Mails verschlüsseln - so gehts

Secure Mail: So verschlüsseln Sie E-Mails und Dateianhänge

Wenn Sie sensible Daten oder Informationen per E-Mail versenden, sollten Sie diese unbedingt verschlüsseln. Dabei werden der lesbare Text sowie Anhänge in chiffrierten Text umgewandelt und nur der Empfänger, der über den passenden Schlüssel verfügt, kann diese entschlüsseln. So bleiben die Inhalte Ihrer Mail vertraulich – allerdings sind dazu einige Schritte notwendig. Wir zeigen Ihnen, wie Sie Ihren Mailverkehr zuverlässig vor fremden Augen schützen. Außerdem erklären wir ihnen, wie Sie Ihre E-Mail-Verbindung und Ihre archivierten Mails verschlüsseln.

Inhalt

DSGVO und E-Mail-Verschlüsselung

E-Mails Ende-zu-Ende verschlüsseln – so geht’s

Mail-Verschlüsselung mit OpenPGP und S/MIME

Achtung, Sicherheitslücke: EFAIL

Verschlüsselte Anhänge mit idgard® versenden

So verschlüsseln Sie Ihre E-Mail-Verbindung

So verschlüsseln Sie archivierte E-Mails

DSGVO und E-Mail-Verschlüsselung

Seit Inkrafttreten der Datenschutz-Grundverordnung spielt Verschlüsselung vor allem in Unternehmen eine noch größere Rolle als zuvor. Denn diese müssen geeignete Maßnahmen ergreifen, um personenbezogene Daten wie etwa Kundendaten bei der Speicherung, Übertragung und Verarbeitung angemessen zu schützen. Dazu gehört auch die Verschlüsselung der Daten (vgl. DSGVO Art. 32). Unternehmen, die ihren Mailverkehr verschlüsseln, verringern also signifikant das Risiko einer Datenpanne und somit eines saftigen Bußgelds.

E-Mails Ende-zu-Ende verschlüsseln – so geht’s

Der gängige Weg, E-Mails und Anhänge zu verschlüsseln, ist über sogenannte Ende-zu-Ende-Verschlüsselung. Dabei verschlüsselt der Absender seine Inhalte mit einem öffentlichen Schlüssel und der Empfänger entschlüsselt sie mit seinem persönlichen Schlüssel. Durch eine digitale Signatur ist außerdem der Sender eindeutig feststellbar, so dass die Mail bei der Übertragung nicht unbemerkt manipuliert werden kann.

  • Die Verschlüsselung sorgt für die Vertraulichkeit der Inhalte
  • Die Signatur stellt die Authentizität und Integrität der Mail sicher

Mail-Verschlüsselung mit OpenPGP und S/MIME

In der Praxis haben sich für das Verschlüsseln und Signieren von E-Mails die Standards OpenPGP und S/MIME durchgesetzt. Beide Standards sind nicht miteinander kompatibel – als PGP-Nutzer können Sie also keine mit S/MIME verschlüsselten Mails lesen und umgekehrt.

S/MIME bietet gegenüber PGP den Vorteil, dass es mittlerweile in den meisten Mail-Clients wie Outlook oder Thunderbird integriert ist. Um PGP zu nutzen, benötigen Sie zusätzliche Software, die aber in der Regel kostenlos erhältlich ist, beispielsweise GPG4Win (Outlook), GPGSuite (MacOS) oder Enigmail (Thunderbird).

Bevor Sie Ihre erste verschlüsselte und signierte Mail versenden können, gibt es allerdings noch ein paar Dinge zu erledigen. So benötigen Sie für die Signatur zunächst ein Zertifikat, um die Echtheit ihrer Absender-Adresse zu bestätigen. Die S/MIME-Zertifikate werden in der Regel durch eine öffentliche Zertifizierungsstelle (Public CA) ausgestellt. Dafür ist üblicherweise eine Gebühr fällig. Ein bekannter Anbieter von vertrauenswürdigen Zertifikaten ist beispielsweise Sectigo (ehemals Comodo). Zwar gibt es auch Zertifizierungsstellen, die kostenlose Zertifikate anbieten, diese sind aber oft nur für den privaten Gebrauch vorgesehen. PGP-Zertifikate werden mithilfe der Verschlüsselungs-Software selbst erstellt.

Kleopatra ist Teil von GPG4Win. Hier können Sie OpenPGP-Schlüsselpaare erzeugen oder S/MIME-Schlüssel und -Zertifikate beantragen.

Anschließend müssen Sie ein Schlüsselpaar erzeugen. Den öffentlichen Schlüssel benötigt jeder, der Ihnen eine verschlüsselte Mail senden möchte; den privaten Schlüssel benötigen Sie, um die Mail zu entschlüsseln. Umgekehrt benötigen Sie den öffentlichen Schlüssel Ihres Kollegen, wenn Sie ihm eine verschlüsselte Mail schicken wollen, die er mit seinem privaten Schlüssel entschlüsseln kann. Es ist daher sinnvoll, den öffentlichen Schlüssel über sogenannte Keyserver öffentliche verfügbar zu machen. Alternativ bietet sich die Bereitstellung auf einer persönlichen Homepage oder in der E-Mail-Signatur an. Die Erzeugung des Schlüsselpaars erfolgt ebenfalls durch die Zertifizierungsstelle oder – im Fall von PGP – innerhalb der Software.

  • Die Anbieter von GPG4Win (Outlook), GPGSuite (MacOS) oder Enigmail (Thunderbird) bieten auf Ihren Webseiten ebenfalls ausführliche Anleitungen für die Verschlüsselung mit OpenPGP.

Sie sehen schon: Eine verschlüsselte Mail schüttelt man nicht mal so eben aus dem Ärmel. Das ist auch der Hauptgrund, weshalb sich der verschlüsselte Mailverkehr trotz des vergleichsweise hohen Sicherheitsniveaus im Alltag vieler Nutzer noch immer nicht durchgesetzt hat. Trotzdem sollten Unternehmen sensible Informationen wie personenbezogene Daten oder Geschäftsgeheimnisse unter keinen Umständen unverschlüsselt versenden!

Achtung, Sicherheitslücke: EFAIL

Efail-Logo by Jana Runde, Zuzana Somorovska, CC0Ein Forscherteam hat in in den Verschlüsselungs-Standards OpenPgP und S/MIME Schwachstellen entdeckt, die Angreifer ausnutzen können, um verschlüsselte E-Mails mit aktiven Inhalten (z.B. HTML oder JavaScript) zu manipulieren. Nachdem der Empfänger die Nachricht entschlüsselt hat, werden die aktiven Inhalte ausgeführt und der Klartext der E-Mail beispielsweise an einen Server der Angreifer übertragen. Das genaue Angriffsszenario beschreiben die Forscher auf der Webseite www.efail.de.

Glücklicherweise lässt sich das Ausführen und Nachladen von Inhalten in Mail-Clients wie Outlook und Thunderbird deaktivieren; dazu müssen diese allerdings richtig konfiguriert sein. Wie das geht, zeigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf einer Service-Seite zu den Schwachstellen.

Verschlüsselte Anhänge mit idgard® versenden

Wussten Sie, dass Sie sensible Dateianhänge auch über uniscons hochsichere Business-Cloud idgard® sicher versenden können? Schreiben Sie Mails weiterhin in Ihrem Client, aber laden Sie Dateien und Dokumente in idgard® hoch und fügen Sie den Link in Ihre E-Mail ein. Optional können Sie den Link zusätzlich mit einem Passwort absichern. Mit dem kostenlosen Add-In für MS Outlook müssen Sie dazu nicht einmal Ihre gewohnte Arbeitsumgebung verlassen. Erfahren Sie mehr über das sichere Versenden von E-Mail-Anhängen mit idgard®.

So verschlüsseln Sie Ihre E-Mail-Verbindung

Um Ihren Mailverkehr zuverlässig zu schützen, sollten Sie nicht nur Inhalte und Anhänge verschlüsseln, sondern auch auf eine verschlüsselte Verbindung achten – in Ihrem Webbrowser erkennen Sie diese ganz einfach an dem https in einer Webseiten-URL. Das steht für „Hypertext Transfer Protocol Secure“ und ist mittlerweile Standard.

In Ihrem E-Mail-Client ist es etwas aufwändiger, die Verschlüsselung zu überprüfen. Öffnen Sie dazu die Einstellungen in Ihrem E-Mail-Programm und suchen Sie dort nach einer Option für die Verschlüsselung.

  • In Outlook finden Sie diese etwa unter Datei > Kontoeinstellungen > (Wählen Sie per Doppelklick Ihr Konto aus) > Weitere Einstellungen > Sicherheit.
  • In Thunderbird klicken Sie zunächst auf das E-Mail-Konto. Navigieren Sie dann zu Konto-Einstellungen > Server-Einstellungen > Sicherheit und Authentifizierung > Verbindungssicherheit. Wählen Sie hier die Option „SSL/TLS“ aus und bestätigen Sie Ihre Auswahl.

So verschlüsseln Sie archivierte E-Mails

Wenn Sie einen E-Mail-Client wie Outlook oder Thunderbird nutzen, sollten Sie sicherstellen, dass auch Ihre gespeicherten und archivierten Mails vor unbefugten Zugriffen geschützt sind. Verschlüsseln Sie dazu einfach gleich Ihren kompletten PC oder Laptop – unter Windows 10 können Sie dazu einfach die Gerätesicherung oder Bitlocker benutzen.

Wenn Sie stattdessen nur die archivierten E-Mails verschlüsseln wollen, müssen Sie über die Einstellungen Ihres Clients zunächst herausfinden, wo das Programm Ihre Mails speichert. Rechtsklicken Sie anschließend auf den Ordner, der die archivierten E-Mails enthält, wählen Sie Eigenschaften > Erweitert und setzen Sie ein Häkchen bei dem Punkt „Inhalt verschlüsseln, um Daten zu schützen“.

Unter MacOS verschlüsseln Sie entweder Ordner und Dateien mit FileVault oder ganze Speichermedien mit dem Festplattendienstprogramm.

 

Sie möchten mehr über sicheren Datenaustausch und Mail-Sicherheit erfahren? Hier geht es zu unserem Überblicksartikel: Secure Mail: So schützen Sie E-Mails und Anhänge