E-Mails verschlüsseln

E-Mail-Verschlüsselung ist nicht mehr so kompliziert wie früher. Was sich dahinter verbirgt und wie Sie Ihre Mails verschlüsseln, zeigen wir in diesem Artikel.

Wozu dient E-Mail-Verschlüsselung?

Die naheliegendste Antwort auf diese Frage ist, dass Verschlüsselung dem Schutz der Vertraulichkeit dient. Das heißt, die Nachricht ist nur für diejenigen lesbar, für die sie bestimmt ist. Dies ist bei weitem nicht selbstverständlich, denn der Inhalt unverschlüsselter E-Mails wird im Klartext versendet und ist somit grundsätzlich für alle lesbar.

Daneben hat die Verschlüsselung unserer digitalen Kommunikation das Ziel, sicherzustellen, dass wir wirklich mit den Personen kommunizieren, mit denen wir zu kommunizieren glauben (Schutz der Authentizität). Durch die Verschlüsselung wird auch garantiert, dass der Inhalt der Nachricht auf dem Weg von Absender zu Empfänger nicht verändert wird (Schutz der Integrität).

Wie verschlüsseln?

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.
Der erste Schritt ist, dass Sie Ihre Mails nicht im Browser verwalten, sondern auf Ihrem Rechner ein E-Mail-Programm wie zum Beispiel Thunderbird, The Bat!, Microsofts Outlook oder Apples Mail installieren. Dadurch schreiben Sie Ihre E-Mails zunächst einmal nur auf Ihrem eigenen Computer, ohne dass der Text Zeichen für Zeichen ins Internet übertragen wird. Erst durch das Abschicken (oder Zwischenspeichern) verlässt die Nachricht Ihren Computer und geht ins Internet. Im besten Fall ist sie dann verschlüsselt, und niemand außer dem Empfänger kann sie lesen.

Verschlüsseln Sie deshalb Ihre E-Mails, zum Beispiel mit PGP. PGP steht für „Pretty Good Privacy“ (zu deutsch: „ziemlich gute Privatsphäre“), und wurde Anfang der 1990er Jahre von Phil Zimmermann entwickelt. Früher brauchte man für die Nutzung ein ganzes Handbuch(PDF), das wir schon in den 1990er Jahren herausgebracht haben.

In der Zwischenzeit ist es mit der Thunderbird-Erweiterung Enigmail, die auf der modernen PGP-Reimplementierung GnuPG aufbaut, richtig einfach geworden. GnuPG gibt es für verschiedene Betriebssysteme .So gibt es beispielsweise unter Mac OS X ein AppleMail-Plugin. Für Windows gibt es Gpg4win.

GnuPG

Detaillierte Anleitungen gibt es unter anderem von der Free Software Foundation, dem Verbraucher-sicher-online-Projekt der TU Berlin oder als Video-Tutorial. Am meisten Spaß macht das Einrichten von GnuPG bei einer Cryptoparty, und dabei können alle ihre Schlüssel gegenseitig beglaubigen, um ein Web of Trust [Achtung: nicht verwechseln mit dem gleichnamigen Datenkraken-Addon WOT] zu weben.

Aber bedenken Sie: Bei der Verschlüsselung von E-Mails werden nur die Inhalte verschlüsselt. (Um auch Anhänge zu verschlüsseln, achten Sie darauf, das Übertragungsformat PGP/MIME und nicht PGP/inline zu verwenden!) Absender und Empfänger sind trotzdem sehr leicht einsehbar. Auch der Betreff (engl.: Subject) der E-Mail wird nicht verschlüsselt. Diese Informationen werden Metadaten genannt und sind von der Verschlüsselung ausgenommen. Das wird erst mit p≡p 2.0 anders.

Verschlüsselte Kommunikation leicht gemacht: p≡p

Aktuell ist es immer noch der Normalfall, dass E-Mails nicht Ende-zu-Ende-verschlüsselt übertragen werden, sondern allenfalls streckenweise. Auch wenn E-Mail-Verschlüsselung einfach erlernbar und leicht handhabbar ist, ist eine Einarbeitung in das Thema erforderlich.

Digitalcourage wirkt. Wirken Sie mit!

Volker Birk hat es sich mit seinem Projekt p≡p („pretty Easy privacy“) zum Ziel gesetzt, diesen Zustand umzukehren: Wo immer möglich, sollen E-Mails und andere digitale Nachrichten verschlüsselt werden. Verschlüsselung soll ziemlich einfach („easy“) statt nur ziemlich gut („good“) werden. Im Interview mit Digitalcourage und im Deutschlandfunk erklärt er, warum ungeprüfte Verschlüsselung besser ist als gar keine Verschlüsselung, und dass „p≡p ein Kostenoptimierungssystem für die Massenüberwachung ist, da diese optimal teuer wird“.

Die Grundidee von p≡p betonte Volker Birk Ende November nochmals auf der Public Domain im Bielefelder Bunker Ulmenwall. Dazu gibt es eine zehnminütige Zusammenfassung mit dem wichtigsten bei Vimeo.

P=P Vorstellung Bunker

Ist p≡p einmal installiert, sucht es automatisch nach vorhanden PGP-Schlüsseln oder anderen Kryptostandards, um diese zu nutzen. Ist kein PGP installiert, erstellt es automatisch selbst Schlüssel zur Verwendung – sollte absolut keine Verschlüsselung möglich sein, etwa weil der Gesprächspartner keine Möglichkeit bietet, wird die Nachricht unverschlüsselt verschickt.

Das Projekt ist dabei nicht der nächste Kryptomessenger im ohnehin schon unübersichtlichem Messenger-Dschungel, sondern als p≡p-Engine eine Programmbibliothek, die sich durch „Adapter“ in vorhandene Programme einbetten lässt. Somit kann sich p≡p einfach verbreiten und es wird eine Ein-Klick-Lösung zur Verschlüsselung sein.

Mit p≡p wird Verschlüsselung nicht nur einfacher, sondern auch sicherer: Als Transportschicht wird es ab Version 2.0 das anonyme GnuNet einsetzen, wodurch auch Metadaten verschlüsselt sind.

P=P Screenshot

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Im September 2015 gaben Enigmail und p≡p bekannt, dass sie gemeinsam den p≡p-Adapter für Enigmail entwickeln. Sollte Mozilla sich entschließen, Thunderbird nicht mehr zu pflegen, wird das p≡p-Projekt das gemeinsam mit der Thunderbird-Community übernehmen.

2015 wurde nicht nur die Software weiterentwickelt (zum Beispiel Adapter für Android und iOS), sondern auch – zum Teil über CrowdfundingInvestoren gewonnen, neue Entwickler.innen eingestellt und dem Projekt eine Stiftung zur Seite gestellt, um dafür zu sorgen, dass p≡p unabhängig und frei bleibt und nie seine Ziele verrät. Digitalcourage ist mit Rena Tangens und padeluun im Rat der Stiftung vertreten. Anfang 2016 wurde das Projekt mit einem SUMA-Award ausgezeichnet. Im Oktober 2016 wurde ein erstes Code-Audit veröffentlicht, also eine Überprüfung des Programmcodes der Kern-Komponente durch eine unabhängige IT-Sicherheitsfirma.

Zur Zeit ist die p≡p-Software erhältlich in der Version 1 für Microsoft Outlook und in einer Testversion für Android. Das Outlook-plugin funktioniert mit Windows 7, 8.1 und 10 (32 und 64bit) auf Microsoft Outlook 2010, 2013 und 2016. Wenn Sie Neuigkeiten über p≡p auf keinen Fall verpassen wollen, dann abonnieren Sie am besten den Digitalcourage-Newsletter.


Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 3.12.2016. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Links zum p≡p-Vortrag auf unserem Vimeo-Kanal:

Bilder
Email: Sean MacEntee auf flickr (CC BY 2.0)
GnuPG Logo: GnuPG CC BY-SA 3.0
Screenshot: Aus dem Vimeo Video von Digitalcourage unter CC BY-SA 3.0

Veröffentlicht am 01.01.2016

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld