Sicherheit

E-Mail-Sicherheit: Elektronische Post verschlüsseln und signieren (Update)

Unterschiede der Verschlüsselungs-Verfahren S/MIME und PGP
Von Marleen Frontzeck-Hornke mit Material von dpa
AAA
Teilen

Der Begriff E-Mail, englisch für "elektronische Post", umschreibt das Senden und Empfangen von elektronischen Nachrichten über Computer. "Alles, was darauf steht, ist für jeden zu lesen, der die E-Mail weiter zum Empfänger transportiert", warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI). Schutz vor neugierigen Blicken bietet eine Verschlüsselung der E-Mail.

E-Mails durch Signatur und Verschlüsselung sichernE-Mails durch Signatur und Verschlüsselung sichern Programme wie Thunderbird, Outlook oder die integrierte Mailsoftware des Browsers Opera können die E-Mails zunächst beim Transport von und zu dem Postfach (E-Mail Konto) verschlüsseln. Die dafür notwendige Funktion sollte in den jeweiligen Kontoeinstellungen auf den Status "aktiv" gesetzt sein - regulär ist dies meist nicht der Fall. Dabei werden aber nicht die E-Mails selbst, sondern nur der Datenverkehr zum Postfach geschützt. Ein Verschlüsselung der E-Mail selbst wäre deutlich aufwendiger. "Die technischen Hürden sind hoch", erklärt Prof. Joachim Posegga vom Institut für IT-Sicherheit an der Universität Passau. "Dafür braucht es ein wenig Fachwissen."

Verschlüsselungs-Verfahren

Um die E-Mails zu verschlüsseln stehen die beiden Verfahren S/MIME und PGP zur Verfügung. Für die Nutzung von PGP wird in der Regel zusätzliche Software benötigt, während S/MIME bereits in vielen E-Mail-Programmen vorinstalliert ist. Allerdings setzt S/MIME ein digitales Zertifikat nach dem Standard X.509 voraus. Diese Zertifikate werden von sogenannten TrustCentern vergeben. "Das dauert allerdings seine Zeit und kostet meistens Geld", warnt Posegga. Die Zertifikate kommen in Form einer Datei zum Nutzer, der diese folglich auf dem Computer installieren und im Mail-Programm integrieren muss.

Der Verschlüsselungsstandard OpenPGP funktioniert dagegen ohne Trustcenter. Die Abkürzung PGP steht für "Pretty Good Privacy" ("Ziemlich guter Datenschutz"). Wer seine E-Mails damit verschlüsseln will, kann zum Beispiel das Freeware-Programme Gpg4win herunterladen, mit dem dank umfangreicher Dokumentation auch weniger erfahrene Nutzer zurechtkommen. Mac-Nutzer greifen stattdessen zum Ableger GPGTools. Für Thunderbird gibt es zudem die Erweiterung Enigmail.

Sicherheit durch digitale Unterschrift oder Signatur

Eine zweite Sicherheitsmaßnahme neben der Verschlüsselung ist die digitale Unterschrift oder Signatur. Signaturen schützen die Integrität (Unversehrtheit) einer E-Mail und bestätigen die Identität des Absenders. Eine Manipulation des Inhalts ist damit nahezu unmöglich. Digitale Signatur und Nachrichtenverschlüsselung gehen oft Hand in Hand. Beide Aktionen werden dann gleichzeitig durchgeführt, OpenPGP-Programme wie Gpg4win oder Mac GPG können zum Beispiel neben der Verschlüsselung auch signierte E-Mails austauschen.

Die Verschlüsselung von E-Mails ist momentan eher ein Spezialistenthema, glaubt Joachim Posegga: "Für einen normalen Internetnutzer lohnt sich das nicht, eher für Firmen, die viele vertrauliche Informationen austauschen müssen." Privatanwendern rät er stattdessen dazu, zur Sicherheit eher gar keine sensiblen Daten per E-Mail zu schicken. Wer das ab und zu doch tun muss, sollte den sensiblen Teil der Mail einfach in eine separate Datei packen und diese dann mit Verschlüsselungssoftware wie TrueCrypt schützen. Anschließend werden die Datei per E-Mail verschickt und das Passwort zum Öffnen separat, zum Beispiel per Telefon und SMS, an den Empfänger übermittelt.

De-Mail als Alternative zur Verschlüsselung?

Neben den bereits beschriebenen Möglichkeiten zur E-Mail-Verschlüsselung gibt es noch das Projekt De-Mail. Das soll die Kommunikation per E-Mail absichern, rechtsverbindlich machen und dabei leichter zu bedienen sein als andere Verschlüsselungen. Die kostenpflichtigen De-Mail-Dienste der drei Anbieter Telekom, 1&1 und Mentana-Claimsoft starten voraussichtlich im Herbst. Nach Ansicht des Chaos Computer Clubs (CCC) ist die De-Mail aber weniger sicher als die klassische Methode, weil der Gesetzesentwurf zur De-Mail keine verpflichtende Ende-zu-Ende-Verschlüsselung vorschreibe. "Damit lässt sich weder Datenschutz noch eine Vertrauenswürdigkeit der verschickten Daten garantieren", kritisieren die CCC-Experten. In einem ausführlichen Ratgeber erfahren Sie mehr zum Thema De-Mail und dem E-Postbrief.

Teilen

Mehr zum Thema Verschlüsselung

Weitere News zum Thema E-Mail