Diese Frage habe ich in den letzten Tagen zufällig etlichen Leuten gestellt. Die lustigste Reaktion war ein bestürztes „Oh, woher weißt Du das denn?!“ in dem die Sorge zum Ausdruck kam, ich hätte Zugriff auf die E-Mail der befragten Person.
Hatte ich natürlich nicht. Aber dass sie Ihre E-Mail nicht verschlüsseln, dessen konnte ich mir praktisch sicher sein. Wer tut das schon. Fast alle Befragten wussten nicht einmal, dass es mit wenig Aufwand möglich ist, seine E-Mail zu verschlüsseln. Und die, die schon mal davon gehört hatten, hielten es für Hexenwerk, für das man mindestens ein Informatikstudium absolviert haben muss.
Dabei ist das Verschlüsseln von E-Mail sogar ziemlich einfach – wenn man weiß, wie es geht.
Ich möchte Dich einladen, zu lernen, wie Du Deine E-Mail verschlüsseln kannst!
Es gibt im Internet schon eine ganze Menge Anleitungen zum Verschlüsseln von E-Mail. Viele dieser Anleitungen richten sich aber vor allem an Nerds, die ohnehin schon viel von Computern verstehen. Ich richte mich mit dieser Anleitung aber ganz speziell an Leute, die von sich behaupten, keine Ahnung von Computern zu haben. Also nur Mut, es ist nicht so kompliziert, wie Du vielleicht denkst!
Um E-Mail-Verschlüsselung zu lernen, ist es nötig, einige Grundlagen zu verstehen.
Damit fangen wir an. Später wird es dann etwas praktischer.
Was denn, E-Mail, Facebook-Nachrichten, WhatsApp etc. sind nicht sicher?
Jeder Nerd weiß, dass praktisch alles, was über das Internet geschickt wird für Jedermann, der etwas Zeit und Mühe investiert, zugänglich ist. Schreibe ich also eine E-Mail oder eine Nachricht per WhatsApp, so ist das etwa mit einer Postkarte zu vergleichen. Die kann ja auch jeder lesen, der sie in die Finger bekommt. Das einzige Problem dabei ist, an die Postkarte heran zu kommen. Postboten können das. Und die Leute, die die Post in der Firma verteilen. Und neugierige Nachbarn. Und Leute mit zu viel krimineller Energie.
Bei meiner Nachricht verhält sich das genau so. Jeder der an meine Nachricht ran kommt, kann sie lesen. Mein Internetprovider kann das. Mein E-Mailprovider. Mein Chef. Und Leute mit zu viel krimineller Energie.
Wenn ich meine E-Mail nun verschlüssele, sie also in einen Geheimcode umwandele, dann kann die Nachricht nur noch von der Person entschlüsselt werden, die über den geeigneten Schlüssel verfügt.
Um in dem Bild der Postkarte zu bleiben: Der Postbote würde nur einen Haufen sinnlos zusammengewürfelter Buchstaben sehen mit denen er aber nichts anfangen könnte.
Das Prinzip der Verschlüsselung in 3 einfachen Schritten
Um eine E-Mail zu verschlüsseln, benötigt man ein geeignetes Programm und ein bisschen Verständnis für das Prinzip der Verschlüsselung. Verschlüsselte Kommunikation läuft in 3 Schritten ab: Verschlüsselung, Transport, Entschlüsselung. Natürlich muss die Nachricht vorher noch geschrieben und nachher gelesen werden. Darin unterscheidet sich das Prinzip aber nicht von normaler E-Mail.
Schritt 1: Die Nachricht wird verschlüsselt. Das geht – wenn man das einmal eingerichtet hat – einfach per Knopfdruck, denn das Mailprogram übernimmt diese Arbeit.
Schritt 2: Die nicht mehr lesbare E-Mail wird über das Internet dem Empfänger zugestellt.
Schritt 3: Der Empfänger entschlüsselt die Nachricht. Auch das geht wieder per Knopfdruck, wenn das Mailprogram einmal darauf eingerichtet ist. Außerdem muss der Empfänger sein „Geheimnis“ eingeben um zu Bestätigen, dass er wirklich der berechtigte Empfänger ist.
Mögliche Schwachstellen
Wie das genau mit der Einrichtung funktioniert, klären wir später. Zunächst einige mögliche Angriffspunkte über die Du unbedingt Bescheid wissen solltest. Ohne dieses Wissen taugt die beste Technik nichts und Du kannst Dir die Mühe sparen.
- Deine Schulter.
Wenn Dir jemand beim Verfassen der Nachricht über die Schulter guckt, kann er natürlich lesen, was Du da schreibst. Das sollte eigentlich trivial sein. Auch wenn jemand nur Deine Finger auf der Tastatur beobachtet, könnte er schon erkennen, was Du gerade tippst. Das gilt übrigens auch an Geldautomaten oder EC-Terminals im Supermarkt.
Wenn Dir zufällig eine Kamera über die Schulter guckt besteht das Problem natürlich genau so. Das ist vielen Leuten aber schon nicht mehr so bewust. - Dein Computer.
Es gibt die Möglichkeit, direkt über den Computer auszulesen, was Du gerade tippst. Auch einen „Film“ vom Inhalt Deines Bildschirms kann man ohne weiteres erstellen. In der Regel sollte das aber nur dann ein Problem darstellen, wenn der Computer auch von anderen Leuten genutzt werden kann. Also z.B. im Internet-Café, bei Deinem Nerd-Freund oder in der öffentlichen Bibliothek.
Vor einiger Zeit wurde vom Chaos Computer Club über den Staatstrojaner berichtet. Dieser nutzt genau diese Technik.
Wenn Du Dir aus Gründen Sorgen machen solltest, dass man es ernsthaft auf Deine Daten abgesehen hat, genügt es evtl. schon, Deinen Computer auch nur für einen Moment aus der Hand zu geben und aus den Augen zu lassen (übrigens auch in ausgeschaltetem Zustand), beispielsweise bei der Zollkontrolle. Das ist aber wirklich nur für Hardcore-Paranoide Menschen relevant. Es betrifft Dich vermutlich nicht, wenn Du diesen Artikel liest und das Thema neu für Dich ist. - Deine Bequemlichkeit.
Wenn Du Dir beim Verschlüsseln der E-Mail Hilfe holst, beispielsweise von Deinem E-Mail-Provider, dann musst Du Deinem E-Mail-Provider auch blind vertrauen. Das wäre ziemlich dumm, denn was immer er Dir auch versichert, es bleibt das Risiko, dass er Deine geheime Nachricht mitliest und ggf. sogar für andere Leute zugänglich macht – freiwillig, wenn die Polizei oder irgend ein Geheimdienst nachfragt oder unfreiwillig, wenn eine Sicherheitslücke bei Deinem E-Mail-Provider entdeckt wird. Die Verschlüsselung wäre damit also letztlich ziemlich wirkungslos. Du kannst eine Verschlüsselung aber ganz leicht selbst einrichten und kannst dabei auf vertrauenswürdige Hilfe zurückgreifen. Wie das geht, und wie Du vertrauenswürdige Hilfe erkennst, klären wir später. - Dein Geheimnis.
Wenn Du Dein „Geheimnis“ nicht geheim hältst, musst Du davon ausgehen, dass es auch all die Leute kennen, die Deine E-Mail unbedingt lesen wollen.
Ganz besonders gilt das auch für Deine private Schlüsseldatei. Was das ist, klären wir später. Erst mal nur so viel: Wer Deine private Schlüsseldatei besitzt und Dein „Geheimnis“ kennt, liest mit größter Wahrscheinlichkeit auch Deine geheimen Nachrichten. Spätestens jetzt wäre es an der Zeit, Dir einen neuen Schlüssel zuzulegen. - Die Empfängerseite.
Die Punkte mit der Schulter und dem Computer gelten natürlich auch für Die Empfängerseite. Auf die hast Du aber keinen Einfluss. Du kannst Dich aber mit Deinem gesunden Menschenverstand schützen: Leute, denen Du nicht zutraust, verantwortungsvoll mit der Verschlüsselung umzugehen, schickst Du einfach keine so relevanten Daten zu. Außerdem gefährdet eine Schwachstelle auf der Empfängerseite auch nur die Sicherheit der Mails an und von diesem Empfänger und nicht generell die Sicherheit aller Deiner Mails.
Warum sollte ich denn meine E-Mail verschlüsseln? Ich habe doch nichts zu verbergen!
Das ist eine berechtigte Frage. Natürlich haben die meisten Leute nichts zu verbergen. Trotzdem ist es sicherlich auch nicht gut, wenn potentiell jeder Einsicht in Deine private Kommunikation haben kann.
Ein Beispiel:
Du kandidierst für ein öffentliches Amt.
Vor Jahren hast Du mit einer Freundin über ihre lustige Einweihungsfeier geschrieben. Aus der Mail geht hervor, dass Ihr alle ziemlich besoffen wart. Trotzdem bist Du noch mit dem Auto nach Hause gefahren. Du wurdest nicht erwischt, das ganze liegt auch schon ziemlich lange zurück und ist eigentlich verjährt.
Nun gelangt diese Information aber in die falschen Hände.
Die falschen Hände drohen damit, diese Information zu veröffentlichen. Es sei denn, Du würdest für sie…
Keine schöne Vorstellung. Sicherlich auch etwas an den Haaren herbeigeholt. Zumindest auf den ersten Blick.
Aber mit etwas Phantasie kannst auch Du Dir sicherlich etliche vergleichbare Situationen ausdenken.
Worauf sollte ich bei der Wahl der Software achten?
Grundsätzlich – und ganz besonders wenn es um sicherheitsrelevante Software geht – sollte man nur solche Software einsetzen, die aus vertrauenswürdigen Quellen stammt. Ein E-Mail-Programm in der „Axel-Springer-Version“ wäre hier also die eher nicht zu empfehlen. Viele Leute denken bei vertrauenswürdiger Software vermutlich an Produkte irgendwelcher großen, wichtigen Firmen aus dem IT-Bereich. Leider haben diese in der Regel ein Problem: Sie wollen mit Ihren Produkten Geld verdienen und lassen sich nicht gerne „unter die Haube“ schauen.
Auf eine Software, die irgendetwas im Verborgenen macht, kann man sich nur so weit verlassen, wie man sich auf die Firma – und letztlich jeden einzelnen ihrer Mitarbeiter – verlassen möchte. Bei einer großen Menge Menschen, sollte das Vertrauen – bei gesundem Menschenverstand – nicht all zu weit reichen.
Open Source Projekte haben in der Regel eine ganze Reihe engagierter, ehrenamtlicher Mitarbeiter, die selbst ein großes Interesse an einer sicheren Software haben. Fehler und Angriffspunkte in Open Source Projekten werden in der Regel schnell gefunden – und behoben.
Aus diesem Grunde empfehle ich (zumindest für die Verschlüsselung), ausschließlich mit Open Source Software zu arbeiten.
Welche Software benötige ich ganz konkret?
Da Dein Computer in der Regel der einzige Computer ist, dem Du vertrauen kannst (wenn überhaupt), muss die Verschlüsselung auch bereits auf Deinem Computer erfolgen. Eine Verschlüsselung die Dir von Seiten Deines E-Mail-Providers (z.B. GMX.de, web.de, ymail.com, gmail.com etc.) angeboten wird ist insofern gut gemeint – aber keinesfalls vertrauenswürdig.
Du benötigst einen sogenannten . Ein guter Open Source E-Mail-Client ist Thunderbird.
Außerdem benötigst Du ein Programm, mit dem Du Dir Schlüsseldateien erstellen kannst. Ein weit verbreitetes Open Source Programm zur Erstellung von Schlüsseldateien ist GPG. Es gibt für verschiedene Betriebssysteme verschiedene Programme, mit denen man GPG nutzen kann. Für Windows gibt es z.B. GPG4WIN, für Mac OS gibt es z.B. GPG Tools. Der Funktionsumfang geht in beiden Fällen weit über die Verschlüsselung von E-Mail hinaus. Da ich ein älteres Programm nutze, muss ich mich zunächst in die Programme einarbeiten, bevor ich darüber schreiben kann.
Letztlich benötigst Du für Deinen E-Mail-Client noch ein Plugin, das die GPG-Funktionen in Dein E-Mail-Programm integriert. In der Mac Version des GPG-Programms ist EnigMail bereits integriert. Du kannst es aber auch separat installieren.
Sobald ich etwas Zeit habe, werde ich noch eine leicht verständliche Erklärung ergänzen, wie man die Programme einrichtet und nutzt.
Wenn Dir sonst noch etwas fehlt, oder Du die Anleitung liefern möchtest, freue ich mich über Kommentare.
[…] eingesetzt werden. Zum Beispiel der PGP-Verschlüsselung habe ich vor einiger Zeit einen Artikel geschrieben, zu dem ich demnächst eine Fortsetzung schreiben […]
Hallo Konstantin! Hab mal einen meiner Schnipsel hieher verlinkt: http://fontanefansschnipsel.blogspot.de/2013/11/mail-verschlusseln-leichter-als-gedacht.html