Bundesamt für Sicherheit in der Informationstechnik

Privat bleibt privat – verschlüsselte Kommunikation mit E-Mails

Ein Alltag ohne E-Mail ist für die meisten Menschen heute kaum denkbar. Ob geschäftlich-vertragliche oder privat-vertrauliche Inhalte: Was in der elektronischen Post steht, ist nur für Sender und Empfänger bestimmt. Damit es auch dabei bleibt, sollten Nutzer für eine Verschlüsselung ihrer E-Mail-Kommunikation sorgen. Denn andernfalls könnten sensible Inhalte von Dritten ausgelesen oder manipuliert werden. Für die Verschlüsselung von E-Mails existieren verschiedene Ansätze, bei denen entweder die E-Mail selbst oder der Transport der Nachricht verschlüsselt werden. Das BSI hat sich in der "Charta zur Stärkung der vertrauenswürdigen Kommunikation" verpflichtet, einfach zu nutzende, sichere und transparente Verschlüsselungslösungen zu fördern.

Ende-zu-Ende Verschlüsselung: So geht es in der Praxis

Die verschiedenen Methoden, um E-Mails Ende-zu-Ende – also mit Verschlüsselung direkt beim Sender und Entschlüsselung beim Empfänger - verschlüsselt zu versenden, lassen sich übergeordnet unterscheiden in die Verschlüsselungsfunktion des E-Mail-Anbieters, Add-Ons für E-Mail-Programme oder die Nutzung einer separaten Verschlüsselungs-Software. Alle genannten Lösungen basieren auf einem der beiden technischen Standards S/MIME oder PGP bzw. GPG. Die beiden Standards sind jedoch untereinander nicht kompatibel. Dies bedeutet, beide Kommunikationspartner müssen den gleichen Standard nutzen.

Bei beiden Verfahren kommt ein sogenanntes Schlüsselpaar zum Einsatz – bestehend aus einem öffentlichen und einem privaten Schlüssel. Wer verschlüsselt kommunizieren möchte, muss zunächst mit seinem Kommunikationspartner die öffentlichen Schlüssel austauschen. Während der öffentliche Schlüssel (auch: Public Key) zur Verschlüsselung eingesetzt wird, ist der private Schlüssel für die Entschlüsselung zuständig.

S/MIME wird von vielen E-Mail-Programmen standardmäßig unterstützt – wer sich ein entsprechendes Zertifikat bei einem Anbieter ausstellen lässt, kann verschlüsselte E-Mails mit jedem Kommunikationspartner, der ebenfalls S/MIME nutzt, austauschen. Beispielsweise die Initiative "Volksverschlüsselung", bei der Anwender mithilfe eines Programms durch die Schlüsselerzeugung und Einrichtung der Verschlüsselung geführt werden, setzt aktuell auf diesen Standard auf.

PGP/GPG-Programme bieten die Möglichkeit, die erforderlichen Schlüssel in einer separaten Lösung zu erstellen und für den E-Mail-Verkehr zu nutzen. Hier unterstützt etwa die freie Software Gpg4win, deren Ursprung in einem vom BSI beauftragten Kryptografie-Werkzeugpaket liegt. Zudem wird eine Verschlüsselung nach diesem Standard zum Beispiel von den Internet- und E-Mail-Anbietern web.de und GMX kostenfrei angeboten und ist dort in wenigen Klicks zu aktivieren.

Mit digitalen Signaturen Identität überprüfen

Die meisten Verschlüsselungslösungen bieten darüber hinaus die Möglichkeit, E-Mails mit einer digitalen Signatur zu versehen. Anhand dieser kann der Empfänger nach erfolgreichem Schlüsseltausch überprüfen, dass die E-Mail tatsächlich von der erwarteten Person stammt und sie auf ihrem Weg vom Sender zum Empfänger nicht verändert wurde – andernfalls erscheint eine entsprechende Warnung, die digitale Signatur sei nicht gültig. Damit schützt sie zwar nicht vor unbefugten Mitlesern, jedoch werden die Urheberschaft und die Integrität des Inhalts durch sie bestätigt. In Kombination mit einer guten Verschlüsselung kann jedoch die Vertraulichkeit und Authentizität gewährleistet werden.

Verschlüsselten Transport der E-Mail beachten

Ein anderer Ansatz zur Verschlüsselung von E-Mails ist die sogenannte Transportverschlüsselung (Punkt-zu-Punkt-Verschlüsselung), bei der die Übertragungsstrecke einer E-Mail zwischen Sender, den E-Mail Providern und dem Empfänger jeweils durch Verschlüsselung geschützt wird. Sollte das der Fall sein, kann der Nutzer die Transportverschlüsselung in seinem E-Mail Client aktivieren. Eine entsprechende Anleitung hierfür stellt der jeweilige E-Mail Provider zur Verfügung. Darüber hinaus zertifiziert das BSI E-Mail-Diensteanbieter nach der Technischen Richtlinie "Secure E-Mail Transport". Wer das Zertifikat erhält, hat nachgewiesen, dass er bei der Transportverschlüsselung der E-Mails hohe technische Standards erfüllt. Bei der Übertragung von De-Mails ist eine durchgehende Transportverschlüsselung immer gegeben.