E-Mails: Verschlüsselung mit S/MIME - Schlüssel zu mehr Privatheit

Ende-zu-Ende-Verschlüsselung

Wenn Sie Wert auf mehr Privatheit legen (und der US-Überwachungsbehörde NSA die Arbeit zumindest ein bisschen erschweren möchten), müssen Sie selber aktiv werden und (nicht über Webmail, sondern in einem E-Mail-Programm wie Outlook, Windows Live Mail oder Apple Mail) eine Ende-zu-Ende-Verschlüsselung einsetzen. Das bedeutet, dass E-Mails auf Ihrem Computer verschlüsselt und erst direkt beim Empfänger wieder in lesbare Form umgewandelt werden. Voraussetzung dafür ist allerdings, dass beide Partner die gleiche Verschlüsselungstechnologie einsetzen und zuvor ihre Schlüssel austgetauscht haben.

Privater und öffentlicher Schlüssel

Diese Schlüssel sind natürlich nicht physisch vorhanden, sondern setzen sich aus Buchstaben- und Ziffernfolgen zusammen. Jeder User, der mit einer solchen Verschlüsselung arbeitet, besitzt einen geheimen privaten Schlüssel sowie einen öffentlichen, den er an alle weitergibt, die ihm eine verschlüsselte Nachricht senden möchten. Seinerseits besitzt er die öffentlichen Schlüssel jener, denen er verschlüsselte E-Mails zukommen lassen möchte. Das Entschlüsseln einer solchen Nachricht gelingt dem jeweiligen Empfänger nur mit seinem privaten Schlüssel, weshalb er ihn auch wie den eigenen Augapfel hüten sollte.

Asymmetrisch

Oder anders gesagt: Nur wenn das E-Mail-Programm dem Empfänger einen öffentlichen Schlüssel zuordnen kann, ist das Versenden verschlüsselter Nachrichten an ihn möglich und nur er kann diese Nachrichten dann auch lesen. Man spricht auch von asymmetrischer Verschlüsselung, weil keiner der Kommunikationspartner den jeweiligen privaten Schlüssel des anderen kennt.

S/MIME

Klingt kompliziert – ist es aber nur zu Beginn. Schauen wir uns ein Verschlüsselungsverfahren an, für das die gängigen E-Mail-Clients bereits vorbereitet sind, nämlich S/MIME (Secure/Multipurpose Internet Mail Extensions). Was hier beschrieben wird, ist die kostenlose Basisvariante, die verschlüsselungstechnisch nicht mehr ganz auf der Höhe der Zeit ist, aber privaten Ansprüchen genügen kann und auf jeden Fall für ein erstes Hineinschnuppern in die Materie ausreicht. Bedenken Sie jedoch: Wenn Sie den privaten Schlüssel verlieren sollten oder wenn Sie sich dazu entschließen, in weiterer Folge keine Verschlüsselung mehr einzusetzen, sind die verschlüsselten E-Mails, die Sie in der Vergangenheit erhalten haben, für Sie nicht mehr lesbar!

Kostenloses Zertifikat

Der erste Schritt zur Einrichtung einer Verschlüsselung ist die Anforderung eines Zertifikats bei StartCom (www.startssl.com; Klick auf „Control Panel/Sign Up“). Dieses in Israel beheimatete Unternehmen ist einer der wenigen Anbieter, bei denen Zertifikate der Klasse 1 (Class 1) kostenlos erhältlich sind. Klasse 1 bedeutet, dass sich die Überprüfung des Antragstellers auf die automatisierte Verifizierung seiner E-Mail-Adresse beschränkt. Der Nachteil ist, dass Sie anhand des Zertifikats nicht erkennen können, welche Person hinter einer Mailadresse steht.

Mehrere E-Mail-Adressen nutzbar

Nach der Anmeldung bei StartCom und der Bestätigung Ihrer E-Mail-Adresse erzeugen Sie in wenigen Schritten online einen privaten Schlüssel (Einstellung auf „Hochgradig“ belassen!) und speichern das Zertifikat auf der Computerfestplatte. Dieses gilt für die von Ihnen bei der Anmeldung angegebene Mailadresse. Über den „Certificates Wizard“ können Sie später bei Bedarf weitere persönliche Mailadressen hinzufügen.

Sicherungskopie anlegen

Zunächst einmal sollten Sie auf einem externen Datenträger eine Sicherungskopie vom Zertifikat samt persönlichem Schlüssel anlegen, denn Letzterer kann bei Verlust nicht wiederhergestellt werden. Unter Windows finden Sie Ihr Zertifikat über den Browser.

• Internet Explorer: „(Zahnradsymbol)/Internetoptionen/Inhalte/Zertifikate/Eigene Zertifikate“.
• Firefox: „(Menüsymbol)/Einstellungen/Erweitert/Zertifikate/Zertifikate anzeigen/Ihre Zertifikate“.
• Chrome: „(Menüsymbol)/Einstellungen/Erweiterte Einstellungen anzeigen/Zertifikate verwalten/Eigene Zertfikate“.
• Auf einem Mac öffnet man unter „Programme/Dienstprogramme“ die „Schlüsselbundverwaltung“ und findet dort in der linken Spalte „Meine Zertifikate“. In den Fenstern bzw. bei Apple unter dem Menüpunkt „Ablage“ gibt es jeweils die Möglichkeit, ein markiertes Zertifikat zu exportieren bzw. zu sichern (Dateiformat: .p12 = Personal Information Exchange). Dabei müssen Sie ein selbst gewähltes Passwort eingeben, das Sie sich gut merken sollten.

In den E-Mail-Client importieren

Lassen Sie den externen Datenträger danach weiterhin mit Ihrem PC verbunden; nur am Mac ersparen Sie sich aufgrund der zentralen Schlüsselbundverwaltung den folgenden Schritt. Sie müssen nämlich die .p12-Datei in Ihr E-Mail-Programm importieren. Microsoft Outlook: „Datei/Optionen/Trust Center/Einstellungen für das Trust Center/E-Mail-Sicherheit/(Digitale IDs – Zertifikate) Importieren“.
Windows Live Mail: „Datei/Optionen/Sicherheitsoptionen/Sicherheit/Digitale IDs/Importieren“. Nun suchen Sie die Sicherungsdatei auf dem Datenträger, geben das von Ihnen vergebene Passwort ein und importieren das Zertifikat. Die mittlere Sicherheitsstufe (ohne Kennwortabfrage) genügt, wenn es sich um einen privaten Computer handelt, der nicht von Dritten mitverwendet wird. Starten Sie das Mailprogramm neu. In der Folge geht es zunächst einmal darum, Ihren öffentlichen Schlüssel breit zu streuen, damit andere Nutzer, die mit Verschlüsselung arbeiten, darüber informiert werden.

Apple Mail: zwei neue Schaltflächen

Nach dem Neustart von Apple Mail scheinen beim Verfassen einer neuen E-Mail automatisch zwei Schaltflächen neben Ihrer Absenderadresse auf, ein (noch inaktives) Vorhängeschloss-Symbol sowie eine zweite, die anzeigt, dass die E-Mail standardmäßig digital signiert wird. Im Zuge der Erstellung der ersten signierten E-Mail sollten Sie Apple Mail am besten den Zugriff auf Ihren privaten Schlüssel dauerhaft erlauben, sonst erscheint jedes Mal ein Fenster, in dem um Erlaubnis gefragt wird. Einstellungsänderungen sind in der Schlüsselbundverwaltung möglich. Nach Doppelklick auf Ihren privaten Schlüssel gelangen Sie zu den Zugriffsoptionen.

Windows: Verschlüsselung aktivieren

In Outlook rufen Sie wie oben beschrieben das Trust Center auf und aktivieren die Optionen „Inhalt und Anlagen für ausgehende Nachrichten verschlüsseln“, „Ausgehenden Nachrichten digitiale Signatur hinzufügen“ sowie „Signierte Nachrichten als Klartext senden“. Die standardmäßige Verschlüsselung hat allerdings den Nachteil, dass bei jeder E-Mail, die Sie an einen Empfänger senden, der ohne Verschlüsselung arbeitet, ein Fenster mit einer Warnung aufgeht. Die Alternative ist, bei Bedarf im jeweiligen E-Mail-Fenster unter „Optionen“ die Verschlüsselung zu aktivieren. In Windows Live Mail können Sie die Signatur und die Verschlüsselung gleichfalls im bereits oben genannten Fenster unter „Sicherheit“ aktivieren. Auch hier können Sie alternativ unter „Optionen“ die Verschlüsselung aus- oder abwählen, um das Warnfenster zu vermeiden.

Kontakt abspeichern

Öffnet ein Empfänger eine signierte E-Mail, dann wird im Falle von Apple Mail der öffentliche Schlüssel des Absenders automatisch dem Schlüsselbund hinzugefügt. Unter Windows muss der Absender zuerst als Kontakt abgespeichert werden, dann wird sein öffentlicher Schlüssel ebenfalls automatisch mit ihm verknüpft. Ab sofort ist es möglich, dem betreffenden Absender verschlüsselte Mails zu senden. Das Warnfenster unter Windows unterbleibt bzw. ist am Mac die Schaltfläche mit dem Vorhängeschloss-Symbol aktiv.

Fingerabdruck vergleichen

Wenn Sie – etwa im Berufsalltag – abklären möchten, ob ein öffentlicher Schlüssel auch tatsächlich von der Person stammt, mit der Sie E-Mails austauschen möchten, können Sie sich über den Browser bzw. die Schlüsselbundverwaltung die Details des fremden Zertifikats anzeigen lassen und dort den „Fingerabdruck“ (auch:„SHA1-Fingerabdruck“) suchen. Dieser ist eine unverwechselbare Zeichenkette, bestehend aus 40 Zahlen und Buchstaben (z.B. df:e2:8a:9d etc.). Ihr Gegenüber muss seinen Fingerabdruck ebenfalls heraussuchen und Ihnen telefonisch die Zeichenfolge durchgeben. Dabei sollten Sie – falls Sie die Person nicht persönlich kennen – sich weder anrufen lassen noch die Telefonnummer der signierten E-Mail entnehmen, sondern sie auf anderen Wegen erfragen. Den eigenen Fingerabdruck kann man beispielsweise auch auf Visitenkarten drucken lassen.

Begrenzte Gültigkeit

Die Zuteilung eines Zertifikats ist übrigens immer zeitlich begrenzt. Bei der kostenlosen Version von StartCom müssen Sie es nach einem Jahr verlängern. Daneben erfolgt alle 30 Tage eine Überprüfung Ihrer Mailadresse(n). Verwenden Sie mehrere Computer parallel, können Sie die .p12-Datei und somit Ihren privaten Schlüssel auch dort importieren, d.h. zuerst in den Browser/die Schlüsselbundverwaltung und dann in den E-Mail-Client.

Mobile Verschlüsselung

Angesichts der weiten Verbreitung von Smartphones und Tablets ist die E-Mail-Verschlüsselung natürlich auch auf diesen Geräten ein Thema – und leider komplizierter umsetzbar als auf dem Computer. Je nach Betriebssystem sind die Hindernisse unterschiedlich: Während der vorinstallierte Mail-Client unter Android bisher nicht mit S/MIME umgehen kann und man auf eine App ausweichen muss, hat man beim iPhone vor allem das Problem, den privaten Schlüssel auf einem sicheren Weg aufs Gerät zu bekommen.

Nicht jeder Weg ist empfehlenswert

Eines lässt sich nämlich allgemein sagen: Es ist nicht optimal, sich die .p12-Datei selber mit unverschlüsselter E-Mail zuzusenden. Diesen Weg sollte man nur dann beschreiten, wenn man auf den anderen Wegen scheitert. Und man sollte die entsprechende E-Mail auch gleich wieder aus allen Postein- und -ausgängen sowie den Papierkörben löschen. Für Online-Speicher wie OneDrive, Google Drive, Dropbox etc. gilt dasselbe, und speziell wieder beim iPhone funktioniert dies auch nicht mit jedem Anbieter und nur über ebenfalls unsichere Umwege (z.B. im OneDrive den Link zur Datei freigeben, ohne ihn weiterzuleiten, den Link kopieren, in die Notizen-App einfügen und dort öffnen).

Android: zusätzliche App

Beginnen wir mit Android: Damit die Standard-Mail-App verschlüsselte E-Mails senden und empfangen kann, müssen Sie aus dem Google Play Store die kostenlose (englischsprachige) App Djigzo herunterladen. Sie schaltet sich dazwischen, wenn beim Mailverkehr Zertifikate ins Spiel kommen. Leider ist die Handhabung der App etwas umständlich, sowohl was die Verschlüsselung angeht als auch die allgemeine Menüführung betreffend.

Übertragung via Datenkabel

Zunächst einmal kopieren Sie die .p12-Datei via Datenkabel von Ihrem Computer in den Speicher Ihres Android-Geräts (z.B. in die Downloads). Dann starten Sie Djigzo und folgen den Anweisungen des Setup-Assistenten. An der Stelle, an der er das Erzeugen eines eigenen Zertifikats anbietet, tippen Sie auf „Skip this step“, um diesen Schritt zu überspringen.

Zertifikat importieren

Ist die Installation von Djigzo abgeschlossen, tipppen Sie auf „Certificates & Keys“ und rufen über die Einstellungen die Option „Import keys“ auf. Tippen Sie rechts oben auf „Browse“ um die .p12-Datei auf Ihrem Gerät zu suchen. Danach müssen Sie das beim Abspeichern der Datei vergebene Passwort eingeben. Gleich darauf müssen Sie ein weiteres Passwort vergeben, um den Zugriff auf den Schlüssel auf Ihrem Android-Gerät abzusichern.

Lesen auf Umwegen

Der nächste Schritt sind die Kontoeinstellungen. Unter „Settings/Account“ geben Sie Ihren Absendernamen ein, aktivieren „Sign“ und „Encrypt“, um gesendete E-Mails standardmäßig zu signieren und zu verschlüsseln und tippen auf „Select signer“. Dort scheint nun Ihr Schlüssel auf. Halten Sie den Finger etwas länger darauf und wählen Sie aus dem Menü den Eintrag „Select“. Die Djigzo-App ist nun einsatzbereit und Sie können unter „Compose message“ verschlüsselte Nachrichten erstellen. Das Lesen empfangener verschlüsselter Mails erfolgt hingegen über den Umweg der Standard-Mail-App, wo Sie dann auf den mit „smime.p7m“ bezeichneten Anhang tippen, um ihn via Djigzo zu entschlüsseln.

iPhone-Konfigurationsprogramm

Bei iPhone und iPad bietet sich zur sicheren Übertragung des Zertifikats (per verschlüsselter E-Mail) das iPhone-Konfigurationsprogramm an (Download für Windows und Mac unter www.apple.at; Support/Downloads/Nach Produkt suchen/[Eingabe ins Suchfeld]; wählen Sie die aktuellste Dateiversion!). Wenn Sie Ihr Gerät per Kabel mit dem Computer verbinden, wird es vom Programm erkannt und in einem Fenster angezeigt.

Neues Konfigurationsprofil

Nun klicken Sie in der linken Spalte auf „Konfigurationsprofile“ und links oben auf die Schaltfläche „Neu“. Im großen Fenster füllen Sie jetzt die erforderlichen Felder mit Bezeichnungen aus, die es Ihnen selbst ermöglichen, das Profil wiederzuerkennen – also z.B. als Name und Kennung die zu verschlüsselnde E-Mail-Adresse. Unter dem Punkt Sicherheit sollten Sie „Mit Authentifizierung“ wählen und ein Kennwort vergeben. Damit stellen Sie sicher, dass nur Sie selbst das Profil später von Ihrem iPhone/iPad wieder entfernen können.

Verschlüsselte E-Mail

Klicken Sie links auf „Zertifikate“ und im aufscheinenden Fenster auf „Konfigurieren“. Dann wird die Liste der auf Ihrem Computer gespeicherten Zertifikate eingeblendet und Sie wählen jenes mit Ihrer E-Mail-Adresse, für das Sie von StartCom einen Schlüssel abgerufen haben. Nun folgt noch der Export des Konfigurationsprofils, der mit verschlüsselter E-Mail geschieht. Klicken Sie auf das Symbol „Exportieren“ in der Menüleiste, wählen Sie aus dem Dropdown-Menü den Eintrag „Verschlüsseltes, signiertes Konfigurationsprofil für dieses Geräte erstellen“, klicken Sie danach auf den Namen Ihres iPhones oder iPads und speichern Sie eine .mobileconfig-Datei auf dem Computer ab. Diese schicken Sie sich dann selbst per E-Mail, klicken sie an und stimmem dem „Installieren“ zu.

Erweiterte Einstellungen

Zuletzt gehen Sie auf Ihrem Gerät in die Mail-Einstellungen, rufen Ihren Account auf und aktivieren unter „Erweiterte Einstellungen“ (bzw. bei Nutzung eines iCloud-Mailkontos „Erweitert/Erweitert“) zunächst S/MIME und dann das Signieren sowie das Verschlüsseln, wobei Sie jeweils das zu verwendende Zertifikat bestätigen.

Alternative Möglichkeiten

Das letzte Wort ist bei der E-Mail-Verschlüsselung freilich noch nicht gesprochen. So stehen als Alternative zu S/MIME

• das mittlerweile kommerzielleOpenPGP bzw.
• das freie ProjektGnuPGP sowie
• das ebenfalls freie und quelloffeneOpen PGP zur Verfügung.

Google wiederum arbeitet intensiv an der Möglichkeit einer einfach anwendbaren Ende-zu-Ende-Verschlüsselung für Webmail (in einer aufgrund ihrer Kompliziertheit weniger für die breite Masse geeigneten Variante existiert sie bereits). Aber auch europäische Unternehmen sind in diesem Bereich aktiv und bieten sowohl kostenlose als auch kostenpflichtige Verschlüsselungsmöglichkeiten (lokal und für Webmail) an:

• https://tutanota.de,
• https://protonmail.ch/,
• https://lavaboom.com/en (Seite inzwischen offline, Anm. der Redaktion)

• E-Mail-Dienste: Gmail, Posteo, GMX ... - Datenschutz für einen Euro (1/2017)

• Internet sicher nutzen: Opera, Thunderbird - Browser und Mail-Client (5/2016)

• Internet sicher nutzen: E-Mails - Risiko im Anhang (4/2016)

• Datenschutz: Google - Einer liest mit (12/2014)

• E-Mail-Schutz - Spamfilter (6/2014)

• Online-Speicherdienste - Auf Wolke sieben? (2/2014)

• Verschlüsselung von Internetseiten - Embedded Site (1/2014)

• WLAN-Router mit Modem - Schlüssel zum Netz (4/2012)

• Internet: mehr Sicherheit - Achtung, Datenklau! (6/2011)

• Verschlüsselungsmöglichkeit

• Verschlüsselungsmöglichkeit

• GnuPGP

• OpenPGP

• Apple

• StartCom SSL Verschlüsselung