Vorwort

Diese Seite beschreibt in allgemeinverständlicher (und aus Profisicht vielleicht etwas vereinfachter) Weise den Weg, um mit mir verschlüsselt zu kommunizieren. Die meisten Erklärungen sind jedoch allgemeingültig und somit auch hilfreich, falls Sie z.B. über einen Suchdienst hergekommen sind und nicht speziell mit mir in Kontakt treten möchten.

Abkürzung für Profis: Meinen öffentlichen Schlüssel finden Sie für S/MIME hier bzw. für PGP hier.


Warum sollte man E-Mails verschlüsseln?

E-Mails können – in Abhängigkeit von der Konfiguration bei Absendern, E-Mail Anbietern und Empfängern – mindestens von den beteiligten E-Mail Anbietern, häufig aber auch unterwegs von Fremden mitgelesen werden. Trotz immer neuer Berichte über Kriminalität im Internet und weit verbreiteter Empörung über systematische staatliche Überwachung geht fast niemand den nahe liegenden Schritt, seine E-Mails zu verschlüsseln.


Verschlüsselung wenigstens unterwegs erreichen

Ihre E-Mail wird nicht direkt zum Empfänger geleitet sondern passiert die Server Ihres E-Mail Providers sowie des E-Mail Providers des Empfängers. Daraus ergeben sich drei separate Übermittlungen, von denen jede einzeln angreifbar ist (siehe Grafik unten). Diese können Sie wie folgt absichern:

  1. Stellen Sie sicher, dass Sie in Ihrem E-Mail Programm verschlüsselten Empfang und Versand aktiviert haben. Bei Webmail stellen Sie sicher, dass Sie über eine https-Adresse zugreifen und Ihr Browser das aus Onlineshops oder Internetbanking bekannte Verschlüsselungs-Symbol anzeigt. Wählen Sie ein sicheres Zugangs-Passwort, das Sie nur an dieser Stelle verwenden und gelegentlich ändern!
  2. Für den Empfänger gelten diese Regeln ebenfalls. Sprechen Sie ihn ruhig darauf an falls Sie häufiger miteinander zu tun haben.
  3. Auch Ihr E-Mail Anbieter und der E-Mail Anbieter des Empfängers müssen Verschlüsselung bei der Kommunikation zwischeneinander einsetzen. Dies ist immer verbreiteter, aber noch nicht überall so. Einen Anbieter-bezogenen Test ermöglicht CheckTLS (unauffälliger Test des Anbieters von Empfängern, Test des eigenen E-Mail Anbieters). Der Test bestätigt nicht, dass Punkt 2 (verschlüsselter Abruf beim Empfänger) gewährleistet ist. Falls Ihr E-Mail Anbieter durchfällt, beschweren Sie sich oder wechseln Sie ihn.


Schwachstellen auf dem Übermittlungsweg einer E-Mail (vereinfachte Skizze)
Schwachstellen auf dem Übermittlungsweg einer E-Mail (vereinfachte Skizze)

Wenn Punkt 1-3 alle gleichzeitig erfüllt sind, ist die E-Mail unterwegs wahrscheinlich sicher. Diese Punkte entsprechen im Wesentlichen den Maßnahmen der Initiative "E-Mail Made in Germany" verschiedener deutscher E-Mail Anbieter (auch hier müssen jedoch Absender und Empfänger die Standards erfüllen; zudem muss man "E-Mail Made in Germany" teilweise wohl noch in den Webmail-Einstellungen aktivieren). Einen solchen E-Mail Anbieter zu nutzen ist eine Option, aber viele weitere Anbieter erfüllen vergleichbare Sicherheitsstandards wenn man selbst darauf achtet, verschlüsselten Abruf und Versand im E-Mail Programm zu aktivieren.

Bei einer Verschlüsselung unterwegs können die E-Mail Anbieter noch immer mitlesen
Bei einer Verschlüsselung unterwegs können die E-Mail Anbieter noch immer mitlesen

Bei den oben erklärten Maßnahmen können die Anbieter jedoch noch immer mitlesen (manche Webmail-Anbieter tun dies für personalisierte Werbung), und mit ihnen zusammen alle Stellen, denen sie aufgrund der Gesetzeslage Zugriff gestatten müssen oder die sich vielleicht in das System hacken. Zudem werden in der Verschlüsselungssoftware gelegentlich Schwachstellen gefunden, die Zweifel an der 100%igen Sicherheit der Übertragung aufkommen lassen.

Aus diesem Grunde bietet sich eine echte "End2End-Verschlüsselung" an. Hierbei wird eine E-Mail zusätzlich bereits auf Ihrem Computer verschlüsselt und erst beim Empfänger entschlüsselt. Damit liegt auch den Anbietern unterwegs nur eine verschlüsselte Fassung vor.

Last but not least sei erwähnt, dass auch Ihr Computer und der des Empfängers einen Angriffspunkt darstellen. Achten Sie auf aktuelle Antivirensoftware und installieren Sie immer die wichtigen Software-Updates für Betriebssystem und E-Mail Programm bzw. Web-Browser.


Wie richte ich End2End E-Mail Verschlüsselung ein?

Die meisten gängigen E-Mail Programme und Smartphones unterstützen S/MIME Verschlüsselung. Dazu bindet man in den Einstellungen ein so genanntes Zertifikat ein, das man zuvor erworben hat (siehe unten). Lediglich auf ohnehin nur als Notlösung und Werbeplattform gedachte Webmail-Portale muss man in der Regel verzichten (es sei denn, Sie gehen zu Startmail). Genauere Anleitungen für die Einbindung finden sich hier.

Das besagte Zertifikat gibt es z.B. bei Comodo kostenlos, oder wenn man keinem Anbieter aus Ländern mit Abhörpraxis vertrauen will für wenig Geld bei der Schweizerischen Post in der einfachsten Variante online ab 14 € pro Jahr.

Gegen Aufpreis gibt es dort Zertifikate, die neben der E-Mail Adresse nach Ausweisprüfung auch die Identität des Absenders bestätigen. Dabei geht es nicht um bessere Verschlüsselung sondern um den Nachweis, dass der Absender einer E-Mail auch ist, wer er vorgibt zu sein (in bestimmten Fällen ebenso wichtig wie die Verschlüsselung selbst).

Es gibt als Alternative auch PGP-Verschlüsselung, die ich ebenfalls unterstütze. Sie ist jedoch bei kaum einer gängigen E-Mail Anwendung mitgeliefert. Für viele Programme gibt es Plugins – am besten einfach mal suchen. Die Schlüssel sind selbstgeneriert gratis. Die Bestätigung der Identität (optional) kann durch andere PGP-Nutzer erfolgen. Als Empfänger einer Nachricht muss man selbst beurteilen, ob man diesen Echtheitsbestätigungen Glauben schenkt.

Das Hauptproblem an der End2End Verschlüsselung ist, dass beide Seiten (Absender und Empfänger) ein Zertifikat benötigen, sich dies aber in der breiten Bevölkerung noch nicht durchgesetzt hat. Im Alltag habe ich deshalb bisher nur sehr selten die Gelegenheit, E-Mails mit PGP oder S/MIME zu verschlüsseln. Aus diesem Grund habe ich oben auch so ausführlich die Variante mit der "Verschlüsselung wenigstens unterwegs" geschildert, die ohne eigene Zertifikate auskommt.


Bedeutung meiner E-Mail Signatur

Meine E-Mails enthalten teilweise meinen öffentlichen S/MIME Schlüssel, den Ihr Programm benötigt, um mir verschlüsselt zu antworten wenn Sie selbst über ein S/MIME Verschlüsselungs-Zertifikat verfügen. Dies ist als Aufforderung zu verstehen, mir nach Möglichkeit verschlüsselt zu antworten.