Über E-Mail Verschlüsselung

Warum sollte man E-Mails verschlüsseln?

E-Mails können – in Abhängigkeit von der Konfiguration bei Absendern, E-Mail Anbietern und Empfängern – mindestens von den beteiligten E-Mail Anbietern, häufig aber auch unterwegs von Fremden mitgelesen werden.

Trotz immer neuer Berichte über Kriminalität im Internet und weit verbreiteter Empörung über systematische staatliche Überwachung geht fast niemand den nahe liegenden Schritt, seine E-Mails zu verschlüsseln.

Verschlüsselung wenigstens unterwegs erreichen

1. Stellen Sie sicher, dass Sie in Ihrem E-Mail Programm verschlüsselten Empfang und Versand aktiviert haben. Bei Webmail stellen Sie sicher, dass Sie über eine https-Adresse zugreifen und Ihr Browser das aus Online Shops bekannte Verschlüsselungs-Symbol anzeigt. Wählen Sie ein sicheres Zugangs-Passwort, das Sie nur an dieser Stelle verwenden und gelegentlich ändern!

2. Für den Empfänger gelten diese Regeln ebenfalls. Sprechen Sie ihn ruhig darauf an falls Sie häufiger miteinander zu tun haben.

3. Auch Ihr E-Mail Anbieter und der E-Mail Anbieter des Empfängers müssen Verschlüsselung bei der Kommunikation zwischeneinander einsetzen. Dies ist immer verbreiteter, aber noch nicht überall so. Einen Anbieter-bezogenen Test ermöglicht Check TLS (unauffälliger Test des Anbieters von Empfängern, Selbsttest). Dieser Test garantiert jedoch nicht, dass Punkt 2 (verschlüsselten Abruf beim Empfänger) gewährleistet ist. Falls Ihr eigener Anbieter durchfällt, beschweren Sie sich oder wechseln Sie ihn.

Schwachstellen auf dem Übermittlungsweg einer E-Mail (vereinfachte Skizze)
Schwachstellen auf dem Übermittlungsweg einer E-Mail (vereinfachte Skizze)

Wenn Punkt 1-3 alle gleichzeitig erfüllt sind, ist die E-Mail unterwegs wahrscheinlich sicher. Diese Punkte entsprechen im Wesentlichen den Maßnahmen der Initiative "E-Mail Made in Germany" verschiedener deutscher E-Mail Anbieter (auch hier müssen jedoch Absender und Empfänger die Standards erfüllen). Dort seine Adresse zu haben ist eine Option, aber viele weitere Anbieter erfüllen vergleichbare Sicherheitsstandards bzw. ermöglichen dem Nutzer optional, verschlüsselten Abruf und Versand zu aktivieren.

Bei einer Verschlüsselung unterwegs können die E-Mail Anbieter noch immer mitlesen
Bei einer Verschlüsselung unterwegs können die E-Mail Anbieter noch immer mitlesen

Bei den oben erklärten Maßnahmen können die Anbieter jedoch noch immer mitlesen (manche Webmail-Anbieter tun dies für personalisierte Werbung), und mit ihnen zusammen alle Stellen, denen sie aufgrund der Gesetzeslage Zugriff gestatten müssen oder die sich vielleicht in das System hacken.

Aus diesem Grunde bietet sich eine echte "End2End-Verschlüsselung" an. Hierbei wird eine E-Mail bereits auf Ihrem Computer verschlüsselt und erst beim Empfänger entschlüsselt. Damit liegt auch den Anbietern unterwegs nur eine verschlüsselte Fassung vor.

Last but not least sei erwähnt, dass auch Ihr Computer und der des Empfängers einen Angriffspunkt darstellen. Achten Sie auf aktuelle Antivirensoftware und installieren Sie immer die wichtigen Software-Updates für Betriebssystem und E-Mail Programm bzw. Web-Browser.

Wie richte ich End2End E-Mail Verschlüsselung ein?

Die meisten gängigen E-Mail Programme und Smartphones unterstützen S/MIME Verschlüsselung. Dazu bindet man in den Einstellungen ein so genanntes Zertifikat ein, das man zuvor erworben hat (siehe unten). Lediglich auf ohnehin nur als Notlösung und Werbeplattform gedachte Webmail-Portale muss man in der Regel verzichten (es sei denn, Sie gehen zu Startmail). Genauere Anleitungen für die Einbindung finden sich hier.

Das besagte Zertifikat gibt es z.B. bei Comodo kostenlos, oder wenn man keinem Anbieter aus Ländern mit Abhörpraxis vertrauen will für wenig Geld bei der Schweizerischen Post in der einfachsten Variante online ab 14 € pro Jahr.

Gegen Aufpreis gibt es dort Zertifikate, die neben der E-Mail Adresse nach Ausweisprüfung auch die Identität des Absenders bestätigen. Dabei geht es nicht um bessere Verschlüsselung sondern um den Nachweis, dass der Absender einer E-Mail auch ist, wer er vorgibt zu sein (in bestimmten Fällen ebenso wichtig wie die Verschlüsselung selbst).

Es gibt als Alternative auch PGP-Verschlüsselung, die ich ebenfalls unterstütze. Sie ist jedoch bei kaum einer gängigen E-Mail Anwendung mitgeliefert. Für viele Programme gibt es Plugins – am besten einfach mal suchen. Die Schlüssel sind selbstgeneriert gratis. Die Bestätigung der Identität (optional) kann durch andere PGP-Nutzer erfolgen. Als Empfänger einer Nachricht muss man selbst beurteilen, ob man diesen Echtheitsbestätigungen Glauben schenkt.

Das Hauptproblem an der End2End Verschlüsselung ist, dass beide Seiten (Absender und Empfänger) ein Zertifikat benötigen, sich dies aber in der breiten Bevölkerung noch nicht durchgesetzt hat. Im Alltag hatte ich deshalb bisher nur sehr selten die Gelegenheit, E-Mails mit PGP oder S/MIME zu verschlüsseln. Aus diesem Grund habe ich oben auch so ausführlich die Variante mit der "Verschlüsselung wenigstens unterwegs" geschildert, die ohne eigene Zertifikate auskommt.

Bedeutung meiner E-Mail Signatur

Meine E-Mails enthalten teilweise meinen öffentlichen S/MIME Schlüssel, den Ihr Programm benötigt, um mir verschlüsselt zu antworten wenn Sie selbst über ein S/MIME Verschlüsselungs-Zertifikat verfügen. Dies ist als Aufforderung zu verstehen, mir nach Möglichkeit verschlüsselt zu antworten.