Management Hilfreiche Links zur E-Mail-Verschlüsselung

Rechnung, Kundenadressen oder Vertragsunterlagen: Über Mail werden teils sensible Daten verschickt. Wer seine elektronische Post nicht ausreichend vor Unbefugten schützt, kann schnell in Schwierigkeiten geraten. Hier finden Sie hilfreiche Links zum Thema E-Mail-Verschlüsselung.

Ist es möglich, E-Mails so sicher zu versenden, dass sie kein Unbefugter lesen kann? Natürlich nicht. Wenn es Profis mit viel Zeit und Geld darauf anlegen, knacken sie früher oder später jede Verschlüsselung. Dies ist aber teuer und kann Jahre dauern. Wenn Sie nicht im dringenden Verdacht stehen, die nationale Sicherheit der Vereinigten Staaten zu gefährden, und chinesische Hacker in Ihren Betriebsgeheimnissen nicht den Schlüssel zu einem Millardenmarkt vermuten, wird niemand Ihretwegen diesen Aufwand treiben.

Gegen die realen Gefahren, die in Ihrem Geschäftsalltag auftreten, können Sie sich mit den Standard-Werkzeugen tatsächlich sehr gut schützen. Die Verschlüsselung von E-Mails ist nicht mehr so schwierig, dass es noch eine Ausrede dafür gäbe, vertrauliche Informationen – etwa Konstruktionsdetails, Verkaufszahlen oder Angebote bei Ausschreibungen – offen zu versenden. Fangen Sie bei Ihren Außendienstlern und Heimarbeitern an, sammeln Sie Erfahrung. Und dann sprechen Sie mit Ihren Lieferanten und Kunden, der gemeinsame Nenner liegt oft ganz nah. Worauf Sie besonders achten müssen, lesen Sie in der impulse-Ausgabe 08/2013.

Anzeige

Hier finden Sie weitergehende Informationen zu allen im Heft angesprochenen Fragen:

 

Allgemeine Erklärungen zur Verschlüsselung

Das Bundesamt für Sicherheit in der Informationstechnik liefert auf seiner Website Grundlagenwissen zur Verschlüsselung. Den ersten dort genannten Punkt, „Symmetrische Verschlüsselung“, können Sie getrost ignorieren, da er in der Praxis irrelevant ist. Standard ist die asymmetrische Verschlüsselung, bei der Absender und Empfänger jeweils einen privaten und einen öffentlichen Schlüssel besitzen, welche über Kreuz kombiniert werden.

 

Trust Center und Zertifikate

Beim offenen Verschlüsselungsstandard OpenPGP (beziehungsweise seiner konkreten Umsetzung, die irritierenderweise GPG heißt) können Sie Ihr Schlüsselpaar selbst erzeugen, es kostet Sie nichts. Die Gültigkeitsdauer legen Sie selbst fest, beispielsweise drei Jahre. Eine Verlängerung ist jederzeit möglich. Wenn Sie hingegen mit dem Verschlüsselungsstandard S/MIME arbeiten möchten, benötigen Sie ein (ein bis drei Jahre lang gültiges) Zertifikat von einer Certification Authority, kurz CA, früher auch Trust Center genannt.

Eine bekannte CA ist die israelische Firma Start Com. Personenbezogene Zertifikate sind gratis, Firmenzertifikate kosten 60 US-Dollar für zwei Jahre. Wichtig ist, dass Sie vor der Bestellung des Zertifikats prüfen beziehungsweise nachfragen, ob auf Ihrem Mail-Server die Spamschutz-Funktion „greylisting“ aktiviert ist. Sie sollte vorübergehend ausgeschaltet sein, weil sonst womöglich die Bestätigungs-E-Mail zurückgewiesen wird und Sie die Anmeldung nicht abschließen können. Anschließend können Sie das Greylisting wieder einschalten.

Billiger kommen Sie bei Comodo CA Ltd. aus Manchester weg, einem Ableger der Comodo Group aus New Jersey: Ein drei Jahre gültiges Zertifikat kostet 29 Euro pro Mail-Adresse, bei mehr als 25 Mitarbeitern gibt es Mengenrabatt (Privatkunden zahlen nichts, müssen aber jährlich verlängern).

Kostenlose Zertifikate auch für Unternehmen gibt es bei der Organisation CA Cert. Deren Website ist für IT-Laien aber so verwirrend, dass sie auf jeden Fall einen Profi hinzuziehen sollten.

 

Wenn Sie mit Outlook (Microsoft Office) arbeiten…

…und die eingebaute Verschlüsselungstechnik S/MIME nutzen möchten, hören oder lesen Sie hier, wie es geht:

  • „S/MIME-Benutzung mit Internet Explorer und MS-Outlook: Installation eines Zertifikats und Nutzung von S/MIME am Beispiel eines persönlichen Zertifikats“ (Erklärseite der Universität Köln)
  • Alternativ können Sie auch Outlook und GPG kombinieren. Ende August erscheint eine neue Version des Verschlüsselungspakets GPG4win (siehe unten, 4win = for Windows), die mit dem weit verbreiteten Outlook 2010 zusammenarbeitet. Die derzeit noch aktuelle Version funktioniert zumindest mit dem alten Outlook 2007.

 

Wenn Ihr Adressat nicht mit Outlook arbeitet oder sich kein S/MIME-Zertifikat zulegen…

…sondern lieber mit GPG verschlüsseln möchte:

  • Laden Sie sich das kostenlose Komplettpaket GPG4win herunter. Mitgeliefert wird ein leicht verständliches Kompendium zur kostenlosen Verschlüsselungssoftware GPG4win. Dieses bekommen sie auch separat als PDF-Dokument, falls Sie sich vorab erst einmal schlau machen möchten.
  • Oder Sie entscheiden sich für die kostenpflichtige Alternative, das Original PGP, das von verschiedenen Dienstleistern vermarktet wird.

 

Wenn Sie mit Thunderbird mailen

  • Sie haben die Wahl zwischen S/MIME und GPG. Hier eine Gegenüberstellung im Thunderbird-Wiki (deutsch).
  • Infos über das für GPG nötige Add-on Enigmail finden Sie ebenfalls im Thunderbird-Wiki. Beachten Sie bitte, dass GPG vor der Inbetriebnahme von Enigmail installiert sein muss. Schließen Sie Thunderbird nach jedem Schritt und starten Sie das Programm neu. Am einfachsten kommen Sie zum Ziel, wenn Sie Enigmail nicht über dessen eigene Einstellungen im Add-on-Menü einrichten, sondern mit Hilfe des „OpenPGP-Assistenten“. Diesen finden Sie oben in der Thunderbird-Menüleiste unter dem Punkt „OpenPGP“. (Leider heißt es dort nicht „GPG“, aber PGP und GPG stehen wie gesagt für das Gleiche.)
  • Falls die Plug-in-Installation aus Thunderbird heraus auf Ihrem nicht mehr ganz neuen Computer Probleme machen sollte, bietet die Downloadseite von Enigmail auch noch ältere Versionen.
  • „Sichere E-Mail-Kommunikation mit OpenPGP“: Softwarearchitekt Rainer Klute erklärt hier ausführlich alle Schritte
  • S/MIME-Zertifikat in Thunderbird konfigurieren: Thunderbird-Wiki (deutsch), Bates College (englisch). Hinweis: Die Informationen zum Hamburger Trustcenter im deutschen Wiki sind veraltet.
  • Sollten Sie tatsächlich als Unternehmer eine jüngere Linux-Version nutzen: Ignorieren Sie, was hier steht. Sie haben die Verschlüsselungssoftware schon komplett an Bord, sogar Enigmail.

 

Wenn Sie einen Mac und/oder ein iPhone bzw. iPad haben

  • Download von GnuPG für Mac (erforderlich, wenn Sie Thunderbird verwenden)

 

Wenn Sie ein anderes Smartphone zum Mailen einsetzen

  • OpenPGP auf Android ist keine ernst zu nehmende Alternative. Finger weg, bis eine ausgereifte Lösung auf den Markt kommt.
  • Ausgerechnet die treuesten Windows-Fans haben bei Microsoft derzeit das Nachsehen. Auf die sichere Mobil-Anbindung lässt der Konzern diese Kunden warten: Für Windows Phone 8 (zum Beispiel Nokias Lumia-Modelle und einige Geräte von HTC) ist die S/MIME-Unterstützung erst für Anfang 2014 angekündigt. OpenPGP-kompatible Kryptografie-Apps gibt es für die aktuellen Windows-Telefone leider auch nicht. Das ist schade, denn es gibt da eigentlich sehr interessante, business-taugliche Geräte, die nicht so verspielt sind wie die iPhones und Androiden.
  • Ob die demnächst auf den Markt kommenden Smartphones mit den Betriebssystemen Firefox OS und Ubuntu OS serienmäßig werden verschlüsseln können, ist derzeit noch nicht bekannt, gilt aber als wahrscheinlich.

 

Wenn Ihr Adressat sich weigert, S/MIME oder GPG zu installieren

  • Das Plug-in IS-Fox Encrypt für Microsoft Outlook verschlüsselt Inhalte von E-Mails in Form von ZIP-Dateien, die als Anhang einer ansonsten ungeschützten E-Mail versendet werden, aber nur mit einem Passwort dechiffriert werden können. Dieses erhält der Empfänger per SMS. Zertifikate und der Austausch von Schlüsseln entfallen also. Dies macht die Sache leichter, allerdings ist dieses Verfahren einer klassischen End-to-end-Verschlüsselung nicht ebenbürtig. Als Ergänzung ist es gleichwohl hilfreich in Fällen, in denen dem Absender die Sicherheit wichtiger ist als dem Empfänger.
  • Auch wer kein Outlook nutzt, kann mit gängigen Kryptografie-Programmen Dateien auf ähnliche Weise verschlüsseln. Sogar mit Standardsoftware wie MS Office und Acrobat Professional können Sie Datei-Anhängen einen Passwortschutz verpassen. Vertrauliche Powerpoint- oder PDF-Dateien lassen sich so auf ungesicherten Mail-Wegen transportieren, ohne dass Unbefugte ohne Hacker-Kenntnisse eine Chance zum Mitlesen hätten.
  • Grundsätzlich ist Dateiverschlüsselung auch dann anzuraten, wenn Sie oft mit dem Notebook unterwegs sind. Nicht nur beim E-Mailen können wichtige Dokumente unter die Räuber kommen.

 

Wenn Sie für GPG-geschützte Mails verschiedene Computer parallel einsetzen möchten…

…wenden Sie sich vielleicht besser an einen Experten. Beim Ex- und Import des privaten Schlüssels geht insbesondere in der Windows-Welt leicht etwas schief, und die Fehlersuche ist vertrackt. Zumindest sollten Sie das GPG4win-Kompendium aufmerksam gelesen haben. Wenn Sie ausprobieren möchten, ob Sie es allein hinbekommen, legen Sie sich ein paar kostenlose Jux-Adressen zu, um die es nicht schade ist – sicherheitshalber bei einem deutschen Provider, also nicht gerade Google-Mail. Der Autor hat zum Beispiel Adressen mit den Endungen “@habmalnefrage.de”, “@buerotiger.de” und “@muenchen-ist-toll.de”.

 

Wenn Sie Mails innerhalb Deutschlands als Einschreiben versenden wollen

Die staatlich anerkannte Form, rechtsverbindliche E-Mails zu verschicken, heißt De-Mail. Das BSI bietet Unternehmen eine gewisse Unterstützung bei der Einführung von De-Mail. Es ist aber nicht möglich, unverändert Ihre bestehenden E-Mail-Adressen dafür weiterzuverwenden, denn in den Teil der Adresse hinter dem @ wird ein “De-Mail” eingefügt. Schreiner Müller aus Dinkelsbühl bekommt also Adressen, die auf “@schreiner_mueller_dinkelsbuehl.de-mail.de” enden. De-Mails fügen sich daher nicht ohne weiteres in bestehende Geschäftsprozesse ein, und es gibt ein Henne-Ei-Problem: Das Konzept setzt zwingend eine kritische Masse an Teilnehmern voraus. Vor allem der Anbieter 1&1 versucht gerade, mit kostenlosen De-Mail-Adressen Endkunden zu gewinnen, aber der Erfolg der Aktion ist noch nicht abschätzbar.

Anmelden können Sie sich bei folgenden Providern :

 

Deutsche Telekom

1&1-Gruppe (auch über die Marken GMX und web.de)

Mentana-Claimsoft (Francotyp-Postalia)

 

De-Mail ist durchaus umstritten. Der Chaos Computer Club warnt seit langem davor, denn die Nachrichten sind von Haus aus nicht „end to end“ verschlüsselt, also nicht durchgängig auf der gesamten Strecke vom Absender bis zum Empfänger. Jeder Provider verfügt über einen Nachschlüssel, mit dem er die Mails vor dem Weitertransport kurz öffnet, um nachzusehen, ob ein Computervirus drinsteckt.

Diese unfreiwillige Sicherheitsmaßnahme ist im De-Mail-Gesetz so vorgesehen, schafft aber nach Ansicht von Kritikern selbst einen neuen Ansatzpunkt für Angreifer. Nach CCC-Einschätzung wird ein Geheimdienst im Fall des Falles genau diese Achillesferse zu nutzen wissen.

Ein Sprecher von 1&1 hält die Lücke für ungefährlich. Kein Mitarbeiter habe Einblick, sprich: Einen Snowden gibt es in Karlsruhe nicht. Die Mail sei auch nur für einen Sekundenbruchteil ungeschützt. Allerdings dauert die Übertragung einer E-Mail heutzutage selten länger als einige Sekunden, weshalb ein Spion ohnehin keine andere Wahl hat, als sich an einem Knotenpunkt auf die Lauer zu legen. Dem Nutzer bleibt also nichts anderes übrig, als auf den Willen und die Fähigkeit seines De-Mail-Providers zu vertrauen, derlei Spähattacken abzuwehren, oder eben zusätzlich auf eigene Faust eine End-to-end-Verschlüsselung draufzusetzen.

Durch die Nutzung von De-Mail entstehen zudem fixe und variable Kosten. Die Telekom verlangt etwa 16,95 Euro monatlich für bis zu 50 Mails plus je 39 Cent für die Klassifizierung ein Einschreiben und 13 Cent für die Optionen „absenderbestätigt“ und „persönlich/vertraulich“. In der Grundgebühr ist auch nur ein minimaler Speicherplatz von 500 MB enthalten; je 100 MB kommen monatlich 59 Cent hinzu.

1&1 bietet in den meisten Punkten etwas günstigere Konditionen. Mentana ist bei kleinerem Mailvolumen der teuerste Anbieter. Er bietet aber Unternehmen, die glauben, dass De-Mail groß einschlägt, ein Starterpaket für knapp 4000 Euro, bei dem Mail-Partner für eine Pauschale von 2500 Euro mitmachen können. Womöglich kommt ja ein Großkunde von Ihnen irgendwann mit diesem Ansinnen auf Sie zu.
cover_110 Mehr zum Thema Datensicherheit lesen Sie im impulse-Magazin 08/2013
Abonnenten erhalten die neueste Ausgabe jeden Monat frisch nach Hause geliefert. Und über die impulse-App für iOS- und Android-Geräte können Sie die neuen Ausgaben im PDF-Format herunterladen und bequem auf Tablet oder Smartphone lesen.

6 Kommentare
  • Okan 26. Februar 2014 15:50

    Ich habe im Internet nach einen Verschlüsselungsprogramm des Emailverkehrs gesucht und habe das Programm gpg4o von Giegerich und Partnet gefunden. Dieses Programm ist sehr Benutzerfreundlich und leicht zu installieren. Hier findet ihr weitere Infos: http://www.giepa.de/produkte/gpg4o/

  • Hauke Laging 17. Oktober 2013 18:11

    “ Wenn es Profis mit viel Zeit und Geld darauf anlegen, knacken sie früher oder später jede Verschlüsselung.“

    Nein, die knacken auch die Profis und die Leute mit den vielen Computern nicht. Die Profis knacken die Rechner, auf denen die Daten unverschlüsselt vorliegen (oder die Schlüssel dazu).

    Sinnvoll ist ein Hinweis auf die kostenlosen Schulungsangebote der Cryptoparty-Community, die es inzwischen in vielen Städten gibt:
    https://www.cryptoparty.in/location#germany

    Alle, die schon Kryptografie einsetzen, sollten sich diese Seite mal anschauen:
    http://www.openpgp-schulungen.de/fuer/unterstuetzer/
    Einer der besten Wege dahin, mehr Leute zur Nutzung von Kryptografie zu gewinnen, dürfte die (drastische) Erhöhung der Sichtbarkeit dieses Themas sein. Und dafür brauchen wir jeden als Helfer: jeden Betreiber einer privaten oder geschäftlichen Website, im Grunde jeden, der E-Mails verschickt.

  • Hansi Burger 5. August 2013 10:27

    Hallo Miteinander,

    spannendes Thema, von daher könnte für den Mittelstand das „SEPPMAIL“ System von Interesse sein. Mailgateway mit Konnektor zu einem Trustcenter. Haben es im Einsatz und PGP abgelöst.

    Mit sonnigen Mail Grüßen
    Hansi Burger

  • Marcel Dietzmann 26. Juli 2013 19:23

    Danke für die Verlinkung, beim „Blogger Macon“ wäre vielleicht eine Korrektur ganz nett, denn bei diesem „Blogger“ handelt es sich um Marcel Dietzmann (macon ist sein OS X & iOS Service).

    • impulse 27. Juli 2013 12:17

      Hallo Herr Dietzmann, danke für den Hinweis – ist korrigiert. Beste Grüße aus der Redaktion

  • Bertram Dressel 26. Juli 2013 13:07

    Einen mittelständischen deutschen Anbieter von Mail-Verschlüsselung, der sowohl preiswert als auch einfach zu handhaben ist vermisse ich in Ihrer Aufstellung:
    regify-on.net
    Ich kann dieses System als zuverlässig, nutzerfreundlich und preiswert sehr empfehlen.
    Ihr
    Bertram Dressel

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): * Time limit is exhausted. Please reload CAPTCHA.