Nicht erst seit den Enthüllungen über die weltweiten Internet-Spähprogramme des amerikanischen Geheimdienstes NSA ist das Thema »EMail verschlüsseln« in aller Munde. Doch nicht nur für Whistleblower wie Edward Snowden ist eine Verschlüsselung sinnvoll, auch viele Unternehmen und Privatpersonen profitieren von sicherer Kommunikation. Wobei es sich wirklich nur bei vertraulichen Daten lohnt, eine Verschlüsselung vorzunehmen. Man kann ja nicht verlangen, dass alle E-Mail-Partner dabei mitmachen.
Damit eine sichere Kommunikation per E-Mail gewährleistet ist, stehen zwei Wege zur Verfügung. Zum einen kann die Übermittlung der Nachricht als solche verschlüsselt erfolgen, zum anderen kann man den Inhalt der EMail verschlüsseln.
Verschlüsselte Übertragung ist Standard.
Die verschlüsselte Übertragung ist dabei bereits heute Standard bei den großen Providern. T-Online, GMX, Web.de, 1&1, Freenet und Strato haben hierzu im Frühjahr 2014 die Initiative »E-Mail made in Germany« gegründet. Dabei erfolgt sowohl die Übertragung vom heimischen PC zum E-Mail-Server des Anbieters als auch die Weiterleitung an den Provider des EMail-Empfängers jeweils verschlüsselt. Zum Einsatz kommt dabei der TLS-Standard. TLS steht für Transport Layer Security und ist das Nachfolgeprotokoll des bekannten SSL-Protokolls (Secure Sockets Layer). Der Standard gilt als äußerst sicher.
Neben der sicheren Übertragung garantieren die Mitglieder der Initiative ihren Kunden auch, dass die Datenverarbeitung nur in Deutschland stattfindet. Das bedeutet, dass die Server der Unternehmen in Deutschland stehen. Damit kommt ausschließlich deutsches Datenschutzrecht zur Anwendung.
Wer einen anderen EMail-Provider nutzt, sollte sich informieren, ob dieser bereits die Übertragung verschlüsselt durchführt und wo sich die Server des Unternehmens befinden. Gerade bei kleineren Anbietern ist auch heute eine verschlüsselte Übermittlung von EMails noch immer nicht zum Standard geworden.
Inhaltsverschlüsselung ist wenig verbreitet
Die komplette Inhaltsverschlüsselung von EMails findet in Deutschland hingegen sehr selten statt. Ein Grund dafür dürfte sein, dass hierfür deutlich mehr Wissen vom Nutzer verlangt wird, als bei der verschlüsselten Übertragung von Nachrichten. Während Letztere praktisch automatisch und ohne eigenes Zutun abläuft, muss der jeweilige Anwender bei der Verschlüsselung des Inhalts selbst aktiv werden. Neben Speziallösungen, die eigens für bestimmte Unternehmen entwickelt wurden, stehen hier nur zwei verbreitete Methoden zur Verfügung: das S/MIME-Protokoll (Secure / Multipurpose Internet Mail Extensions) sowie PGP (Pretty Good Privacy) und damit kompatible Programme wie etwa GnuPG oder OpenPGP.
Beide Methoden funktionieren dabei vom Ansatz her ähnlich: Zum Einsatz kommt das sogenannte Public-Key-Verfahren. Jeder Anwender erhält zwei Schlüssel, einen per Passwort geschützten privaten Schlüssel und einen öffentlichen Schlüssel. Der öffentliche Schlüssel des EMail-Empfängers wird von den anderen Nutzern dazu verwendet, die Nachricht an diesen zu verschlüsseln, während mit dem eigenen privaten Schlüssel die verschlüsselten Nachrichten dann entschlüsselt werden können. Beachtet werden sollte jedoch, dass S/MIME und PGP miteinander nicht kompatibel sind, sodass eine per S/MIME-verschlüsselte Nachricht beispielsweise nicht mit einem PGP-Schlüssel entschlüsselt werden kann.
EMail verschlüsseln mit S/MIME und PGP
Für die meisten Anwender ist das S/MIME-Verfahren einfacher zu bedienen, da viele EMail-Programme eine Unterstützung hierfür bereits eingebaut haben. So wird es sowohl von Microsoft Outlook als auch vom Mail-Programm für Mac OS X und iOS von Haus aus unterstützt. Nachteil von S/MIME ist hingegen, dass das hierfür notwendige Zertifikat (der private Schlüssel) in der Regel von Privatanwendern nicht selbst generiert werden kann, sondern auf die Hilfe einer Zertifizierungsstelle zurückgegriffen werden muss.
Im Gegensatz hierzu können mit PGP bzw. kompatiblen Programmen wie GnuPG die notwendigen Schlüsselpaare selbst erzeugt werden. Dafür haben aber die meisten Mail-Programme eine PGP-Unterstützung nicht integriert. Daher müssen oft zusätzliche Programme und Plug-ins installiert werden, was die Anwendung etwas schwieriger gestaltet als die eingebaute S/MIME-Unterstützung.
Doch selbst wenn beide Verfahren teilweise etwas umständlicher sein mögen, eines sollte nicht vergessen werden: Wer Firmen- und Geschäftsunterlagen oder private Daten per EMail sicher versenden will, nimmt die kleinen Nachteile bei der Bedienung gerne in Kauf. Denn nur durch eine konsequente Verschlüsselung ist sichergestellt, dass unbefugte Dritte keinen Zugriff auf die eigenen Daten haben. Zudem dürften auch die Hersteller von EMail-Anwendungen die Integration der Verfahren verbessern, je mehr Benutzer diese auch tatsächlich einsetzen und ihre EMail verschlüsseln.
Der Beitrag EMail verschlüsseln erschien zuerst auf Backup Datensicherung.
