Welche Möglichkeiten der E-Mail-Verschlüsselung gibt es?
Egal, ob privat oder beruflich: E-Mails sind ein selbstverständlicher Teil unserer Kommunikation. Das Bewusstsein für die Angreifbarkeit jeder einzelnen E-Mail ist aber häufig nicht vorhanden. Dabei tritt jede gesendete E-Mail häufig eine Reise über eine Vielzahl Server und Länder an – völlig unabhängig davon, ob der Empfänger auf einem anderen Kontinent oder nur auf einer anderen Etage im selben Haus wohnt. Die Struktur des Internets macht es möglich.
Was diese Struktur auch möglich macht: Theoretisch kann jeder, der das technische Wissen besitzt, E-Mails an jedem Knotenpunkt während des Transports abfangen, lesen oder sogar verändern. Und er kann E-Mails in Ihrem Namen schreiben.
E-Mails verschlüsseln: wann, wenn nicht jetzt?
Das alles sind keine Fantasien aluhuttragender Verschwörungstheoretiker, sondern die Realität. PRISM, E-Mail-Überwachung bei Yahoo, Phishing-Attacken – nur einige aktuelle Beispiele, warum jetzt (mal wieder) der beste Zeitpunkt ist, sich um E-Mail Verschlüsselung zu kümmern. Abgesehen davon sind unverschlüsselte E-Mails schon heute nicht mehr mit dem Datenschutz vereinbar – auch im Hinblick auf die Pflicht zur vollständigen Anwendung der Datenschutz-Grundverordnung (DSGVO).
Standards bei der E-Mail Verschlüsselung
Fangen wir mit zwei Begriffen an: OpenPGP und S/MIME. Beide benennen Standards zur E-Mail Verschlüsselung. Genauer gesagt sind es Datenformate, die für verschlüsselte und digital signierte Dateien eingesetzt werden. Wenn es um das Verschlüsseln von E-Mails geht, ist fast immer einer der beiden Standards gemeint.
OpenPGP basiert auf PGP aus dem Jahr 1991. Die Abkürzung PGP wird umgangssprachlich als Kurzform für OpenPGP benutzt – deshalb spricht man auch von PGP-Verschlüsselung.
S/MIME stammt aus dem Jahr 1995 und ist ebenfalls ein Standard für das Verschlüsseln und digitale Signieren.
Beide basieren auf dem Prinzip der hybriden Verschlüsselung, einer Mischform aus asymmetrischer und symmetrischer Verschlüsselung. Dies bedeutet, dass es zunächst jeweils zwei unterschiedliche Schlüssel gibt: einen privaten Schlüssel und einen öffentlichen Schlüssel (Asymmetrie). Dieses Konzept wird wegen der Verwendung öffentlicher Schlüssel auch als Public-Key-Infrastruktur (PKI) bezeichnet.
Der Einsatz von öffentlichen und privaten Schlüsseln ähnelt dem Einsatz eines Vorhängeschlosses sowie des zugehörigen Schlüssels. Der Empfänger stellt dabei allen Kommunikationspartnern sein Schloss zur Verfügung – nämlich den öffentlichen Schlüssel, mit dem die E-Mails dann verschlüsselt werden. Die Entschlüsselung ist nur mit dem privaten Schlüssel möglich, der sich in seinem Besitz befindet.
Mit Hilfe der asymmetrischen Verschlüsselung wird dann ein symmetrischer Sitzungsschlüssel verschlüsselt, der zur Verschlüsselung der eigentlichen Daten eingesetzt wird.
E-Mails verschlüsseln mit OpenPGP
Das PGP in OpenPGP steht für Pretty Good Privacy, also Ziemlich gute Privatsphäre. Wie bereits erwähnt, werden zwei verschiedene Arten von Schlüsseln benötigt:
- Ein öffentlicher Schlüssel, der sich im Besitz der Absender befindet. Mit diesem Schlüssel können die Absender Daten verschlüsseln sowie Signaturen überprüfen.
- Ein privater (geheimer) Schlüssel, der sich ausschließlich im Besitz des Empfängers befindet. Dieser Schlüssel wird für die Entschlüsselung verwendet.
Um PGP-Verschlüsselung nutzen zu können, muss der Absender also seinen privaten Schlüssel sowie die öffentlichen Schlüssel aller Empfänger haben.
Beide Schlüssel lassen sich mit entsprechender Software erzeugen. Entscheidend ist dann, den öffentlichen Schlüssel zu verteilen, indem Sie ihn beispielsweise auf Ihrer Website veröffentlichen oder an Ihre E-Mails anhängen. So kommen Ihre Kommunikationspartner in dessen Besitz und können an Sie gerichtete E-Mails verschlüsseln.
Digitale Signaturen sorgen für Glaubwürdigkeit
Wie aber kann ich sicher sein, dass der öffentliche Schlüssel eines anderen authentisch ist, dass er also von der Person stammt, die dies vorgibt? Die Lösung bieten digitale Signaturen, also Prüfsummen, die aus den Daten des zu signierenden öffentlichen Schlüssels und dem E-Mail-Inhalt gebildet werden.
Bei OpenPGP entsteht durch das gegenseitige Signieren der öffentlichen Schlüssel das sogenannte Web of Trust („Netz des Vertrauens“). Dieses gegenseitige Signieren der öffentlichen Schlüssel durch die Nutzer von OpenPGP erzeugt also die Sicherheit, dass ein Schlüssel authentisch ist. Wichtig ist natürlich, dass Sie (und andere) einen öffentlichen Schlüssel nur signieren, wenn Sie sich der Identität des Inhabers sicher sind.
E-Mail Verschlüsselung mit S/MIME
S/MIME steht für Secure/Multipurpose Internet Mail Extension und ist ebenfalls ein Standard für das Verschlüsseln und digitale Signieren von E-Mails. Wie auch bei OpenPGP basiert die E-Mail Verschlüsselung bei S/MIME auf der Verwendung von öffentlichen und privaten Schlüsseln. Auch hier muss der Absender im Besitz sowohl seines privaten als auch der öffentlichen Schlüssel sein.
E-Mail-Sicherheit durch Zertifikate und Signatur
Allerdings wird für die Erstellung der beiden Schlüssel ein Zertifikat nach dem X.509-Standard benötigt. Diese Zertifikate werden lokal erstellt und dann von einer Zertifizierungsstelle (Certificate Authority, CA) signiert– was den grundsätzlichen Unterschied zwischen S/MIME und OpenPGP aufzeigt: Die Glaubwürdigkeit eines öffentlichen Schlüssels basiert bei S/MIME auf einem hierarchischen Zertifikatssystem, nicht auf dem Web of Trust.
Sowohl bei S/MIME als auch bei OpenPGP ist es möglich, E-Mails digital zu signieren und so die Authentizität der E-Mail nachzuweisen – in Zeiten raffinierter Phishing-Angriffe besonders relevant. Diese Signatur, die automatisch an E-Mails angefügt werden kann, übermittelt dem Empfänger außerdem den öffentlichen Schlüssel. Dieser kann Ihnen dann ebenfalls verschlüsselte E-Mails zusenden.
Eine weitere Möglichkeit, ihren öffentlichen Schlüssel weiterzugeben, sind Key-Server wie Open Keys. Hier können Sie Ihren öffentlichen Schlüssel hochladen, so dass andere diesen finden und zum E-Mails verschlüsseln einsetzen können.
Verschlüsselungssoftware für sichere E-Mail-Kommunikation
Viele Unternehmen vermeiden den notwendigen und inzwischen überfälligen Schritt hin zu einer effektiven und unternehmensweiten E-Mail Verschlüsselung. Häufig, weil diese Unternehmen den damit verbundenen Aufwand scheuen. Vielleicht befürchten sie auch, dass die einzelnen Mitarbeiter gezwungen sind, viel Zeit in das Verschlüsseln von E-Mails zu investieren: Private und öffentliche Schlüssel müssen verwaltet, gesichert und geschützt werden. Die öffentlichen Schlüssel müssen außerdem verteilt werden. Und: Die Anwender müssen geschult werden.
Automatisch Outlook Mails verschlüsseln
Es ist aber gar nicht notwendig, dass sich jeder einzelne Mitarbeiter selbst um die technischen Details kümmert. Mit der passenden Verschlüsselungssoftware wird Ihre E-Mail Verschlüsselung automatisiert.
Outlook Mails beispielsweise werden durch die Verschlüsselungssoftware automatisch verschlüsselt – der einzelne Mitarbeiter bekommt gar nicht mit, dass er oder sie gerade eine verschlüsselte E-Mail versendet. Sogar PDFs können auf diese Weise verschlüsselt und direkt als Outlook Mail versendet werden. Die öffentlichen Schlüssel Ihrer Kommunikationspartner werden außerdem zentral verwaltet und sicher aufbewahrt.
So stellt die Verschlüsselungssoftware auch sicher, dass die Mitarbeiter nicht durch Unachtsamkeit oder Fehler die Sicherheit des Unternehmens gefährden – denn Sicherheitsrichtlinien werden automatisch unternehmensweit durchgesetzt.
Jetzt alle E-Mails verschlüsseln
Ob Vertragsdetails, Rechnungen oder andere Firmeninterna – täglich schicken Sie E-Mails mit sensiblen Inhalten an Kunden oder Partner, und dabei zahllose E-Mails auf Reisen um die Welt. Damit Sie sicher sein können, dass auf diesen Reisen Vertrauliches vertraulich bleibt und Sie immer wissen, wer Ihr Gegenüber ist, brauchen Sie eine leistungsfähige Verschlüsselungssoftware.