Software

Siche­re E‑Mails sen­den: So funk­tio­niert Verschlüsselung

Private digitale Post: Nur eine verschlüsselte Mail ist eine sichere Mail. Wir zeigen Ihnen, wie Sie die Einrichtung schnell und einfach vornehmen.

Kön­nen Sie es auch nicht lei­den, wenn Ihnen der Sitz­nach­bar in Zug oder Flie­ger stän­dig auf den Lap­top schielt? Und wie reagie­ren Sie, wenn jemand ein­fach Ihre Brie­fe öff­net? Sol­che Ver­let­zun­gen unse­rer Pri­vat­sphä­re emp­fin­den wir als über­grif­fig und ver­su­chen, sie zu ver­hin­dern. Anders sieht es bei digi­ta­len Brie­fen in Form von E‑Mails aus – hier schüt­zen sich die Wenigs­ten. Wer jedoch sei­ne Kom­mu­ni­ka­ti­on über Com­pu­ter und Smart­pho­ne nicht ver­schlüs­selt, könn­te genau­so gut für jeden les­ba­re Post­kar­ten schrei­ben. UPDATED erläu­tert, wel­che Ver­schlüs­se­lungs­ver­fah­ren es gibt und wie Sie Ihre digi­ta­le Kom­mu­ni­ka­ti­on zuver­läs­sig schüt­zen können.

Was bedeu­tet Ver­schlüs­se­lung — und wer braucht sie?

Die Alter­na­ti­ve zu unge­schütz­ter Kom­mu­ni­ka­ti­on heißt „Ver­schlüs­se­lung“ und ist unkom­pli­zier­ter, als die meis­ten den­ken. Fast alle Chat-Pro­gram­me des Smart­pho­nes ver­schlüs­seln Unter­hal­tun­gen auto­ma­tisch, ohne dass die Gesprächs­part­ner davon etwas mitbekommen.

Das Prin­zip bei Mails ist das­sel­be: Sen­der und Emp­fän­ger müs­sen einen pas­sen­den Schlüs­sel besit­zen. Dann ver­schlüs­selt das Pro­gramm jede Bot­schaft noch auf dem Gerät des Absen­ders und schickt sie erst dann in Form klei­ner Daten­pa­ke­te auf den Weg. Hat der Emp­fän­ger den zum Absen­der pas­sen­den Schlüs­sel auf sei­nem PC, kann das Pro­gramm die Daten­pa­ke­te wie­der zusam­men­set­zen und entschlüsseln.

Im bes­ten Fall merkt man davon genau­so wenig wie im Ver­lauf eines Whats­app-Chats. Bevor Sie eine Soft­ware instal­lie­ren, die Ihre Nach­rich­ten auf die­se Wei­se schützt, soll­ten Sie noch ein paar Grund­la­gen ken­nen – die­ses Wis­sen erleich­tert Ihnen die Wahl der für Sie bes­ten Lösung — und das Ein­rich­ten an Ihrem PC.

Uner­läss­lich ist die Ver­schlüs­se­lung aller „Unter­hal­tun­gen“, bei denen Sie pri­va­te Daten – vor allem zah­lungs­re­le­van­te Infor­ma­tio­nen – preis­ge­ben. Dazu gehört der Schrift­ver­kehr mit Ihrer Bank, mit Behör­den, mit Geschäfts­part­nern oder Kun­den sowie mit Online-Shops. Wenn sol­che Mit­tei­lun­gen über eine Web­sei­te lau­fen (etwa im Zuge einer Online-Bestel­lung), soll­ten Sie eben­falls dar­auf ach­ten, dass die Infor­ma­tio­nen ver­schlüs­selt über­mit­telt wer­den (sie­he SSL). Beginnt die URL (Inter­net-Adres­se) einer sol­chen Web­sei­te nicht mit „htt­ps“ – dann las­sen Sie bes­ser die Fin­ger davon, auch wenn die Ange­bo­te ver­meint­lich güns­tig sind.
Bei allen ande­ren Kom­mu­ni­ka­ti­ons­part­nern hängt es von Ihrem per­sön­li­chen Sicher­heits­emp­fin­den ab, ob Sie die Mails ver­schlüs­seln wol­len oder nicht — und ob Sie für die­se Ver­schlüs­se­lung etwas bezah­len möch­ten (sie­he auch das Kapi­tel „S/MIME nut­zen“).

Wel­che Ver­schlüs­se­lungs­ver­fah­ren gibt es?

Für die Ver­schlüs­se­lung von Daten gibt es ver­schie­de­ne Ver­fah­ren, die je nach Anwen­dung, bei­spiels­wei­se in der Daten­über­tra­gung, ein­ge­setzt wer­den. Hier ein Über­blick über Funk­ti­ons­wei­se und Unterschiede:

Gehei­me Botschaften

Codie­ren heißt auch bei der E‑Mail-Ver­schlüs­se­lung nichts ande­res, als dass der Text in eine Art Geheim­schrift über­tra­gen wird. Wich­tig ist, wie das erfolgt bezie­hungs­wei­se wel­ches Ver­fah­ren (Schlüs­sel) dazu ein­ge­setzt wird. Jeder hat als Kind gehei­me Bot­schaf­ten erdacht und dabei einen Buch­sta­ben durch einen ande­ren ersetzt – bei­spiels­wei­se aus dem rück­wärts buch­sta­bier­ten Alpha­bet: Statt des „e“ als fünf­ten Buch­sta­ben wür­de dann das „v“ ver­wen­det, den fünf­ten Buch­sta­ben von hin­ten. Kennt der Emp­fän­ger die­sen Schlüs­sel, kann der den Geheim­text wie­der in Klar­text übersetzten.

Ein sol­cher Schlüs­sel wäre aller­dings für die Mail-Ver­schlüs­se­lung nicht aus­rei­chend. Das Alpha­bet hat nur 26 Buch­sta­ben, und selbst mit einem ein­fa­chen PC sind alle mög­li­chen Kom­bi­na­tio­nen blitz­schnell aus­pro­biert und der Schlüs­sel geknackt. In der digi­ta­len Welt wird die Län­ge (=Sicher­heit) eines Schlüs­sels in Bit gemes­sen. Hier gilt: je län­ger, des­to bes­ser. Gute Ver­schlüs­se­lungs­pro­gram­me nut­zen Schlüs­sel von min­des­tens 256 Bit.

Schlüs­sel oder Schlüsselpaar

Eben­so wich­tig wie die Län­ge ist die Zahl der ein­ge­setz­ten Schlüs­sel für das Lesen und Schrei­ben geschütz­ter Mails.

Für bekann­te Gesprächspartner

Die so genann­te sym­me­tri­sche Ver­schlüs­se­lung setzt auf einen Schlüs­sel, der beim Absen­der und Emp­fän­ger instal­liert ist und codier­te Bot­schaf­ten in Klar­text über­setzt. Sol­che Schlüs­sel eig­nen sich pri­ma für die Kom­mu­ni­ka­ti­on mit bekann­ten Gesprächspartnern.

Für unbe­kann­te Gesprächspartner

Was aber, wenn Sie eine ver­schlüs­sel­te Kom­mu­ni­ka­ti­on auch Teil­neh­mern anbie­ten wol­len, die Sie bis­her noch nicht ken­nen? Das wäre bei­spiels­wei­se der Fall, wenn es Ärger in Klas­se Ihres Kin­des gibt und Sie mit den Eltern ande­rer betrof­fe­ner Kin­der per Mail kom­mu­ni­zie­ren wol­len. Dafür gibt es zwei Optionen:

Asym­me­tri­sche Verfahren:

Es bie­tet sich das asym­me­tri­sche Ver­fah­ren an, das mit zwei Schlüs­seln arbei­tet: einem pri­va­ten (pri­va­te key) und einem öffent­li­chen (public key). Für die Mails an die ande­ren Eltern erstel­len Sie ein Schlüs­sel­paar aus pri­va­te und public key. Den öffent­li­chen Schlüs­sel kön­nen Sie mit Ihrer Nach­richt an alle Adres­sa­ten schi­cken. Die­se kön­nen damit dann ihre Ant­wort ver­schlüs­seln, wäh­rend Sie zum Lesen der Ant­wor­ten Ihren pri­va­ten Schlüs­sel benö­ti­gen. Die Kom­bi­na­ti­on bei­der Schlüs­sel stellt auch hier eine vor Mit­le­sern geschütz­te Unter­hal­tung sicher. Ein wei­te­rer Vor­teil der asym­me­tri­schen Ver­schlüs­se­lung ist, dass stets nur der öffent­li­che Schlüs­sel wei­ter­ge­ge­ben wird und der pri­va­te beim Absen­der bleibt.

Hybri­de Verschlüsselung:

Die asym­me­tri­sche Ver­schlüs­se­lung benö­tigt etwas mehr Zeit als die sym­me­tri­sche Vari­an­te. Aus die­sem Grund hat sich noch die so genann­te hybri­de Ver­schlüs­se­lung eta­bliert. Sie kom­bi­niert bei­de Ver­fah­ren so, dass die Kom­mu­ni­ka­ti­on mit der Sicher­heit einer asym­me­tri­schen und der Geschwin­dig­keit einer sym­me­tri­schen Ver­schlüs­se­lung abläuft.

Der Algo­rith­mus

Spä­tes­tens bei der Instal­la­ti­on einer Soft­ware zur Ver­schlüs­se­lung wer­den Ihnen ver­schie­de­ne Algo­rith­men zur Wahl ange­bo­ten, je nach­dem, wel­che Stan­dards Ihr Mail-Pro­gramm unter­stützt. Ein Algo­rith­mus bestimmt die Arbeits­wei­se der Ver­schlüs­se­lung. Die Gebräuch­lichs­ten wer­den hier kurz vorgestellt:

DES (Data Encryp­ti­on Standard):

Der weit ver­brei­te­te Stan­dard DES nutzt das sym­me­tri­sche Ver­fah­ren und dabei eine kur­ze Schlüs­sel­län­ge von ledig­lich 56 Bit. Eine siche­re Kom­mu­ni­ka­ti­on ist nur in der über­ar­bei­te­ten Ver­si­on als Trip­le DES (TDES, 3DES) gewährleistet.

AES (Advan­ced Encryp­ti­on Standard):

Das sym­me­tri­sche Ver­fah­ren AES gilt als Nach­fol­ger des DES. Je nach Schlüs­sel­län­ge tritt es als AES-128 oder AES-256 auf (um nur die häu­figs­ten Ver­sio­nen zu nennen).

RSA (Rivest, Shamir, Adleman)-Kryptografie:

Die­ser Stan­dard nutzt die asym­me­tri­sche Ver­schlüs­se­lung, ist aber deut­lich lang­sa­mer als die bei­den Erstgenannten.

S/MIME (Secure/Multipurpose Inter­net Mail Extensions):

S/MIME gilt als sicher und hat sich qua­si als Indus­trie­stan­dard durch­ge­setzt. Er ver­sen­det einen pri­va­ten und einen öffent­li­chen Schlüs­sel. Der Stan­dard lässt sich in alle gän­gi­gen Mail-Pro­gram­me inte­grie­ren. Zuvor müs­sen Sie jedoch ein ent­spre­chen­des Zer­ti­fi­kat erwer­ben, das die Echt­heit von Sen­der und Emp­fän­ger garantiert.

PGP (Pret­ty Good Privacy):

PGP funk­tio­niert ähn­lich wie S/MIME, aller­dings wer­den die erfor­der­li­chen Zer­ti­fi­ka­te hier nicht von einer über­ge­ord­ne­ten Instanz aus­ge­stellt, son­dern von den ande­ren Nut­zern, die dann selbst beur­tei­len, wie sicher sie das Zer­ti­fi­kat ein­stu­fen. Lei­der sind die Stan­dards S/MIME und PGP nicht mit­ein­an­der kompatibel.

SSL (Secu­re Sockets Layer):

Mit die­sem Stan­dard wird die Kom­mu­ni­ka­ti­on im Inter­net ver­schlüs­selt. Das erken­nen Sie bei­spiels­wei­se an der URL (Adres­se einer Web­sei­te), die dann nicht mit „http://…“, son­dern mit „https://…“ beginnt. Das „s“ ist der Hin­weis, dass die Kom­mu­ni­ka­ti­on auf einer Web­sei­te (etwa der Ihrer Bank oder der eines Online­shops) über einen eige­nen Ser­ver ver­schlüs­selt abläuft. SSL ist mitt­ler­wei­le in neue­ren Ver­sio­nen als SSLv2, SSLv3 oder TLS im Einsatz.

So ver­schlüs­seln Sie Ihre E‑Mails richtig

Wich­tig ist, dass das Ver- und Ent­schlüs­seln auf den Ein­ga­be­ge­rä­ten, also Smart­pho­ne, Tablet oder PC des Sen­ders und des Emp­fän­gers erfolgt und nicht etwa auf dem Ser­ver eines zwi­schen­ge­schal­te­ten Dienst­leis­ters. Die­se Ende-zu-Ende-Ver­schlüs­se­lung ist die sichers­te Form. Nut­zen Sie Zwi­schen­sta­tio­nen – etwa den Ser­ver eines Dienst­leis­ters – für die Absi­che­rung Ihrer Nach­rich­ten, sind Ihre Bot­schaf­ten auf dem Weg zum Ser­ver und auf dem Ser­ver selbst unge­schützt und damit zumin­dest für den Dienst­leis­ter lesbar.

S/MIME nut­zen

Wenn Sie siche­re Mails ohne gro­ßen Auf­wand von Ihrem Rech­ner ver­schi­cken wol­len, soll­ten Sie auf S/MIME set­zen. Vie­le Mail-Pro­gram­me sind schon ent­spre­chend vor­be­rei­tet, etwa App­les Mail auf iPho­ne, iPad und Mac. Bei ande­ren – etwa dem Mail­pro­gramm Thun­der­bird — müs­sen Sie eine Erwei­te­rung (ein Plug-in) instal­lie­ren. Sie kön­nen damit Ihre ver­trau­te Soft­ware wei­ter nut­zen und müs­sen kei­ne neu­en Kon­tak­te oder Post­fä­cher einrichten.

Der ers­te Schritt ist hier, sich ein S/MI­ME-Zer­ti­fi­kat zu besor­gen. Die­se Zer­ti­fi­ka­te gibt es in unter­schied­li­chen Sicher­heits­stu­fen — kos­ten­los oder kostenpflichtig.
Kei­ne Sor­ge, kos­ten­los erhält­li­che Zer­ti­fi­ka­te ver­schlüs­seln eben­so sicher wie kos­ten­pflich­ti­ge, der Unter­schied liegt in der Kon­trol­le der Antrag­stel­le­r­iden­ti­tät und der Gültigkeitsdauer.
Kos­ten­lo­se Zer­ti­fi­ka­te prü­fen nur die Mail-Adres­se des Absen­ders und sind meist nur ein Jahr lang gül­tig. Kos­ten­pflich­ti­ge Zer­ti­fi­ka­te ver­lan­gen eine per­sön­li­che Iden­ti­fi­zie­rung des Absen­ders mit Name und Anschrift (etwa per Post­ident-Ver­fah­ren) oder Zuge­hö­rig­keit zu einem Unter­neh­men oder einer Insti­tu­ti­on. Kos­ten­pflich­ti­ge Zer­ti­fi­ka­te erhal­ten Sie bei­spiels­wei­se bei PSW Group oder Glo­bal­sign, kos­ten­lo­se bei Como­do oder Seco­rio.

Schritt für Schritt: Zer­ti­fi­kat bean­tra­gen und einrichten

Ein Zer­ti­fi­kat für den Ver­sand ver­schlüs­sel­ter Mails ist schnell orga­ni­siert und Ihr Mail-Pro­gramm – je nach Gerät und Betriebs­sys­tem – mit weni­gen Klicks ent­spre­chend ein­ge­rich­tet. Wir zei­gen den Antrag auf ein kos­ten­lo­ses Ver­fah­ren bei Comodo:

Im nächs­ten Fens­ter „App­li­ca­ti­on for Secu­re Email Cer­ti­fi­ca­te“ geben Sie Ihre Daten ein – dar­un­ter die Mail-Adres­se, für die Sie das Pass­wort bean­tra­gen, wäh­len die Schlüs­sel­län­ge (am bes­ten die Stan­dard­ein­stel­lung 2048 bei­be­hal­ten) und ein so genann­tes „Revoke“-Passwort, mit dem Sie das Zer­ti­fi­kat not­falls wie­der für ungül­tig erklä­ren können.

Sobald Sie die Geschäfts­be­din­gun­gen akzep­tie­ren und auf „next“ kli­cken, erhal­ten Sie eine Bestä­ti­gung und eine Nach­richt an die ange­ge­be­ne Mail-Adres­se — mit einer Instal­la­ti­ons­an­lei­tung. Kli­cken Sie in der Mail auf „Click and Install Como­do Email Certificate“.

Das wei­te­re Vor­ge­hen rich­tet sich danach, ob Sie Mails auf Ihrem Smart­pho­ne, Tablet oder Rech­ner ver­schlüs­seln möch­ten und wel­ches E‑Mail-Pro­gramm Sie nut­zen. Aus­führ­li­che Instal­la­ti­ons­an­wei­sun­gen für die wich­tigs­ten Gerä­te fin­den Sie hier:
Apple Mac, iPho­ne und iPad, Win­dows 10 und mobi­le, Out­look.

Ver­schlüs­se­lungs­soft­ware — eine Auswahl

Neben den bis­her vor­ge­stell­ten Maß­nah­men gibt es noch eine gan­ze Rei­he nütz­li­cher Pro­gram­me rund um das The­ma Ver­schlüs­se­lung. UPDATED hat eine Aus­wahl für Sie zusammengestellt:

  • GnuPG: Das kos­ten­lo­se Open-Source-Pro­gramm basiert auf PGP (sie­he Algo­rith­men), liegt in Ver­sio­nen für fast jedes Betriebs­sys­tem vor, ist aller­dings nicht ganz ein­fach zu instal­lie­ren. Daher soll­ten Sie eine der zahl­rei­chen ange­pass­ten Ver­sio­nen (Dis­tri­bu­tio­nen) wie gpg4Win (Win­dows), WebPG (Web-Mail-Diens­te) oder Enig­ma (Thun­der­bird) verwenden.
  • Pret­tyea­sy­pri­va­cy: Auch die­ses Open-Source-Pro­gramm ist kos­ten­los und bie­tet Schlüs­sel für einen siche­ren Mail-Ver­sand. Inter­es­sant sind hier die mobi­len Ver­sio­nen für Smart­pho­nes (Android und in Kür­ze auch iOS).
  • Volks­ver­schlüs­se­lung: Mit die­ser Soft­ware erleich­tern die Deut­sche Tele­kom und das Fraun­ho­fer Insti­tut die Ver­schlüs­se­lung. Bis­lang ist das kos­ten­lo­se Pro­gramm nur für Win­dows (Ver­si­on 7 bis 10) verfügbar. 
  • Onsite.org: Wer sei­ne Mail-Adres­se im Inter­net ver­öf­fent­li­chen möch­te, ohne von Spam ein­ge­deckt zu wer­den, kann sie auf die­ser Web­sei­te ver­schlüs­seln lassen.
  • Cryp­tool: Wer mehr zum The­ma Kryp­to­gra­fie wis­sen möch­te, fin­det bei den Autoren kos­ten­lo­ser Cryp­tools jede Men­ge Infor­ma­tio­nen und Anre­gun­gen sowie Pro­gram­me, um Kryp­to­gra­fie und Kryp­to­ana­ly­se auf Smart­pho­nes, unter Win­dows, macOS oder Linux auszuprobieren.

Fazit: Mails ver­schlüs­seln soll­te Stan­dard sein

Geschäft­li­cher E‑Mail-Ver­kehr und Nach­rich­ten mit sen­si­blen Daten soll­ten ver­schlüs­selt wer­den. Dass die meis­ten Pro­gram­me und Ser­vices zur Ver­schlüs­se­lung nichts kos­ten, ist ein wei­te­res Argu­ment dafür, sie auch zu ver­wen­den. Wer ein­mal Zer­ti­fi­kat und Schlüs­sel ein­ge­rich­tet hat, merkt beim Ver­sen­den kaum etwas von den im Hin­ter­grund lau­fen­den Absicherungsprozessen.

Disclaimer Die OTTO (GmbH & Co KG) übernimmt keine Gewähr für die Richtigkeit, Aktualität, Vollständigkeit, Wirksamkeit und Unbedenklichkeit der auf updated.de zur Verfügung gestellten Informationen und Empfehlungen. Es wird ausdrücklich darauf hingewiesen, dass die offiziellen Herstellervorgaben vorrangig vor allen anderen Informationen und Empfehlungen zu beachten sind und nur diese eine sichere und ordnungsgemäße Nutzung der jeweiligen Kaufgegenstände gewährleisten können.

Time to share:  Falls dir dieser Artikel gefallen hat, freuen wir uns!