E-Mail-Flut

Sicher E-Mails verschicken

Spätestens seit den Enthüllungen durch Edward Snowden im Jahr 2013 hat so ziemlich jeder im Hinterkopf, dass man seine E-Mails eigentlich verschlüsseln sollte. Bekanntlich kommt eine Erhöhung der Sicherheit auch immer mit Einschränkungen bzgl. des Komforts einher. Eine unverschlüsselte E-Mail ist schnell verschickt und schränkt den Komfort nicht ein. Soll hingegen eine verschlüsselte E-Mail verschickt werden, müssen ggf. vorher Zertifikate beantragt oder Schlüssel auf sicherem Wege ausgetauscht werden.

S/MIME oder GnuPG?

Grundsätzlich gibt es zwei Verfahren, um seine E-Mails zu verschlüsseln: S/MIME und GnuPG (GPG). Beide Verfahren basieren auf eine asymmetrische Verschlüsselung. Um sicherzustellen, dass der für die Verschlüsselung genutzte Schlüssel auch der entsprechenden Person gehört, setzt S/MIME auf die Zertifizierung durch Zertifizierungsstellen. Dieses Vorgehen kennt man bereits von den SSL-Zertifikaten, die eingesetzt werden, um eine Webseite via HTTPS auszuliefern. GnuPG hingegen funktioniert dezentral und setzt als Alternative zu den Zertifizierungsstellen auf das sog. Web-of-Trust.

Einrichtung des E-Mail-Clients

Ich persönlich setze lediglich GnuPG ein, um meine E-Mail-Kommunikation zu verschlüsseln. Als E-Mail-Client nutze ich Thunderbird. Leider wird GnuPG standardmäßig nicht unterstützt, sodass Thunderbird um das Add-On „Enigmail“ erweitert werden muss. Die GPG-Schlüssel für die E-Mail-Verschlüsslung können schnell und problemlos generiert werden, sodass man direkt loslegen kann. Auf eine detaillierte Anleitung für die Einrichtung verzichte ich an dieser Stelle. Einen guten Überblick bietet der Artikel „Einfach erklärt: E-Mail-Verschlüsselung mit PGP“ von heise.

Praxistauglichkeit

Seit dem Jahr 2010 setze ich GPG ein. Meine Schlüssel habe ich auf den Key-Servern veröffentlicht und gehofft, dass ich zukünftig automatisch verschlüsselte E-Mails erhalten werde. Um aktiv auf die E-Mail-Verschlüsslung hinzuweisen, habe ich eine entsprechende Info zu meiner E-Mail-Signatur hinzugefügt und auf meinen öffentlichen GPG-Schlüssel verwiesen. Bis auf ein paar Test-E-Mails von befreundeten IT-lern ist aber leider nichts passiert.

Erst im Jahr 2017 erhielt ich plötzlich eine verschlüsselte E-Mail. Es handelte sich um eine E-Mail von einer Universität. Sie haben sich vorweg meinen öffentlichen Schlüssel vom Keyserver heruntergeladen, um die E-Mail an mich zu verschlüsseln. Nach und nach kamen weitere Kontakte der Universität hinzu, welche allesamt auf GPG setzen. Somit stehe ich inzwischen mit einer Hand voll Personen in Kontakt, mit denen ich ausschließlich GPG-verschlüsselte E-Mails austausche.

Das Thema voran bringen

Um das Thema voran zu bringen, prüfe ich bei jeder E-Mail, ob der E-Mail-Empfänger einen Schlüssel auf dem Keyserver hinterlegt hat. Selten passiert es tatsächlich, dass ein Schlüssel hinterlegt ist. Also kann ich dem Empfänger eine verschlüsselte E-Mail zukommen lassen. Nicht selten kommt dann nach ein paar Stunden jedoch die Antwort, dass die E-Mail nicht geöffnet werden kann. Der Empfänger hat GPG vor einiger Zeit mal eingerichtet und der öffentliche Schlüssel veröffentlicht. Da sie nun jedoch einen neuen Rechner hat, ist GPG nicht mehr installiert und der private Schlüssel ist inzwischen auch verloren. Also muss die gleiche E-Mail doch nochmal unverschlüsselt an den Empfänger geschickt werden. Das ist sehr ärgerlich, verursacht einen Mehraufwand und verringert dem Komfort.

Vielleicht doch S/MIME?

S/MIME habe ich bisher noch nicht eingesetzt. Es soll jedoch standardmäßig in den meisten E-Mail-Clients integriert sein, sodass es vielleicht von mehreren Personen eingesetzt wird. Wie sind eure Erfahrungen mit GPG und S/MIME? Setzt ihr S/MIME ein? Hat sich der Kauf eines S/MIME-Zertifikates gelohnt?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.