Nur die wenigsten Office-Worker denken an eine E-Mail-Verschlüsselung. Dabei gibt es längst benutzerfreundliche Möglichkeiten, um die elektronische Post zu schützen.
Bei der Verschlüsselung werden die Daten des Senders codiert und beim Empfänger wieder zum Klartext zusammengesetzt. Foto: DocRaid
Obwohl IT-Sicherheit für Unternehmen das Thema des Jahres ist, verschlüsseln gerade einmal 15 Prozent der Internetnutzer ihre E-Mails. Grafik: Bitkom
Anbieter wie DocRaid gestalten das Verschlüsseln von E-Mails benutzerfreundlicher. Foto: DocRaid
Laut der jährlichen Trendumfrage des Digitalverbandes Bitkom unter ITK-Unternehmen (Informations- und Telekommunikationstechnik) liegt die IT-Sicherheit – zu der auch die E-Mail-Verschlüsselung gehört – aktuell mit 59 Prozent der Nennungen an der Spitze der für wichtig eingeschätzten Technikthemen. Trotz dieser Gewichtung und der medialen Präsenz, etwa durch die NSA-Affäre, kommt der Einsatz von Verschlüsselungsverfahren für den Schutz von Daten aber nur langsam voran. Denn wie eine weitere Umfrage von Bitkom ergeben hat, verschlüsselten im vergangenen Jahr gerade einmal 15 Prozent der deutschen Internetnutzer ihre E-Mails. Nachdem 2013 mit dem Beginn der NSA-Affäre die Verschlüsselungsrate von sechs auf 14 Prozent zugenommen hatte, ist das Niveau kaum weiter gestiegen.
Fehlendes Wissen beim Thema E-Mail-Verschlüsselung
Die Verschlüsselung von E-Mails könnte sowohl im Privat- als auch im Businessbereich sehr gut vor dem Missbrauch sensibler Daten schützen. Die Anwendung wird jedoch häufig noch als zu kompliziert empfunden: Als Grund für den Verzicht auf Verschlüsselungssoftware geben laut Bitkom 64 Prozent der Befragten an, dass sie sich damit nicht auskennen. 59 Prozent sagen, dass ihre Kommunikationspartner keine Verschlüsselung einsetzen. Ein Viertel (26 Prozent) hält Verschlüsselung grundsätzlich für zu aufwendig. Dabei gibt es mittlerweile durchaus auch einfache Methoden der Verschlüsselung. Einige E-Mail-Anbieter bieten ihren Nutzern eine solche bereits selbst an. Und es finden sich detaillierte Schritt-für-Schritt-Anleitungen im Netz, für die lediglich ein Computer mit Internetverbindung, ein E-Mail-Konto und etwa eine halbe Stunde Zeit nötig ist.
Drei Dinge müssen verschlüsselt werden
Für eine effektive Absicherung der elektronischen Post müssen drei Dinge verschlüsselt werden: die Verbindung zum E-Mail-Anbieter, die E-Mail-Nachricht selbst sowie die gespeicherten Nachrichten. Bleibt Erstere unverschlüsselt, können Login-Daten gestohlen und alle Nachrichten eingesehen werden – eine Gefahr insbesondere bei Verbindungen über Arbeits- und öffentliche Netzwerke. Sobald die E-Mails den Server des Anbieters verlassen haben, sind diese zusätzlich angreifbar: Auf ihrem Weg durch das Web können sie abgefangen werden. Eine Verschlüsselung sorgt dafür, dass ihr Inhalt in einem solchen Fall unlesbar ist. Sobald E-Mails vom Empfänger gespeichert oder archiviert werden, öffnet dies ein neues Einfallstor für Datendiebe, die trotz Sicherheitsvorkehrungen wie einem passwortgeschütztem Betriebssystem leicht an diese Daten gelangen können. Auch hier garantiert die Verschlüsselung, dass der Inhalt unlesbar ist.
Wie Verschlüsselung funktioniert
Der Schutz von Firmen- und Privat-E-Mails vor unautorisierten Zugriffen und Manipulationen geschieht über die Umwandlung des Klartextes in einen Geheimtext beim Sender und der Entschlüsselung und Rückumwandlung beim Empfänger. Hierfür gibt es drei grundlegende Möglichkeiten. Beim symmetrischen Verschlüsselungsverfahren verwenden beide Teilnehmer denselben Schlüssel. Beim asymmetrischen wird mit unterschiedlichen Schlüsseln gearbeitet: einem öffentlichen, der den Klartext umwandelt, und einem geheimen, der ihn wieder entschlüsselt. Der öffentliche Schlüssel muss jedem zugänglich sein, der eine verschlüsselte Nachricht an den Besitzer des geheimen Schlüssels senden will. Als dritte Möglichkeit kommt die hybride Verschlüsselung als Kombination aus den ersten beiden Varianten infrage. Bei ihr wählt der Sender einen zufälligen symmetrischen Schlüssel, genannt Session-Key. Mit diesem werden die zu schützenden E-Mails symmetrisch verschlüsselt. Anschließend wird der Session-Key asymmetrisch mit dem öffentlichen Schlüssel des Empfängers verschlüsselt.
Vor- und Nachteile der Verfahren zur Verschlüsselung
Symmetrische Verschlüsselungsverfahren sind auch bei großen Datenmengen sehr schnell, haben allerdings das Problem, dass sich die Kommunikationspartner vor der Übermittlung der Nachricht auf einen geheimen Schlüssel einigen müssen. Dazu muss ein sicherer Kommunikationskanal benutzt werden, etwa ein Kurier. Asymmetrische Verschlüsselungsverfahren sind langsam und eignen sich nur für kleine Datenmengen, etwa den Textinhalt der E-Mail. Dafür lösen sie das Problem des Schlüsselaustauschs, weil zum Verschlüsseln nur der öffentliche Schlüssel gebraucht wird. Zur Übermittlung dieses Schlüssels reicht ein öffentlicher Kanal aus. Hybride Verfahren kombinieren die Vorteile der beiden anderen. Sie sind sehr schnell und eignen sich für große Datenmengen, weil die Daten mit dem symmetrischen Verfahren verschlüsselt werden. Das asymmetrische Verfahren wird dann für den Sitzungsschlüssel verwendet, deshalb muss vor dem Senden der Nachricht kein geheimer Schlüssel ausgetauscht werden, die Kenntnis des öffentlichen Schlüssels des Empfängers genügt für die Verschlüsselung.
Verschiedene Lösungen für eine Verschlüsselung
Die klassische E-Mail-Verschlüsselung erfolgt von Client zu Client (Ende-zu-Ende-Verschlüsselung). Allerdings hat diese den Nachteil, dass sie für viele Unternehmen zu komplex ist, da die entsprechenden IT-Infrastrukturen fehlen. Dann bieten sich serverbasierte Lösungen an, bei denen die Verschlüsselung nicht von Clients, sondern von Servern erledigt wird. Letztere besitzen meist einen größeren Funktionsumfang und haben zudem den Vorteil, dass Unternehmen sie zentral von professionellen IT-Administratoren einrichten und warten lassen können.
Benutzerfreundlichkeit wird erhöht
Der eingangs erwähnten Herausforderung, dass E-Mail-Verschlüsselung zu kompliziert und umständlich ist, tragen Anbieter immer mehr Rechnung, indem sie versuchen, die Benutzerfreundlichkeit zu erhöhen. Im März 2014 etwa initiierten Telekom, GMX und Web.de das Projekt E-Mail made in Germany. Dadurch wurde es möglich, den E-Mail-Versand zwischen ihnen und ihren Partnern verschlüsseln zu lassen. Aber auch andere E-Mail-Dienste wollen die Hürde der Umständlichkeit überbrücken. Neben großen Branchenplayern wie Google bieten mittlerweile viele Start-ups Lösungen für eine Ende-zu-Ende-Verschlüsselung an, mit denen nur Sender und Empfänger die E-Mails lesen können. Im Hinblick auf Datenschutzfragen sind sie meist deutlich ambitionierter als die der Branchenriesen.
Einige Anbieter für E-Mail-Verschlüsselungen
Bei Tutanota etwa müssen Nutzer keine persönlichen Daten angeben. Zudem läuft das E-Mail-Programm vollständig im Browser und benötigt daher keine Installation – sicheres Senden und Empfangen ist schon nach kurzer Anmeldung möglich.
Eine andere Möglichkeit stellt etwa ProtonMail dar, das von ehemaligen Mitarbeitern des Kernforschungszentrums Cern in Genf entwickelt wurde. Es bietet neben der mit geringem Aufwand verbundenen Verschlüsselung auch sich selbst löschende E-Mails.
Ein Anbieter serverbasierter Lösungen ist DocRAID. Dessen Plugin für Microsoft Outlook funktioniert mit jedem E-Mail-Provider und setzt auf der Empfängerseite keine zusätzliche Software voraus. Verschlüsselung von Anhängen oder ganzen Nachrichten, Abrufkontrolle, Ablaufdaten von E-Mails und Zugriffswarnungen gehören zum Funktionsumfang.
Und ab Mitte dieses Jahres bietet das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) einen Dienst zur „Volksverschlüsselung“ an, der durch besondere Laientauglichkeit punkten soll.
