In der Regel gehen E-Mails unverschlüsselt durch das Internet. Obwohl das verwendete Übertragungsprotokoll SMTP mittlerweile um die Möglichkeit der Verschlüsselung erweitert wurde, setzen viele große Provider diese Technik nicht ein, wie ein ZDNet-Praxistest zeigt.
Hinzu kommt, dass E-Mail ein Store-and-Forward-Dienst ist. Man liefert eine E-Mail bei einem "Briefkasten" ab. Das ist meist der SMTP-Server des eigenen Providers oder der Firma. Der Absender hat keinen Einfluss darauf, wie es von dort weitergeht. Der Betreiber des SMTP-Servers entscheidet, ob er die E-Mail direkt an den SMTP-Server des Empfängers sendet, den er aus den MX-Records im DNS entnehmen kann, oder ob er jede E-Mail zunächst an einen externen Dienstleister in der "Cloud" schickt, der eine Überprüfung auf Malware vornimmt.
Obwohl E-Mails in der Regel innerhalb einer Minute beim Empfänger ankommen, haben sie möglicherweise unverschlüsselt eine ganze Reihe von Zwischenstationen durchlaufen. Abhilfe schafft man nur, wenn man den Inhalt seiner E-Mails vor der Abgabe am ersten Briefkasten verschlüsselt. Der Empfänger muss wissen, wie er die E-Mail wieder entschlüsseln kann.
Das ist leichter gesagt als getan. Macht man mit einem Empfänger einen symmetrischen Schlüssel aus, so kann man sich nicht sicher sein, ob der Empfänger diesen Schlüssel nicht absichtlich oder unabsichtlich jemand anderem verrät. Daher muss ein asymmetrisches Schlüsselpaar verwendet werden. Bei diesem Verfahren sind die Schlüssel zum Ver- und Entschlüsseln verschieden.
Den Schlüssel zum Verschlüsseln nennt man Public Key. Man kann ihn an beliebig viele Empfänger versenden, die man bittet, jede E-Mail damit zu verschlüsseln. Den Schlüssel zum Entschlüsseln nennt man Private Key. Ihn muss man geheim halten. Nur damit lassen sich die E-Mails wieder in Klartext umwandeln.
Das erste Programm mit asymmetrischer Verschlüsselung für E-Mails, das größere Bekanntheit erreichte, war Pretty Good Privacy von Phil Zimmerman, kurz PGP genannt. Die aktuelle Version verschlüsselt nicht nur E-Mails, sondern auf Wunsch auch ganze Datenträger, etwa Festplatten und USB-Sticks. Auch CD- und DVD-Images lassen sich vor dem Brennen verschlüsseln.
Dass Phil Zimmerman seine Software kommerziell vertreibt und zunächst nicht jeden Verschlüsselungsalgorithmus offenlegte, gefiel Open-Source-Guru und Google-Mail-Kritiker Richard Stallman überhaupt nicht. Innerhalb des Gnu-Projektes entwickelte er den quelloffenen Klon Gnu Privacy Guard (GPG oder GnuPG). Das darin verwendete OpenPGP-Protokoll ist längst mit dem Titel RFC 4880 geadelt. Die meisten E-Mail-Verschlüsselungsprogramme basieren heute auf GnuPG.
Das Projekt Gpg4win ist ein vom Bundesamt für Sicherheit in der Informationstechnik beauftragtes Verschlüsselungspaket für E-Mails. Gpg4win umfasst ein Gesamtpaket, das auch den Schlüsseltausch mit anderen Nutzern erlaubt. Mit Gpg4win kann jeder Nutzer E-Mails und Dateien einfach und kostenlos verschlüsseln.
Gnupt ist ein deutschsprachiges Paket und besteht aus GnuPG und dem Windows Privacy Tray (WinPT). Das Installationsprogramm ist so ausgelegt, dass auch Benutzer ohne Administratorrechte die Software installieren und ihre E-Mails somit vor Unbefugten schützen können. Das Schlüsselverzeichnis muss nicht auf der Festplatte liegen, sondern kann frei definiert werden. So lässt sich beispielsweise ein USB-Stick verwenden.
Eine integrierte OpenPGP-Verschlüsselung und Authentifizierung in Thunderbird bietet Enigmail. Das Add-on integriert sich in die Benutzeroberfläche, während GnuPG die Verschlüsselung im Hintergrund vornimmt. Somit ist das Programm kompatibel zu allen Empfängern, die eine auf PGP oder GnuPG basierende Lösung einsetzen.
Neueste Kommentare
5 Kommentare zu Mitleser unerwünscht: E-Mails sicher verschlüsseln
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Ein sehr interessanter Artikel, auch und gerade fünf Jahre nach seiner Veröffentlichung noch sehr relevant.
Im beruflichen Umfeld versende ich nur noch verschlüsselte Emails. Ich nutze dabei Outlook mit folgendem Plugin: https://www.is-fox.de/e-mail-verschluesselung.aspx
Was mich aber teils besorgt ist die Privatsphäre im Privaten. Denn in sozialen Netzwerken versendet man für gewöhnlich ebenfalls viele E-Mails. Und hier gibt es wenig Möglichkeiten als User selbst etwas für die Verschlüsselung zu tun. Und wer weiß wofür Daten über soziale Kontakte und Beziehungen dann verwendet werden können.
Mehr Informationen zur Benutzung wäre schön gewesen
Also der Artikel hat gut angefangen und verfällt dann doch in eine sehr
einfache Art der Auflistung verfügbarer Programme.
Persönlich hätte ich mir mehr Informationen zur Handhabung dieser Programme gewünscht, da die meisten Menschen zwar verschlüsseln wollen, aber nicht wissen wie es es hinbekommen.
Eine Anwenderfreundliche und einfach zu bedienende Software für nicht ganz so Erfahrene ist meiner Meinung nach nicht zu finden. Und das ist auch der Grund warum sich die Verschlüsselung der E-mail, bis jetzt, nicht durchgesetzt hat.
Dies soll eine Anregung dazu sein, einen ausgedehnten Artikl zu verfassen, der mit einem Verschlüsselungsprogramm Schritt für Schritt aufzeigt, was der Anwender tun muss.
AW: Mehr Informationen zur Benutzung wäre schön gewesen
Stimme Herrn Bücken uneingeschränkt zu. Mein persönliches Fazit zu dem Artikel: Wenig verwertbarer Nutzen für den Leser (egal ob Privat- oder kommerzieller Mailanwender), denn eine vernünftige und praktikable Lösung wird nicht aufgezeigt Für einen Journalisten, der m.E. das Kunden-/Leserinteresse im Auge haben sollte, z.B. die Mehrzahl der Mailanwender sind immernoch Outlook Express Nutzer bzw. Outlook Nutzer, dann folgen erst Thunderbird u.a. Clients, war das eine sehr mässige Leistung. Und mit keinem Wort erwähnt: Welche Möglichkeiten haben die Nutzer, die per Online-/Webmail ihre Mails um die Welt senden?
Installation dieser Tools
Die hier vorgestellten Tools verschlüsseln ja allesamt sicher – doch leider sind sie in der Geschäftswelt kaum praktikabel. Privatanwender haben (meist) die Rechte, sich solche Software-Pakete zu installieren – doch das versenden eines so verschlüsselten Mails an einen Empfänger in einem Unternehmen wird scheitern.
Denn welches Unternehmen erlaubt seinen Mitarbeitern die Installation einer Software? Da wird es Regeln und Weisungen geben, die die Firmenpolitik diesbezüglich festlegen – und jeder wird was anderes implementieren.
Der Ansatz von sicheren und anerkannten ‚Maildrehscheiben‘, die vom sicheren Webmail mit Authentisierung bis zum Einsatz von PGP/SMIME alles unterstützen ist hier viel der zielführendere Ansatz.
Ein weiteres Problem ist die gesetzlich vorgeschriebene Aufbewahrungspflicht von geschäftsrelevanter Kommunikation – wie lösen Unternehmen dies bei dieser Flut von Ansätzen?
Auch ist die Authentizität von PGP signierten Mails nicht sichergestellt – da fehlt einfach ein anerkanntes Modell wie z.B. im SMIME Umfeld (gesetzlich anerkannte CA’s, die qualifizierte digitale Zertifikate herausgeben).
AW: Installation dieser Tools
Es gibt übrigens Plattformen, die den Benutzer mit simplem WebMail beginnen lassen und dann erlauben mit den "sophisticated Ansätzen" with GPG oder X509 Zertifikaten "gemischte Empfängergruppen" mit mindest-Verschlüsselungsqualität zu erreichen.
Der Benutzer kann nach dem ersten Schritt der Sensibilisierung auf die Datenschutz und Vertraulichkeitsproblem in einem 2. Schritt erste praktische Gehversuche machen und dann wenn der Benutzer dann zum professionellen Power-User wird die fortgeschrittenen Tools und Methoden einsetzen ohne die Empfänger, die er im Security-Anwendungs-Lernprozess längst hinter sich gelassen hat wieder gänzlich ohne Verschlüsselung bedienen zu müssen.
Ein Beispiel ist https://www.privasphere.com