Wie Sie E-Mails verschlüsseln
E-Mails gehören zum Alltag, ob beruflich oder privat. Waren die elektronischen Nachrichten früher einfache Textdateien, die völlig transparent und von jedem Administrator lesbar ihren Weg durch das Internet fanden, haben die Provider viel in größere Sicherheit investiert.
Um von diesen Bemühungen zu profitieren, ist es aber notwendig, sich an die Vorgaben und Hinweise seines Anbieters beim Einrichten eines Mailkontos zu halten. Dann genießen Sie bereits einen soliden Schutz Ihrer Privatsphäre.
Mehr Schutz mit Ende-zu-Ende-Verschlüsselung
Wenn Sie noch mehr Sicherheit wollen oder regelmäßig besonders vertrauliche Informationen per Mail austauschen wollen, gibt es nur ein sinnvolles Mittel, und das ist die Verschlüsselung von Nachrichtentext und auch Dateianhängen. Diese Verschlüsselung sollte vom Absender bis zum Empfänger durchgehalten werden. Deswegen wird auch von Ende-zu-Ende-Verschlüsselung gesprochen. Damit ist dann garantiert ausgeschlossen, dass ein Unbefugter Zugriff auf die Inhalte Ihrer elektronischen Post hat. Denn schließlich machen auch Administratoren einmal Fehler. Und wenn beispielsweise der Mailserver nicht richtig konfiguriert wurde, ist die Verschlüsselung möglicherweise nicht vollständig. Und dass sich allerlei Geheimdienste für den Inhalt von E-Mails interessieren, ist ja auch schon lange ein offenes Geheimnis.
Das Kommunikationsmittel E-Mail ist inzwischen sehr vielfältig. Viele Anwender schwören auf den Einsatz von speziellen Mailprogrammen wie Outlook von Microsoft, die Mail-App auf dem Mac oder das kostenlose Thunderbird. Andere Nutzer verzichten bewusst auf ein installiertes Mailprogramm und erledigen die elektronische Korrespondenz per Browser über einen Gratisdienst oder kommerzielle Mailanbieter.
Entsprechend vielseitig sind auch die Möglichkeiten, E-Mails sicherer zu machen.
So funktioniert Ende-zu-Ende-Verschlüsselung
Wenn Sie jemandem eine verschlüsselte Nachricht zuschicken wollen, stellt sich immer die Frage: Wie teilen Sie dem Empfänger Ihrer Nachricht den Schlüssel mit, den er braucht, um die chiffrierte Botschaft auch wieder lesbar zu machen?
Dieses Problem lösen auf sehr elegante Weise sogenannte „asymmetrische Verschlüsselungsverfahren“. Asymmetrisch ist die Methode, weil für Ver- und Entschlüsselung verschiedene Schlüssel benötigt werden. Das funktioniert so:
- Beide Kommunikationspartner besitzen zwei Schlüssel. Der private Schlüssel muss absolut sicher aufbewahrt werden und darf keinesfalls aus der Hand gegeben werden. Und dann gibt es noch einen öffentlichen Schlüssel. Diesen darf man sogar auf seiner Website veröffentlichen oder anders öffentlich machen.
- Möchte Frau A. eine verschlüsselte Nachricht an Herrn B. schicken, dann sucht sie in ihrem Mailprogramm nach dem öffentlichen Schlüssel von Herrn B. Oder sie kopiert ihn von der Internetseite von Herrn B. Mit diesem Schlüssel chiffriert sie jetzt die Botschaft und schickt die Mail ab.
- Herr B. erhält die an ihn adressierte Nachricht. Diese kann nur auf eine Weise wieder entschlüsselt werden, und zwar mit seinem privaten Schlüssel.
Dieses Verfahren bietet noch einen praktischen Nebennutzen. Denn damit lassen sich Nachrichten auch „unterschreiben“, was in Mailprogrammen „signieren“ genannt wird. Möchte Herr B. seine Nachricht an Frau A. unterschreiben, wählt er in seinem Programm „Signieren“. Dazu wird sein privater Schlüssel verwendet. Frau A. erhält die Mail und prüft die Signatur mit dem öffentlichen Schlüssel von Herrn B. Dieser passt, die Nachricht kann somit nur von ihm sein.
Da es aber so viele verschiedene Wege für die Nutzung von E-Mails gibt, existieren verschiedene Ansätze, um eine durchgängige Verschlüsselung zu erreichen.
Diese Ansätze für Ende-zu-Ende-Verschlüsselung sollten Sie kennen
- Einfache Transportverschlüsselung
Wenn Sie oder Ihre Kommunikationspartner keine individuelle Ende-zu-Ende-Verschlüsselung einsetzen wollen oder können, nutzen Sie zumindest die Transportverschlüsselung zwischen Ihrem System und dem Mailserver. Dazu müssen Sie von Ihrem Zugangsanbieter die Adresse und den sogenannten Port erfragen, den Sie für die verwendeten Server in Ihrem Mailprogramm hinterlegen. Das erledigen Sie beispielsweise in Outlook in den „Einstellungen“ eines Kontos. Bei einer Verbindung per SSL (beziehungsweise TLS) ist Ihre Nachricht zumindest auf dem Weg von Ihrem Computer zum Mailserver vor neugierigen Blicken geschützt. - E-Mail made in Germany
In Deutschland haben sich große E-Mail-Provider in der Initiative „E-Mail made in Germany“ zusammengeschlossen. Aktuell gehören dazu die Mailangebote von Telekom, 1&1, GMX, Web.de, Freenet und Strato. Sie lassen ausschließlich E-Mails mit Transportverschlüsselung zu. Automatisch werden die Nachrichten der Kunden beim Transport und auf allen Transportwegen untereinander verschlüsselt. Allerdings ist diese Form der Verschlüsselung bei Empfängern anderer Systeme oder im Ausland wirkungslos, weil die Nachrichten dann auch auf andere Server übertragen werden müssen und Sie nicht erwarten dürfen, dass die Verschlüsselung auf dem Transportweg auch korrekt funktioniert. - Volksverschlüsselung
Dies ist der Name einer Software, die vom Fraunhofer-Institut in Zusammenarbeit mit der Telekom entwickelt wurde. Sie hilft bei der Erstellung und Einrichtung von öffentlichen und privaten Schlüsseln. Der Anwender wird durch den gesamten Prozess geführt und sein Mailprogramm (sofern unterstützt) auch unmittelbar für die sichere Kommunikation eingerichtet. Allerdings gibt es die Software ausschließlich für die Windows-Plattform. - Verschlüsselung per S/MIME
Bei diesem Verfahren wird zur Verschlüsselung ein Zertifikat genutzt, das von einer dazu autorisierten Stelle erworben werden muss. Es ähnelt damit der Absicherung der Verbindung mit einer Shop- oder Bankseite. Für die Einrichtung des Zertifikats genügt ein Browser. Die meisten Mailprogramme können dieses Verfahren ohne die Installation weiterer Software einsetzen. So können etwa die Nutzer eines Macs S/MIME ebenfalls schnell konfigurieren. - Verschlüsselung mittels (Open)PGP
Die Chiffrierung von Nachrichten und Dateien mittels PGP ist mit S/MIME nicht kompatibel. Sender und Empfänger einer Nachricht müssen sich also entscheiden, welches Verfahren sie einsetzen wollen. PGP gibt es in einer quelloffenen Variante. Hier gibt es keine zentrale Stelle, über die die notwendigen Schlüssel bezogen werden, sondern jeder Nutzer erstellt seine Schlüssel mit der Software selbst. Allerdings ist die Einrichtung insgesamt etwas aufwendiger. Eine Alternative dazu kann der Einsatz von kommerziellen Lösungen sein, die auf PGP basieren, zum Beispiel „Symantec Desktop Email Encryption“.
Der Einsatz von S/MIME oder von PGP ist aber primär für klassische Mailprogramme gedacht. Die Verschlüsselung mittels S/MIME kann auch in Mails genutzt werden, die ausschließlich mit dem Browser gelesen und beantwortet werden. Allerdings ist der Einsatz dann den kommerziellen Diensten vorbehalten. Privatanwender von Google Mail etwa können S/MIME nicht nutzen. Wer die kostenpflichtige „G Suite“ einsetzt, kann ein solches Zertifikat einrichten.
Richten Sie Ihre eigene Verschlüsselung mit S/MIME ein
Wenn Sie schnell und ohne langwierige Installation von Software Ihre Nachrichten verschlüsseln wollen, bietet sich das S/MIME-Verfahren an. Es ist auch für alle Apple-Nutzer interessant, weil die Verschlüsselung mit dem hauseigenen Apple Mail einfach genutzt werden kann.
Die Einrichtung erfolgt in zwei Schritten:
- Beantragen und Herunterladen des Zertifikats
- Einbinden des Zertifikats im Mailprogramm
So erhalten Sie Ihr S/MIME-Zertifikat
Es gibt eine Reihe von Anbietern, bei denen Sie ein Zertifikat für S/MIME beantragen können, zum Beispiel:
- Certum
- Comodo
- DigiCert
- GlobalSign
Möglicherweise bietet aber auch Ihr Zugangsprovider eine solche Lösung an. Die Laufzeit für das Zertifikat beträgt üblicherweise ein Jahr, es sind aber auch längere Verträge möglich. Gehen Sie den Bestellprozess beim gewünschten Anbieter durch. Nach der erfolgreichen Bestellung können Sie sich das Zertifikat entweder sofort herunterladen, oder Sie erhalten eine E-Mail mit der URL für den Abruf. Folgen Sie exakt den Anweisungen des Anbieters. Üblicherweise landet das neue Zertifikat dann automatisch in Ihrem Browser. Von dort muss es dann erst exportiert werden.
Exportieren Sie das Zertifikat
Nach der erfolgreichen Bestellung und der Übertragung des Zertifikats wird es üblicherweise im Browser in einem extra dafür vorgesehenen Bereich gespeichert. Darauf hat aber das Mailprogramm keinen Zugriff. Sie müssen also das Zertifikat erst exportieren.
Im Internet Explorer gehen Sie so vor:
- Nach dem Start des Internet Explorers wählen Sie über das „Einstellungen“-Symbol den Menüpunkt „Internetoptionen“ aus.
- Dort wechseln Sie in den Reiter „Inhalte“. Klicken Sie auf „Zertifikate“.
- Danach wählen Sie den Reiter „Eigene Zertifikate“ aus. In der Liste markieren Sie das zu exportierende Zertifikat. Es sollte sich eigentlich nur Eintrag darin befinden.
- Mit „Exportieren“ startet der Zertifikatexport-Assistent.
- Nach der Begrüßung aktivieren Sie im zweiten Dialog die Option „Privaten Schlüssel exportieren“.
- Auf der nachfolgenden Seite aktivieren Sie die Optionen:
"Privater Informationsaustausch - PKCS # 12 (.PFX)“,
„Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen“ und
„Alle erweiterten Einstellungen exportieren“. Fahren Sie mit „Weiter“ fort. - Für den Export des Zertifikats müssen Sie ein frei wählbares Kennwort vergeben. Dieses Kennwort wird benötigt, sobald das Zertifikat in andere Anwendungen importiert wird.
- Bestätigen Sie mit „Weiter“.
- Das Zertifikat speichern Sie jetzt in einem Ordner Ihrer Wahl.
In Google Chrome verläuft das so:
- Öffnen Sie die „Einstellungen“ in Chrome.
- Wählen Sie dort „Erweiterte Einstellungen“.
- Klicken Sie auf „Zertifikate verwalten …“.
- Im folgenden Fenster wählen Sie das gewünschte Zertifikat unter „Eigene Zertifikate“ und klicken auf „Exportieren …“.
- Es öffnet sich ein Assistent. Aktivieren Sie dort unbedingt, dass Sie auch die privaten Schlüssel exportieren wollen.
- Auch hier müssen Sie Optionen bestätigen. Hier können Sie sich an Punkt 6 der Anleitung für den Internet Explorer orientieren.
- Vergeben Sie ein Passwort für das Zertifikat und legen Sie das Zertifikat in einem Ordner Ihrer Wahl ab.
Zertifikat im Mailprogramm einbinden
Am Ende des Exports aus dem Browser steht eine Datei mit der Endung „.p7s“.
Auf dem Mac klicken Sie die Datei doppelt an, um sie in den Schlüsselbund des Betriebssystems zu übernehmen. Damit wird das Zertifikat automatisch in Apple Mail integriert. Dadurch werden dann im Editor für das Schreiben von Mails auch die Schaltflächen zum Verschlüsseln bzw. Signieren einer Mail bedienbar. Möchten Sie das Zertifikat in Outlook verwenden, binden Sie es so ein:
- Öffnen Sie Outlook und wählen Sie unter „Datei“ den Punkt „Optionen“.
- Damit öffnet sich das „Optionen“-Fenster in Outlook. Dort wählen Sie das „Trust Center“ aus und klicken auf den Button „Einstellungen für das Trust Center“.
- Im nächsten Fenster wählen Sie „E-Mail-Sicherheit“ aus.
- Im rechten Abschnitt des Bereichs „Digitale IDs (Zertifikate)“ wählen Sie „Importieren/Exportieren“ aus.
- Es öffnet sich ein Fenster, in dem Sie über „Durchsuchen“ zum Ordner wechseln, in den Sie das Zertifikat exportiert hatten. Wählen Sie es aus und bestätigen Sie mit „OK“.
- Sie gelangen zum vorherigen Abschnitt zurück. Geben Sie dort das Kennwort ein, das Sie im Export-Assistenten eingetragen hatten.
- Anschließend geben Sie dem Zertifikat eine Bezeichnung und bestätigen mit „OK“.
Damit steht das Zertifikat in Outlook zur Verfügung und Sie können die Funktionen zum Verschlüsseln und Signieren im Editor beim Verfassen einer Nachricht benutzen.