Verschlüsselung Test

Unsicher. E-Mails sind offen für Dritte und Absender können gefälscht sein.

Eine digitale Unter­schrift und die Verschlüsselung machen E-Mails sicher. Zumindest am Computer schaffen das auch interes­sierte Laien.

PGP heißt die Sicher­heits­software, der Edward Snowden vertraut. Die Abkür­zung steht für Pretty Good Privacy, über­setzt etwa „ziemlich gute Privatsphäre“. Wie Edward Snowden kann auch jeder andere Nutzer diese Sicher­heits­software aus dem Internet herunter­laden.

Snowden war System­administrator im amerikanischen Geheim­dienst NSA. Er weiß, wie die Software einzurichten ist, und er hat Freunde, die sie ebenfalls anwenden. Normalnutzern dürfte der Start schwerer fallen als Snowden. Und die Adressaten der verschlüsselten Mails können sie nur öffnen, wenn sie die PGP-Software ebenfalls installiert haben. Wie das funk­tioniert, haben wir geprüft. Uns interes­sierte, ob die vor mehr als 20 Jahren für Personalcomputer entwickelten Verfahren auch auf Smart-phones und Tablets laufen. Zur Wahl stehen PGP und das in Mail­programme wie Outlook und Thunderbird integrierte Verfahren S/MIME (sprich S-Meim). Die Abkür­zung steht für Secure Multipurpose Internet Mail Extensions, etwa „sichere universelle Erweiterungen für E-Mail“.

Erster Schritt einer sicheren Kommunikation ist die Authentizität: Wer hat die Mail geschrieben? Bei PGP kennen Nutzer einander. Sie erklären sich gegen­seitig mit ihrer digitalen Unter­schrift das Vertrauen. Bei S/MIME stehen Dienst­leister mit einem Zertifikat für die Identität des Absenders ein. Der zweite Schritt, die Verschlüsselung der Botschaft, funk­tioniert wie bei PGP.

Fälschungen erkennen

Nicht nur Snowden muss sich absichern. Gefährdet sind alle. Kurz vor Weih­nachten zum Beispiel wollten Kriminelle wieder einmal durch gefälschte Mails an Zugangs­daten von Kunden des Bezahl­dienstes Paypal kommen. Fachleute nennen das Phishing – ein Angriff so lukrativ wie ein Bank­raub, nur einfacher. Auf Nummer sicher gehen Sie nur mit PGP oder S/MIME. Die zeigen per Mausklick, ob der Absender authentisch, ob ihm zu trauen ist. Prüfen Sie: Ein Buch­stabe trennt Freund von Feind, zum Beispiel bei payapal.de und paypal.de.

Tipp: Geben Sie nie Zugangs­daten preis. Ignorieren Sie Mails, die Angst etwa vor Sicher­heits­lücken und Mahn­verfahren verbreiten oder mit Gewinnen locken.

Sichere Wege

Ganz ohne PGP oder S/MIME wähnen sich bestimmt viele Nutzer deutscher Mail­dienste sicher. Anweisungen wie die der Telekom „Stellen Sie jetzt Ihr E-Mail-Programm auf Verschlüsselung um! Ab 31.03.2014 nur noch verschlüsselter E-Mail-Empfang und -Versand möglich!“ suggerieren optimalen Schutz. Falsch. Der Tipp hilft zwar in einem offenen Netz­werk wie der Sony-Plaza in Berlin vor Mitlesern in der Nach­barschaft. Verschlüsselt sind die Mails aber nur auf dem Weg vom Absender zum Mail­dienst. Diese Trans­port-Sicherung verbirgt sich hinter der Funk­tion TLS/SSL. Die gängigen Mail­programme beherr­schen sie. Nutzer müssen die Funk­tion nur per Mausklick akti­vieren. Die Anleitung lieferten die Mail­betreiber gleich mit ihren Hinweismails aus. Das einzuführen war längst über­fällig. Aber lieber spät als nie.

Unsichere Zwischen­stationen

Unbe­hagen bleibt. Auf dem Weg vom Sender zum Empfänger passiert die Mail Zwischen­stationen, Server genannt. Dort können Dritte angreifen. Und natürlich scannt der E-Mail­dienst die Nach­richten im Kunden­interesse gegen Viren. Google gibt sogar zu, aus den mitgelesenen Inhalten der Mails persönlich zuge­schnittene Werbung für seine Gmail-Kunden zu schalten.

Lückenlos absichern

Verschlüsselung Test

Sicher. Verschlüsselt und mit digi­taler Unter­schrift.

Wer das nicht will, verschlüsselt den Inhalt der Nach­richt lückenlos – so, dass sie auch auf den Servern inkognito bleibt. Gleich­zeitig kann der Nutzer die Herkunft der Mail mit einem Zertifikat garan­tieren, einer beglaubigten digitalen Unter­schrift. Die kann jeder Mail-Empfänger öffnen und mit dem vom Mail­programm gezeigten Absender­namen vergleichen. Angriffe wie der auf Paypal-Kunden scheitern daran.

Das größte Hindernis für Interes­senten besteht in der Einsamkeit. Kaum einer verschlüsselt seine Mails. Dabei ist das Prinzip einfach. Verschlüsseln kombiniert zwei große Zufalls­zahlen. Im Fachjargon heißen sie privater und öffent­licher Schlüssel (Key), Insider nennen das Verfahren asyn­chrone Verschlüsselung. Es gilt als sicher, obwohl es bereits in den frühen 90er Jahren des vorigen Jahr­hunderts erdacht wurde. Ausgedruckt füllt so ein Schlüssel eine Druck­seite oder mehr mit einer sinn­losen Abfolge von Zahlen und Buch­staben.

Der Nutzer, sagen wir Anna, erzeugt beide Schlüssel entweder mit ihrer PGP-Software oder mit dem S/MIME-Zertifikat. Der private Schlüssel verbleibt auf Annas Rechner. Den öffent­lichen Schlüssel schickt sie entweder als Mail-Anhang an alle Kontakt­partner oder hinterlegt ihn im Internet auf einem sogenannten Key-Server. Damit, sowie mit der von Anna genutzten Software verschlüsseln die Kontakt­partner ihre Mails an Anna. Sie entschlüsselt diese mit ihrem privaten Schlüssel. Das Verfahren ist bei PGP und S/MIME gleich. In die Welt der greif­baren Dinge über­setzt: Der öffent­liche Schlüssel entspricht leeren Schatullen. Sie werden verteilt und kommen gefüllt mitsicherer Mail zurück. Sicher ist die Mail, weil der öffent­liche Schlüssel die Schatullen beim Schließen zusperrt. Nur der private Schlüssel des Empfängers öffnet sie.

Am Rechner klappt es

Am eigenen Rechner oder Notebook klappt das Verschlüsseln. Mit Ausnahme der Stan­dard-Mail-App von Android-Telefonen beherrscht jedes ordentliche Mail­programm S/MIME. Die Nutzer müssen keine Extra-Software installieren, brauchen aber ein Zertifikat von Dienst­leistern. Das bestätigt die Identität des Absenders und generiert beide Schlüssel. Kostenlose Zertifikate fanden wir nur außer­halb Europas, beispiels­weise in Israel oder in den USA. Sie sind auf ein Jahr begrenzt. Dann durch­laufen Nutzer die Start­prozedur erneut. Deutsche Anbieter verkaufen ihre Zertifikate. Der Deutsche Sparkassen­verlag etwa verlangt 34,49 Euro für ein Zwei-Jahres-Zertifikat. Wir wünschen uns deutsche Anbieter, die es für Privatnutzer güns­tiger machen.

Tipp: Heben Sie abge­laufene Zertifikate auf. Das aktuelle kann frühere Mails nicht entschlüsseln.

Nix für Smartphone und Internetcafé

Zu unserem Erschre­cken fanden wir keine empfehlens­werte Lösung für Smartphones. Sicher­heits­tech­nisch sind PGP und S/MIME auf dem Stand der Technik, in der Hand­habung stecken sie aber noch in der digitalen Stein­zeit. Die Krux: Wie kommt der private Schlüssel vom Rechner auf das Smartphone? Vom Versand per Mail raten wir ab, denn der Schlüssel muss im Klar­text gesendet werden. Mitleser freuen sich. Sicherer, aber umständlicher klappt der Import zum Beispiel über iTunes, eine Speicherkarte oder das heimische WLan.

Komfortabel ist das nicht. Das gilt auch für den Alltag. Wir mussten Mails zwischen zwei Apps hin- und herkopieren, scheiterten häufig beim Entschlüsseln von Anhängen und erlebten App-Abstürze. Auch die Web-Mailer, also der Zugriff beispiels­weise auf GMX vom Internet­browser aus, enttäuschten. Der Zugriff über den Internet­browser ist auf Reisen wichtig, im Internetcafé. Die Rechner dort kennen nicht den eigenen privaten Schlüssel. Den oft gehörten Tipp, ihn zusammen mit einem Mail­programm wie Thunderbird Portable auf einem USB-Stick mitzunehmen, geben wir nicht. Da könnten Sie auch gleich einem Dieb den Wohnungs­schlüssel aushändigen: Fremde Rechner könnten ihn auslesen. Dieser USB-Stick hat immerhin Zugriff auf das Post­fach, er enthält die digitale Unter­schrift und den privaten Schlüssel.

PGP auf Partys lernen

Laien richten die Verschlüsselung eher auf ihrem Computer oder einem Notebook ein. Dafür wurden diese Verfahren entwickelt. Wissens­hung­rige finden unter www.gpg4win.org ein Kompendium. Es lässt keine Frage offen. Das Studium lohnt. Für sichere Mails mit mobilen Endgeräten brauchen aber fast alle Hilfe von Experten.

Kein Wunder, dass Nacht­schwärmer nicht mehr nur Techno-, sondern auch Crypto-Partys besuchen. Da helfen Über­zeugungs­täter im guten Sinne des Wortes. Sie richten die Geräte ihrer Gäste fix und fertig ein. Ein Vorbild haben sie: Edward Snowden soll den Enthüllungs­journalisten auch erst PGP beigebracht haben.

Dieser Artikel ist hilfreich. 23 Nutzer finden das hilfreich.