E-Mail – Verschlüsseln angesagt

E-Mail:Verschlüsseln angesagt

11. Mai 2010, 2:52 Uhr

Nur fünf Prozent verschlüsseln ihre elektronische Post. Dabei ist es ganz einfach, E-Mails für Unbefugte unleserlich zu machen.

Einen Virenscanner besitzt jeder PC mit vorinstalliertem Betriebssystem. Und mittlerweile hat es sich auch herumgesprochen, dass es sinnvoll ist, eine Firewall einzusetzen, um Angriffe aus dem Internet abzublocken. Warum aber verschlüsselt kaum ein Anwender seine E-Mails?

Nur rund fünf Prozent sind es, die ihre elektronische Post für Unbefugte nach Schätzung des IT-Experten Christopher Wolf von der Ruhr-Universität in Bochum (RUB) unleserlich machen. Offenbar eine Frage der Gewohnheit, so Wolf: "Wären E-Mails von Anfang an verschlüsselt gewesen, wäre das kein Thema." Nun ist es aber doch ein Thema - schon weil E-Mails wie Postkarten offen lesbar sind.

"Der Inhalt wird schließlich im Klartext übertragen", erklärt Wolf, der als wissenschaftlicher Koordinator am Horst-Görtz Institut für IT-Sicherheit der RUB arbeitet. Jeder aufgeweckte 14-Jährige könne mit entsprechender Software zum Beispiel über WLAN den E-Mail-Verkehr der Nachbarn mitlesen. Auch für Provider und Systemadministratoren sei dies kein Problem.

Standards für die Verschlüsselung

Dabei ist die Verschlüsselung von E-Mails mit Hilfe eines entsprechenden Programms einfach. Und manchmal bedarf es einer zusätzlichen Software auch gar nicht. "Es gibt zwei Standards für die Verschlüsselung von E-Mails: OpenPGP und S/MIME", erklärt Michael Krauß vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn. Sicher sind beide. Die Unterschiede liegen vor allem in der Handhabung durch den Anwender.

Auf OpenPGP basiert zum Beispiel das vom BSI entwickelte und kostenlos erhältliche Programm GPG4Win. Dieses muss der Anwender auf seinem PC installieren. Anschließend lässt er von der Software einen privaten Schlüssel sowie einen öffentlichen Schlüssel erzeugen. Damit der Anwender einer anderen Person verschlüsselte E-Mails zukommen lassen kann, benötigt er dessen öffentlichen Schlüssel. Die öffentlichen Schlüssel müssen also unter den Kommunikationspartnern einmalig ausgetauscht werden - das geht ohne Gefahr per E-Mail.

Das Decodieren der verschlüsselten Nachricht dagegen funktioniert nur mit dem geheimen Schlüssel des Empfängers. Das klingt kompliziert, funktioniert in der Praxis aber mit wenigen Mausklicks.

Der Nachteil: Beide benötigen ein Programm wie GPG4Win. Es gibt Programmerweiterungen, sogenannte Plug-ins, die das Verschlüsseln für den Nutzer noch einfacher machen sollen. Wer die E-Mail-Software Thunderbird verwendet, kann auf das Plug-in Enigmail zugreifen. Es nutzt den OpenPGP-Standard und fügt sich in die grafische Oberfläche von Thunderbird ein. "Enigmail ist sehr einfach zu bedienen", sagt Wolf.

Auf dem S/MIME-Standard aufsetzende Verschlüsselungs-Lösungen haben den Vorteil, dass sie in vielen E-Mail-Clients wie Outlook schon enthalten sind. Allerdings sieht S/MIME nicht den direkten Austausch öffentlicher Schlüssel zwischen Sender und Empfänger vor.

Für die Authentifizierung ist ein digitales Zertifikat notwendig. So ein Zertifikat lässt sich mit einem Aufwand von rund einer Viertelstunde beantragen und installieren. Kostenlos geht dies zum Beispiel beim Zertifizierungsanbieter Thawte.

Der Freemail-Anbieter Web.de nutzt ebenfalls eine S/MIME-Verschlüsselung. Um das Zertifikat muss sich der Anwender hier aber nicht selbst kümmern. Die Schlüssel und eine digitale Signatur werden für jedes Postfach automatisch erzeugt - es liegt am Nutzer, ob er die Verschlüsselung auch nutzen möchte.

"Wer verschlüsselte E-Mails erhalten möchte, muss also den Versendern der E-Mail selbst eine Mail mit der digitalen Signatur schicken", erläutert Julian Kellermeier vom Web.de-Kundenservice. E-Mail-Clients, die mit S/MIME umgehen können, integrieren diese digitale Signatur und können so die E-Mails verschlüsseln.

Zumindest für private Anwender hat die Verschlüsselung keine Nachteile. Probleme könne es in Unternehmen geben, weil Virenscanner und Firewalls mit verschlüsselten E-Mails nichts anfangen können, so Michael Krauß vom BSI. Neben der Verschlüsselung dienen sowohl OpenPGP als auch S/MIME der Signierung von Daten. Anhand dieser elektronischen Unterschrift kann der Empfänger die Echtheit einer E-Mail feststellen.