Spätestens seit den Veröffentlichungen von Edward Snowden ist bekannt, dass E-Mails nicht nur vom Empfänger und Absender gelesen werden können, sondern dass es auch zahlreiche Möglichkeiten gibt, wie Fremde auf unsere E-Mails zuzugreifen können. Jedoch hat sich die E-Mail zu einer unverzichtbaren Kommunikationsform unserer Zeit entwickelt.
Mehr als 100 Milliarden geschäftliche E-Mails werden pro Tag weltweit versendet und Einige von ihnen sicher mit einer gewissen Sorge oder in dem Optimismus, dass sich doch hoffentlich niemand für die eigene E-Mailkommunikation interessieren wird. Aber ist dieses ungute Gefühl tatsächlich begründet?
Seit den Anfängen der schriftlichen Nachrichtenübermittlung haben wir Wert auf Diskretion gelegt. Schon die Babylonier des zweiten Jahrtausends vor Christus, die einander mit Keilschrift beschriebene Tontafeln zusandten, versahen wichtige Nachrichten mit einer Art Umschlag, einer extra Schicht aus Ton, um sie vor fremden Augen zu schützen.
Das E-Mail-Protokoll SMTP, das heute bei nahezu jedem E-Mail-Versand zum Einsatz kommt, nennt sich nicht umsonst Simple Mail Transfer Protocol. Denn Simple, bzw. einfach, ist hier die zentrale Eigenschaft. Der Hauptaugenmerkt bei der Entwicklung dieses Protokolls lag insbesondere in der zuverlässigen Übermittlung dieser Nachricht. An Sicherheit wurde dabei nicht gedacht und so ist eine über SMTP versandte E-Mail ungefähr so geheim wie eine Postkarte. Die Tonschicht der Babylonier muss im Vergleich schon fast als eine hochsichere Verschlüsselungsmethode bezeichnet werden.
Was sollen wir also tun, wenn wir per E-Mail nach wie vor Rechnungen, Angebote, Verträge, Termine u.v.m. versenden und trotzdem sicher sein wollen, dass nur der oder die Empfänger der Nachricht diese Inhalte auch zu Gesicht bekommt?
Einfache Arten der Verschlüsselung
Zum einen gibt es die Möglichkeit die E-Mail selbst als eine Art Briefumschlag zu nutzen. Die wichtigen Inhalte versenden wir dann als verschlüsselten Anhang z.B. einem PDF oder ZIP-Datei. Das Passwort für den Anhang muss dann auf einem separaten Weg übermittelt werden z.B. per Telefon. Im Arbeitsalltag ist dieses Vorgehen nicht besonders praktikabel und wird daher wohl nur im Ausnahmefall eingesetzt werden, fällt doch bei diesem Vorgehen ein Vorteil der E-Mail-Kommunikation, die schnelle Verfügbarkeit von Informationen, erst einmal weg.
Eine weitere Schwierigkeit bei diesem Vorgehen ist, dass wir zum Lesen der verschlüsselten Inhalte ein weiteres Programm nutzen müssen. Auch wenn es sich hierbei um Standard Programme handelt, die auf den meisten Rechnern verfügbar sind, ist doch die fehlende Einfachheit häufig die größte Schwachstelle von Sicherungsmechanismen. Zu leicht geschieht es doch im Arbeitsalltag, dass versehentlich auf diese Sicherungsmechanismen verzichtet wird.
Die ideale Form der Sicherung ist meist die, die automatisch im Hintergrund arbeitet und über die wir uns deshalb keine weiteren Gedanken machen müssen. Wichtig ist auch, dass wir diese Maßnahmen mit den uns vertrauten Programmen umsetzen können. Die gute Nachricht ist: All dies ist möglich und das Verfassen von verschlüsselten Nachrichten deutlich einfacherer als vielleicht vermutet.
Die PGP und S/MIME sind die verbreitetsten Verschlüsselungsmechanismen.
Bei beiden Verfahren werden Nachrichten asymmetrisch verschlüsselt. Bei der asymmetrischen Verschlüsselung gibt es zwei Schlüssel pro E-Mail-Adresse. Der erste Schlüssel ist nur für Sie. Er sollte privat und geheim belieben und dient dem Entschlüsseln der E-Mails, die Ihnen mit Hilfe des zweiten Schlüssels geschrieben werden. Dieser ist öffentlich und kann somit problemlos z.B. per E-Mail verteilt werden. Jeder, der diesen öffentlichen Schlüssel hat, kann Ihnen verschlüsselte Nachrichten senden.
S/MIME nutzt Schlüssel, die man bei offiziellen Zertifizierungsstellen (CAs) erwerben muss. Diese können Sie z.B. über StartSSL erhalten. Hier müssen Sie sich nur registrieren und das für Sie beste Zertifikat auswählen und ggf. kaufen. StartSSL überprüft und verifiziert dann Ihre Angaben und sendet Ihnen einen Code zu, mit dem Sie dann, mit dem Kryptomodul Ihres Browsers, Ihr Schlüsselpaar generieren können. So haben Sie von Anfang an die volle Kontrolle über Ihr Schlüsselpaar und Ihr privater Schlüssel wird nie online ausgetauscht.
Bei PGP erstellt jeder Anwender seinen Schlüssel selbst. Deshalb gilt diese Lösung auch als sicherer. Hier gibt es die Open-Source-Lösung GnuPG (kurz GPG), die mittlerweile die kommerzielle PGP-Version verdrängt hat. Am einfachsten lässt sich GPG über eine Distribution installieren:
| Betriebssystem | E-Mail-Software | Add-on |
|---|---|---|
| Mac OS X | GPGTools mit GPGMail | |
| Windows | Outlook | Gpg4Win mit GpgOL oder „Outlook Privacy Plugin“ |
| Windows + Mac OS X | Thunderbird | Enigmail |
| Android | K-9 Mail | APG (App) |
(Android-Nutzern können wir K-9 Mail, für die Verwaltung Ihrer E-Mails, auch grundsätzlich empfehlen. Die Usability ist hier deutlich besser als bei den meisten anderen E-Mail-Clients für Android.)
Um loszulegen müssen Sie nur noch die oben beschriebenen Add-ons für Ihren E-Mail Client nutzen und den Schlüssel importieren. Weitere Hinweise zur Installation, zum Erstellen der Schlüssel und Verschlüsselung erhalten Sie ggf. bei dem jeweiligen Add-on (siehe Link).
Für weitere Informationen zum Thema empfehlen wir Ihnen die Broschüren der Initiative „Deutschland sicher im Netz e.V.“:
und
Bei weiteren Fragen, stehen wir Ihnen zur Verfügung. Jetzt Kontakt aufnehmen!