E-Mail Verschlüsselung ist grundsätzlich nicht neu. Die grundlegenden Prinzipien gibt es seit langer Zeit. Aber warum verwendet es dann niemand ? Viele meinen dass es zu kompliziert wäre – aber hier hat sich viel getan. Um sich dem Thema zu nähern sind erst einmal zwei verschiedene Verschlüsselungen voneinander abzugrenzen. Gerade wo auch große Hersteller für E-Mail made in Germany werben und hier nur ungern differenzieren
Verschlüsselung auf Transportebene
Diese Verschlüsselung auf Basis TLS/SSL arbeitet auf der sogenannten Transportschicht (OSI Layer 4). Auf diesem Verfahren aufbauend werden verschiedene Protokolle verschlüsselt: HTTPS, IMAPS, … Damit wird aber „nur“ die Verbindung auf dem Transportweg verschlüsselt. Die Nachricht ist also auf dem Weg vom E-Mail-Server zu Ihrem Mail-Client (z.B. Outlook) verschlüsselt, liegt aber auf dem Server nach wie vor unverschlüsselt vor oder wird möglicherweise noch unverschlüsselt an den Ziel-Server weitergeleitet. Ein Angreifer kann die Nachricht also nicht mehr aus dem Netzwerkverkehr zwischen Ihnen und dem Server mitlesen, dafür aber direkt auf dem Server oder bei der Weiterleitung an den Adressaten abfangen (oder noch schlimmer : manipulieren!).
Die Initiative E-Mail made in Germany stellt durch diverse Maßnamen nun sicher, dass zumindest die Nachrichten zwischen den Servern der größten deutschen Anbieter sicher weitergeleitet werden. Bietet der Zielserver allerdings diese Verschlüsselung nicht an oder steht im Ausland, gehen Ihre Daten potentiel wieder unverschlüsselt durch das Internet. Auch wenn die Initiative ein Schritt in die richtige Richtung ist, gibt es deswegen auch viel Kritik.
Grundsätzlich ist TLS/SSL aber wichtig, damit wird der komplette Traffic zum Server verschlüsselt – inklusive Benutzername und Passwörter.
Stellen Sie also sicher, dass diese Optionen bei Ihnen aktiviert sind.
E-Mail-Verschlüsselung:
SMIME/PGP sind hier die populärsten Vertreter. Bei diesen beiden Techniken handelt es sich um zwei grundsätzlich ähnliche, zueinander aber inkompatible Verfahren zum Verschlüsseln der E-Mail auf der Anwendungsebene (OSI Layer 5-7). Erst hier findet eine echte Verschlüsselung der E-Mail selbst statt. Ihr E-Mail-Client, Ihr Rechner verschlüsselt die E-Mail selbst, schickt Sie dann (idealerweile via TLS/SSL) an den Server der Sie dann weiterleitet.
Ob nun der Weg Richtung Ziel-Server auf Transport-Ebene verschlüsselt ist oder nicht, interessiert hier weniger. Einzig der Adressat selbst auf seinem Rechner kann die Nachricht wieder lesen. Zudem ist die Nachricht vor Manipulation geschützt, da die Daten mit Hilfe der beteiligten Zertifikate nicht nur verschlüsselt, sondern zudem auch noch signiert werden.
Bevor Sie nun sofort anfangen die Verschlüsselung zu implementieren, sind noch ein paar Vorüberlegungen notwendig. Die gänigen Desktop Clients beherschen S/MIME aus dem Stand. Für PGP benötigt es dann schon Plugins. Bei den Handys wird es dann schon dünner. Abhängig vom Smartphone-Betriebssystem funktioniert das mehr oder weniger gut. Wenn allerdings das Smartphone die Verschlüsselung nicht unterstützt, landen auf Ihrem Handy Nachrichten, die Sie dort nicht lesen können – damit wird die ganze Verschlüsselung unkomfortabel.
Lesen Sie im nächsten Beitrag wie Sie die nötigen Zertifikate für S/MIME installieren.
