E-Mail-Verschlüsselung


Die Technik hinter dem heutigen E-Mail-System stammt aus einer Zeit, in welcher man die heutige Wichtigkeit dieses Kommunikationsmittels noch kaum richtig einschätzen konnte. SMTP wurde vor über 30 Jahren entwickelt und hat sich seit daher praktisch nicht verändert. Aus heutiger Sicht sind die Anforderungen an die Sicherheit ungenügend und die vorhanden Möglichkeiten um dies zu ändern sind begrenzt.

Die Reise einer E-Mail

Eine E-Mail besteht aus zwei Teilen: Dem Header (quasi dem Briefumschlag) und dem Body (dem Inhalt des Briefs). Die Reise einer E-Mail beginnt mit der Anlieferung an den Server (dem Postschalter) und wird von dort von Server zu Server (Poststelle zu Poststelle) weitergegeben, bis sie schliesslich auf dem Server des Empfängers (Postfach oder Briefkasten) landet, wo sie dann abgeholt werden kann.

Verschlüsselte Anlieferung und Abholung (SSL)

Die Kommunikation zwischen dem lokalen E-Mail-Programm und dem Postschalter bzw. ersten Server kann in der Regel verschlüsselt erfolgen. Auf diesem Teilabschnitt kann also niemand unerlaubt mitlauschen. Die E-Mail an sich ist damit aber noch nicht verschlüsselt und wird in der Regel auf dem weiteren Weg ebenfalls unverschlüsselt übertragen.

Dennoch lohnt sich diese schnell umgesetzte Massnahme: Um SSL in Ihrem Mail-Programm zu aktivieren, müssen Sie bei der Einrichtung des E-Mail-Programms die Option «SSL» in den Servereinstellungen aktivieren. Sie können diese Option auch nachträglich ändern.

Übrigens: Wenn das schwächste Glied in der Kette ein unsicheres Passwort zu Ihrer E-Mail-Adresse ist, hilft auch die sichere SSL-Verbindung nicht mehr viel.

Verschlüsselung mit PGP

Der Header (also der Umschlag) einer E-Mail kann nicht verschlüsselt werden, da sonst niemand mehr weiss, wohin eine E-Mail geliefert werden muss. Absender, Empfänger, Betreff und allfällige weitere Informationen wie Cc:, Bcc: etc. sind also immer unverschlüsselt.

Den eigentlichen Inhalt (den Body) kann man jedoch verschlüsseln. Die gängigste Methode ist PGP.

PGP nutzt das Public-Key-Verfahren, d.h. sowohl Sender wie Empfänger benötigen einen privaten und einen öffentlichen Schlüssel. Der öffentliche Schlüssel des Gegenübers wird benötigt, um den Inhalt einer E-Mail vor dem Senden zu verschlüsseln. Einmal verschlüsselt, kann die E-Mail nur mit dem privaten Schlüssel wieder entschlüsselt werden.
Der also notwendige vorgängige Austausch der öffentlichen Schlüssel ist eine Hürde, die im Alltag oft zu hoch ist und dementsprechend ist die Verbreitung von PGP nur klein.

Anleitungen

Für die gängigsten E-Mail-Programme gibt es fertige Installer oder Addons, welche die Funktionalität von PGP mit wenigen Mausklicks nachrüsten wie z.B. für (Apple Mail oder Outlook 2007). Auch für mobile Betriebssysteme wie Android oder iOS gibt es entsprechende Apps.

Für Thunderbird haben wir in unserem Supportcenter eine Anleitung geschrieben, welche Sie Schritt für Schritt durch die Installation führt.

Fazit

Sicherheit und E-Mail sind in der Realität komplizierter, als es sein sollte. Doch wie sagt man so schön: Wissen ist Macht. Und nur wer die Risiken kennt, kann abschätzen, ob er sie eingehen möchte. Somit hoffen wir, dass dieser Artikel etwas Licht ins Dunkel gebracht hat. Zum Schluss haben wir noch ein paar Links für Sie zusammengestellt, mit welchen Sie sich weiter in das Thema eintauchen können:

Weitere Artikel zum Thema E-Mail