Nur die wenigs­ten Office-Worker den­ken an eine E-Mail-Ver­schlüs­se­lung. Dabei gibt es längst benut­zer­freund­li­che Mög­lich­kei­ten, um die elek­tro­ni­sche Post zu schüt­zen.

Bei der Verschlüsselung werden die Daten des Senders codiert und beim Empfänger wieder zum Klartext zusammengesetzt. Foto: DocRaid

Bei der Ver­schlüs­se­lung wer­den die Daten des Sen­ders codiert und beim Emp­fän­ger wie­der zum Klar­text zusam­men­ge­setzt. Foto: DocRaid

E-Mail-Verschlüsselung: Obwohl IT-Sicherheit für Unternehmen das Thema des Jahres ist, verschlüsseln gerade einmal 15 Prozent der Internetnutzer ihre E-Mails. Grafik: Bitkom

Obwohl IT-Sicher­heit für Unter­neh­men das The­ma des Jah­res ist, ver­schlüs­seln gera­de ein­mal 15 Pro­zent der Inter­net­nut­zer ihre E-Mails. Gra­fik: Bit­kom

Anbieter wie DocRaid gestalten das Verschlüsseln von E-Mails benutzerfreundlicher. Foto: DocRaid

Anbie­ter wie DocRaid gestal­ten das Ver­schlüs­seln von E-Mails benut­zer­freund­li­cher. Foto: DocRaid

Laut der jähr­li­chen Tren­dum­fra­ge des Digi­tal­ver­ban­des Bit­kom unter ITK-Unter­neh­men (Infor­ma­ti­ons- und Tele­kom­mu­ni­ka­ti­ons­tech­nik) liegt die IT-Sicher­heit – zu der auch die E-Mail-Ver­schlüs­se­lung gehört – aktu­ell mit 59 Pro­zent der Nen­nun­gen an der Spit­ze der für wich­tig ein­ge­schätz­ten Tech­nik­the­men. Trotz die­ser Gewich­tung und der media­len Prä­senz, etwa durch die NSA-Affä­re, kommt der Ein­satz von Ver­schlüs­se­lungs­ver­fah­ren für den Schutz von Daten aber nur lang­sam vor­an. Denn wie eine wei­te­re Umfra­ge von Bit­kom erge­ben hat, ver­schlüs­sel­ten im ver­gan­ge­nen Jahr gera­de ein­mal 15 Pro­zent der deut­schen Inter­net­nut­zer ihre E-Mails. Nach­dem 2013 mit dem Beginn der NSA-Affä­re die Ver­schlüs­se­lungs­ra­te von sechs auf 14 Pro­zent zuge­nom­men hat­te, ist das Niveau kaum wei­ter gestie­gen.

Fehlendes Wissen beim Thema E-Mail-Verschlüsselung

Die Ver­schlüs­se­lung von E-Mails könn­te sowohl im Pri­vat- als auch im Busi­ness­be­reich sehr gut vor dem Miss­brauch sen­si­bler Daten schüt­zen. Die Anwen­dung wird jedoch häu­fig noch als zu kom­pli­ziert emp­fun­den: Als Grund für den Ver­zicht auf Ver­schlüs­se­lungs­soft­ware geben laut Bit­kom 64 Pro­zent der Befrag­ten an, dass sie sich damit nicht aus­ken­nen. 59 Pro­zent sagen, dass ihre Kom­mu­ni­ka­ti­ons­part­ner kei­ne Ver­schlüs­se­lung ein­set­zen. Ein Vier­tel (26 Pro­zent) hält Ver­schlüs­se­lung grund­sätz­lich für zu auf­wen­dig. Dabei gibt es mitt­ler­wei­le durch­aus auch ein­fa­che Metho­den der Ver­schlüs­se­lung. Eini­ge E-Mail-Anbie­ter bie­ten ihren Nut­zern eine sol­che bereits selbst an. Und es fin­den sich detail­lier­te Schritt-für-Schritt-Anlei­tun­gen im Netz, für die ledig­lich ein Com­pu­ter mit Inter­net­ver­bin­dung, ein E-Mail-Kon­to und etwa eine hal­be Stun­de Zeit nötig ist.

Drei Dinge müssen verschlüsselt werden

Für eine effek­ti­ve Absi­che­rung der elek­tro­ni­schen Post müs­sen drei Din­ge ver­schlüs­selt wer­den: die Ver­bin­dung zum E-Mail-Anbie­ter, die E-Mail-Nach­richt selbst sowie die gespei­cher­ten Nach­rich­ten. Bleibt Ers­te­re unver­schlüs­selt, kön­nen Log­in-Daten gestoh­len und alle Nach­rich­ten ein­ge­se­hen wer­den – eine Gefahr ins­be­son­de­re bei Ver­bin­dun­gen über Arbeits- und öffent­li­che Netz­wer­ke. Sobald die E-Mails den Ser­ver des Anbie­ters ver­las­sen haben, sind die­se zusätz­lich angreif­bar: Auf ihrem Weg durch das Web kön­nen sie abge­fan­gen wer­den. Eine Ver­schlüs­se­lung sorgt dafür, dass ihr Inhalt in einem sol­chen Fall unles­bar ist. Sobald E-Mails vom Emp­fän­ger gespei­chert oder archi­viert wer­den, öff­net dies ein neu­es Ein­falls­tor für Daten­die­be, die trotz Sicher­heits­vor­keh­run­gen wie einem pass­wort­ge­schütz­tem Betriebs­sys­tem leicht an die­se Daten gelan­gen kön­nen. Auch hier garan­tiert die Ver­schlüs­se­lung, dass der Inhalt unles­bar ist.

Wie Verschlüsselung funktioniert

Der Schutz von Fir­men- und Pri­vat-E-Mails vor unau­to­ri­sier­ten Zugrif­fen und Mani­pu­la­tio­nen geschieht über die Umwand­lung des Klar­tex­tes in einen Geheim­text beim Sen­der und der Ent­schlüs­se­lung und Rück­um­wand­lung beim Emp­fän­ger. Hier­für gibt es drei grund­le­gen­de Mög­lich­kei­ten. Beim sym­me­tri­schen Ver­schlüs­se­lungs­ver­fah­ren ver­wen­den bei­de Teil­neh­mer den­sel­ben Schlüs­sel. Beim asym­me­tri­schen wird mit unter­schied­li­chen Schlüs­seln gear­bei­tet: einem öffent­li­chen, der den Klar­text umwan­delt, und einem gehei­men, der ihn wie­der ent­schlüs­selt. Der öffent­li­che Schlüs­sel muss jedem zugäng­lich sein, der eine ver­schlüs­sel­te Nach­richt an den Besit­zer des gehei­men Schlüs­sels sen­den will. Als drit­te Mög­lich­keit kommt die hybri­de Ver­schlüs­se­lung als Kom­bi­na­ti­on aus den ers­ten bei­den Vari­an­ten infra­ge. Bei ihr wählt der Sen­der einen zufäl­li­gen sym­me­tri­schen Schlüs­sel, genannt Ses­si­on-Key. Mit die­sem wer­den die zu schüt­zen­den E-Mails sym­me­trisch ver­schlüs­selt. Anschlie­ßend wird der Ses­si­on-Key asym­me­trisch mit dem öffent­li­chen Schlüs­sel des Emp­fän­gers ver­schlüs­selt.

Vor- und Nachteile der Verfahren zur Verschlüsselung

Sym­me­tri­sche Ver­schlüs­se­lungs­ver­fah­ren sind auch bei gro­ßen Daten­men­gen sehr schnell, haben aller­dings das Pro­blem, dass sich die Kom­mu­ni­ka­ti­ons­part­ner vor der Über­mitt­lung der Nach­richt auf einen gehei­men Schlüs­sel eini­gen müs­sen. Dazu muss ein siche­rer Kom­mu­ni­ka­ti­ons­ka­nal benutzt wer­den, etwa ein Kurier. Asym­me­tri­sche Ver­schlüs­se­lungs­ver­fah­ren sind lang­sam und eig­nen sich nur für klei­ne Daten­men­gen, etwa den Text­in­halt der E-Mail. Dafür lösen sie das Pro­blem des Schlüs­sel­aus­tauschs, weil zum Ver­schlüs­seln nur der öffent­li­che Schlüs­sel gebraucht wird. Zur Über­mitt­lung die­ses Schlüs­sels reicht ein öffent­li­cher Kanal aus. Hybri­de Ver­fah­ren kom­bi­nie­ren die Vor­tei­le der bei­den ande­ren. Sie sind sehr schnell und eig­nen sich für gro­ße Daten­men­gen, weil die Daten mit dem sym­me­tri­schen Ver­fah­ren ver­schlüs­selt wer­den. Das asym­me­tri­sche Ver­fah­ren wird dann für den Sit­zungs­schlüs­sel ver­wen­det, des­halb muss vor dem Sen­den der Nach­richt kein gehei­mer Schlüs­sel aus­ge­tauscht wer­den, die Kennt­nis des öffent­li­chen Schlüs­sels des Emp­fän­gers genügt für die Ver­schlüs­se­lung.

Verschiedene Lösungen für eine Verschlüsselung

Die klas­si­sche E-Mail-Ver­schlüs­se­lung erfolgt von Cli­ent zu Cli­ent (Ende-zu-Ende-Ver­schlüs­se­lung). Aller­dings hat die­se den Nach­teil, dass sie für vie­le Unter­neh­men zu kom­plex ist, da die ent­spre­chen­den IT-Infra­struk­tu­ren feh­len. Dann bie­ten sich ser­ver­ba­sier­te Lösun­gen an, bei denen die Ver­schlüs­se­lung nicht von Cli­ents, son­dern von Ser­vern erle­digt wird. Letz­te­re besit­zen meist einen grö­ße­ren Funk­ti­ons­um­fang und haben zudem den Vor­teil, dass Unter­neh­men sie zen­tral von pro­fes­sio­nel­len IT-Admi­nis­tra­to­ren ein­rich­ten und war­ten las­sen kön­nen.

Benutzerfreundlichkeit wird erhöht

Der ein­gangs erwähn­ten Her­aus­for­de­rung, dass E-Mail-Ver­schlüs­se­lung zu kom­pli­ziert und umständ­lich ist, tra­gen Anbie­ter immer mehr Rech­nung, indem sie ver­su­chen, die Benut­zer­freund­lich­keit zu erhö­hen. Im März 2014 etwa initi­ier­ten Tele­kom, GMX und Web.de das Pro­jekt E-Mail made in Ger­ma­ny. Dadurch wur­de es mög­lich, den E-Mail-Ver­sand zwi­schen ihnen und ihren Part­nern ver­schlüs­seln zu las­sen. Aber auch ande­re E-Mail-Diens­te wol­len die Hür­de der Umständ­lich­keit über­brü­cken. Neben gro­ßen Bran­chen­play­ern wie Goog­le bie­ten mitt­ler­wei­le vie­le Start-ups Lösun­gen für eine Ende-zu-Ende-Ver­schlüs­se­lung an, mit denen nur Sen­der und Emp­fän­ger die E-Mails lesen kön­nen. Im Hin­blick auf Daten­schutz­fra­gen sind sie meist deut­lich ambi­tio­nier­ter als die der Bran­chen­rie­sen.

Einige Anbieter für E-Mail-Verschlüsselungen

Bei Tuta­no­ta etwa müs­sen Nut­zer kei­ne per­sön­li­chen Daten ange­ben. Zudem läuft das E-Mail-Pro­gramm voll­stän­dig im Brow­ser und benö­tigt daher kei­ne Instal­la­ti­on – siche­res Sen­den und Emp­fan­gen ist schon nach kur­zer Anmel­dung mög­lich.

Eine ande­re Mög­lich­keit stellt etwa Pro­ton­Mail dar, das von ehe­ma­li­gen Mit­ar­bei­tern des Kern­for­schungs­zen­trums Cern in Genf ent­wi­ckelt wur­de. Es bie­tet neben der mit gerin­gem Auf­wand ver­bun­de­nen Ver­schlüs­se­lung auch sich selbst löschen­de E-Mails.

Ein Anbie­ter ser­ver­ba­sier­ter Lösun­gen ist DocRAID. Des­sen Plugin für Micro­soft Out­look funk­tio­niert mit jedem E-Mail-Pro­vi­der und setzt auf der Emp­fän­ger­sei­te kei­ne zusätz­li­che Soft­ware vor­aus. Ver­schlüs­se­lung von Anhän­gen oder gan­zen Nach­rich­ten, Abruf­kon­trol­le, Ablauf­da­ten von E-Mails und Zugriffs­war­nun­gen gehö­ren zum Funk­ti­ons­um­fang.

Und ab Mit­te die­ses Jah­res bie­tet das Fraun­ho­fer-Insti­tut für Siche­re Infor­ma­ti­ons­tech­no­lo­gie (SIT) einen Dienst zur „Volks­ver­schlüs­se­lung“ an, der durch beson­de­re Lai­en­taug­lich­keit punk­ten soll.