Mitleser unerwünscht: E-Mails sicher verschlüsseln

In der Regel gehen E-Mails unverschlüsselt durch das Internet. Obwohl das verwendete Übertragungsprotokoll SMTP mittlerweile um die Möglichkeit der Verschlüsselung erweitert wurde, setzen viele große Provider diese Technik nicht ein, wie ein ZDNet-Praxistest zeigt.

Hinzu kommt, dass E-Mail ein Store-and-Forward-Dienst ist. Man liefert eine E-Mail bei einem "Briefkasten" ab. Das ist meist der SMTP-Server des eigenen Providers oder der Firma. Der Absender hat keinen Einfluss darauf, wie es von dort weitergeht. Der Betreiber des SMTP-Servers entscheidet, ob er die E-Mail direkt an den SMTP-Server des Empfängers sendet, den er aus den MX-Records im DNS entnehmen kann, oder ob er jede E-Mail zunächst an einen externen Dienstleister in der "Cloud" schickt, der eine Überprüfung auf Malware vornimmt.

Obwohl E-Mails in der Regel innerhalb einer Minute beim Empfänger ankommen, haben sie möglicherweise unverschlüsselt eine ganze Reihe von Zwischenstationen durchlaufen. Abhilfe schafft man nur, wenn man den Inhalt seiner E-Mails vor der Abgabe am ersten Briefkasten verschlüsselt. Der Empfänger muss wissen, wie er die E-Mail wieder entschlüsseln kann.

Das ist leichter gesagt als getan. Macht man mit einem Empfänger einen symmetrischen Schlüssel aus, so kann man sich nicht sicher sein, ob der Empfänger diesen Schlüssel nicht absichtlich oder unabsichtlich jemand anderem verrät. Daher muss ein asymmetrisches Schlüsselpaar verwendet werden. Bei diesem Verfahren sind die Schlüssel zum Ver- und Entschlüsseln verschieden.

Den Schlüssel zum Verschlüsseln nennt man Public Key. Man kann ihn an beliebig viele Empfänger versenden, die man bittet, jede E-Mail damit zu verschlüsseln. Den Schlüssel zum Entschlüsseln nennt man Private Key. Ihn muss man geheim halten. Nur damit lassen sich die E-Mails wieder in Klartext umwandeln.

Das erste Programm mit asymmetrischer Verschlüsselung für E-Mails, das größere Bekanntheit erreichte, war Pretty Good Privacy von Phil Zimmerman, kurz PGP genannt. Die aktuelle Version verschlüsselt nicht nur E-Mails, sondern auf Wunsch auch ganze Datenträger, etwa Festplatten und USB-Sticks. Auch CD- und DVD-Images lassen sich vor dem Brennen verschlüsseln.

Dass Phil Zimmerman seine Software kommerziell vertreibt und zunächst nicht jeden Verschlüsselungsalgorithmus offenlegte, gefiel Open-Source-Guru und Google-Mail-Kritiker Richard Stallman überhaupt nicht. Innerhalb des Gnu-Projektes entwickelte er den quelloffenen Klon Gnu Privacy Guard (GPG oder GnuPG). Das darin verwendete OpenPGP-Protokoll ist längst mit dem Titel RFC 4880 geadelt. Die meisten E-Mail-Verschlüsselungsprogramme basieren heute auf GnuPG.

Das Projekt Gpg4win ist ein vom Bundesamt für Sicherheit in der Informationstechnik beauftragtes Verschlüsselungspaket für E-Mails. Gpg4win umfasst ein Gesamtpaket, das auch den Schlüsseltausch mit anderen Nutzern erlaubt. Mit Gpg4win kann jeder Nutzer E-Mails und Dateien einfach und kostenlos verschlüsseln.

Gnupt ist ein deutschsprachiges Paket und besteht aus GnuPG und dem Windows Privacy Tray (WinPT). Das Installationsprogramm ist so ausgelegt, dass auch Benutzer ohne Administratorrechte die Software installieren und ihre E-Mails somit vor Unbefugten schützen können. Das Schlüsselverzeichnis muss nicht auf der Festplatte liegen, sondern kann frei definiert werden. So lässt sich beispielsweise ein USB-Stick verwenden.

Eine integrierte OpenPGP-Verschlüsselung und Authentifizierung in Thunderbird bietet Enigmail. Das Add-on integriert sich in die Benutzeroberfläche, während GnuPG die Verschlüsselung im Hintergrund vornimmt. Somit ist das Programm kompatibel zu allen Empfängern, die eine auf PGP oder GnuPG basierende Lösung einsetzen.