E-Mail-Verschlüsselung – So kommunizieren Sie sicher

IT-Sicherheit

Häufig werden intern oder extern schnell Informationen oder Dateien über E-Mail geteilt, ohne darüber nachzudenken. Doch ist das sicher? Könnten E-Mails abgefangen werden? Potenziell kann jede E-Mail, die Sie ungesichert versenden von anderen mitgelesen werden. Um zu verhindern, dass Unbefugte Zugriff auf Ihre E-Mails haben, gibt es verschiedene Verschlüsselungs-Technologien zur sicheren Kommunikation. Welche das sind, erfahren Sie in diesem Beitrag.

Das Prinzip der Verschlüsselung wird schon seit Jahrhunderten für die sichere Übertragung von Daten angewendet. Ein berühmtes Beispiel ist die „Enigma“, eine Codier-Maschine aus dem zweiten Weltkrieg. Die Deutschen haben sie verwendet, um Informationen sicher zu übertragen. Abgesehen von diesem prominenten Beispiel, möchte niemand, dass andere ein vertrauliches Gespräch belauschen. Ebenso wenig soll die digitale Kommunikation per E-Mail mitgelesen werden können. 

Häufig werden intern oder extern schnell Informationen oder Dateien über E-Mail geteilt, ohne darüber nachzudenken. Doch ist das sicher? Könnten E-Mails abgefangen werden? Potenziell kann jede E-Mail, die Sie ungesichert versenden von anderen mitgelesen werden. Spätestens seit dem NSA Skandal im Jahr 2013, ist das vielen bekannt. Um zu verhindern, dass Unbefugte Zugriff auf Ihre E-Mails haben, gibt es verschiedene Technologien zur sicheren Kommunikation.

Transportverschlüsselung bei E-Mails

Die Transportverschlüsselung ist eine Punkt-zu-Punkt E-Mail-Verschlüsselung. Dabei wird, wie der Name schon sagt, der Transport der E-Mail verschlüsselt. Zwischen dem E-Mail-Programm des Senders und dem Server, der die E-Mail verschickt, baut sich dazu eine verschlüsselte Verbindung auf. Jede Kommunikation, die über den Sende- und Empfangs-Server geht, ist damit verschlüsselt. Ein weit verbreitetes Verschlüsselungs-Protokoll dafür ist die „Transport Layer Security“ (TLS). Dieses Protokoll kommt auch zwischen dem Server und der Empfänger-Anwendung zum Einsatz.

Diese Art der E-Mail-Verschlüsselung ist heutzutage weit verbreitet. Sie müssen sich darüber keine Gedanken mehr machen. Alle großen E-Mail-Anbieter bieten diese verschlüsselte Übertragung standardmäßig an. Ein unverschlüsselter Versand ist häufig nicht mehr möglich. Würde diese Art der E-Mail-Verschlüsselung nicht stattfinden, könnten andere den Datenverkehr mitschneiden. So könnten sie E-Mail mitlesen. Diese Gefahr ist besonders groß, wenn sich Sender beziehungsweise Empfänger in einem unzureichend oder schlecht geschützten WLAN-Netz befinden. 

Inhaltsverschlüsselung von E-Mails

Nach dem gesicherten Transport liegt die E-Mail meist unverschlüsselt auf dem Server des E-Mail-Anbieters. Sollte sich ein Hacker Zugriff zu diesem Server verschaffen, kann er den ganzen Inhalt der E-Mail lesen, kopieren oder auch verändern. Er könnte beispielsweise Ihre Kontoverbindung in einer Rechnung ändern und seine eigene eintragen. Ihr Kunde würde das Geld dann unwissentlich auf das falsche Konto überweisen. Um das zu verhindern, sollten neben dem Transportweg, auch die E-Mails als solche verschlüsselt werden. 

Im Gegensatz zur Transportverschlüsselung werden nicht die einzelnen Abschnitte des Versandkanals gesichert, sondern die E-Mail selbst. Bei der sogenannten Inhaltsverschlüsselung wird die E-Mail direkt beim Absender verschlüsselt und erst auf dem Endgerät des Empfängers wieder entschlüsselt. Um diese Ende-zu-Ende Verschlüsselung zu verwenden, benötigen beide ein Zertifikat, das die E-Mail-Verschlüsselung beschreibt. Das ist recht aufwändig. Die Zertifikate müssen vor dem Senden oder Empfangen von E-Mails bereits auf den Endgeräten installiert sein. Einfacher ist es, E-Mails beim Versand mit einer bestimmten Phrase zu verschlüsseln. Diese Phrase ist dem Empfänger bekannt. Doch wie funktioniert der verschlüsselte E-Mail-Versand konkret?

E-Mails verschlüsselt senden

Da der Transportweg mittlerweile eigentlich immer verschlüsselt ist, geht es im Wesentlichen nur noch um die Inhaltsverschlüsselung. Eine Option wäre die E-Mail-Verschlüsselung über sogenannte Zertifikate: PGP oder S/MIME sind bekannte Beispiele. Dieses Vorgehen ist aufwändig, da Sender und Empfänger das Zertifikat vor dem Versand von E-Mails bereits auf den Endgeräten einrichten müssen. Zudem erfordern diese Zertifikate eine ständige Pflege, da sie nur eine begrenzte Gültigkeit haben. Dieses mühsame Verfahren macht häufig nur Sinn, wenn zwei Parteien eine regelmäßige, verschlüsselte Korrespondenz führen. Sobald sie eine dritte Person in die Kommunikationskette aufnehmen, braucht diese zuerst das Zertifikat, um die E-Mails lesen zu können. Ein einfaches Weiterleiten oder eine Urlaubsvertretung ist damit nicht mehr einfach möglich.

Eine gute Alternative ist ein kommerzielles Produkt zur E-Mail-Verschlüsselung. Dabei hält der Postausgang-Server eine E-Mail, die Sie verschicken, zunächst zurück. Statt der E-Mail schickt der Server zunächst eine automatisch generierte Nachricht, die den Empfänger dazu auffordert, ein individuelles Passwort zu erzeugen. Dieses Passwort wird dann an den Server geschickt und damit die E-Mail und deren Anhänge codiert. Empfängt der Adressat die E-Mail, kann er sie mit dem Passwort entschlüsseln und den Inhalt lesen. Diese Technologie umfasst nicht nur die Verschlüsselung des E-Mail-Inhaltes sondern auch von Anhängen. Diese Passwort-Einrichtung ist für jedes Sender-Empfänger-Paar nur einmalig notwendig. Sobald Sie eine E-Mail an eine dritte Person weiterleiten, bekommt diese ebenfalls zu Beginn die Aufforderung ein Passwort für die Codierung zu vergeben.

Diese E-Mail-Verschlüsselung über Passwörter funktioniert universell. Es erfordert nicht, dass beide vorab ein bestimmtes Zertifikat installieren. Als Sender bestimmen Sie, ob Sie die E-Mail verschlüsseln oder nicht. Der Empfänger hat immer die Möglichkeit mit dem individuellen Passwort die E-Mail zu entschlüsseln. 

Fazit

Nicht nur aus Datenschutzgründen kann eine E-Mail-Verschlüsselung sinnvoll sein. Auch um vertrauliche Informationen zu schicken und dem Kommunikationspartner so Zuverlässigkeit und Verschwiegenheit zu signalisieren, ist eine Verschlüsselung geeignet. Sie sollte im Rahmen einer IT-Sicherheit Beratung besprochen werden. Bei Anwaltskanzleien, Notaren oder Behörden spielt E-Mail-Verschlüsselung sicher eine große Rolle. Auch viele große Firmen, bei denen es um Patente oder Produkt-Neu-Entwicklungen geht, versenden ihre E-Mails ausschließlich verschlüsselt. Insbesondere bei der Kommunikation mit externen Partnern.

Wenn Sie Unterstützung bei der Wahl eines sicheren E-Mail-Versands benötigen, melden Sie sich gerne bei uns für ein unverbindliches Beratungsgespräch. 

Wenn Sie uns erst ein wenig näher kennenlernen wollen, hören Sie gerne in unseren Podcast rein. Die Episode zur E-Mail-Verschlüsselung finden Sie hier: