Erste Schritte

E-Mails verschlüsseln: So meistern Sie die Einstiegshürden von S/MIME & OpenPGP

E-Mail-Verschlüsselung muss kein Buch mit sieben Siegeln sein. Aber: Der Einstieg in S/MIME und OpenPGP ist nicht ganz einfach. Dabei haben persönliche oder vertrauliche Daten in unverschlüsselten E-Mails nichts verloren. Wir geben einige Tipps für den Einstieg in die E-Mail-Verschlüsselung.
Von Hans-Georg Kluge

Egal ob S/MIME oder OpenPGP: Zum verschlüsseln einer E-Mail ist ein Zertifikat nötig. Das gilt üblicherweise für eine E-Mail-Adresse. Wie Sie an das nötige Zertifikat kommen, ist bei den Verfahren unter­schied­lich.

S/MIME oder OpenPGP-Zertifikat erstellen

S/MIME setzt auf X.509-Zertifikate. Dieser Standard setzt auf streng hierarchisierte Zertifikatketten. Nur eine zertifizierte Stelle kann gültige Zertifikate ausstellen - für Privatkunden sind diese oft kostenlos. Anbieter sind beispielsweise startssl.com oder comodo. Bei diesen können Nutzer Zertifikate der Klasse 1 kostenlos erstellen. Höhere Klassen-Nummern bedeuten, dass zum Beispiel die E-Mail-Adresse oder Web-Adresse manuell vom Anbieter überprüft werden - für verschlüsselte E-Mails lohnt der Aufwand meist nicht.

Das erstellte Zertifikat landet oft zunächst im Browser - ein einfacher Datei-Download findet zuweilen nicht statt. Der Nutzer muss dann das neue Zertifikat erst im richtigen Format aus dem Browser exportieren. Ein iPhone beispielsweise erfordert eines mit der Dateiendung p12. Die meisten anderen Clients kommen auch mit dem p7s-Format zurecht. Meist muss noch ein Passwort für das exportierte Zertifikat vergeben werden - hier empfiehlt sich ein sehr starkes, das im nächsten Schritt anzugeben ist.

Der E-Mail-Client des iPhones unterstützt S/MIME. Der E-Mail-Client des iPhones unterstützt S/MIME.
Bild: dpa
Die Zertifikat-Erstellung ist mit OpenPGP einfacher. Wer auf Thunderbird setzt, installiert einfach die Erweiterung Enigmail - der Einrichtungsprozess erfolgt dann mit Hilfe eines Assistenten. Wer für andere Clients das Zertifikat erstellen möchte, setzt auf GnuPG.

Zertifikate im E-Mail-Client einrichten

Jetzt wird es tatsächlich kompliziert und umständlich. Jeder einzelne E-Mail-Client muss mit dem eben erstellten Zertifikat vertraut gemacht werden. Das ist naturgemäß bei jeder Software etwas anders - immerhin sind die prinzipiellen Aktionen meist recht ähnlich.

Beginnen wir bei Thunderbird mit S/MIME: Im Zertifikat-Manager (unter Einstellungen -> Erweitert -> Zertifikate) gibt es zwei Dinge zu erledigen. Zunächst muss die Herausgeberstelle bekannt und vertrauenswürdig sein - ansonsten hagelt es kryptische Fehlermeldungen. Unter "Zertifizierungsstellen" lässt sich das Zertifikat des Herausgebers importieren. Thunderbird bringt bereits einige Zertifikate mit - der Schritt ist daher nicht immer nötig. Das eigene Zertifikat lässt sich unter "Meine Zertifikate" einrichten. Zu guter Letzt geht es in die Account-Einstellungen. Dort wählt der Nutzer unter S/MIME das richtige Zertifikat aus. Weil Thunderbird auf allen Plattformen über eine eigene Zertifikat-Verwaltung verfügt, sind die Schritte unter Windows, OS X und Linux identisch.

Die Schritte sind für Microsoft Outlook im Prinzip dieselben. Das Zertifikat wird allerdings im Outlook-Sicherheitscenter importiert. Bei anderen E-Mail-Clients auf Desktop-Betriebssystemen erfolgt die Einrichtung meist nach dem selben Schema.

Bei Smart­phones und Tablets müssen die Zertifikate erst den Weg auf den internen Speicher finden. Das gelingt entweder direkt über das USB-Datenkabel oder eine Speicherkarte. Ließ sich für ein Zertifikat ein Passwort erstellen, so ist es möglich, dieses per E-Mail sich selbst auf das Smart­phone zu schicken. Auf dem Smart­phone öffnet der Nutzer dann nur noch das angehängte Zertifikat und alles sollte seinen Weg gehen.

Da die Schritte von der jeweiligen Software abhängen, können im Einzelfall weitere Fallstricke lauern. Die nötigen Schritte sind oft von den Software-Entwicklern dokumentiert, ein Blick ins (oft nur noch digital vorhandene) Handbuch kann helfen. Im Internet stehen inzwischen viele Anleitungen zur Verfügung, die auf die spezifischen Eigenheiten der Software eingehen.

Ohne geht es nicht: Zertifikate verteilen

Jetzt gilt es: Das Zertifikat ist einsatzbereit. Aber vor der ersten E-Mail, die mit sicher verschlüsseltem Inhalt verschickt werden soll, kommt noch ein letzter Schritt: Der Kommunikationspartner benötigt den öffentlichen Teil des Zertifikats, damit er Nachrichten für den anderen verschlüsseln kann. Wichitg ist, dass der Nutzer weiß, zu wem der öffentliche Schlüssel gehört. Nur dann weiß der Nutzer, dass nur die richtige Person die Nachricht entschlüsseln kann.

Für die beste Sicherheit sollte der Austausch der öffentlichen Schlüssel auf direktem Weg erfolgen - zum Beispiel mit einem USB-Stick. Alternativ können die Schlüssel auch per E-Mail ausgetauscht werden - vollkommen fälschungssicher ist dieser Weg jedoch nicht. Der Nutzer kann den E-Mail-Client anweisen, an jede ausgehende E-Mail seinen eigenen öffentlichen Schlüssel anzuhängen. Dann erhalten alle Kontakte automatisch die nötigen Informationen, um verschlüsselte Nachrichten verschicken zu können. Einige E-Mail-Clients sammeln die nötigen Zertifikate schon dann, wenn noch gar keine E-Mail-Verschlüsselung eingerichtet ist. OpenPGP-Nutzer veröffentlichen den öffentlichen Teil des Zertifikats auf Ihrer Internetseite oder auf Key-Servern.

Auf der dritten Seite versenden Sie Ihre erste verschlüsselte E-Mail und wir stellen Ihnen Alternativen zur E-Mail-Verschlüsselung vor.

1 2 3

Mehr zum Thema Themenspecial 'Mobile Kommunikation'

Mehr zum Thema Verschlüsselung