IT-Sicherheit Wie man Mails verschlüsselt

Heutzutage besitzt jeder PC mit vorinstalliertem Betriebssystem einen Virenscanner. Es hat sich auch herumgesprochen, dass eine Firewall äußerst nützlich ist, um Angriffe aus dem Internet abzublocken. Warum aber verschlüsselt kaum ein Anwender seine E-Mails?

Bochum/Bonn - Nur rund 5 Prozent sind es, die ihre elektronische Post für Unbefugte unleserlich machen, schätzt IT-Experte Christopher Wolf von der Ruhr-Universität in Bochum (RUB). Offenbar eine Frage der Gewohnheit, so Wolf: "Wären E-Mails von Anfang an verschlüsselt gewesen, wäre das kein Thema."

Nun ist es aber doch ein Thema - schon weil E-Mails wie Postkarten offen lesbar sind. "Der Inhalt wird schließlich im Klartext übertragen", erklärt Wolf, der als wissenschaftlicher Koordinator am Horst-Görtz-Institut für IT-Sicherheit der RUB arbeitet. Jeder aufgeweckte 14-Jährige könne mit entsprechender Software zum Beispiel über W-Lan den E-Mail-Verkehr der Nachbarn mitlesen. Auch für Provider und Systemadministratoren sei dies kein Problem.

Dabei ist die Verschlüsselung von E-Mails mithilfe eines entsprechenden Programms einfach. Und manchmal bedarf es einer zusätzlichen Software auch gar nicht. "Es gibt zwei Standards für die Verschlüsselung von E-Mails: OpenPGP und S/MIME", erklärt Michael Krauß vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Sicher sind beide, die Unterschiede liegen vor allem in der Handhabung durch den Anwender.

Auf OpenPGP basiert zum Beispiel das vom BSI entwickelte und kostenlos erhältliche Programm GPG4Win. Wenn man es auf dem PC installiert hat, lässt man sich von der Software einen privaten Schlüssel sowie einen öffentlichen Schlüssel erzeugen. Damit der Anwender einer anderen Person verschlüsselte E-Mails senden kann, benötigt er dessen öffentlichen Schlüssel. Die öffentlichen Schlüssel müssen also unter den Kommunikationspartnern einmalig ausgetauscht werden - das geht ohne Gefahr per E-Mail.

Das Decodieren der verschlüsselten Nachricht dagegen funktioniert nur mit dem geheimen Schlüssel des Empfängers. Das klingt kompliziert, funktioniert in der Praxis aber mit wenigen Mausklicks. Der Nachteil: Beide benötigen ein Programm wie GPG4Win.

Verschlüsselte Mails könnten Unternehmen Probleme bereiten

Verschlüsselte Mails könnten Probleme bereiten

Es gibt Programmerweiterungen, sogenannte Plug-ins, die das Verschlüsseln für den Nutzer noch einfacher machen sollen. Wer die E-Mail-Software Thunderbird verwendet, kann auf das Plug-in Enigmail zugreifen. Es nutzt den OpenPGP-Standard und fügt sich in die grafische Oberfläche von Thunderbird ein. "Enigmail ist sehr einfach zu bedienen", sagt Wolf.

Auf dem S/MIME-Standard aufsetzende Verschlüsselungslösungen haben den Vorteil, dass sie in vielen E-Mail-Clients wie Outlook schon enthalten sind. Allerdings sieht S/MIME nicht den direkten Austausch öffentlicher Schlüssel zwischen Sender und Empfänger vor. Für die Authentifizierung ist ein digitales Zertifikat notwendig. So ein Zertifikat lässt sich mit einem Aufwand von rund einer Viertelstunde beantragen und installieren. Kostenlos geht dies zum Beispiel beim Zertifizierungsanbieter Thawte.

Der Freemail-Anbieter Web.de nutzt ebenfalls eine S/MIME-Verschlüsselung. Um das Zertifikat muss sich der Anwender hier aber nicht selbst kümmern. Die Schlüssel und eine digitale Signatur werden für jedes Postfach automatisch erzeugt - es liegt am Nutzer, ob er die Verschlüsselung auch nutzen möchte. "Wer verschlüsselte E-Mails erhalten möchte, muss also den Versendern der E-Mail selbst eine Mail mit der digitalen Signatur schicken", erläutert Julian Kellermeier vom Web.de-Kundenservice. E-Mail-Clients, die mit S/MIME umgehen können, integrieren diese digitale Signatur und können so die E-Mails verschlüsseln.

Zumindest für private Anwender hat die Verschlüsselung keine Nachteile. Probleme könne es in Unternehmen geben, weil Virenscanner und Firewalls mit verschlüsselten E-Mails nichts anfangen können, so Krauß vom BSI. Neben der Verschlüsselung dienen sowohl OpenPGP als auch S/MIME der Signierung von Daten. Anhand dieser elektronischen Unterschrift kann der Empfänger die Echtheit einer E-Mail feststellen.

Sven Appel, dpa

Die Wiedergabe wurde unterbrochen.