E-Mails müssen keine Postkarten sein

E-Mails müssen keine Postkarten sein

Seit dem NSA-Skandal wollen immer mehr Menschen ihre E-Mails verschlüsseln. Lesen Sie hier, wie einfach das mit Thunderbird und Enigmail funktioniert.

STRATO Kunden können für ihre E-Mails verschlüsselte Verbindungen nutzen. Doch was passiert, wenn die Mailserver meiner Kontakte diese Sicherheit nicht bieten? Und wie schütze ich meine Nachrichten auf dem Weg vom Server zum Endgerät? Wer auf Nummer sicher gehen will, nutzt die sogenannte Ende-zu-Ende-Verschlüsselung.

Ziemlich gute Privatsphäre

Das Thunderbird-Addon Enigmail verschlüsselt Nachrichten asymmetrisch mit OpenPGP. PGP steht für „Pretty Good Privacy“, also ziemlich gute Privatsphäre. Tatsächlich ist das ziemlich untertrieben, weil das Datenformat PGP als äußerst sicher gilt. Asymmetrisch bedeutet, dass zum Ver- und Entschlüsseln von Nachrichten zwei verschiedene Schlüssel verwendet werden: ein öffentlicher und ein privater.

Der öffentliche Schlüssel hat den Zweck, Nachrichten vor dem Versand zu verschlüsseln und Signaturen zu prüfen. Wie der Name schon andeutet, ist dieser nicht geheim. Im Gegenteil: Damit Sie überhaupt verschlüsselte Nachrichten erhalten können, benötigen Ihre Kontakte den öffentlichen Schlüssel. Eine Signatur ist eine digitale Unterschrift, die nur der geheime Schlüssel erzeugen kann. Man kann also sicher sein, dass eine korrekt signierte Nachricht vom behaupteten Absender stammt und nicht verändert wurde.

Um auf diese Weise verschlüsselte E-Mails lesen zu können, müssen sie mit dem dazugehörigen privaten Schlüssel entschlüsselt werden. Über diesen verfügen ausschließlich Sie – die Person also, die das Schlüsselpaar erstellt hat. Damit das so bleibt, sollte der private Schlüssel mit einer guten Passphrase gesichert werden (siehe unten).

Voraussetzungen

Um E-Mails auf einem Windows-PC zu ver- und entschlüsseln, installieren Sie zunächst das Kryptografie-Werkzeugpaket Gpg4win (GNU Privacy Guard for Windows). Richten Sie anschließend – sofern noch nicht geschehen – Ihre E-Mail-Adressen in Thunderbird ein. Nun benötigen Sie noch das Addon Enigmail. Wichtig: Die so hergestellte (Open)PGP-Unterstützung muss nicht nur auf Ihrem Rechner gegeben sein, sondern auch auf den Computern derer, mit denen Sie verschlüsselt kommunizieren möchten. Das müssen keine Windows-Rechner sein – Mac-Computer, Linux-PCs und sogar Smartphones können ebenfalls OpenPGP nutzen.

Schlüssel und Zertifikat erzeugen

strato-mails-verschluesseln-728

Erzeugen Sie nun in Thunderbird ein Schlüsselpaar (OpenPGP → Schlüssel verwalten… → Erzeugen → Neues Schlüsselpaar). Empfehlenswert ist eine Passphrase aus Groß- und Kleinbuchstaben, Zahlen, Leer- und Sonderzeichen. Vorsicht: Wenn Sie das Passwort vergessen, können Sie Ihre verschlüsselten E-Mails nicht mehr lesen.

Starten Sie den Vorgang über die Schaltfläche „Schlüsselpaar erzeugen“ und bestätigen Sie die Aufforderung, das dazugehörige Widerrufszertifikat zu erzeugen. Dieses benötigen Sie für den Fall, dass Sie den privaten Schlüssel verlieren und auflösen möchten. Speichern Sie das Widerrufszertifikat nicht auf dem Computer, sondern auf einem USB-Stick, den Sie für nichts anderes verwenden.

Den öffentlichen Schlüssel können Sie anschließend an Ihre Kontakte über spezielle Schlüsselserver wie http://pgp.mit.edu oder per E-Mail verteilen: Einfach eine Nachricht verfassen, dann in der Menüleiste auf „OpenPGP“ klicken und „Meinen öffentlichen Schlüssel anhängen“ auswählen. Damit Ihre Kontakte (auch ohne persönliche Absprache) sicher sein können, dass der Schlüssel wirklich von Ihnen kommt, sollten Sie diesen zertifizieren lassen. Das geht zum Beispiel über die Krypto-Kampagne der Fachzeitschrift c´t.

Schlüssel importieren und verwenden

 

strato-mails--verschluesseln-728-2

Der Empfänger kann nun den in der E-Mail angehängten Schlüssel per Rechtsklick importieren („OpenPGP-Schlüssel importieren“). Um sicher zu gehen, sollte er zunächst den Fingerabdruck des Schlüssels (OpenPGP → Schlüssel verwalten… → Rechtsklick auf Schlüssel → Schlüsseleigenschaften) persönlich oder telefonisch abgleichen. Stimmt der mit den Angaben des Kontaktpartners überein, kann er den Schlüssel mit dem eigenen Schlüssel unterschreiben (OpenPGP → Schlüssel verwalten… → Rechtsklick auf Schlüssel → Unterschreiben). Damit Sie als Empfänger eine Nachricht verschlüsseln können (Verfassen → OpenPGP → Nachricht verschlüsseln), aktivieren Sie die OpenPGP-Unterstützung für Ihre E-Mail-Adresse (Konfigurieren → OpenPGP-Unterstützung für diese Identität aktivieren).

Vor dem ersten verschlüsselten Versand öffnet sich ein Fenster, in dem Sie den eben importierten Schlüssel der E-Mail-Adresse zuweisen müssen (Auswählen → OK → OK). Ist das erledigt, kann der Empfänger verschlüsselte E-Mails an die Person versenden, von der er den öffentlichen Schlüssel erhalten hat. Ein gelber Schlüssel in der Ecke unten rechts zeigt an, dass die E-Mail verschlüsselt wird. Achten Sie darauf, dass im Fenster „Verfassen“ unter „OpenPGP“ bei „PGP/MIME verwenden“ ein Häkchen gesetzt ist.

strato-mails--verschluesseln-728-3

Fazit

Einer beliebten Analogie zufolge sind unverschlüsselte E-Mails so wenig sicher wie Postkarten. Das muss nicht sein. Die Einrichtung ist zwar aufwändig – im Alltag ändert sich beim E-Mail-Verkehr aber fast nichts. Jetzt müssen Sie nur noch Ihre Freunde, Familie und Geschäftspartner dazu bringen, ihre E-Mails ebenfalls zu verschlüsseln.

Linktipps

Teilen

  1. Avatar

    XS sagte am

    Hallo,

    eineinhalb Jahre nach Inkrafttreten der DSGVO wäre es wirklich schön, wenn Sie – gerne auch gegen Aufpreis! – S/MIME anbieten würden.

    Antworten
    • Avatar

      Oliver Meiners sagte am

      Hallo,

      wir beobachten das Thema S/MIME. Aktuell gibt es allerdings keine konkreten Pläne, es bei STRATO umzusetzen. Für uns als Massenhoster ist die Umsetzung mit einem sehr hohen Aufwand verbunden. Im Verhältnis dazu sind wir vom Nutzen des Standards nicht ausreichend überzeugt.

      Ich bedaure, wenn Sie diese Antwort nicht zufriedenstellt.

      Viele Grüße
      Oliver

      Antworten
      • Avatar

        Scholz sagte am

        Hallo Oliver,
        Zitat der erste Seite Ihrer Firmenhompage – „Wir sind der digitale Partner von der Domain bis zur High-End-Lösung – für kleine & mittelständische Unternehmen, Selbstständige und Privatpersonen. STRATO steht für Profi-Qualität und wird regelmäßig mehrfach für seine Produkte und Services ausgezeichnet.“
        Ihre Aussage: „Für uns als Massenhoster ist die Umsetzung mit einem sehr hohen Aufwand verbunden“ ist für diesen hohen Anspruch etwas ernüchternd, insbesondere wenn ein solcher Services auch vergütet werden würde.
        Ein konstruktiver und im Alltag praktikabler Lösungsvorschlag “ kleinen & mittelständischen Unternehmen und Selbstständigen“ einen DAGSVO verträglichen sicheren e-mail Versand mit Strato als Hoster zu ermöglichen, das wäre „Profi-Qualität“.

        Grüße Scholz

        Antworten
        • Avatar

          Oliver Meiners sagte am

          Hallo Herr Scholz,

          vielen Dank für Ihr Feedback. Ich kann Ihren Wunsch nachvollziehen und gebe das gerne an die zuständigen Kollegen weiter. Aktuell habe ich aber leider keine anderen Infos für Sie.

          Viele Grüße
          Oliver

          Antworten
Weitere Kommentare laden

Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.

Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.