E-Mails verschlüsseln - Ein kleiner Leitfaden
E-Mail Verschlüsselung
Werden vertrauliche Mitteilungen per E-Mail ausgetauscht, gilt es, zu verhindern, dass Unbefugte Zugriff auf die Nachrichten erhalten. Ein geeigneter Weg ist der Einsatz einer geeigneten Verschlüsselungssoftware.
E-Mails werden im Internet grundsätzlich in jener Form übertragen, in der sie vom Empfänger verfasst wurden. Sie können so auf jedem Server gelesen und von Computerprogrammen ausgewertet werden. Ein wirksamer Schutz dagegen besteht in der Verschlüsselung von E-Mails. Im Gegensatz zur allgemeinen Ansicht genügt es jedoch nicht, Nachrichten lediglich über eine sichere bzw. verschlüsselte Verbindung zu übertragen. Denn diese Absicherung betrifft nur die Verbindung zwischen dem Sendecomputer und den Servern des E-Mail-Anbieters, den restlichen Weg zum Postfach des Empfängers legt die Nachricht über das Internet ungeschützt zurück. E-Mails mit sensiblem Inhalt sollten daher stets mit einer eigenen Verschlüsselungssoftware chiffriert werden.
Einsatz von Verschlüsselungssoftware - das ist zu beachten
Um E-Mails verschlüsseln zu können und im Gegenzug erhaltene Mails zu entschlüsseln, ist spezielle Software vonnöten. Am Markt wird eine ganze Reihe derartiger Programme angeboten. Das kostenpflichtige Verschlüsselungsprogramm "Pretty Good Privacy" (PGP) sowie dessen frei erhältliches Gegenstück "Gnu Privacy Guard" (GPG) sind bereits seit längerem am Markt etabliert. Zur Nutzung dieser Programme ist es allerdings erforderlich, dass das verwendete E-Mail-Programm von der Verschlüsselungssoftware unterstützt wird, also passende Erweiterungen (Extensions) angeboten werden, die es ermöglichen, die Chiffriersoftware in die eigene E-Mail-Anwendung zu integrieren. Auch Nutzer von Web-Mailboxen, welche ihre Nachrichten online in ihrem Web-Browser bearbeiten, müssen mittlerweile nicht mehr auf entsprechenden Datenschutz verzichten, denn viele Webmail-Portale bieten ihren Kunden einen kostenpflichtigen Verschlüsselungsservice an.
Bei der Chiffrierung von E-Mails wird die sogenannte asymmetrische Verschlüsselung angewendet, bei dieser Methode werden für das Ver- und Entschlüsseln jeweils unterschiedliche Schlüssel verwendet, beide Schlüssel sind als "Partnerschlüssel" zu einem Schlüsselpaar verbunden. Eine Nachricht, die mit einem der beiden Schlüssel verschlüsselt wurde, kann nur mit dem passenden Partnerschlüssel wieder dechiffriert werden. Die beiden Schlüssel des Schlüsselpaares unterscheiden sich hinsichtlich ihrer Vertraulichkeit. Der Empfänger hat seinen Schlüssel geheimzuhalten, da nur er befugt ist, die Nachricht zu entschlüsseln. Dem gegenüber hat der Schlüssel des Absenders den Charakter eines öffentlichen Schlüssels, dieser kann auf speziellen "Schlüssel-Servern" für jedermann zur Einsicht hinterlegt werden. Dies geschieht deshalb, da jeder, der besagtem Empfänger eine Nachricht zukommen lassen möchte, genau diesen Schlüsselcode verwenden muss. Der Schlüssel sollte stets eine ausreichende Länge aufweisen (mindestens 1024 Bit), denn kurze Schlüssel können aufgrund der geringeren Anzahl an Kombinationsmöglichkeiten eher erraten werden. Sowohl bei GPG als auch bei PGP können Schlüsselpaare jeweils automatisch generiert werden. Wird der öffentliche Schlüssel auf keinem Schlüssel-Server hinterlegt, kann er dem Empfänger auch per E-Mail zugestellt oder auf einem Datenträger übermittelt werden. Bevor nun eine verschlüsselte Nachricht versendet werden kann, müssen beide - Absender und Empfänger - dem jeweils anderen ihren öffentlichen Schlüssel bekanntgeben, der geheime Schlüssel zum Empfang der Nachrichten darf hingegen niemals preisgegeben werden.
Standards bei E-Mail Verschlüsselungen
In der Praxis haben sich die technischen Standards OpenPGP und S/MIME etabliert. Auf der Basis von OpenPGP wurden GPG und PGP entwickelt, während S/MIME praktisch den Standard bei Behörden und Unternehmen darstellt. Plant man den Einsatz von S/MIME, so ist bei einer Zertifizierungsstelle ein Schlüsselpaar samt Zertifikat zu beantragen. Das Zertifikat dient dabei als Nachweis der Zuordnung des Schlüsselpaares zu seinem Inhaber. Für private E-Mails sollte jedoch eine Verschlüsselung nach dem OpenPGP-Standard ausreichen.