Verschlüsselung des E-Mailverkehrs für eine sichere Kommunikation

Blatt Papier mit eingeknickter Ecke rechts oben auf dem im oberen Bereich ein gelber Schlüssel abgebildet ist. Den restlichen Text bildet eine Abfolge der Ziffern 0 und 1.
Bildquelle: openclipart.org / https://openclipart.org/detail/158521/encrypted-file-icon-by-spylt; author = spylt; 16.01.2015

Wenn man seinen E-Mailverkehr überhaupt nicht verschlüsselt, dann sind einem entweder die Gefahren nicht bewusst, oder man versendet per Mail nur unwichtige Informationen. Denn ein völlig unverschlüsselter Mailverkehr ist vom Sicherheitsaspekt her betrachtet so wie das Versenden von klassischen Postkarten. Jede_r kann Postkarten lesen oder sogar den Text verändern und wenn sie so herumliegen (etwa auf Postkästen) auch mitnehmen. Daran denkt man oft nicht, wenn man vertrauliche Informationen per Mail versendet wie etwa Kontodaten und dergleichen. Aber wird der Mailverkehr nicht automatisch verschlüsselt? Muss ich da als Benutzer_in selbst aktiv werden? Und was passiert eigentlich bei einer Verschlüsselung? Diesen Fragen soll hier kurz nachgegangen werden.

Was kann man überhaupt verschlüsseln?

Wenn man sich mit dem Thema Verschlüsselung von E-Mails beschäftigt, muss man sich als erstes natürlich einmal überlegen, was hier überhaupt verschlüsselt werden kann bzw. soll. Im Prinzip können vor allem 2 Dinge verschlüsselt werden: Zum einen sollte die Verbindung zum Mailanbieter verschlüsselt sein, denn sonst können schon beim Abrufen der Mails vom Server des Mailanbieters (Providers) die Kontodaten samt Passwort von jeder Person im gleichen Netzwerk, die es darauf anlegt, ausgelesen werden. Darauf sollte man vor allem achten, wenn man in Internetcafes oder offenen WLAN-Netzen auf die eigenen Mails zugreift. Und dann kann man natürlich noch die Mailnachricht selbst verschlüsseln, damit auch niemand aus den weiten Tiefen des Internet die Nachricht lesen kann, wenn sie einmal auf ihrem Weg von Server zu Server zwischen dem Mailprovider und dem Anwender abgefangen werden sollte.

Verschlüsselung der Verbindung zum Mailanbieter:

Dies ist der leichtere Teil der Verschlüsselung und erfolgt oftmals schon automatisch. Um die Verbindung zum Mailanbieter zu verschlüsseln, muss für die Verbindung eine SSL/TLS Verbindung bestehen.

  • Abrufen der Mails über einen Browser:
    Wenn man seine Mails über den Browser abruft, erkennt man eine bestehende SSL/TLS Verbindung daran, dass in der Adresszeile https anstelle von http steht. Sollte das s fehlen, sollten sie es in der Adresszeile des Browsers dazuschreiben. Das s gibt an, dass es sich um eine verschlüsselte Verbindung handelt.
  • Abrufen der Mails über einen Mailclient (Thunderbird, Outlook oder dergleichen):
    Hier müssen sie bei der Einrichtung ihrer Konten darauf achten bei den Verbindungseinstellungen im Bereich Sicherheit den Punkt SSL/TLS auszuwählen, wenn die Verbindung zum Server verschlüsselt erfolgen soll. Vor allem bei mobilen Geräten sollten sie unbedingt und dringend darauf achten, dass die Verbindung wirklich über SSL/TLS erfolgt.

Verschlüsselung der Mailnachrichten:

Die Verschlüsselung der Mailnachrichten selbst ist etwas aufwändiger und daher kaum verbreitet. Für die Verschlüsselung der Nachrichten muss man nämlich zuerst einmal im Besitz eines Sicherheitszertifikats sein. Dafür gibt es verschiedene Anbieter sowie kostenlose Software, die dies automatisch erledigt. Dann werden 2 Sicherheitsschlüssel erzeugt: ein öffentlicher Schlüssel und ein privater Schlüssel. Der öffentliche Schlüssel wird an alle potentiellen Mailpartner versendet. Der private Schlüssel bleibt bei einem selbst und sollte auch privat bleiben - soll heißen auf keinen Fall weitergegeben werden. Für die Verschlüsselung selbst wird dann der öffentliche Sicherheitsschlüssel des Partners verwendet. Mit diesem wird der Text verschlüsselt und der Text kann daraufhin nur mehr mit dem privaten Schlüssel des Partners wieder entschlüsselt werden. Bei dieser Art der Verschlüsselung gibt es verschiedene Varianten, wobei die bekanntesten S/MIME und OpenPGP sind und natürlich gibt es auch verschiedene Anbieter, Add-Ons und und Programme, die einem bei der Verschlüsselung helfen.

Fazit:

Eine Verschlüsselung der Verbindung zum Mailanbieter sollte unbedingt erfolgen, denn wenn diese Datenübertragung unverschlüsselt erfolgt, ist es ein Leichtes Benutzernamen und Passwort, die ja unverschlüsselt gesendet werden, abzufangen. Und mit Benutzernamen und Passwort stehen einem "Hacker" dann alle Türen zum Mailkonto offen. Er oder sie kann dann Mails lesen, versenden und löschen oder die Zugangsdaten des Mailkontos ändern, sodass der ursprüngliche Besitzer keinerlei Zugriff mehr darauf hat. Eine Verschlüsselung der Mails selbst ist sicher sinnvoll, wenn man öfter vertrauliche Daten sendet, setzt allerdings voraus, dass der Partner dies ebenfalls so sieht und die entsprechenden Einstellungen vornimmt. Denn eine einseitige Verschlüsselung ist technisch leider nicht möglich.

 

Links:

Bildquelle: 
openclipart.org / https://openclipart.org/detail/158521/encrypted-file-icon-by-spylt; author = spylt; 16.01.2015

Suchen