Die E-Mail

Auch wenn sie nicht mehr zu den neusten Kommunikationstools gehört, ist die E-Mail dennoch immer fester Bestandteil digitaler Kommunikation gewesen und wird es bestimmt noch Jahrzehnte bleiben. Ob Urlaubsfotos, Verträge oder noch sensiblere Daten, die E-Mail kann mit all diesen Sachen umgehen. Aber oft bleibt dabei die Sicherheit außen vor. In unserem Beitrag Weniger gläsern mit der richtigen E-Mail-Strategie haben wir euch ausführlich erläutert, welche Gefahren die Kommunikation via E-Mail birgt und wie ihr euch schützen könnt. Hier erklären wir euch nun speziell, wie ihr eure E-Mails verschlüsselt — mit Enigmail.

Enigmail

Mit dem Thunderbird-Plugin Enigmail könnt ihr relativ unkompliziert euren Mailverkehr ver- und entschlüsseln. Das funktioniert dank des freien Kryptographiesystems GnuPG, das auf OpenPGP beruht.

Um die E-Mail-Verschlüsselung bei euch auf dem Rechner zum laufen zu bekommen, braucht ihr die folgenden 3 Komponenten:

  1. Thunderbird
  2. GnuPG
  3. Enigmail – Thunderbird-Plugin

Installation

Thunderbird

Verwendet unsere Anleitung aus unserem Beitrag über Thunderbird, um den E-Mail-Client auf eurem System zu installieren. Vergesst dabei bitte nicht, unsere empfohlenen Konfigurationen einzustellen.

GnuPG

Windows


Ladet euch unter https://www.gpg4win.org/download.html das aktuelle Paket mit dem Namen Gpg4win-Vanilla herunter und installiert es. Bei der Installation müsst ihr auf nichts besonderes achten.

Linux


GnuPG ist auf GNU/Linux Systemen bereits installiert.

MacOS


Sucht auf der Website https://www.gnupg.org/download/index.html nach GnuPG for OS X, folgt dem Link, ladet euch die aktuelle Version herunter und installiert danach das Paket.

Enigmail

Klickt in Thunderbird auf das Menü und dann auf Add-ons. Es öffnet sich ein neues Fenster mit einer Suchleiste. Sucht nach Enigmail, klickt auf Installieren und startet Thunderbird neu.

Einrichtung

Schritt-für-Schritt-Anleitung

Denkt daran, euer E-Mail-Konto in Thunderbird einzurichten, bevor ihr Enigmail konfiguriert.

Vorsicht: Euer Schlüssel wird den Namen tragen, den ihr für euer E-Mail-Konto angebt, und falls ihr ihn auf die Schlüsselserver hochladet, auch dort zu finden sein. Das Namensfeld darf allerdings auch nicht frei bleiben. Für eine anonyme E-Mail-Adresse solltet ihr deswegen immer ein Pseudonym verwenden.

Startet den Enigmail-Einrichtungsassistent, indem ihr unter Menü -> Enigmail -> Einrichtungs-Assistent klickt. Die Einrichtung ist in wenigen Schritten erledigt:

  • Wählt die Standard-Konfiguration, klickt Weiter.
  • Erzeugt ein Schlüsselpaar:
    • Falls ihr mehrere E-Mail-Konten in Thunderbird habt, achtet darauf, dass unter Konto das markiert ist, mit dem ihr verschlüsselte E-Mails schreiben und empfangen wollt.
    • Der private Schlüssel wird nochmal extra geschützt, deswegen müsst ihr eine starke Passphrase festlegen. Am besten verwendet ihr dafür ein mit KeePassX erzeugtes Passwort.
  • Klickt Weiter. Es dauert eine Weile bis die Schlüssel erzeugt sind.
  • Nun klickt ihr auf Widerrufszertifikat erzeugen, gebt eure Passphrase ein und speichert das Zertifikat ab. Beachtet auch den Hinweis, wie das Zertifikat aufzubewahren ist.
  • Klickt Weiter und dann Fertigstellen.

Ihr habt soeben einen öffentlichen und einen privaten Schlüssel erzeugt. Wie der Name schon andeutet, solltet ihr den private Schlüssel niemals weitergegeben. Mit ihm steht und fällt eure sichere Kommunikation.

Backup

Um eure Schlüssel und die Schlüssel eurer Kontakte nach einem Computerwechsel nicht wieder händisch einfügen zu müssen, solltet ihr unter Menü -> Enigmail -> Einstellungen  ein Backup anlegen. Backup und Widerrufszertifikat solltet ihr an einem sicheren Ort aufbewahren, etwa mit euren Systembackups auf einer verschlüsselten externen Festplatte.

Schlüssel verteilen

Damit die verschlüsselte E-Mail-Kommunikation klappt, muss euer Gesprächspartner auch GnuPG verwenden und ihr braucht seinen öffentlichen Schlüssel. Umgekehrt müsst ihr euch ebenfalls überlegen, auf welche Art ihr euren eigenen  öffentlichen Schlüssel in Umlauf bringen wollt.

Mithilfe der Schlüsselserver

Ihr könnt euren öffentlichen Schlüssel auf einen Schlüsselserver hochladen. Danach synchronisiert sich der Schlüsselserver eurer Wahl mit den restlichen vorhandenen Servern, somit kennt jeder von ihnen die gleichen Schlüssel. Allerdings kann es ein paar Tage dauern bis jeder euren Schlüssel kennt. Eure Kontakte können dann euren Schlüssel anhand eurer E-Mail-Adresse ausfindig machen und von einem beliebigen Schlüsselserver herunterladen.

Hinweis: Bevor ihr euch dazu entscheidet, beachtet bei Limitierungen die Probleme mit Schlüsselservern.

Einen Schlüssel hochladen

  • Klickt auf Menü und unter Enigmail auf Schlüssel verwalten. Achtet darauf, dass der Schlüssel, den ihr hochladen wollt, angewählt ist.
  • Klickt in der Leiste auf Schlüsselserver und dann auf Schlüssel hochladen.

Schlüsselserver können auch im Internet über den Webbrowser erreicht werden, zum Beispiel unter https://pgp.mit.edu/.
Hier könnt ihr alternativ manuell Schlüssel hochladen und suchen.

Tipp: Über die Schlüsselsuche könnt ihr überprüfen, ob das Hochladen eures Schlüssels geklappt hat.

Nach dem Erzeugen und Veröffentlichen von Schlüsseln solltet ihr euch auch um sie kümmern. Das bedeutet vor allem, dass ihr einen Schlüssel für ungültig erklärt, falls ihr darüber nicht mehr zu erreichen seid.

Einen Schlüssel für ungültig erklären

Falls ihr den Schlüssel noch in eurem GnuPG Schlüsselbund habt, könnt ihr ihn ganz einfach über Enigmail widerrufen.

  • Klickt auf Menü und unter Enigmail auf Schlüssel verwalten. Achtet darauf, dass der Schlüssel, den ihr widerrufen wollt, ausgewählt ist.
  • Klickt in der Leiste auf Bearbeiten und dann auf Schlüssel widerrufen.

Als Datei versenden

Alternativ könnt ihr euren öffentlichen Schlüssel als Anhang in euren E-Mails verschicken oder die Datei auf eine andere Art weitergeben. Das lohnt sich dann, wenn ihr vor allem mit bestehenden Kontakten verschlüsselt schreiben wollt.

Eine verschlüsselte E-Mail schreiben

Die erste verschlüsselte E-Mail zu versenden, ist eine spannende Erfahrung. Am besten versendet ihr zuerst eine Testmail an einen Bekannten, bevor ihr vertrauliche Inhalte übermittelt.

Um euch vor Fehlern zu bewahren, gehen wir auch diesen Prozess mit euch durch.

Schritt-für-Schritt-Anleitung

  • Klickt auf Verfassen, um eine neue E-Mail zu schreiben.
  • Gebt die Adresse des Empfängers ein, von dem ihr wisst, dass er GnuPG verwendet.
  • Als Betreff wählt ihr ***encrypted*** (oder etwas ähnliches), um es den Abhörern schwer zu machen, Rückschlüsse auf den Inhalt eurer Nachricht zu ziehen.
  • Schreibt nun eure Nachricht und fügt gegebenenfalls einen Anhang an.
  • In der Leiste sollte euch die neue Zeile aufgefallen sein, dort steht Enigmail mit einigen klick-baren Elementen. Klickt auf das Schloss-Symbol, dadurch sollte es jetzt farblich dargestellt sein. Das bedeutet, diese Nachricht wird verschlüsselt.
  • Ihr könnt die Nachricht optional auch unterschreiben.
  • Klickt nun auf Senden. Enigmail öffnet die Schlüsselverwaltung und zeigt euch, dass es noch keinen Schlüssel für diesen Kontakt gibt.
    • Klickt auf Fehlenden Schlüssel herunterladen. Hat euer Kontakt seinen Schlüssel auf einem Schlüsselserver hinterlegt, ist er hier zu sehen.
      Mit OK übernehmt ihr den Schlüssel in euren GnuPG Schlüsselbund und sendet die Nachricht.
    • Ist der Schlüssel nicht auf einem Schlüsselserver hinterlegt, klickt ihr auf Abbrechen. In der Leiste klickt ihr auf Enigmail und Schlüssel verwalten. Unter Datei -> Importieren könnt ihr einen öffentlichen Schlüssel, den ihr beispielsweise in einem Dateianhang geschickt bekommen habt, zu eurem Schlüsselbund hinzufügen. Dabei solltet ihr auch den Fingerabdruck überprüfen.
      Klickt wieder auf Senden, um die E-Mail abzuschicken.

Ab jetzt sendet Enigmail automatisch jede Nachricht an diesen Kontakt verschlüsselt. Vor dem Senden solltet ihr trotzdem kurz das Schloss-Symbol prüfen. wird es farblich dargestellt, wird die Nachricht verschlüsselt versendet.

Hinweis zum Fingerabdruck: Über den Fingerabdruck könnt ihr überprüfen, ob der Schlüssel, den ihr heruntergeladen habt, der richtige ist. Ein ähnliches Prinzip haben wir bereits zur Überprüfung von Downloads erklärt.

Wenn ihr möchtet, könnt ihr eure erste verschlüsselte E-Mail auch an uns schicken. Wir antworten euch dann mit einer Bestätigung, wenn sie verschlüsselt bei uns ankommt.

E-Mail an die Datenschutzhelden

E-Mail Adresse: kontakt@datenschutzhelden.org
ID öffentlicher Schlüssel: F3B722A9
Fingerabdruck: D871 AE7A 5987 99B8 1671 7F38 E916 75EE F3B7 22A9

Wir freuen uns auf eure verschlüsselten E-Mails!

Limitierung

Mehr Sicherheit bedeutet leider auch, dass es etwas komplizierter wird. Die Dinge die ihr unbedingt noch wissen solltet, haben wir hier für euch zusammengefasst.

Schlüssel

Enigmail legt aktuell standardmäßig Schlüssel vom Typ RSA mit einer Länge von 4096 bit und einer Gültigkeit von 5 Jahren an. Diese Schlüssellänge gilt heute als sicher, doch mit voranschreitender Rechenleistung müssen auch die Schlüssel immer stärker werden. Deswegen solltet ihr nach Ablauf der Gültigkeitsdauer überprüfen, welche Anforderungen gerade gelten, und dementsprechend reagieren.

Verschlüsselung

Angriffsmöglichkeiten

GnuPG ermöglicht eine sichere Ende-zu-Ende-Verschlüsselung, aber trotzdem gibt es eine Schwachstelle: Die Endgeräte selbst könnten abgehört werden. Mit einem Trojaner (einfacher Angreifer) oder Staatstrojaner (staatlicher Angreifer) auf eurem PC, Tablet oder Handy kann die Kommunikation jeweils vor- und nach dem Entschlüsseln mitgelesen werden.

Deswegen ist neben dem gesunden Menschenverstand und dem abgesicherten Kommunikationskanal auch ein vertrauenswürdiges Betriebssystem von entscheidender Bedeutung.

Mehr zur verwendeten Verschlüsselung erfahrt ihr hier:

Unverschlüsselte Teile der E-Mail

Denkt daran, dass folgende Teile der Nachricht aus technischen Gründen nicht verschlüsselt sind:

  • Absender
  • Empfänger
  • Betreff

Verschlüsselt ist demnach nur die Nachricht und der Anhang.

Die E-Mail selbst wird grundsätzlich durch die sogenannte Transportverschlüsselung geschützt. Damit ist die TLS-Verschlüsselung zwischen euch und eurem Mailanbieter, sowie die zwischen dem Absender- und Empfangsmailserver gemeint.

Den Weg zwischen euch und eurem Mailanbieter könnt ihr beispielsweise so absichern, wie wir es im Thunderbird-Artikel unter Sicherheit empfohlen haben.

Die Strecke zwischen Mailserver zu Mailserver und Mailserver zu Empfänger könnt ihr leider nicht beeinflussen. Einige Mailserver verwenden keine oder nur schwache Verschlüsselung. Ist eure E-Mail aber mit GnuPG verschlüsselt, ist der Inhalt selbst ohne Transportverschlüsselung sicher.

Zwei-Faktor-Authentifizierung

Der zusätzliche Zugriffsschutz, den euch die Zwei-Faktor-Authentifizierung bietet, wird über einen POP/IMAP Client leider nicht weitergereicht. Das heißt: Solange euer E-Mail-Konto für die Verwendung von Thunderbird konfiguriert ist, wird es einem Angreifer möglich sein, den zweiten Faktor zu umgehen. Der wichtige Faktor ist und bleibt damit euer Passwort.

Deswegen verwendet immer starke zufällige Passwörter.

Die kryptografische Unterschrift

Mit der kryptografischen Unterschrift könnt ihr beweisen, dass die E-Mail tatsächlich von euch stammt. Ihr seid als Urheber der Nachricht eindeutig wiederzuerkennen, das kann Vor- sowie Nachteile haben.

Beispiele:

  • Szenario 1 – Der gefälschte Absender:
    Ihr erhaltet eine E-Mail die nicht unterschrieben wurde. Obwohl die Absender-Adresse die eines bekannten Kontakts von euch ist, mit dem ihr bereits per verschlüsselter E-Mail kommuniziert habt, könnt ihr euch nicht sicher sein, ob sie nicht trotzdem gefälscht ist. Nur mit der Unterschrift könnt ihr sicher gehen, dass die Mail auch wirklich von eurem Kontakt stammt. Denn den Absender zu fälschen und die Nachricht mit eurem öffentlichen Schlüssel zu verschlüsseln ist keine große Kunst.
    Der Angreifer hätte in diesem Szenario allerdings keinen großen Nutzen, denn spätestens wenn ihr dem echten Kontakt mit einer verschlüsselten E-Mail antwortet, wird sich der Betrug schnell von selbst aufklären. Etwa wenn ihr auf Fragen antwortet, die er euch nicht gestellt hat. Solange ihr eure Nachricht mit dem euch bereits bekannten öffentlichen Schlüssel eures Kontakts verschlüsselt,  seid ihr sicher. Achtet deswegen bei neuen Kontakten darauf, den Fingerabdruck zu überprüfen.
  • Szenario 2 – Der Überwachungsstaat:
    Ihr schickt eine E-Mail an einen Kontakt um euch über regierungskritische Themen zu unterhalten. Euer Kontakt könnte aber ein Spion sein und alles was ihr in der E-Mail schreibt, könnte gegen euch verwendet werden. Wenn die Nachricht unterschrieben ist, könnt ihr nicht mehr abstreiten, dass ihr Verfasser dieser E-Mail seid.
    Ob und welche Strafen euch erwarten könnten, hängt wohl davon ab, wem eure Ansichten nicht gefallen.

Edward Snowden hat in einem Interview erklärt, dass die NSA vorsorglich alle verschlüsselte E-Mails abfängt und speichert –nur für alle Fälle -, falls sie später in der Lage sind diese zu entschlüsseln.

Übrigens unterschreibt Enigmail eure Nachrichten nicht automatisch — das deckt sich mit unserer Empfehlung. Es bleibt natürlich euch überlassen, ob ihr eure E-Mails unterschreiben wollt, wählt für euch das kleinere Übel.

Probleme mit Schlüsselservern

Im Internet bewegen sich nicht nur Menschen mit ausschließlich positiven Absichten, sondern leider auch Kriminelle und Trolle. Deswegen solltet ihr die folgenden Probleme im Zusammenhang mit Schlüsselservern kennen. Überlegt euch genau, ob ihr euren Schlüssel hochladen oder lieber per Anhang in Umlauf bringen wollt.

Die Probleme im Detail:

  1. Schlüsselserver sind öffentlich einsehbar, das heißt eure E-Mail-Adresse und dadurch gegebenenfalls sogar euer Name (oder Pseudonym) sind es ebenfalls. In der Vergangenheit gab es Fälle, in denen Adressen von Schlüsselservern zum Ziel von Spam-Mails wurden.
    Lösung: Ein guter Spamfilter sollte das Problem minimieren.
  2. Außerdem gibt es die Möglichkeit Fake-Schlüssel auf euren Namen und eure E-Mail-Adresse auszustellen und auf die Schlüsselserver hochzuladen. Somit kann ein neuer Kontakt euren echten öffentlichen Schlüssel nicht vom falschen unterscheiden. Wählt euer Kontakt den falschen Schlüssel, erhaltet ihr eine Nachricht, die ihr nicht entschlüsseln könnt. Das bedeutet für euch einen unnötigen Mehraufwand. Ihr müsst euch beim Absender melden und ihn bitten seine Nachricht mit dem korrekten Schlüssel verschlüsselt erneut an euch zu schicken. Es kommt aber noch schlimmer: Ein Fake-Schlüssel kann niemals vom Server gelöscht werden, weil Schlüsselserver grundsätzlich nur dafür konzipiert sind Schlüssel für ungültig zu erklären.
    Lösung: Es gibt keine zufriedenstellende Lösung. Die Rücksprache mit euren Kontakten ist unvermeidlich.

Um einen öffentlichen Schlüssel auf seine Echtheit zu überprüfen, könnt ihr euren Gesprächspartner beispielsweise anrufen und euch den Fingerabdruck vorlesen lassen.

– Eure Datenschutzhelden


Quellen:

https://de.wikipedia.org/wiki/GNU_Privacy_Guard

https://de.wikipedia.org/wiki/Web_of_Trust