Geschnüffelt wurde schon immer. In den ersten Tagen des Internets erfolgte die Kommunikation meist unverschlüsselt. Dadurch war eine E-Mail etwa so sicher wie eine Postkarte. Jeder, der Zugriff auf irgendeine Stelle der Übertragung hatte, konnte mitlesen.
Erst rund in den letzten zehn Jahren hat es sich etabliert, den Datenverkehr z.B. mittels SSL zu verschlüsseln. Hierbei wird allerdings nur die Übertragung verschlüsselt. Eine Garantie dafür, dass jeder der beteiligten E-Mail Server tatsächlich sichere Verschlüsselungsmethoden einsetzt, gibt es in aller Regel nicht. Außerdem lagern die Nachrichten unverschlüsselt im Postfach des E-Mail Anbieters. Schon oft sind Postfächer kompromittiert (umgangssprachlich „gehackt“) worden. Dabei handelt es sich selten um gezielte Angriffe gegen eine bestimmte Person. Viel mehr versuchen Eindringlinge generell eine Sicherheitslücke zu finden und diese auszunutzen. Dabei kann es sich um schwache Passwörter oder auch schwache Systeme handeln.
Um all dem entgegen zu wirken, ist es machbar die E-Mail selbst statt nur der Übertragung zu verschlüsseln. Der Standard PGP („Pretty Good Privacy“ oder „ziemlich gute Privatsphäre“) ermöglicht es. Anders wie der Name vermuten lässt, ist das System nicht nur ziemlich gut – viel eher bombensicher. Dank OpenPGP ist die ganze Software auch noch quelloffen und frei verfügbar.
Gerne darf der folgende Absatz übersprungen werden. Hier wird nur der funktionale Hintergrund erklärt: Technisch gesehen wird bei PGP eine asymmetrische Verschlüsselung genutzt. Der Empfänger (Person A) hat dabei einen privaten Schlüssel. Dieser wird zur Entschlüsselung einer Nachricht gebraucht. Der Sender (Person B) benötigt zur Verschlüsselung einer E-Mail einen dazu passenden öffentlichen Schlüssel. Dieser muss ihm von Person A zuvor übermittelt worden sein.
Person B kann nun mit dem öffentlichen Schlüssel von Person A eine verschlüsselte Nachricht an Person A senden. Diese Nachricht kann dann aber NUR mit dem privaten Schlüssel von Person A entschlüsselt werden. Solange Person A also ihren privaten Schlüssel für sich auf ihrem PC behält, kann auch nur Person A ihre Nachrichten lesen.
Um eine Nachricht von Person A an Person B zu senden, braucht Person A den öffentlichen Schlüssel von Person B.
Sollten Zweifel bestehen, dass eine der beiden Personen auch wirklich der ist, der sie vorgibt zu sein, kann dies mittels eines sog. „Händeschüttelns“ bestätigt werden. In der Praxis ist dies ein Austausch von Sicherheitswörtern, der getrennt vom Computer stattfindet. Also z.B. am Telefon oder unter vier Augen im echten Leben. Dann ist der Nachrichtenaustausch nicht nur sicher, sondern auch vertraulich.
Zugegeben, das klang kompliziert. Und lange Zeit war es das auch. Dank einem Projekt mit dem Namen PEP („Pretty Easy Privacy“ oder „ziemlich einfache Privatsphäre“) ist es das mittlerweile nicht mehr. PEP wird als Erweiterung in einem E-Mail Programm installiert und kümmert sich von dort an automatisch um alles. Dazu zählt das Generieren, Anhängen und Importieren von öffentlichen Schlüsseln und auch das Generieren eines privaten Schlüssels und die damit verbundene Entschlüsselung eingehender verschlüsselter E-Mails. Nutzen die Kommunikationspartner noch den OpenPGP-Standard ohne PEP, kann trotzdem verschlüsselt kommuniziert werden.
Entsprechende Erweiterungen gibt es sowohl als kostenlose Software wie auch als kostenpflichtige Erweiterung, z.B. für Outlook.
Wie man – völlig kostenlos – mit dem E-Mail Programm Thunderbird und einer Erweiterung namens Enigmail die Verschlüsselung mit PEP nutzen kann, zeigen die folgenden Bilder. Die Bilder wurden auf einem GNU/Linux-basierten Betriebsystem mit Thunderbird 60.7.0 angefertigt (64-Bit). Die Bedienung kann bei anderen Betriebssystemen und Softwareversionen abweichen.
Schritt 1: Dreistrich-Menü (1) im Thunderbird öffnen und zweimal auf „Add-Ons“ klicken (2).
Schritt 2: Nach dem Add-On „Enigmail“ suchen.
Schritt 3: Enigmail installieren (selbsterklärend)
Enigmail erstellt automatisch im Hintergrund einen privaten und einen öffentlichen Schlüssel. Dieser Schritt geht automatisch. Das Bild dient nur zur Veranschaulichung.
Schritt 4: Import eines öffentlichen Schlüssels
Wir bekommen eine E-Mail von Jemand, der ebenfalls eine PGP-basierte Verschlüsselung nutzt. Enigmail erkennt automatisch, dass hier ein öffentlicher Schlüssel mitgesendet wurde. Wenn wir diesem Teilnehmer nun antworten oder eine neue E-Mail verfassen, wird diese automatisch verschlüsselt.
Schritt 5: Erste verschlüsselte E-Mail und eventuell: Der Handschlag
PEP zeigt an, dass diese Nachricht sicher ist. Das bedeutet, dass bereits jetzt verschlüsselte Nachrichten zu diesem Empfänger geschickt werden können. Unser eigener öffentlicher Schlüssel wird automatisch angehängt, so dass der Empfänger später auch nochmal verschlüsselt antworten kann.
Allerdings kann das Vertrauen beider Nachrichtenpartner noch durch einen sog. Handschlag abgesichert werden. Das ist jedoch nicht zwingend notwendig.
Durch einen Klick auf den gelb-markierten Bereich „Sicher“ (s. Nachricht, Bild oben) kann der Handschlag veranlasst werden. PEP gibt hier selbsterklärende Instruktionen dazu. Ein Handschlag muss, falls gewünscht, für jeden E-Mail Teilnehmer wiederholt werden.
Fertig. Nun haben wir die Sicherheit unserer E-Mails massiv verbessert.
Hinweise:
- Auch wenn die E-Mail selbst verschlüsselt ist, sollte die Übertragung von Nachrichten möglichst dennoch per SSL abgesichert werden. So ist sichergestellt, dass auch Metadaten und bspw. Passwörter verschlüsselt übertragen werden.
- Nutzt unser Gegenüber kein PGP/PEP/OpenPGP, so können E-Mails selbstverständlich auch auf diesem Wege nicht verschlüsselt werden. Es gehören immer mindestens zwei dazu! Engimail mit PEP zeigt bei jeder Nachricht an, ob diese sicher übertragen wird oder nicht.
- Erhalten wir eine verschlüsselte Nachricht, so kann diese nur mit dem privaten Schlüssel entschlüsselt werden. Deshalb sollte der private Schlüssel sicher gespeichert und aufbewahrt werden. Es empfiehlt sich z.B. ein Backup auf einem verschlüsselten USB-Stick.
- Das Lesen von verschlüsselten E-Mails ist generell nur mit einem E-Mail Programm wie Thunderbird möglich. Das Lesen von verschlüsselten E-Mails im Web, z.B. bei GMX oder GMail, ist bei einigen Providern mit Browser-Erweiterungen machbar. Aber nicht bei allen und selten ohne Einschränkungen.
Bitte beachten: Alle hier genannten Informationen und Anweisungen erfolgen ohne jegliche Gewährleistung oder Garantie für spätere Sicherheit und Funktion.
English