E-Mail-Verschlüsselung kompakt und verständlich

Infografik - E-Mail-Verschlüsselung

E-Mails werden auf ihrem Weg durch das Internet von Server zu Server geschickt und dabei zwischengespeichert. Sind sie unverschlüsselt, können sie auf jedem Server von Angreifern mitgelesen werden. E-Mails können aber auch auf ihrem Weg von einem Server zu einem anderen von Kriminellen abgefangen und ihr Inhalt verfälscht werden. Weder Sender noch Empfänger bekommen davon etwas mit.

E-Mails mit sensiblen Informationen sollten deshalb verschlüsselt werden. Bei der Verschlüsselung wird eine lesbare Information (Klartext) in ihr unleserliches Pendant (Geheimtext) umgewandelt. Nur mit Hilfe eines passenden Schlüssels kann der Geheimtext wieder lesbar gemacht werden.

1. Warum überhaupt Verschlüsseln?

Jeder kann unverschlüsselte E-Mails mitlesen. Das kann nicht nur der E-Mail-Anbieter sein, der E-Mails für personalisierte Werbung auswertet. Auch Geheimdienste, Polizei und Kriminelle interessieren sich für unsere Daten, ganz gleich ob privater oder geschäftlicher Natur. Spätestens seit dem NSA-Skandal im Sommer 2013 ist klar, wie flächendeckend im Internet abgehört und ausgewertet wird.

1.1. Verschlüsselung bietet Vertraulichkeit und Schutz

Die verschlüsselte Kommunikation verhindert das Mitlesen durch unbefugte Dritte und gewährleistet damit Vertraulichkeit. Sie schützt aber auch Daten, ganz gleich ob es Text-, Video-, Bild- oder Sprachnachrichten sind, vor Kriminellen, vor Wettbewerbern oder Datensammlern. Verschlüsselte E-Mails sind auch für den eigenen Arbeitgeber oder die Kollegen aus der IT-Abteilung nicht einfach einsehbar. Und: Verschlüsselung schützt auch, wenn doch einmal ein Malheur passiert und eine E-Mail versehentlich an einen falschen Empfänger versendet wird.

1.2. Das Risiko unverschlüsselter Daten: Finanzieller Schaden, Imageverlust, juristische Folgen

Sind Betriebs- und Geschäftsgeheimnisse erst einmal offenbart oder personenbezogene Informationen abgefangen und kopiert worden, ist die Höhe des finanziellen Schadens und der erlittene Imageverlust für ein Unternehmen kaum absehbar, wenn nicht gar existenzbedrohend. Nicht zu unterschätzen sind auch die drohenden privat- und strafrechtlichen Maßnahmen: Verletzte Geheimhaltungspflichten und Persönlichkeitsrechte können mit Schadenersatzforderungen, Bußgeldern, Disziplinarmaßnahmen und schlimmstenfalls sogar mit Gefängnisstrafen einhergehen.

Datenspionage: Mit Verschlüsselung gegen Überwachung

1.3. Der Abhörskandal: Die NSA-Affäre

Aber es geht noch um viel mehr: Auch Regierungen und Geheimdienste spionieren, hacken und überwachen die elektronische Kommunikation. Die Enthüllung Edward Snowdens eines weltweiten Netzes von Spionagesystemen im Jahr 2013 zeigt, dass der amerikanische und britische Geheimdienst jede Form elektronischer Kommunikation überwachen will. Die Spähprogramme PRISM und Tempora zapfen Glasfaserkabel und Router an, speichern und analysieren Telefongespräche, Chats und E-Mails von Millionen – Privatpersonen wie Unternehmen gleichermaßen. Dabei spionieren die NSA und die GCHQ auch gezielt Unternehmen und Spitzenpolitiker aus. Es geht also nicht nur um die Terrorbekämpfung, wie man die Öffentlichkeit zunächst glauben machen wollte, sondern auch um politische und wirtschaftliche Interessen.

Wenn Unternehmen ihre vertrauliche Firmenkommunikation vor eben diesen Abhörprogrammen geheim halten wollen, geht das nur über den Einsatz von E-Mail-Verschlüsselung. Denn nur mit einer effektiven Verschlüsselung können sie sicherstellen, dass ihre sensible E-Mail-Kommunikation auch vertraulich bleibt.

2. Grundlagen der Verschlüsselung

2.1. So alt wie die Menschheit selbst

Verschlüsselung ist so alt wie die Menschheit selbst. Es geht dabei – früher wie heute – darum, dass eine Mitteilung von A nach B übertragen werden soll, ohne dass ein Dritter ihren Inhalt versteht, selbst wenn er ihn zu Gesicht bekommt.

Zur Verschlüsselung benötigt man eine Rechenvorschrift, den Algorithmus. Ergänzt wird er durch eine für jeden Verschlüsselungsvorgang detaillierte "Arbeitsanweisung" – den Schlüssel. Die Qualität des Algorithmus und die Anzahl der Möglichkeiten (Schlüssellänge) entscheidet dabei, wie leicht die Nachricht zu knacken ist.

Eine alte Verschlüsselungsmethode ist die Rotationsverschlüsselung, z.B. ROT13 – für Rotation 13. Sie basiert auf einem einfachen Algorithmus, der leicht zu knacken ist. Bei dieser Methode wird jeder Buchstabe im Alphabet um 13 Stellen nach links oder rechts verschoben. Aus A wird so ein N. Auf diese Weise lässt sich jedes einzelne Wort verschlüsseln.

2.2. Drei Verschlüsselungsverfahren

Um Informationen zu verschlüsseln, gibt es drei Verfahren. Dabei werden alle verständlichen Informationen mithilfe eines oder mehrerer Schlüssel in eine nicht interpretierbare Zeichenfolge übersetzt.

  1. Symmetrische Verschlüsselung

    Es ist die älteste Methode Informationen zu verschlüsseln. Absender und Empfänger benutzen denselben Schlüssel zum Ver- und Entschlüsseln. Genau hier liegt auch der Nachteil dieses Verfahrens: Der Schlüssel muss zunächst auf einem sicheren Übertragungsweg ausgetauscht und für jeden Kommunikationspartner ein eigener Schlüssel erstellt werden.

  2. Asymmetrische Verschlüsselung (Public-Key-Verschlüsselung)

    Seit Anfang der 80er Jahre des letzten Jahrhunderts ist es möglich, mit zwei Schlüsseln zu arbeiten. Ein Schlüssel – der Public Key oder öffentliche Schlüssel – dient zum Verschlüsseln von Nachrichten. Er kann beliebig verbreitet werden und jedem frei zugänglich sein. Der zweite Schlüssel – der Private Key oder geheime Schlüssel – dient nur zum Entschlüsseln von Informationen. Er liegt in der Obhut des Empfängers und ist in der Regel passwortgeschützt. Der Nachteil dieser Verschlüsselung: Sie ist deutlich langsamer als die symmetrische Verschlüsselung und benötigt sehr hohe Schlüssellängen.

  3. Hybride Verschlüsselung

    Dieses Verschlüsselungsverfahren kombiniert die Vorteile der symmetrischen (Geschwindigkeit) und asymmetrischen (Sicherheit) Verschlüsselung. Der Absender einer Nachricht erzeugt für die Datenübertragung einen sogenannten Session Key. Diesen Session Key verschlüsselt er mit dem Public Key des Empfängers. Sobald der Kommunikationspartner die verschlüsselte Nachricht erhält, entschlüsselt dieser den Session Key mit seinem Private Key. Die Datenübertragung zwischen Absender und Empfänger wird mit dem symmetrischen Session Key ver- und entschlüsselt.

3. Eine E-Mail wird verschlüsselt

3.1. Transportverschlüsselung oder SSL/ TSL Verschlüsselung

E-Mails werden in Form von Datenpaketen im Internet transportiert. Wird die E-Mail dabei im Klartext übertragen, kann sie auf dem gesamten Transportweg mitgelesen werden – es sei denn, die Mailserver von Sender und Empfänger kommunizieren über das sogenannte Transport Layer Security-Protokoll.

TLS ist die serverseitige Verschlüsselung des Datenaustausches auf Transportebene und die häufigste Methode, Kommunikation im Internet zu verschlüsseln. Konkret bedeutet dies, dass die Verbindung zwischen zwei Servern zum Zeitpunkt der Übertragung verschlüsselt ist.

TLS kombiniert das symmetrische Verschlüsselungsverfahren, bei dem Sender und Empfänger einen gemeinsamen, geheimen Schlüssel verwenden, mit asymmetrischen Algorithmen. TLS garantiert also eine abgesicherte und zuverlässige Datenübertragung zwischen Kommunikationspartnern. Der Nachteil: Auf jedem jeweiligen Server liegt die E-Mail dann wieder unverschlüsselt vor. Technisch gut ausgerüstete Hacker können den Austausch der Schlüssel unterwandern und den beteiligten Systemen die Schlüssel des Angreifers unterschieben. Diese Manipulation nennt man Man-in-the-Middle-Attacke.

Eine End-to-End-Verschlüsselung dagegen verschlüsselt zusätzlich die Inhalte einer E-Mail gegen unbefugte Zugriffe.

3.2. End-to-End-Verschlüsselung

Um eine sichere E-Mail-Kommunikation zu gewährleisten, stehen verschiedene Verschlüsselungsmöglichkeiten zur Verfügung. Zu den bekanntesten Verfahren zählen hier die hybriden Kryptosysteme PGP (Pretty Good Privacy) und S/MIME (Secure / Multipurpose Internet Mail Extensions).

Bei PGP/GPG und S/MIME besitzt eine Person einen eigenen Schlüssel, der auf die jeweilige E-Mail-Adresse ausgestellt ist. Der absendende Mailclient verschlüsselt die zu versendende E-Mail bereits, noch bevor die E-Mail an den eigenen Provider geschickt wird. Damit kann auch der Provider – sowohl der eigene, als auch der des Empfängers – die E-Mail nicht mitlesen.

Verschlüsselung mithilfe von PGP oder S/MIME bietet ein hohes Maß an Sicherheit, bringt aber auch einen gewissen Aufwand mit sich. Denn damit das Ganze funktioniert, müssen sowohl Sender als auch Empfänger einer Nachricht am Verschlüsselungsverfahren teilnehmen. Beide Seiten müssen PGP oder S/MIME aktiv unterstützen. Oder anders gesagt: Für jeden Beteiligten müssen eigene Schlüssel generiert und sicher ausgetauscht werden. Mit Hilfe von Softwarelösungen gelingt es jedoch inzwischen sehr gut, die zugrundeliegende Komplexität und die Koordination eines unternehmensweiten Einsatzes von End-to-End-Verschlüsselung zu managen.

3.3. Softwarelösungen machen End-to-End-Verschlüsselung beherrschbar

Es gibt bereits Server- und Webbasierte Verschlüsselungslösungen am Markt, die den Austausch der Schlüssel automatisieren bzw. die Ver- und Entschlüsselung zentral auf dem Mail-Server ablaufen lassen. Da sich der Anwender nun nicht mehr mit technischen Aspekten von Schlüsselaustausch, Zertifikaten oder der Installation einer Software konfrontiert sieht, reduziert sich die Komplexität am Arbeitsplatz. Der einzelne Mitarbeiter hat mit dem gesamten Verfahren nichts mehr zu tun; er sendet und empfängt seine E-Mails ganz normal. Damit entfallen nicht nur Schulungen auf Anwenderseite, auch der administrative Aufwand verringert sich.

4. Die Verschlüsselungsstandards S/MIME und PGP

E-Mail-Verschlüsselung muss nicht kompliziert sein! Erfahren Sie in 2 Minuten, wie die gängigsten Verschlüsselungsverfahren PGP und S/MIME funktionieren. Wir erklären es Ihnen kurz und verständlich.

Ein Klick auf den unten stehenden Ausschnitt öffnet die vollständige Infografik.

Gern können Sie unsere Infografik teilen oder auf Ihrer Webseite einbinden. Mit diesem Code geht das besonders einfach.

<a title="E-Mail-Verschlüsselung einfach erklärt" href="https://www.gbs.com/de/email-verschluesselung">
<img src="https://www.gbs.com/files/kampagnen/verschluesselung-infografik.jpg" width="804" height="3919" alt="Infografik: E-Mail-Verschlüsselungsverfahren">
</a>

4.1. S/MIME

S/MIME ist ein anerkannter Verschlüsselungsstandard und bietet zusätzlich zur Verschlüsselung eine Signaturfunktion. Die Signatur wird über den Inhalt der E-Mail berechnet und ist vergleichbar mit einer eigenhändigen Unterschrift. Mit ihr kann der Empfänger sicherstellen, dass die E-Mail tatsächlich vom angegebenen Absender stammt und sie auf dem Transportweg nicht manipuliert wurde.

Um S/MIME einzusetzen, benötigt man Zertifikate, die von einer offiziellen Zertifizierungsstelle, den sogenannten Trust Centern, ausgestellt werden.

Zertifikatsklassen

Es stehen vier Klassen von diesen Zertifikaten zur Auswahl, die sich in der Form der Überprüfung des Antragstellers unterscheiden. Prinzipiell kann man sagen: Je höher die Zertifikatsklasse, desto höher ist die Vertrauenswürdigkeit des Absenders. Die Verschlüsselung ist bei allen vier Klassen jedoch gleich stark.

  • Zertifikate der Klasse 1: Hier prüft die Zertifizierungsstelle nur, ob die E-Mail-Adresse existiert. Sie wird in das Zertifikat übernommen.
  • Zertifikate der Klasse 2: Die Zertifizierungsstelle prüft neben der E-Mail-Adresse auch den Namen des Antragstellers sowie die Organisation oder Firma anhand Ausweisdokumenten oder Firmenunterlagen.
  • Zertifikate der Klasse 3: Die Überprüfung durch die Zertifizierungsstelle ist intensiver als bei Klasse-2-Zertifikaten. Hier wird anhand des Post-Ident-Verfahrens auch der Handelsregisterauszug oder alternativ bei Einzelpersonen der Personalausweis überprüft.
  • Zertifikate der Klasse 4: Der Antragssteller muss persönlich mit Originaldokumenten bei der Zertifizierungsstelle erscheinen und wird anhand dieser Unterlagen verifiziert. Dieses Verfahren wäre zwar die sicherste Variante, hat sich auf Grund der hohen Kosten jedoch nicht am Markt durchsetzen können.

So funktioniert S/MIME

Um nun verschlüsselte E-Mails zu senden, müssen Absender und Empfänger ihre Zertifikate austauschen. Im Zertifikat ist der öffentliche Schlüssel des Kommunikationspartners enthalten, mit dem die E-Mails an den Empfänger verschlüsselt werden. Der Empfänger kann die verschlüsselte E-Mail mit seinem privaten Schlüssel entschlüsseln und die Unversehrtheit der E-Mail sowie die Identität des Absenders mit dessen öffentlichem Zertifikat überprüfen.

Die Vorteile von S/MIME

Zusammenfassend lässt sich sagen, dass S/MIME, das Verfahren zum Verschlüsseln und Signieren von E-Mails, eine Reihe von Vorteilen bietet:

  • E-Mails werden vor dem Mitlesen durch Dritte geschützt
  • Die Identität des Absenders kann überprüft werden
  • Die Unversehrtheit der Nachricht kann überprüft bzw. nachträglich manipulierte Mails aufgedeckt werden

4.2. PGP

PGP (Pretty Good Privacy) ist ein Standard zum Verschlüsseln von E-Mails, der auf dem Public Key Verschlüsselungsverfahren basiert. Es kommen folglich sowohl öffentliche als auch private Schlüssel zum Einsatz. Das Schlüsselpaar wird hier – anders als bei S/MIME – von jedem Kommunikationspartner selbst erzeugt. PGP basiert auf dem Web of Trust-Vertrauensmodell, das ohne zentrale Zertifizierungsstelle funktioniert und von den Benutzern selbst verwaltet wird.

Web-of-Trust Vertrauensmodell

PGP beruht auf dem gegenseitigen Vertrauen der Kommunikationspartner. Bei S/MIME ist das anders: Hier bestätigt eine zentrale Instanz – die Zertifizierungsstelle – die Vertrauenswürdigkeit der Schlüssel. Bei PGP muss jeder Nutzer den öffentlichen Schlüssel mit seinem privaten Schlüssel beglaubigen. Er bestätigt also, dass der öffentliche Schlüssel garantiert der Person gehört, die den Schlüssel veröffentlicht hat.

Die Signatur bei PGP

Der öffentliche Schlüssel hat neben der Verschlüsselung noch eine weitere Funktion, nämlich die Signaturfunktion, um die Echtheit der E-Mail zu bestätigen.

Der E-Mail-Client des Absenders erstellt über den Inhalt der E-Mail eine Prüfsumme, den Hash-Wert. Der Absender zertifiziert diesen Hash-Wert dann mit seinem privaten Schlüssel. Der E-Mail-Client des Empfängers erzeugt beim Empfang der E-Mail ebenfalls einen Hash, entschlüsselt den vom Sender erstellen Hash mit dessen öffentlichem Schlüssel und vergleicht beide Hash-Werte. Wenn beide Hash-Werte gleich sind, ist sichergestellt, dass der Inhalt der E-Mail nicht manipuliert wurde und der Sender der E-Mail auch tatsächlich dessen Absender ist.

So funktioniert PGP

Die Verschlüsselungssoftware PGP erzeugt bei Installation zwei Teile eines Schlüsselpaares. Der erste Teil ist ein öffentlicher Schlüssel. Mit ihm können E-Mails verschlüsselt, aber nicht entschlüsselt werden. Diesen Public Key kann jeder haben: Der Absender kann ihn auf seiner Website veröffentlichen, versenden oder auf öffentlich abfragbare Keyserver hochladen. Denn damit zwei Menschen sicher miteinander mailen können, müssen beide PGP eingerichtet und ihren öffentlichen Schlüssel ausgetauscht haben. Öffentliche Schlüssel können auch auf Keyservern gesucht und von dort heruntergeladen werden.

Der zweite Schlüssel ist der Private Key, der geheime Schlüssel. Mit ihm kann nur der Empfänger einer E-Mail entschlüsseln, was andere ihm gesendet haben.

Die Vorteile von PGP

Auch hier noch einmal die Vorteile in Kürze zusammengefasst:

  • E-Mails werden vor Mitlesen durch Dritte geschützt
  • Die Identität des Absenders kann überprüft werden
  • Die Unversehrtheit der Nachricht kann überprüft bzw. nachträglich manipulierte Mails aufgedeckt werden
IT-Sicherheitsgesetz - E-Mail-Verschlüsselung wird Pflicht

5. Das IT-Sicherheitsgesetz: Verschlüsselung wird per Gesetz zur Pflicht

Das am 1. August 2015 in Kraft getretene IT-Sicherheitsgesetz schreibt die Verschlüsslung von Daten inzwischen vor: Im Artikel 4 des IT-Sicherheitsgesetzes verlangt der Gesetzgeber ausdrücklich die Verschlüsselung durch die „Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens“, um personenbezogene Daten gegen Angriffe von außen abzusichern.

Die Bundesregierung möchte damit Bürger und Unternehmen vor Cyberangriffen, Cyberspionage und Bedrohungen aus dem Netz schützen.

Die Betroffenen: KRITIS und Webseitenbetreiber

Vom IT-Sicherheitsgesetz hauptsächlich betroffen sind Betreiber kritischer Infrastrukturen (KRITIS): Institutionen, Organisationen, Behörden und Unternehmen, die für das Gemeinwesen eine wichtige Rolle spielen. Sie sind verpflichtet, organisatorische und technische Vorkehrungen sowie Maßnahmen zu treffen, die der Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten oder Prozesse nach dem Stand der Technik dienen.

Auch kommerzielle Webseitenbetreiber sind nun verpflichtet, technische und organisatorische Maßnahmen nach dem Stand der Technik zu ergreifen, die den Schutz von Kundendaten und der verwendeten IT-Systeme gewährleisten. Sie müssen sicherstellen, dass weder unerlaubter Zugriff auf die genutzten technischen Einrichtungen, noch Verletzungen des Datenschutzes möglich sind. Sowohl Technik als auch Daten müssen obendrein gegen Störungen, also auch Angriffe, geschützt sein. Konkret werden damit der Einsatz von Verschlüsselungstechnologien sowie ein Viren- und Hacker-Schutz per Gesetz zur Pflicht. Damit soll verhindert werden, dass (Kunden-) Daten gestohlen oder Webseiten manipuliert werden, und dass Computerviren oder Trojaner ein Computersystem infizieren.

Verschlüsselungs-Guide

Sichere E-Mail-Kommunikation ist kein Hexenwerk! Mit unserem praktischen Produktratgeber finden Sie im Handumdrehen die richtige Lösung zur Absicherung Ihrer elektronischen Kommunikation - ob im B2B- oder B2C-Bereich. Anhand von maximal 5 Fragen zeigen wir Ihnen, welche E-Mail-Verschlüsselungslösung am besten zu Ihren Anforderungen passt.

Lade...
Cookies erleichtern die Bereitstellung dieser Webseite. Mit der Nutzung dieser Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Mehr >>