E-Mails verschlüsseln: 3 Möglichkeiten zur E-Mail Verschlüsselung vorgestellt

André Bartsch

WhatsApp, Twitter & Co. zum Trotz verschickt ein Großteil aller Internetuser regelmäßig private und berufliche E-Mails. Was viele aber nicht wissen: E-Mails sind standardmäßig unverschlüsselt und können daher beim Transport oder durch den E-Mail-Anbieter selbst gegebenenfalls mitgelesen oder gar manipuliert werden. Zudem besteht die Gefahr, dass sich jemand in betrügerischer Absicht fälschlicherweise als Absender ausgibt. Somit stellen E-Mails ein größeres Sicherheitsrisiko dar, als vielen Menschen bewusst ist.

Wer solche Probleme grundsätzlich unterbinden möchte, setzt auf eine Ende-zu-Ende-Verschlüsselung (also eine Verschlüsselung vom Absender bis zum Empfänger). Wie auch Sie künftig sicher verschlüsselte E-Mails verschicken, erklären wir in diesem Artikel.

E-Mails mit S/MIME verschlüsseln

Ein Standardverfahren zur Verschlüsselung von E-Mails ist S/MIME (Secure/Multipurpose). Es handelt sich um ein bewährtes Verfahren, das bereits im Jahr 1999 eingeführt wurde.

Wie S/MIME funktioniert und was es bietet

S/MIME setzt auf ein sogenanntes asymmetrisches Verschlüsselungsverfahren. Dabei kommt immer ein Schlüsselpaar zum Einsatz: ein privater Schlüssel (Private Key) und ein öffentlicher (Public Key). 

  • Den Public Key teilen Sie mit allen Personen, denen Sie verschlüsselte E-Mails schicken. 
  • Der Private Key hingegen ist ausschließlich für Sie bestimmt und unter allen Umständen geheim zu halten
  • Ihre E-Mail-Kommunikationspartner haben jeweils auch einen Public und einen Private Key.

Wenn Sie einem Kontakt eine verschlüsselte Mail schicken, brauchen Sie dafür dessen öffentlichen Schlüssel. Die Nachricht kann ausschließlich von diesem Kontakt mithilfe seines privaten Schlüssels gelesen werden – von niemandem sonst.

Schickt Ihnen ein Kommunikationspartner eine Nachricht, dann erzeugt er aus Ihrem Public Key eine E-Mail, die wiederum nur Sie mit Ihrem Private Key entschlüsseln können.

Ein weiteres wichtiges Feature von S/MIME besteht darin, dass sich E-Mails digital signieren lassen. So wissen Empfänger verlässlich, dass die E-Mail tatsächlich von Ihnen stammt. Das bietet einen effektiven Schutz vor immer trickreicheren Phishing-Attacken. In unserem Artikel zum Thema Datenklau finden Sie weiterführende Informationen zu den verschiedenen Methoden des Datendiebstahls.

Datenklau: Was ist es und wie schütze ich mich?

Wenn Sie mit einer S/MIME-Verschlüsselung starten möchten, benötigen Sie einen E-Mail-Client wie Thunderbird, Outlook oder Apple Mail sowie ein S/MIME-Zertifikat. Letzteres erhalten Sie bei diversen Anbietern, wobei kostenfreie Angebote gelegentlich Zweifel an ihrer Seriosität aufkommen lassen. Zudem sind die Zertifikate in ihrer Funktionalität oft eingeschränkt oder besitzen nur eine kurze Laufzeit. Auf Nummer sicher gehen Sie, wenn Sie sich ein selbstsigniertes Zertifikat mit OpenSSL erstellen.

Alternativ können Sie ein kostenpflichtiges Zertifikat wie zum Beispiel von Sectigo erwerben, das für Privatanwender aktuell 16,99 $ pro Jahr kostet. Beachten Sie dabei aber, dass gekaufte Zertifikate ein potenzielles Sicherheitsrisiko darstellen, da sie nicht lokal auf Ihrem Rechner erzeugt wurden. 

Wenn Sie das S/MIME-Zertifikat auf ihrem Rechner vorliegen haben, dann doppelklicken Sie es. Anschließend können Sie es importieren.

S/MIME-Zertifikat in Thunderbird einbinden

Im Gegensatz zu den meisten anderen E-Mail-Clients wie beispielsweise Outlook verwaltet Thunderbird Zertifikate selbst. Starten Sie das Programm und klicken Sie im Menü auf Extras, dann auf Konten-Einstellungen und schließlich links auf Ende-zu-Ende-Verschlüsselung.

Links im Menü finden Sie den Punkt Ende-zu-Ende-Verschlüsselung.

Klicken Sie auf den Button S/MIME-Zertifikate verwalten. Es öffnet sich das Pop-up Zertifikatsverwaltung.

In der Zertifikatsverwaltung können Sie Zertifikate importieren.

Klicken Sie nun auf den Importieren-Button und wählen Sie die Zertifikatsdatei aus.

Wählen Sie die entsprechende Zertifikatsdatei aus.

Anschließend geben Sie das Passwort ein, das Sie zum Beispiel per SMS erhalten haben, und bestätigen mit OK.

Nun müssen Sie das Ganze noch mit einem Passwort bestätigen.

Wenn alles geklappt, wird das importierte Zertifikat angezeigt. Klicken Sie anschließend auf OK.

Sie haben das Zertifikat erfolgreich importiert.

Jetzt klicken Sie unter S-/MIME und Persönliches Zertifikat für digitale Unterschrift auf den Auswählen-Button. Da Ihr Zertifikat bereits angezeigt wird, müssen Sie nur mit OK bestätigen. Sie können Ihren E-Mails optional nun auch eine digitale Signatur hinzufügen. So kann der E-Mail-Empfänger überprüfen, ob die E-Mail tatsächlich von Ihnen stammt.

Anschließend fragt Thunderbird Sie, ob Sie auch ein Zertifikat einrichten für verschlüsselte E-Mails wollen, die Ihnen andere Personen schicken. Bestätigen Sie mit Ja und im folgenden Pop-up mit OK. Standardmäßig ist die Verschlüsselung in Thunderbird deaktiviert.

Sie können nun verschlüsselte E-Mails senden, signieren und auch empfangen, sofern die benötigten Zertifikate bei Sender und Empfänger vorhanden sind. Wenn Sie eine Mail verschicken wollen, klicken Sie auf den Button Sicherheit und wählen aus, ob die Nachricht verschlüsselt und signiert werden soll.

Sie können nun E-Mails mit Verschlüsselung senden

E-Mails mit PGP verschlüsseln

Eine weitere sichere Methode zur Verschlüsselung von E-Mails bietet PGP („Pretty Good Privacy“). Dabei handelt es sich wie bei S/MIME auch um eine asymmetrische Verschlüsselung, die auf Schlüsselpaare setzt, die jeweils aus einem Private und einem Public Key bestehen.

Um einander E-Mails zu senden, schicken Sie Ihren öffentlichen Schlüssel und Ihre Signatur an die Empfänger Ihrer vertraulichen E-Mails und umgekehrt. Der private Schlüssel, der selbstverständlich absolut vertraulich ist, wird schließlich zur Entschlüsselung von eingehenden E-Mails und zur Verifikation von Identitäten verwendet.

Der öffentliche Schlüssel des Nachrichtenempfängers ist Voraussetzung für die Verschlüsselung der Nachricht. Dasselbe gilt für eingehende E-Mails: Ihre Gegenseite benötigt Ihren Public Key, um eine E-Mail zu verschlüsseln.

PGP downloaden und installieren

Sie können PGP von verschiedenen Anbietern beziehen. Open PGP ist kostenlos und weit verbreitet. Wenn Sie Outlook verwenden, dann integrieren Sie OpenPGP, indem Sie das kostenfreie Gpg4Win downloaden, damit ein Schlüsselpaar erzeugen und in Outlook importieren.

Thunderbird-Nutzer unterstützt seit Version 78 OpenPGP standardmäßig. Öffnen Sie das Programm und wechseln Sie in die Konten-Einstellungen. Klicken Sie links auf Ende-zu-Ende-Verschlüsselung und anschließend auf Schlüssel hinzufügen.

Auch PGP können Sie in den Konten-Einstellungen von Thunderbird in wenigen Schritten einrichten.

Sie können entweder ein bereits bestehendes Schlüsselpaar hinzufügen oder ein neues generieren. Wenn Sie ein neues Paar brauchen, wählen Sie entsprechend Neuen OpenPGP-Schlüssel erzeugen aus und klicken auf Weiter.

Sie können einen neuen Schlüssel erzeugen oder einen bestehenden Schlüssel hinzufügen.

Anschließend bestimmen Sie das Ablaufdatum des neu erzeugten Schlüssels (falls erwünscht). Klicken Sie auf den blauen Button Schlüssel erzeugen.

Sie können, müssen aber kein Ablaufdatum hinzufügen.

Mit Bestätigen starten Sie den Prozess.

Die Generierung Ihres Schlüssels kann ein paar Minuten dauern.

Anschließend ist OpenPGP eingerichtet.

Die Einrichtung ist nun komplett und Sie können OpenPGP verwenden.

Ein Private-Key-Backup erstellen

Wenn Sie eine Sicherungskopie erstellen, behalten Sie immer Zugriff auf Ihre verschlüsselten Mails, selbst wenn Ihr Rechner defekt ist oder gestohlen wurde.

Wählen Sie dafür Ihren OpenPGP-Schlüssel aus und klicken Sie auf den Chevron ganz rechts, der aus den beiden gewinkelten Strichen besteht. So klappen Sie die Schlüsselinformationen aus. Klicken Sie dann auf Mehr und anschließend auf Sicherheitskopie für geheimen Schlüssel erstellen.

Erstellen Sie eine Sicherheitskopie, damit nichts Wichtiges verloren geht.

Speichern Sie jetzt die Datei mit der asc-Endung, am besten auf einem externen Speichermedium.

OpenPGP in Thunderbird: Public Keys versenden und importieren

Um Ihren Public Key an Ihre Kontakte zu verschicken, klicken Sie in den Schlüsseleigenschaften wieder auf Mehr und dann auf Öffentlichen Schlüssel per E-Mail senden. Es öffnet sich eine E-Mail, an der die asc-Datei angehängt wurde. Sie müssen nur noch den Nachrichtenempfänger eingeben und die E-Mail absenden.

Wenn Sie hingegen einen Public Key per Mail erhalten, dann klicken Sie mit der rechten Maustaste auf den asc-Anhang und wählen OpenPGP-Schlüssel importieren aus. Thunderbird fragt Sie nun, ob Sie den Schlüssel importieren wollen. Wenn ja, dann klicken Sie auf Akzeptiert (nicht verifiziert).

Sie können einen per E-Mail erhaltenen Public Key in Thunderbird importieren.

Eine Erfolgsmeldung beendet den Vorgang.

Der Public Key wurde erfolgreich importiert.

E-Mails mit OpenPGP in Thunderbird verschlüsseln und signieren

Klicken Sie in Thunderbird auf Verfassen, um eine neue E-Mail anzulegen. Wenn Sie die Nachricht verschlüsseln und gegebenenfalls signieren wollen, dann klicken Sie auf den Button Sicherheit mit dem Schloss-Symbol.

Sie können E-Mails nun mit OpenPGP verschlüsseln.

Wählen Sie Nur mit Verschlüsselung senden und optional Nachricht unterschreiben oder Meinen öffentlichen Schlüssel anhängen aus. Anschließend Senden Sie die Nachricht.

Sie sollten noch verifizieren, ob ein eingegangener Public Key tatsächlich vom angegebenen Absender stammt. Klicken Sie dazu ganz rechts auf das OpenPGP-Symbol und anschließend auf Schlüssel der digitalen Unterschrift anzeigen.

Prüfen Sie, ob ein eingegangener Public Key wirklich vom richtigen Absender kommt.

Alternative: Spezialisierten E-Mail-Provider verwenden

Tutanota und ProtonMail sind E-Mail-Dienste, die die Nachrichtenverschlüsselung für Kunden vereinfachen wollen, ohne dass es dabei zu Abstrichen bei der Sicherheit kommt. Bei beiden Anbietern wird der Private Key des Benutzers auf den jeweiligen Servern verschlüsselt gespeichert. Nutzer können diese Keys mit einem Passwort wieder entsperren.

ProtonMail setzt dabei auf OpenPGP, Tutanota hingegen verwendet ein symmetrisches AES 128-Verschlüsselungsverfahren und eine asymmetrische AES 128/RSA 2048-Verschlüsselung. Das hat im Vergleich zu PGP den Vorteil, dass nicht nur Inhalte und Anhänge von E-Mails verschlüsselt werden, sondern auch die Betreffzeile, der Absender-Name und die Namen der Empfänger.

Sowohl Tutanota als auch ProtonMail bieten Privatkunden kostenlose Accounts mit Basisfunktionen an. Wer mehr Leistungen und Speicherplatz benötigt, entscheidet sich für einen kostenpflichtigen Account.

Beide Anbieter haben sowohl Vor- als auch Nachteile gegenüber PGP und S/MIME:

Die E-Mail-Verschlüsselung bei Tutanota und ProtonMail funktioniert im Gegensatz zu PGP und S/MIME sehr gut auf Mobilgeräten.

Tutanota- und ProtonMail-Kunden können verschlüsselte Nachrichten auch an Empfänger verschicken, die keinen der Anbieter nutzen.

Kunden ersetzen ein Stück weit Sicherheit durch Bequemlichkeit. Sie müssen den Anbietern vertrauen, dass sie die Passwörter für die Private Keys der Kunden nicht doch speichern und E-Mails ausspionieren. Der Quellcode der beiden Dienste ist jedoch Open Source und kann daher von jedem eingesehen werden, was das Betrugsrisiko reduziert.

Unbestreitbar ist jedoch: Mit beiden Anbietern ist die Sicherheit wesentlich höher, als wenn Sie ganz auf Verschlüsselung verzichten. Im nächsten Abschnitt schauen wir uns daher anhand von ProtonMail an, wie die E-Mail-Verschlüsselung konkret funktioniert.

Was mit ProtonMail möglich ist

Zunächst müssen Sie sich beim Anbieter registrieren. Nach Ihrem ersten Login begleitet Sie ein Assistent durch die wichtigsten Einrichtungsschritte.

Grob gesagt können Sie mit ProtonMail vier Dinge tun:

  • unverschlüsselte E-Mails verschicken
  • verschlüsselte E-Mails an andere ProtonMail-Nutzer schicken
  • verschlüsselte E-Mails an Empfänger senden, die weder Kunden von ProtonMail sind, noch PGP verwenden. 
  • mit OpenPGP verschlüsselte E-Mails senden und empfangen

Unverschlüsselte E-Mails verschicken

Wenn Sie eine unverschlüsselte E-Mail schicken wollen, klicken Sie auf den blauen Button Neue Nachricht. Schreiben Sie Ihre Nachricht und verschicken Sie sie via Senden. Zu beachten ist, dass mit ProtonMail gesendete Nachrichten an Nicht-ProtonMail-Kunden ein Verfallsdatum haben. Bei nicht-verschlüsselten Nachrichten liegt jenes bei sieben Tagen, Sie können diese Frist jedoch auch verändern. Klicken Sie dazu auf das Sanduhr-Symbol (rot markiert im Bild).

Sie können das Verfallsdatum Ihrer verschlüsselten E-Mails selbst festlegen.

E-Mails für Empfänger ohne ProtonMail-Konto verschlüsseln

Wenn Sie eine verschlüsselte Nachricht an Nicht-ProtonMail-Kunden senden, dann klicken Sie im Nachrichtenfenster auf das Schloss-Symbol (grün markiert im Bild oben). Es öffnet sich das Pop-up Für Nutzer ohne ProtonMail-Konto verschlüsseln. Geben Sie ein Passwort ein, bestätigen Sie es und ergänzen Sie optional einen Passworthinweis. Klicken Sie auf Festlegen und anschließend auf Senden.

Sie können auch an Empfänger ohne ProtonMail-Konto verschlüsselte E-Mails schicken.

Empfänger können diese Nachricht lesen, indem Sie auf den blauenView Message-Button klicken.

So sieht die Nachricht aus, die Empfänger ohne ProtonMail-Konto erhalten.

Der Webbrowser öffnet sich und der Empfänger wird zur Passworteingabe aufgefordert.

Nun müssen Empfänger nur noch das richtige Passwort eingeben.

Nach korrekter Eingabe wird die E-Mail entschlüsselt.

Die E-Mail ist nun entschlüsselt.

Verschlüsselte E-Mails an andere ProtonMail-Nutzer schicken

E-Mails an andere ProtonMail-Nutzer sind automatisch verschlüsselt. Nachrichten werden den Empfängern automatisch wieder entschlüsselt, sind also sofort lesbar.

Mit OpenPGP verschlüsselte E-Mails senden und empfangen

Um eine PGP-verschlüsselte Nachricht an einen anderen (Nicht-ProtonMail-)PGP Nutzer zu schicken, klicken Sie auf Neue Nachricht und anschließend auf den Chevron ganz rechts auf der Leiste mit den Formatierungssymbolen. Wählen Sie Öffentlichen Schlüssel anhängen aus. So teilen Sie Ihren Public Key mit den Empfängern Ihrer Nachricht.

Sie müssen Ihren Public Key anhängen, damit Ihre Empfänger Zugriff darauf haben.

Wenn Ihnen jemand seinen Public Key schickt, klicken Sie in der E-Mail auf Schlüssel vertrauen. Nun fragt Sie ein Pop-up, ob Sie diesen Key als vertrauenswürdig erachten. Wenn ja, dann klicken Sie auf Schlüssel vertrauen.

Klicken Sie nur auf Schlüssel vertrauen, wenn Sie sich sicher sind.

Dass Sie eine E-Mail an einen Kontakt senden, dessen Public Key Sie importiert haben, erkennen Sie an dem grünen Schloss in der Empfängerzeile.

Das grüne Schloss gibt an, dass Sie den Public Key des Empfängers besitzen.

Jetzt wird die E-Mail mit PGP verschlüsselt. Wenn Sie alle ausgehenden Mails automatisch verschlüsseln wollen, klicken Sie oben rechts auf die Schaltfläche Einstellungen, dann auf Zu den Einstellungen und schließlich im Menü links auf Verschlüsselung und Schlüssel.

Fazit

In diesem Artikel haben wir Ihnen einige Methoden vorgestellt, mit denen Sie Ihre E-Mails vor allzu neugierigen Blicken schützen können. Doch sollte wirklich jeder seine E-Mails verschlüsseln oder ist das übertrieben? Letztlich geht es bei der E-Mail-Verschlüsselung um den Schutz Ihrer persönlichen Daten. E-Mails mit sensiblen Informationen sollten Sie daher unbedingt verschlüsseln, damit Sie keine Probleme bekommen. Falls Sie nur harmlose Inhalte verschicken, dann ist eine Verschlüsselung nicht nötig.

Wenn Sie ein sehr hohes Sicherheitsbedürfnis haben, dann setzen Sie auf das PGP- oder S/MIME-Verfahren. Falls Ihr Fokus auf einem sicheren und im Alltag leicht anzuwendenden Verschlüsselungsverfahren liegt, dann sind Sie mit ProtonMail gut bedient.

Autor: André Bartsch
André Bartsch ist Germanist und zertifizierter Technischer Redakteur. Er hat 12 Jahre in der IT in den Bereichen Spracherkennung und Geschäftsprozess-Software gearbeitet. Seit 2020 ist er als Autor, Werbetexter/Copywriter und Lektor selbstständig. Seine Schwerpunkte sind Software, Internet und Online-Marketing.