Die E-Mail ist beruflich wie privat eines der meist genutzten Kommunikationsmedien. Leider erfolgt diese häufig noch immer ohne Verschlüsselung, obgleich kaum jemand dem Erfordernis ernsthaft widerspricht. Wer sich damit aber zum ersten Mal beschäftigt, wird mit einer Vielzahl von Techniken und Begriffen konfrontiert, die einen schnell zu überfordern drohen. OpenPGP, S/MIME, Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung – dieser Beitrag erklärt Begriffe der E-Mail-Verschlüsselung.
Der Inhalt im Überblick
Möglichkeiten zur Ausspähung existieren
Der ehemalige Bundesinnenminister Friedrich postulierte einst angesichts der Ausspähaffäre, die Deutschen sollten mehr für den Schutz ihrer Daten tun.
„Verschlüsselungstechnik oder Virenschutz müssten mehr Aufmerksamkeit erhalten, sagte Friedrich nach seiner Anhörung vor dem Parlamentarischen Kontrollgremium (PKG) zu der Spähaffäre am Dienstag in Berlin. Die technischen Möglichkeiten zur Ausspähung existierten nun einmal, deshalb würden sie auch genutzt.“
Warum sollte man E-Mails verschlüsseln?
Ob nun also Spähaffären (Behörden und Geheimdienste), Schutz der eigenen Geschäfts- und Betriebsgeheimnisse oder schlicht die Wahrung der Privatsphäre (Grundrecht auf informationelle Selbstbestimmung), man muss nicht etwas zu verbergen haben, wenn man E-Mails verschlüsseln möchte.
Transportverschlüsselung
Bei der Transportverschlüsselung werden die E-Mails lediglich auf dem Transportweg geschützt, d.h. die E-Mail als solche wird dabei nicht verschlüsselt und befindet sich zwischen den Übertragungen unverschlüsselt auf den E-Mail-Servern. Diese Verschlüsselung erfolgt in der Regel mittels TLS (ein Protokoll zur Verschlüsselung von Datenübertragungen), einer Weiterentwicklung von SSL.
Ende-zu-Ende-Verschlüsselung
Einen Schritt weiter geht die Ende-zu-Ende-Verschlüsselung. Nachrichten werden dabei, nachdem sie auf dem Endgerät des Absenders verschlüsselt wurden, erst auf dem Endgerät des Empfängers wieder entschlüsselt.
Die Verschlüsselung kann dabei auf verschiedene Arten erfolgen. Die beiden gängigsten Standardverfahren bei der Ende-zu-Ende-Verschlüsselung sind OpenPGP und S/MIME. Dabei handelt es sich um ein sogenanntes Public-Key-Verfahren, bei welchem es einen öffentlichen Schlüssel zum Verschlüsseln und einen privaten Schlüssel zum Entschlüsseln gibt. Die Kommunikationspartner tauschen dabei vor dem Einsatz der Verschlüsselung ihre öffentlichen Schlüssel aus und verschlüsseln die E-Mails dann mit dem jeweiligen öffentlichen Schlüssel des Empfängers. Nur der Empfänger kann die Nachricht mit seinem privaten Schlüssel entschlüsseln. Da der Schutz des privaten Schlüssels elementar ist, wird dieser auf dem eigenen Endgerät aufbewahrt und darf nicht weitergegeben werden.
Vollständiger Schutz durch Kombination
Eine E-Mail besteht aus mehreren Elementen (Kopfzeile, Inhalt und Anhang). Die Kopfzeile enthält Meta-Daten wie Absenderadresse, Betreff sowie Adresse des Empfängers. Die Kopfzeile wird jedoch bei OpenPGP und S/MIME nicht mit verschlüsselt. Sollen diese Informationen ebenfalls geschützt werden, sollte zusätzlich eine Transportverschlüsselung zum Einsatz kommen.
Die Rolle der Zertifikate
Von größter Relevanz bei der E-Mail-Verschlüsselung ist die Glaubwürdigkeit bezüglich der öffentlichen Schlüssel. Diese Beglaubigung erfolgt über digitale Zertifikate, welche an öffentliche Schlüssel geheftet werden, um deren Glaubwürdigkeit zu bestätigen. Bei OpenPGP erfolgt die Schlüsselbeglaubigung über eine dezentrale Struktur, beispielsweise über eine öffentliche Schlüsseldatenbank. Es können aber auch einfach Schlüsselpaare erzeugt werden, bei denen der öffentliche Schlüssel im direkten Austausch mit dem Empfänger direkt als vertrauenswürdig eingestuft werden kann und ermöglicht auf dieses Weise relativ schnell die Einrichtung einer sicheren Verbindung zu einem bestehenden Kommunikationspartner.
S/MIME basiert hingegen auf einer zentralen Struktur. Dabei erfolgt die Zertifizierung des öffentlichen Schlüssels nicht durch den Benutzer selbst, sondern durch als vertrauenswürdig geltende Zertifizierungsstellen (auch als Certificate Authority (CA) bezeichnet), bspw. Verisign. Diese übergeordnete Stelle überprüft die Identität des Benutzers und ordnet sie einem öffentlichen Schlüssel zu. Der Betrieb von S/MIME setzt also eine Zertifizierungsinfrastruktur voraus.
Einfache Lösung nicht in Sicht
Die Verschlüsselung von E-Mails stellt eine komplexe Materie dar, für die es leider noch immer keine komfortable Endverbraucherlösung gibt. Wer auf Verschlüsselung Wert legt kommt leider nicht umhin, etwas Zeit zu investieren oder den Rat Dritter einzuholen.
Unternehmen verfügen oftmals über eigene IT-Abteilungen, haben also fachkundige Mitarbeiter, die sich dessen im Sinne der IT-Sicherheit annehmen und entsprechende Lösungen implementieren können.
Auf eine einfach handzuhabende Lösung für den Versand von sensiblen Inhalten ist abschließend noch hinzuweisen. Word-Dokumente oder ähnliches können als E-Mail-Anlage auch mit Kompressions- bzw. Packprogrammen wie 7-Zip oder WinRAR mittels Verschlüsselungsverfahren verschlüsselt und beim Empfänger durch Passworteingabe wieder entschlüsselt werden.
@ Herr Mertin
„man muss nicht etwas zu verbergen haben, wenn man E-Mails verschlüsseln möchte.“
Leider fördern auch Sie das negative Image von „etwas zu verbergen haben“. Es ist nicht per se böse, etwas schützen zu wollen. Verbergen = schützen. Warum sonst tragen wir Kleidung? Weil wir kriminell und böse sind oder weil wir unsere Intimsphäre und Würde schützen wollen?
Wer nichts zu verbergen hat, hat auch nichts zu schützen und verdient keine Sicherheit.
letzte Überschrift im Artikel: „Einfache Lösung nicht in Sicht“ ?
ääähm … https://www.volksverschluesselung.de/ ??
Vorstöße aus der Industrie und von Verbänden gab es immer wieder, durchgesetzt und in der Masse Verbreitung finden konnte sich davon leider keines. Auch über die „Volksverschlüsselung“ berichteten wir bereits vergangenes Jahr, ein konkreter Starttermin für eine Nutzung in der Praxis ist leider noch nicht absehbar. Mit dem Projekt „E-Mail made in Germany“ gibt es seit einiger Zeit einen zumindest recht vielversprechenden Ansatz.
Das Frauenhofer-Institut hat auf der diesjährigen Cebit also bereits vor mehr als 3 Monaten mit der Registrierung für die Volksverschlüsselung begonnen und mit der Telekom bereits einen großen Partner mit ins Boot genommen!
Eine weitere nennenswerte Innitiative ist das Projekt „Vertrauenswürdige Verteilung von Verschlüsselungsschlüsseln“ (VVV) welches am 01.01.2016 mit einer Laufzeit von 2 Jahren gestartet ist.
Es basiert auf einer Ausschreibung des Bundesministeriums für Bildung und Forschung (BMBF) zur Förderung von Forschungsinitiativen auf dem Gebiet des Selbstdatenschutzes.
Die Lösung wird auf Grundlage des Netzwerkprotokolls DANE entwickelt, um die Zertifikate mit den entsprechenden Adressen im Internetverzeichnisdienst (DNS) zu verknüpfen und diese Informationen mittels DNS-Sicherheitserweiterungen geschützt weiterzugeben. https://www.keys4all.de/