{"id":18058,"date":"2013-07-23T10:07:18","date_gmt":"2013-07-23T08:07:18","guid":{"rendered":"http:\/\/www.nachdenkseiten.de\/?p=18058"},"modified":"2015-08-10T10:38:24","modified_gmt":"2015-08-10T08:38:24","slug":"nachdenkseiten-service-verschlusselung-von-mails","status":"publish","type":"post","link":"https:\/\/www.nachdenkseiten.de\/?p=18058","title":{"rendered":"NachDenkSeiten-Service: Verschl\u00fcsselung von Mails"},"content":{"rendered":"

Würden Sie ihre vertrauliche Korrespondenz mit Ämtern, Geschäftspartnern und Freunden im traditionellen Briefverkehr als Postkarte verschicken? Sicher nicht, schließlich möchten Sie ja nicht, dass der Briefträger und jeder Sortierer bei der Post ihre Korrespondenz mitliest. Wenn Sie jedoch elektronische Post, also E-Mails, verschicken, dann verschicken Sie in der Regel elektronische Postkarten, die nicht nur neugierige Geheimdienste und Internetdienstleister, sondern mit überschaubarem Aufwand auch jeder kleine Hacker mitlesen kann. Als Abhilfe bietet sich hier vor allem der Versand und Empfang von verschlüsselten Mails an. Die Ersteinrichtung der dafür benötigten Software ist zwar für Computerlaien nicht ganz so einfach. Es gibt jedoch zahlreiche Tutorials im Netz, mit denen Sie mühelos den Einstieg in die Welt der Verschlüsselung meistern sollten. Von Jens Berger<\/strong>.
\n
\nWarum sollte man Mails überhaupt verschlüsseln?<\/strong><\/p>

Für Personen, die – auf welche Weise auch immer – mit wirklich vertraulichen und sensiblen Daten zu tun haben, ist eine Verschlüsselung der übermittelten Daten zwingend angeraten. Dazu gehören neben Anwälten, Ärzten, Steuerberatern und jeglichen Personen, die in einem beruflichen Umfeld tätig sind, in dem sie Zugriff auf Daten haben, die für die Konkurrenz von Interesse sein könnten, vor allem auch Journalisten. Erstaunlich und höchst ärgerlich ist, dass vor allem die Journalisten beim Thema „Verschlüsselung“ offenbar nicht das geringste Problembewusstsein aufweisen<\/a>. Dieser kleine Service-Artikel ist jedoch nicht für diese Personengruppen gedacht und geeignet! Denn was nützt die beste Verschlüsselung, wenn die Person, um die es geht, anderweitige Sicherheitslecks hat. Wenn Ihr Windows-Betriebssystem beispielsweise von Trojanern oder anderen Schadprogrammen infiziert ist[*<\/a>], können auch verschlüsselte Mails mitgelesen werden. Mehr noch, Verschlüsselung in kompromittierter Umgebung kann sogar mehr schaden als nützen, weil es dem Empfänger Ihrer oder in Ihren Namen gefälschten Nachrichten ein falsches Sicherheitsgefühl vermittelt. <\/p>

Wer zu den genannten Personengruppen gehört und eine Arbeitsumgebung nutzt, die generell als unsicher zu gelten hat (und dazu zählt grundsätzlich das Betriebssystem Windows), sollte daher auch einen Profi konsultieren, der das System – so gut es geht – absichern kann. <\/p>

Anders stellt es sich für Privatpersonen und Menschen in einem weniger sensiblen beruflichen Umfeld dar. Leider ist gerade bei dieser Gruppe jedoch die Fehleinschätzung weit verbreitet, dass Sie durch zusätzliche Sicherheit nichts zu gewinnen hätten. Wer nichts zu verbergen hat, muss auch nichts verschlüsseln. Ist dem so? Stellen Sie sich doch einmal folgende Situation vor: Sie sitzen in einem Straßencafé und ihr Smartphone ruft über einem vom Cafébetreiber freundlicherweise installierten W-Lan-Hotspot der Telekom automatisch ihre Mails ab. Sollte die Verbindung zu ihrem Mail-Account nicht so konfiguriert sein, dass sie automatisch verschlüsselt ist, kann ein Hacker mit simplen Tools nicht nur ihre Mails mitlesen, sondern auch ihre Account-Daten (Nutzername und Passwort) abfangen[**<\/a>] und auch in Zukunft ihre Mails mitlesen und Mails in ihrem Namen verschicken. Ein solcher „Hacker“ muss dabei keinesfalls besonders talentiert sein. In den einschlägigen Foren gibt es für solche Zwecke auch Software, die sich über eine einfache Benutzeroberfläche von jedem bedienen lässt, der zumindest die Grundzüge der Netzwerktechnik beherrscht. <\/p>

Abhilfe Verschlüsselung – Grundlagen der Technik<\/strong><\/p>

Wenn es hier um die Verschlüsselung von Mails geht, dann geht es ausschließlich um die Verschlüsselung des Inhaltes von E-Mails vom Absender bis zum Empfänger. Es geht nicht um die verschlüsselte Verbindung zu Ihrem Mail-Account (TLS\/SSL), die „lediglich“ dafür sorgt, dass die Kommunikation zum Mailserver selbst verschlüsselt wird. Für talentierte Hacker ist diese Verschlüsselung jedoch angreifbar<\/a> und es ist zu vermuten, dass die Geheimdienste ohnehin Zugriff auf die unverschlüsselten Rohdaten haben – dass gilt erst Recht für die Internetdienstleister selbst. <\/p>

Wenn wir heute von verschlüsselten Mails sprechen, dann geht es dabei in aller Regel um Verschlüsselung der Nachrichten, also des Inhalts von E-Mails, wofür sogenannte „asymmetrische“ und „hybride“ Verschlüsselungsverfahren eingesetzt werden. Ein „symmetrisches“ Verschlüsselungsverfahren, das mit dem Schloss einer Tür vergleichbar ist, für das es einen Schlüssel zum ab- und aufschließen gibt, hat nämlich den entscheidenden Nachteil, dass es nur einen Schlüssel gibt, der in diesem Falle gesichert zum Empfänger übermittelt werden müsste. Bei einem asymmetrischen Verfahren, das mit einem Schlüsselpaar aus einem geheimen (privaten) Schüssel und einem öffentlichen Schüssel arbeitet, gibt es diesen Nachteil nicht. Die technischen Details sollten an dieser Stelle nicht weiter ausgeführt werden – technisch Interessierte finden dazu im Netz Informationen zuhauf. Die Grundlagen des Mailversands mit asymmetrischen Schlüsseln, sind jedoch vor allem für Einsteiger sehr wichtig.<\/p>

Privater Schlüssel und öffentlicher Schlüssel – der Versand von verschlüsselten Mails<\/strong><\/p>

Wenn Sie sich mit Hilfe der weiter unten aufgeführten Software einen „Schüssel“ erstellen lassen, so bekommen Sie mindestens zwei Schlüssel in einem Schlüsselpaar zu Verfügung gestellt – einen geheimen (privaten) Schüssel und einen öffentlichen Schlüssel. Die eigentliche Verschlüsselung erfolgt dabei stets in einer mathematisch komplizierten Kombination aus dem geheimen Schlüssel des Absenders und dem öffentlichen Schlüssel des Empfängers. <\/p>

Dieser öffentliche Schlüssel ist in der Tat „öffentlich“, Sie können (und sollten) diesen Schüssel allen Interessierten zur Verfügung stellen. Mein öffentlicher Schlüssel (für jb(at)nachdenkseiten.de<\/a>) hat beispielsweise die ID-Nummer<\/strong> 50153232E999A2B5 und kann unter Eingabe dieser Nummer von jedem Open-PGP-Schlüsselserver abgerufen werden. Wenn Sie an die Redaktion der NachDenkSeiten (redaktion(at)nachdenkseiten.de<\/a>) schreiben wollen, nutzen Sie bitte den Schlüssel mit der ID-Nummer<\/strong> 4A1E41373306C7E4. Für unsere Hinweisadresse gibt es keinen Schlüssel, da es sich hierbei um einen Verteiler handelt. Da in Theorie und Praxis jedoch auch „böse Buben“ einen Schlüssel für die Mail-Adressen der NachDenkSeiten erstellen und auf einen öffentlichen Schlüsselserver hochladen können, ist es im Zweifelsfalle auch wichtig, sich von der Korrektheit der Schlüssel überzeugen. Der zum Schlüssel gehörende „Fingerabdruck<\/strong>“ schafft hier die nötige Sicherheit. Der Fingerabdruck<\/strong> zum Schlüssel jb(at)nachdenkseiten.de<\/a> lautet 104F F5AD 2CB1 E296 0646 39F8 5015 3232 E999 A2B5, der Fingerabdruck<\/strong> für den Schlüssel redaktion(at)nachdenkseiten.de<\/a> A981 19E4 F71B 829B D24C 16ED 4A1E 4137 3306 C7E4. Sie finden diese Angaben übrigens auch in unserem Impressum und auf unserer Kontaktseite.<\/p>

Neben der Verschlüsselung ist auch die Signatur von Mails eine Grundfunktion der asymmetrischen Verschlüsselung. Bei der Signatur von Mails wird stets der öffentliche Schlüssel mitgeschickt und anhand von Algorithmen mit der Absenderadresse verglichen. Wenn Sie also von mir eine signierte Mail erhalten und auch der Fingerabdruck des Schlüssels übereinstimmt, können Sie zumindest sicher sein, dass die Mail von meinem Rechner verschickt wurde und nebenbei haben Sie dann auch schon meinen öffentlichen Schüssel, um mir eine verschlüsselte Mail schicken zu können. Sobald Sie in ihrem Mailproramm eine Empfänger-Adresse eingeben, für die ihr Verschlüsselungsprogramm einen öffentlichen Schlüssel hat, wird bei Ihnen auch das Feld „Verschlüsseln“ freigegeben.<\/p>

Wenn Sie eine verschlüsselte Mail an einen unbekannten Empfänger oder einen Empfänger, dessen öffentlichen Schlüssel Sie nicht besitzen, versenden wollen, hilft zunächst einmal die Abfrage bei einem der Open-PGP-Schlüsselserver, die über die hier genannte Software spielend leicht über die Eingabe der Mail-Adresse des Empfängers vonstatten geht. Sollte Ihr Empfänger dort nicht gelistet sein, so können Sie ihn über eine unverschlüsselte (aber wenn möglich signierte) Mail bitten, Ihnen den öffentlichen Schlüssel zu schicken und Ihnen – wenn möglich – den Fingerabdruck des Schlüssels über Telefon mitzuteilen. Ein potentieller Hacker kann diesen öffentlichen Schlüssel ruhig abfangen, da er mit ihm so lange nichts anfangen kann, bis er nicht auch den geheimen Schlüssel hat. <\/p>

Sicherheitsmaßnahmen<\/strong><\/p>

Anders als den öffentlichen Schlüssel sollten Sie den geheimen Schlüssel daher auch wirklich geheim halten und eine Sicherungskopie des geheimen Schlüssels nach besten Möglichkeiten verstecken. Sie könnten ihn beispielweise auf einem USB-Stick speichern und den Stick an einem wirklich sicheren Ort (z.B. einen Bankschließfach oder zumindest einer abschließbaren Kassette) verwahren. Wichtig ist hier vor allem aber, dass sie eine Kopie erstellen, die sie separat von ihrem Computer hinterlegen. Sollten Sie nämlich einmal nicht mehr auf ihre Systemfestplatte zurückgreifen können (Diebstahl, Festplattenfehler, Feuer o.ä.), dann könnten Sie ohne Kopie ihres privaten Schlüssels nicht mehr auf verschlüsselte Mails zurückgreifen, selbst wenn diese separat auf einem anderen Rechner gespeichert sind. Sollte Ihnen einmal Ihr Rechner entwendet werden, können Sie den alten Schlüssel übrigens über ein sogenanntes Rückruf-Zertifikat ungültig machen und sich ein neues Schlüsselpaar ausstellen lassen. Dafür sollten Sie jedoch auch das Rückruf-Zertifikat (z.B. zusammen mit der Kopie des privaten Schlüssels) separat vom Computer hinterlegen.<\/p>

Als zusätzlichen Schutz gibt es zudem die sogenannte „Passphrase“, die Sie jedes Mal benötigen, wenn ihr Rechner auf den Privatschlüssel zugreifen will. Wählen Sie am besten ein Passwort, das Sie auch garantiert nicht vergessen und dass sie auf keinen Fall an anderer Stelle, die von Hacken kompromittiert werden könnte, auch nutzen – z.B. für den Mail-Account. Es ist ratsam, dass Sie diese Passphrase ebenfalls separat vom Rechner notieren und verwahren – ansonsten kann es Ihnen nämlich passieren, dass Sie sich selbst aussperren. Und da die Verschlüsselungsmechanismen sehr sicher sind, gibt es auch weder eine Hintertür, einen Zweitschlüssel noch die Möglichkeit, einen Schlüsseldienst zu bestellen. <\/p>

S\/MIME und (Open)PGP – zwei inkompatible Standards<\/strong><\/p>

Wie so oft machen es die Softwareanbieter den Nutzern auch beim Thema Verschlüsselung unnötig schwer, da es zwei weit verbreitete miteinander konkurrierende Verschlüsselungsmechanismen gibt, die zudem nicht miteinander kompatibel sind – S\/MIME und (Open)PGP. Ohne nun auf die technischen Details einzugehen, lässt sich hier zusammenfassen, dass die Unterschiede dieser beider Standards nicht in der Verschlüsselung selbst, sondern in der Signierung\/Zertifizierung liegen. Während S\/MIME hier auf zentrale hierarchische Zertifikate setzt, die durch dafür zertifizierte Stellen ausgegeben wurden, setzt Open PGP auf ein sogenanntes Web of Trust, bei dem sich die Nutzer selbst beglaubigen. S\/MIME erlaubt jedoch keine anonyme Nutzung und ist daher beispielweise für Whistleblower uninteressant. Da S\/MIME zudem ein absolutes Vertrauen in die Zertifizierungsstelle voraussetzt, kann man dieses Verfahren auch nicht mit gutem Gewissen empfehlen. Oder kennen Sie Unternehmen wie Start Commercial Limited, GMO Globalsign Limited oder VeriSign Incorporated und deren jeweilige Hintermänner so gut, dass Sie diesen Unternehmen blindlings absolut vertrauen würden? Daher beschränken wir uns hier auch auf die Darstellung von Open PGP. Sollten Sie Interesse an S\/MIME haben, sollten Sie sich an einen Profi wenden, der Ihnen diesen Standard erklärt und Ihr System fit dafür macht.<\/p>

Installation der passenden Software<\/strong><\/p>

Passende und zudem kostenlose Softwarelösungen, die sowohl leicht zu installieren, wie zu bedienen sind, gibt es für alle verbreiteten Computerbetriebssysteme. Schlechter sieht es da bei den Smartphones aus. Im Folgenden will ich Ihnen einen kurzen Einblick in die gängigsten Programmvarianten geben:<\/p>

    \n
  1. Betriebssystem Windows und Mozilla Thunderbird<\/strong>\n

    Für das populäre, aber aus Sicherheitsgesichtspunkten wohl gefährlichste, Betriebssystem Windows (XP, 7 oder 8) gibt es zahlreiche Softwarelösungen, mit denen man in Kombination mit den weit verbreiteten Mail-Programmen seinen Mail-Verkehr wirkungsvoll verschlüsseln kann. Eine Ausnahme bildet hier die keineswegs seltene Kombination des Microsoft-Betriebssystems mit dem Microsoft-Mailprogramm Outlook. Mir persönlich ist hier kein kostenloses Programm\/Plugin bekannt, das Open PGP in sämtlichen aktuellen Versionen von Outlook implementieren könnte[***<\/a>]. Eine kostenpflichtige Softwarelösung ist gpg4o<\/a> vom deutschen Hersteller Giegerich & Partner. Da ich diese Software jedoch nicht nutze, kann ich an dieser Stelle auch keine Empfehlung aussprechen. <\/p>\n

    Empfehlenswert ist jedoch ohne Zweifel die (Parallel-)Nutzung des populären Open-Source-Programms Thunderbird<\/a>, für das kostenlose Plugins zur sicheren Mailverschlüsselung zur Verfügung stehen. Freilich können Sie Thunderbird auch als „Zweitprogramm“ neben Outlook nutzen – dann sollten Sie jedoch darauf dachten, dass die Mails bei einem genutzten POP-Account nicht vom Server gelöscht werden. Wenn Sie jedoch nicht an Outlook hängen, ist ein Umstieg auf Thunderbird auch abseits der Verschlüsselungsthematik zu empfehlen.<\/p>\n

    Als Grundlage für die Verschlüsselung von Mails benötigen Sie dabei das kostenlose Programm Gpg4win<\/a>, mit dem Sie ihre Schlüssel erstellen und verwalten können. Gpg4win beinhaltet auch ein Plugin für ältere Outlook-Versionen – neuere Versionen (ab Outlook 2010) werden jedoch nicht unterstützt. Bei der eigentlichen Mailver- und entschlüsselung werkelt Gpg4win im Hintergrund. Wenn Sie Mails über Thunderbird ver- und entschlüsseln wollen, müssen Sie daher noch die dafür nötige Benutzeroberfläche, die über das ebenfalls kostenlose Thunderbird-Plugin Enigmail<\/a> bereitgestellt wird.<\/p>\n

    Zur Installation und Bedienung der Softwarekombination Windows\/Thunderbird\/Gpg4win\/Enigmal gibt es im Netz zahlreiche gute Tutorials und Einführungen. Drei Tutorials seien an dieser Stelle für Einsteiger besonders empfohlen:<\/p>\n