalerweise bei vertraulichen Nachrichten funktioniert.
Zweitens wird der Brief nicht vollständig gelöscht. Er wird weiterhin im Ordner "Gesendete Objekte" des Absenders gespeichert, dh auf den Servern von Google. Selbst wenn sowohl der Absender als auch der Empfänger auf die Schaltfläche "Dauerhaft löschen" geklickt und den Papierkorb geleert haben, werden E-Mails
bis zu 60 Tage lang auf den Servern von Google gespeichert.
Schließlich verbietet Google das Drucken vertraulicher E-Mails über die Weboberfläche. Dieser Schutz wird jedoch mithilfe von
@media print CSS-Regeln implementiert, die den Hauptinhalt während des Druckvorgangs verbergen. Das Druckverbot aufzuheben ist sehr einfach. Öffnen Sie beispielsweise im Firefox-Browser den Stil-Editor in der Webkonsole und löschen Sie die unnötigen Regeln. Alternativ können Sie einfach auf das augenförmige Symbol links klicken und alle CSS-Stile auf der Seite deaktivieren. In anderen Browsern mit integrierten Entwicklertools können Sie
@media print im Code finden,
@media print oder löschen. Aber in Firefox ist dies wahrscheinlich der einfachste Weg.
Im Allgemeinen sind die
@media print im Standard implementiert, um dem Benutzer das Drucken einer Seite ohne unnötigen „Müll“ zu
@media print . Das heißt, Google verwendet diese Regel für andere Zwecke und missbraucht sie,
sagen Experten .
Google hat auch einige Tricks verwendet, um das Kopieren und Einfügen zu blockieren, aber sie können auch umgangen werden.
Erstens verfügt dieses CSS über eine
user-select Eigenschaft, die
verhindert ,
dass Text ausgewählt wird . Es wird in Firefox über denselben Stileditor deaktiviert: Deaktivieren Sie einfach alle Stile oder schreiben Sie eine eigene Regel, die das normale Verhalten (automatisch) bei der Auswahl von Text zurückgibt.
Zweitens hat Google JavaScript implementiert, das
das Kontextmenü blockiert , mit dem Sie Text kopieren können. Diese Einschränkung wird in Firefox in der Konfiguration
about:config , wobei die Einstellung
dom.event.contextmenu.enabled auf
false (false bedeutet, dass JavaScript das Kontextmenü nicht blockieren kann).
Die Illusion von Sicherheit
Es ist davon auszugehen, dass selbst ein derart unzuverlässiger Schutz von Briefen besser ist als gar keiner. Dies ist leider nicht so. Experten für Informationssicherheit haben wiederholt gewarnt, dass Benutzer unter solchen Bedingungen die Illusion von Sicherheit haben. Aus diesem Grund sind sie bei der Übertragung vertraulicher Informationen rücksichtsloser und verlassen sich unnötigerweise auf die Sicherheit und den Datenschutz von Google Mail-Briefen. Mit anderen Worten, ein solcher Schutz kann sogar
den tatsächlichen Schutz von Informationen
verschlechtern und die Anzahl der Lecks vertraulicher Dokumente erhöhen.
„Wenn Geld, wenn der Markt Sicherheitsmaßnahmen festlegt und Menschen Entscheidungen auf der Grundlage eines Sicherheitsgefühls treffen, ist es das klügste, was ein Unternehmen aus wirtschaftlichen Gründen tun kann, den Menschen ein Gefühl der Sicherheit zu geben. Und es gibt immer zwei Möglichkeiten, dies zu erreichen. Erstens können Sie Menschen wirklich schützen und hoffen, dass sie aufmerksam sind. Oder die zweite - Sie können
ein Gefühl der Sicherheit schaffen und hoffen, dass sie nicht darauf achten “, sagte Bruce Schneier in seinem
TED-Vortrag mit dem Titel„ Die Illusion der Sicherheit “.
DRM in der Mail
Spezialisten der Electronic Frontier Foundation (EFF) machen darauf aufmerksam, dass die End-to-End-Verschlüsselung nicht im vertraulichen Modus verwendet wird, dh der Brief wird weiterhin in klarer Form über Google-Server übertragen, und das Unternehmen verfügt über die technische Möglichkeit, Kopien von Briefen unabhängig davon unbegrenzt zu speichern festgelegtes "Datum der Entfernung".
Um den SMS-Schutz zu aktivieren, muss der Absender außerdem die Google-Handynummer des Empfängers offenlegen, möglicherweise ohne die Zustimmung des Empfängers.
Laut EFF stützt sich das in Google Mail implementierte IRM-System (DRM) nicht auf Technologie, sondern auf das
Digital Millennium Copyright Act (DMCA) von 1998, das Dritten ausdrücklich untersagt, diesen Schutz zu umgehen. Bei der ersten derartigen Verletzung drohen bis zu fünf Jahre Gefängnis und eine Geldstrafe von bis zu 500.000 US-Dollar. Theoretisch kann das Deaktivieren des Schutzes im Firefox-Editor für Webkonsolenstile auch als Verstoß gegen die DMCA angesehen werden. Theoretisch hat Google das Recht, Druck auf Firefox-Entwickler auszuüben, um diese Funktion für Google Mail zu deaktivieren, und Erweiterungsentwickler von Drittanbietern zu verfolgen, die versuchen, diese Funktionalität an Firefox zurückzugeben.
"Wir glauben, dass Produkte für die Informationssicherheit nicht auf die Gerichte angewiesen sein sollten, um ihre angeblichen Garantien zu geben, sondern auf Technologien wie
End-to-End-Verschlüsselung , die tatsächliche mathematische Garantien für die
Vertraulichkeit bieten", heißt es in der EFF-
Erklärung . "Wir glauben, dass die Verwendung des Begriffs" vertraulicher Modus "für eine Funktion, die keine Vertraulichkeit gewährleistet, wie dieser Begriff im IS verstanden wird, irreführend ist."
EFF ist der Ansicht, dass unverschlüsselte E-Mails nicht vertraulich behandelt werden können. Dies gilt auch für den „vertraulichen Modus“ von Google Mail. Möglicherweise ist diese Funktion in einer engen Unternehmensumgebung sinnvoll, aber für die meisten Benutzer gibt es keine Garantien für den Datenschutz und die erforderlichen Funktionen für eine sichere Kommunikation. Erstens gibt es keine zuverlässige
End-to-End-Verschlüsselung von E-Mails mit digitaler Signatur.
