E-Mails verschlüsseln mit OpenPGP

In diesem Artikel gehen wir darauf ein, warum es wichtig ist, E-Mails Ende-zu-Ende zu verschlüsseln und wie das funktioniert. Mit unserer Schritt-für-Schritt-Anleitung können Sie die entsprechenden Apps oder Programme auf einem Endgerät installieren und einrichten. Einen vertrauenswürdigen E-Mail-Anbieter haben Sie hoffentlich schon.

Inhaltsübersicht:

1. Warum E-Mails verschlüsseln?
2. Wie bei E-Mails verschlüsselt wird
3. E-Mails auf- und zuschließen
4. Mit dieser Software verschlüsseln Sie Ihre E-Mails
5. Schritt-für-Schritt-Anleitung für den PC
6. Exkurse und optionale Einstellungen
7. E-Mail-Verschlüsselung auf dem Smartphone
8. Die Rolle der Keyserver
9. Weiterführende Links

„Ich habe mich einfach dran gesetzt und für alles zusammen ca. eine Stunde gebraucht. Es ist wirklich kein Hexenwerk, und dank dieses Artikels geht es ruckzuck.“ Sophie Uteß, Versicherungsmaklerin

Warum E-Mails verschlüsseln?

E-Mails werden herkömmlich im Klartext versendet. Wie bei einer Postkarte können den Inhalt einer E-Mail grundsätzlich alle lesen, die sie in die Finger bekommen. Dazu gehören Betreiber.innen von E-Mail-Servern, Internetprovider, Netzwerk-Administrator.innen und grundsätzlich alle, die Zugriff auf den Speicher Ihres Rechners haben.

Auch wenn vermeintlich nichts Interessantes in Ihren E-Mails steht, können Sie nicht wissen, ob Sie nicht doch eines Tages zum Ziel eines Angriffs auf Ihre Privatsphäre werden. Aus E-Mails lassen sich viele Informationen herleiten, die zwar trivial anmuten, aber vielseitig eingesetzt werden können, um Ihnen zu schaden. Doxing und digitales Stalking nehmen stark zu und E-Mail spielt dabei eine zentrale Rolle. Außerdem kann über eine E-Mail bei fast allen Accounts das Passwort zurücksetzen.

Mit jeder verschlüsselten E-Mail stärken Sie das Prinzip Verschlüsselung. Je mehr Menschen ihre Kommunikation verschlüsseln, desto geringer ist die Gefahr, dass schon das Verschlüsseln selbst verdächtig ist. So werden Menschen, Gruppen und brisante Situationen geschützt, für die Verschlüsselung tatsächlich wichtig ist.

Viele Anbieter kostenloser E-Mail-Konten werten die E-Mails ihrer Nutzerschaft automatisiert aus. Anhand bestimmter Schlagwörter erhalten Sie dann passgenaue Werbung. Ob Informationen an Dritte weiterverkauft werden, hängt vom Dienst ab. Durch E-Mail-Verschlüsselung lässt sich auch ein derartiger Informationshandel unterbinden.

Am besten verschlüsseln Sie Ihre Nachrichten „Ende-zu-Ende“. Das heißt, dass nur Absender und Empfängerin den Inhalt der Nachricht lesen können.

Angenehmer Nebeneffekt von E-Mail-Verschlüsselung: Sie können mit derselben Technik Ihre E-Mail signieren (digital unterschreiben) und damit gleich zweierlei sicherstellen: Sie wissen, dass Sie wirklich mit den Personen kommunizieren, mit denen Sie zu kommunizieren glauben (Schutz der Authentizität). Und Sie können sich darauf verlassen, dass der Inhalt der Nachricht auf dem Weg von der Absenderin zum Empfänger nicht verändert wurde (Schutz der Integrität).

Wie bei E-Mails verschlüsselt wird

Grundsätzlich kann bei E-Mails zwischen drei Formen der Verschlüsselung unterschieden werden: Transportverschlüsselung, Postfachverschlüsselung und Ende-zu-Ende-Verschlüsselung.

Die Transportverschlüsselung ist (fast) überall im Einsatz und stellt lediglich sicher, dass die E-Mail auf dem Weg von Ihrem Gerät zum Server Ihres E-Mail-Anbieters verschlüsselt wird. Wäre Ihre E-Mail eine Postkarte, würde Transportverschlüsselung bedeuten, dass sie vor fremdem Zugriff geschützt ist, so lange sie sich im Postauto oder Postfahrrad befindet. Dieser Schutz besteht aber nicht auf den Zwischenstationen (dem Verteilzentrum etc.) oder am Ziel (Ihrem Briefkasten).

Die Postfachverschlüsselung, die manche E-Mail-Provider anbieten, stellt lediglich sicher, dass die E-Mails auf dem Server Ihres E-Mail-Anbieters verschlüsselt gespeichert werden. Das bedeutet: Die Postkarte liegt nach der Zustellung in einem gut gesicherten Briefkasten. Ob sie auf dem Weg dorthin gelesen oder verändert wurde, wissen Sie nicht.

Mit diesen beiden Verschlüsselungen ist der Inhalt der E-Mail aber noch nicht durchgängig geschützt. Am besten packen Sie die Postkarte in einen Briefumschlag. Dies entspricht der Ende-zu-Ende-Verschlüsselung, mit der die gesamte Transportkette von Ihrem Endgerät über die Server der E-Mail-Anbieter bis zum Endgerät Ihres Kommunikationspartners gesichert ist. Der digitale Umschlag ist sogar besser als einer aus Papier, weil ihn nur die Empfängerin öffnen kann, verständlich erklärt bei Mobilsicher.

Für Ende-zu-Ende-Verschlüsselung gibt es zwei gebräuchliche Verfahren: OpenPGP und S/MIME. Da S/MIME (bei der Zertifizierung) recht kompliziert ist, behandelt dieser Artikel nur das zugänglichere OpenPGP. Leider sind die Verfahren nicht kompatibel.

E-Mails auf- und zuschließen

OpenPGP verwendet einen öffentlichen Schlüssel (public key) und einen privaten Schlüssel (private key). Beide zusammen bilden ein Schlüsselpaar.

Hinweis: Zum besseren Verständnis nennen wir in diesem Abschnitt den öffentlichen Schlüssel öffentliches Schloss. Stellen Sie es sich wie ein Vorhängeschloss vor, mit dem Sie ein Kästchen verschließen können.

Das öffentliche Schloss können Sie jedermann offen in die Hand geben. Jemand anderes kann nun einen Brief schreiben, ihn falten, in ein Kästchen legen und dieses mit Ihrem öffentlichen Schloss verschließen. Danach können nur noch Sie das Schloss öffnen, denn nur Sie haben den privaten Schlüssel für dieses Schloss.

Der private Schlüssel öffnet das Schloss, Sie nehmen den Brief heraus und lesen ihn. Er war unterwegs durchgehend vor neugierigen Blicken geschützt.

Auf Schlüsselservern werden viele solche „Vorhängeschlösser“ abgelegt. Wenn jemand eine E-Mail an Sie verschlüsseln möchte, holt sie oder er sich dort Ihr öffentliches Schloss. Da die E-Mail-Adressen ins Schloss eingraviert ist und die Schlösser gut sortiert sind, ist es leicht zu finden.

Nur Sie haben beides: das öffentliche Schloss und den privaten Schlüssel. Sie funktionieren nur zusammen. Missverständlicherweise heißen in Verschlüsselungsprogrammen beide „Schlüssel“. Aber das dürfte Sie nicht mehr verwirren. Sie wissen ja nun, dass sie unterschiedliche Funktionen haben.

Öffentliche Schlösser können Sie wie Konfetti unter die Menschen streuen. Aber Ihren privaten Schlüssel – den hüten Sie wie Ihren Augapfel!

Dieses Video von Alexander Lehmann erklärt anschaulich, wie Ende-zu-Ende-Verschlüsselung funktioniert und warum es sich lohnt, sie einzusetzen.

Mit dieser Software verschlüsseln Sie Ihre E-Mails

Für den PC: Thunderbird

Wir empfehlen den freien E-Mail-Client Thunderbird von Mozilla. Nur mit einem eigenständigen E-Mail-Client kann die E-Mail durch Ende-zu-Ende-Verschlüsselung geschützt werden. Thunderbird gibt es für Linux, Mac und Windows.

Sie können Apple Mail auch mit GPG Mail oder Microsoft Outlook mit GPG4win verwenden, die wir hier aber nicht beschreiben.

Für das Smartphone (Android): K-9 Mail

Nehmen Sie zum Lesen und Schreiben nicht die App Ihres E-Mail-Anbieters oder vorinstallierte Apps. Diese tracken Sie womöglich oder manipulieren Links. So könnte Ihr Anbieter mitbekommen, dass Sie auf einen Link klicken.

Benutzen Sie besser einen unabhängigen E-Mail-Client. Wir empfehlen den freien E-Mail-Client K-9 Mail in Kombination mit dem Verschlüsselungswerkzeug OpenKeychain. Eine gute Alternative ist auch FairEmail, das ebenfalls mit OpenKeychain zusammenarbeitet.

Es gibt eine Liste mit allen verfügbaren Clients und Add-ons.

Vorsicht: Wenn Sie Ihr Mobilgerät verlieren, verlieren Sie auch Ihren privaten Schlüssel. Richten Sie deshalb unbedingt eine Displaysperre ein. Verschlüsseln Sie bestenfalls den Datenträger und verwenden Sie eine sichere Passphrase für den privaten Schlüssel.

Schritt-für-Schritt-Anleitung für den PC

1. Konto im E-Mail-Programm anlegen

Öffnen Sie das E-Mail-Programm Thunderbird und folgen Sie der Anleitung des Konfigurationsassistenten. Stellen Sie sicher, dass Sie über ein E-Mail-Postfach verfügen, (z. B. bei Posteo oder Mailbox.org), und geben Sie die Zugangsdaten ein, sobald sie dazu aufgefordert werden. Sollte der Konfigurationsassistent nicht automatisch starten, können Sie in den Konteneinstellungen ein neues E-Mail-Konto hinzufügen. Wie das genau funktioniert, erfahren Sie in der Anleitung von Mozilla.

Automatisch funktioniert das Einrichten bei E-Mail-Providern, die Mozilla kennt. Für alle anderen gibt es eine Anleitung zur manuellen Konfiguration. Fragen Sie gegebenenfalls die für den E-Mail-Server Verantwortlichen, welche Einstellungen gesetzt werden müssen und ob Transportverschlüsselung (TLS) – nicht zu verwechseln mit Ende-zu-Ende-Verschlüsselung! – unterstützt wird. Die TLS wird unter dem Punkt Verbindungssicherheit eingerichtet.

2. Hauptpasswort setzen

Geheime Schlüssel werden standardmäßig nicht zusätzlich geschützt. Wer Zugriff auf den PC hat, könnte sie einfach aus dem Speicher von Thunderbird kopieren. Geschützt sind die geheimen Schlüssel erst durch ein Hauptpasswort. Das wird dann beim Starten von Thunderbird jedes Mal abgefragt.

1. Klicken Sie oben rechts im Thunderbird-Hauptfenster auf den Menübutton ≡ (oben rechts).
   

2. Klicken Sie auf Einstellungen.

3. Wählen Sie links die Kategorie Datenschutz & Sicherheit aus.
4. Setzen Sie im Abschnitt Passwörter einen Haken bei Hauptpasswort verwenden. Nun können Sie Ihr Passwort eintragen.

Wichtig: Stellen Sie sicher, dass Sie das eben vergebene Passwort nicht vergessen. Und sichern Sie Ihren geheimen Schlüssel an einem sicheren Ort (siehe unten). Falls Sie keine Sicherung Ihres geheimen Schlüssels haben oder das Passwort vergessen, das Sie für den exportierten Schlüssel vergeben haben, verlieren Sie den Zugriff auf alle damit verschlüsselten E-Mails. Verwalten Sie Ihre Passwörter mit einer Passwortverwaltung, zum Beispiel mit KeePassXC. Hier finden Sie mehr zur Passwortsicherheit.

3. Schlüsselpaar erstellen

1. Klicken Sie auf den Menübutton ≡ (oben rechts).
2. Klicken Sie auf Konten-Einstellungen.
3. Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
4. Klicken Sie im Abschnitt OpenPGP auf Schlüssel hinzufügen.
5. Lassen Sie Neuen OpenPGP-Schlüssel erzeugen ausgewählt und klicken Sie auf Fortfahren.
   • Stellen Sie sicher, dass die zu Ihrem E-Mail-Konto passende Identität ausgewählt ist.
   • Das Ablaufdatum sorgt dafür, dass Schlüssel, über die Sie die Kontrolle verloren haben, nach Ablauf nicht mehr genutzt werden können. Wir empfehlen, nicht mehr als fünf Jahre einzustellen. Das Ablaufdatum des Schlüssels kann jederzeit geändert werden.
   • Unter Erweiterte Einstellungen sollten Sie den Schlüsseltyp RSA ausgewählt lassen. Er bietet ausreichend Sicherheit. Mit der moderneren Alternative ECC haben einige E-Mail-Programme noch Probleme. Die Schlüsselgröße sollte auf 4096 gesetzt werden.
6. Klicken Sie auf Schlüssel erzeugen und im nächsten Dialog nach Lesen der Hinweise auf Bestätigen. Ihr Schlüsselpaar wird nun erzeugt.

4. Schlüsselpaar sichern

Für den Fall, dass Sie den Zugriff auf Ihre Thunderbird-Installation verlieren, sollten Sie das Schlüsselpaar unbedingt an einem weiteren Ort sichern. Nur dann können Sie Thunderbird auf einem anderen Gerät einrichten und dort Ihre E-Mails ver- und entschlüsseln.

1. Klicken Sie auf den Menübutton ≡ und dann auf Konten-Einstellungen.
2. Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.

3. Klicken Sie unter dem Bereich OpenPGP auf den kleinen Pfeil-Button rechts neben Ihrem angewählten Schlüssel und anschließend auf Mehr.
   

4. Wählen Sie die Option Sicherheitskopie für geheimen Schlüssel erstellen aus.

5. Wählen die den Ort aus, an dem Sie den geheimen Schlüssel speichern möchten. Wir empfehlen einen verschlüsselten externen Datenträger.
6. Wählen Sie im nächsten Schritt eine Passphrase aus, die Ihren geheimen Schlüssel vor unbefugtem Zugriff schützt. Sie muss beim Import des Schlüssels wieder eingegeben werden.

5. Eine verschlüsselte E-Mail schreiben

Nun sollten Sie Ihre Verschlüsselung testen.

1. Wählen Sie im Hauptbildschirm von Thunderbird links in der Leiste das E-Mail-Konto aus, für das Sie die Verschlüsselung eingerichtet haben. Klicken Sie oben in der Symbolleiste auf Neue Nachricht. Das Verfassen-Fenster öffnet sich. Tippen Sie zunächst ein paar Worte in den Betreff und in den Mail-Text.
2. Klicken Sie in der Menüleiste des Verfassen-Fensters auf den Button Verschlüsselung, der nun ein geschlossenes Vorhängeschloss zeigen sollte. Ihre E-Mail wird standardmäßig mit Ihrem privaten Schlüssel digital unterschrieben und Ihr öffentlicher Schlüssel beigefügt. Auch der Betreff der E-Mail wird verschlüsselt. Wollen Sie das Unterschreiben und die Verschlüsselung der Betreffzeile unterbinden, können Sie rechts daneben den Button OpenPGP anklicken und die entsprechenden Optionen deaktivieren.
   
3. Tragen Sie in das Adressatenfeld An: edward-de@fsf.org ein. Dies ist eine OpenPGP-Testadresse der Free Software Foundation (FSF), mit der Sie Ihre Einrichtung von OpenPGP prüfen können. Betreff und Nachrichteninhalt sind egal.
4. Thunderbird sollte Sie nun unten im Fenster mit einem gelben Banner warnen, dass es Probleme mit dem Schlüssel von edward-de@fsf.org gibt.
   Der Grund: Sie müssen Edwards Schlüssel erst noch den Ihnen bekannten Schlüsseln hinzufügen. Klicken Sie unten auf Beheben... und im neuen Pop-Up-Fenster auf Öffentliche Schlüssel online finden.... Thunderbird durchsucht nun einen Schlüsselserver nach einem passenden öffentlichen Schlüssel (hierzu später mehr). Falls die automatische Suche nicht erfolgreich ist, können Sie den Schlüssel manuell importieren. Mehr dazu weiter unten.
5. Wenn der Schlüssel gefunden worden ist, zeigt Thunderbird unter der Adresse "edward-de@fsf.org" die Nachricht Es wurde ein Schlüssel gefunden, der aber noch nicht akzeptiert wurde. Und dies vorzunehmen, klicken Sie auf den Button Beheben... rechts daneben.
6. Im nächsten Dialog wählen Sie den auf dem Schlüsselserver gefundenen Schlüssel 0x9FF2194CC09A61E8 aus und klicken auf Annehmen. Die Info, dass sich die E-Mail nun verschlüsseln lässt, können Sie per Klick Schließen.
7. Verschicken Sie die E-Mail mit einem Klick auf Senden. Kurz darauf sollten Sie von edward-de@fsf.org eine Antwort bekommen mit der Information, ob Ihre Verschlüsselung korrekt eingerichtet ist.

Wenn Sie das Verschlüsseln lieber mit einem Ihrer Kontakte ausprobieren wollen, lassen Sie sich dessen öffentlichen Schlüssel per E-Mail schicken. Im Anhang dieser E-Mail sollten Sie eine ASC-Datei finden. (Tipp: Eine ASC-Datei lässt sich auch mit jedem Texteditor öffnen.) Das ist der öffentliche Schlüssel, den Sie mit Rechtsklick auf die Datei im E-Mail-Anhang und der Auswahl von OpenPGP-Schlüssel importieren in Ihren Schlüsselspeicher übernehmen können. Im nächsten Fenster müssen Sie den Schlüssel akzeptieren, auf OK klicken und den erfolgreichen Import mit einem Klick auf OK bestätigen.

Hinweis: Man kann auch Schlüssel aus einer Datei importieren und/oder diese dort abspeichern.

6. Den öffentlichen Schlüssel teilen

Damit Ihnen verschlüsselte Mails geschrieben werden können, muss Ihr.e Gesprächspartner.in Ihren öffentlichen Schlüssel haben. Viele Wege führen hier zum Ziel:

• Schlüssel an die E-Mail hängen (geschieht standardmäßig, wenn Nachrichten unterschrieben werden)
• Fingerprint teilen (z. B. auf der Visitenkarte)
• Schlüssel auf der eigenen Website (z. B. unter Kontakt) veröffentlichen
• Schlüssel auf einen Schlüsselserver laden

Achtung: Nur den öffentlichen Schlüssel verschicken, hochladen und/oder veröffentlichen! Der private Schlüssel muss geheim bleiben.

Per E-Mail versenden

Sie können Ihren öffentlichen Schlüssel direkt an eine E-Mail hängen.

1. Wählen Sie im Hauptbildschirm von Thunderbird in der Leiste links das E-Mail-Konto aus, für das Sie die Verschlüsselung eingerichtet haben. Klicken Sie oben in der Symbolleiste auf Neue Nachricht.
2. Im neuen Fenster klicken Sie in der Menüleiste auf den Pfeil in der Schaltfläche Anhängen und wählen Meinen öffentlichen OpenPGP-Schlüssel aus. Wenn Sie den öffentlichen Schlüssel standardmäßig jeder E-Mail anhängen möchten, können Sie dies ebenfalls einstellen (siehe unten „Optional: Standardeinstellungen anpassen“).

Auf den Schlüsselserver hochladen

Damit es anderen möglichst leicht fällt, Ihnen verschlüsselte E-Mails zu schicken, laden Sie Ihren öffentlichen Schlüssel am besten auf einen Schlüsselserver hoch. Diese werden von vielen E-Mail-Programmen automatisch durchsucht, wenn der öffentliche Schlüssel zum Verschlüsseln einer E-Mail gebraucht wird. Der wichtigste Schlüsselserver ist keys.openpgp.org. Ihren Schlüssel dort zu veröffentlichen, sollte völlig ausreichen.

So laden Sie Ihren öffentlichen Schlüssel auf keys.openpgp.org hoch:

1. Exportieren Sie Ihren öffentlichen Schlüssel in Thunderbird.
   • Dazu klicken Sie auf den Menübutton ≡ (oben rechts) und dann auf Konten-Einstellungen.
   • Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
   • Klicken Sie im Abschnitt OpenPGP auf den kleinen Pfeil oben rechts neben Ihrem bereits ausgewählten Schlüssel und klicken Sie auf den neuen Button Mehr.
   • Klicken Sie auf Öffentlichen Schlüssel exportieren und wählen einen Speicherort aus.
2. Rufen Sie nun keys.openpgp.org in einem Webbrowser auf.
3. Klicken Sie auf Hochladen und anschließend auf Durchsuchen.... Wählen Sie Ihren gerade exportierten Schlüssel aus und drücken Sie anschließend auf die blaue Schaltfläche Upload.
4. Ihr öffentlicher Schlüssel liegt nun auf dem Schlüsselserver, aber die Identität (Name und E-Mail-Adresse), die zu dem Schlüssel gehört und ihn auffindbar macht, fehlt noch.
5. Lesen Sie nach dem Upload die Hinweise auf dem Schlüsselserver und drücken Sie den Button Bestätigungs-E-Mail senden.
6. In Ihrem Posteingang sollte dann eine E-Mail von keyserver@keys.openpgp.org ankommen, mit einem Bestätigungslink. Klicken Sie ihn an, um Ihre Identität auf dem Schlüsselserver zu veröffentlichen. Solange Sie Kontrolle über Ihr E-Mail-Konto haben, können Sie sie von dort auch wieder löschen.

Auf der eigenen Website

Insbesondere öffentliche E-Mail-Adressen sollten auf der Kontaktseite Ihrer Website mit dem Hinweis versehen sein, dass verschlüsselte Kommunikation möglich und erwünscht ist. Verlinken Sie dazu den öffentlichen Schlüssel der Person beziehungsweise Adresse, zum Beispiel direkt bei keys.openpgp.org. Wer von Schlüsselservern unabhängig sein möchte, kann zusätzlich oder stattdessen den öffentlichen Schlüssel auch auf der eigenen Website veröffentlichen. Dazu lädt man die Schlüsseldatei im Volltext auf den Webserver hoch und verlinkt sie oder kopiert den gesamten Schlüsseltext auf eine eigene Unterseite.

Checkliste

• Haben Sie in Thunderbird ein Hauptpasswort gesetzt, geprüft und im Idealfall in eine Passwortdatenbank eingetragen?
• Haben Sie ein OpenPGP-Schlüsselpaar generiert?
• Haben Sie das Schlüsselpaar auf einem externen Datenträger gesichert?
• Haben Sie Ihren öffentlichen Schlüssel – falls gewünscht – veröffentlicht, zum Beispiel auf Ihrer Website und auf dem Schlüsselserver keys.openpgp.org, oder mit Ihren Kommunikationspartner.innen den öffentlichen Schlüssel ausgetauscht?
• Haben Sie beim Versenden eingestellt, dass die E-Mail verschlüsselt ist?

Exkurse und optionale Einstellungen

Öffentliche Schlüssel anderer verifizieren

Bisher haben wir neue öffentliche Schlüssel einfach angenommen, damit eine Ende-zu-Ende-Verschlüsselung zustande kommt. Darauf, dass ein öffentlicher Schlüssel vom Schlüsselserver keys.openpgp.org der Besitzerin der E-Mail-Adresse gehört, kann man sich im Grunde verlassen. Um aber sicher zu sein, dass wirklich nur die adressierte Person zum Inhalt der E-Mail Zugang hat, sollten Sie den Schlüssel prüfen und verifizieren. Das geht mit einem Abgleich des Fingerabdrucks, einer eindeutigen Zeichenfolge zur Identifikation Ihres Schlüssels. So finden Sie ihn:

1. Klicken Sie auf den Menübutton ≡ und dann auf Konten-Einstellungen.
2. Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
3. Klicken Sie unter dem Bereich OpenPGP auf den kleinen Pfeil-Button rechts neben dem von Ihnen angewählten Schlüssel. Sie sehen nun den Fingerabdruck Ihres Schlüssels.

Wenn Sie den Fingerabdruck des öffentlichen Schlüssels Ihres Kontakts haben, können Sie den Schlüssel so verifizieren:

1. Ist die Ansicht Ende-zu-Ende-Verschlüsselung in Ihren Konteneinstellungen noch geöffnet, klicken Sie dort unter Ihrem Schlüssel den Button OpenPGP-Schlüssel verwalten an. Alternativ: Menübutton ≡ → Werkzeuge → OpenPGP-Schlüssel verwalten.
2. Im neuen Fenster suchen Sie in der Suchleiste nach dem Kontakt, den Sie verifizieren möchten. Doppelklicken Sie auf den Eintrag.
3. Sie finden nun viele Informationen zum Schlüssel beziehungsweise zur E-Mail-Adresse Ihres Kontakts, unter anderem den Fingerabdruck. Vergleichen Sie die Fingerabdrücke auf einem anderen Kanal miteinander (persönliches Treffen, Messenger, Telefonanruf). Wenn alles korrekt ist, wählen Sie Ja, ich selbst habe überprüft, dass der Schlüssel über den korrekten Fingerabdruck verfügt. Schließen Sie das Fenster dann mit einem Klick auf OK.

Wenn Sie den Fingerabdruck Ihres öffentlichen Schlüssels auf Flyer oder Visitenkarten drucken, können andere noch bequemer prüfen, ob sie den richtigen Schlüssel haben.

E-Mails digital unterschreiben

Um die Echtheit von E-Mails (Authentizität) sicherzustellen, können E-Mails mit dem eigenen Schlüssel unterschrieben werden. Jede Person (und jede E-Mail-Adresse), die sich sicher ist, dass Ihr öffentlicher Schlüssel wirklich zu Ihnen gehört (siehe „Schlüssel verifizieren“), kann sich sicher sein, dass nur Sie die Nachricht geschrieben haben können. Ob die Signatur der E-Mail okay ist, wird im rechten Bereich des E-Mail-Fensters angezeigt:

• Signaturzeichen mit grünem Pfeil: gute Signatur
• Signaturzeichen mit gelbem Dreieck: gute Signatur, Schlüssel nicht verifiziert
• Signaturzeichen mit rotem Dreieck: Signatur stimmt nicht mit Schlüssel überein
• kein Signaturzeichen: E-Mail unsigniert; für Einzelheiten auf OpenPGP klicken

Falls die Signatur nicht zum OpenPGP-Schlüssel passt, meldet Thunderbird mit einem roten Warndreieck, dass sie verändert wurde. Jemand könnte die E-Mail manipuliert oder den Inhalt verändert haben. Sie sollten größte Vorsicht walten lassen. Treten Sie in einem solchen Fall mit Ihrem Kontakt auf einem anderen Kanal in Verbindung.

Schlüsseldateien finden und manuell importieren

Klappt der automatische Import eines Schlüssels in Thunderbird nicht oder haben Sie aus einer anderen Quelle eine Schlüsseldatei bekommen (z. B. von einer Website oder dem Schlüsselserver keys.openpgp.org), können Sie den Schlüssel auch manuell importieren.

1. Klicken Sie den Menübutton ≡ an, dann auf Werkzeuge und anschließend auf OpenPGP-Schlüssel verwalten.
2. In der Menüleiste des neuen Fensters klicken Sie auf den Punkt Datei und dann auf Öffentliche(n) Schlüssel aus Datei importieren.
3. Wählen Sie nun die entsprechende Schlüsseldatei (der Dateiname endet meist auf .asc) aus und bestätigen Sie mit einem Klick auf Öffnen.
4. Anschließend werden Ihnen Informationen zu einem oder mehreren Schlüsseln angezeigt. Dabei können Sie direkt entscheiden, ob Sie den Schlüssel akzeptieren möchten. Klicken Sie anschließend auf Importieren.

Optional: Standardeinstellungen anpassen

Standardmäßig ist die Verschlüsselung von E-Mails nicht aktiv, muss also beim Versenden jeder E-Mail über den Button Verschlüsselung aktiviert werden. Gleiches gilt für das Anhängen des öffentlichen Schlüssels und das digitale Unterschreiben von E-Mails. Sie können diese Einstellungen für Ihr Konto ändern:

1. Klicken Sie auf den Menübutton ≡ und dann auf Konten-Einstellungen.
2. Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Ende-zu-Ende-Verschlüsselung.
3. Unter Senden von Nachrichten – Standardeinstellungen können Sie die Standards für die Verwendung der Verschlüsselung und das Unterschreiben von Nachrichten umstellen. Sollte Ihr Kontakt keine PGP-Verschlüsselung benutzen, muss diese dann manuell abgeschaltet werden. Unter Erweiterte Einstellungen können Sie einstellen, ob E-Mail-Betreff und Nachrichtenentwürfe ebenfalls verschlüsselt werden sollen und ob der öffentliche Schlüssel angehängt wird, wenn eine E-Mail digital unterschrieben wird.

Da HTML häufig dazu genutzt wird, Sicherheitsmaßnahmen zu untergraben, empfiehlt sich das ausschließliche Senden von Textmails.

1. Klicken Sie auf den Menübutton ≡ und dann auf Konten-Einstellungen
2. Klicken Sie links im Bereich des gewünschten Kontos auf den Punkt Verfassen & Adressieren.
3. Deaktivieren Sie unter dem Abschnitt Verfassen die Option Nachrichten im HTML-Format verfassen.

E-Mails auf dem Smartphone verschlüsseln

Auch auf Mobilgeräten können E-Mails mit OpenPGP verschlüsselt werden. Ihr bereits erstelltes Schlüsselpaar können Sie auf Ihr Smartphone importieren.

Achtung: Stellen Sie sicher, dass Betriebssystem und Apps Ihres Smartphones auf dem aktuellen Stand sind. Auf Geräten, die nicht mehr mit Updates versorgt werden, sollte E-Mail-Verschlüsselung nur in begründeten Ausnahmefällen eingerichtet werden.

Android

Unter Android können Sie mit einem E-Mail-Client wie K-9 Mail oder FairEmail, die Verschlüsselung unterstützen, und der OpenPGP-Schlüsselverwaltung OpenKeychain Nachrichten ver- und entschlüsseln.

• K-9 Mail
• FairEmail
• OpenKeychain

Eine detaillierte Anleitung zur Aktivierung der E-Mail-Verschlüsselung in K-9 Mail mit OpenKeychain finden Sie bei Mobilsicher.

Eine alternative Lösung unter Android ist p≡p.

iOS / iPadOS

Auf iOS und iPadOS können Sie Nachrichten mit PGPro durch OpenPGP ver- und entschlüsseln. Dies ist leider recht umständlich, da Sie die Nachrichteninhalte zwischen PGPro und Ihrer E-Mail-App hin- und herkopieren müssen.

• PGPro

Weitere Möglichkeiten finden Sie auf OpenGPG.org. Da es sich bei den dort gelisteten Alternativen nicht um freie Software handelt, können wir sie nicht empfehlen.

Die Rolle der Keyserver

So praktisch es auch ist, Schlüssel über öffentliche Schlüsselserver auszutauschen, so gibt es doch gewisse Risiken. Zum einen können Sie dort Ihren Schlüssel nicht mehr löschen. Deshalb ist es sinnvoll, vor der Veröffentlichung ein Widerrufszertifikat zu erstellen, mit dem Sie später den Schlüssel als ungültig markieren können. Zum anderen machen Sie so auch Ihre E-Mail-Adresse öffentlich.

Auf ältere Schlüsselserver können beliebige Schlüssel ohne Überprüfung hochgeladen werden – mit erheblichem Missbrauchspotenzial. Wir empfehlen den Serverkeys.openpgp.org, denn hier wird jede E-Mail-Adresse eines Schlüssels geprüft, bevor sie eingetragen wird.

Normalerweise ist dieser Schlüsselserver bereits voreingestellt.

Weiterführende Links

• Free Software Foundation: weitere Schritt-für-Schritt-Anleitungen auf Englisch
• Offizielle Hinweise zu OpenPGP in Thunderbird
• Anleitung zur Einrichtung von OpenPGP in Thunderbird von Ende Gelände Hamburg
• Artikel von Mike Kuketz zu Thunderbird:
  • Anpassung der Konfiguration
  • Empfehlungen für Einrichtung und Add-ons
  • E-Mail Verschlüsselung mit GnuPGP als Supergrundrecht
• Mobilsicher.de zur E-Mail-Verschlüsselung auf Mobilgeräten

---

Digitalcourage setzt sich für Ihre Privatsphäre und Ihre Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.

---