E-Mails verschlüsseln mit OpenPGP

In diesem Artikel gehen wir darauf ein, warum es wichtig ist, E-Mails zu verschlüsseln, wie das genau funktioniert und geben im Anschluss eine Schritt-für-Schritt Anleitung, wie die entsprechenden Apps oder Programme auf einem Endgerät zu installieren und einzurichten sind. Einen vertrauenswürdigen E-Mail-Anbieter haben Sie hoffentlich schon.

Inhaltsübersicht:

  1. Warum E-Mails verschlüsseln?

  2. Wie funktioniert E-Mail-Verschlüsselung?

  3. Empfohlene Verschlüsselungs-Software

  4. Schritt-für-Schritt-Anleitung für den PC

  5. Schritt-für-Schritt-Anleitung für Android

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Warum E-Mails verschlüsseln?

E-Mails werden herkömmlich im Klartext versendet, sind also grundsätzlich für alle lesbar. Um das zu ändern und den Schutz der Vertraulichkeit zu gewährleisten, ist es notwendig, die Nachricht Ende-zu-Ende zu verschlüsseln. Das heißt, dass nur Absender und Empfänger den Inhalt der Nachricht lesen können. Dieser Schutz der Vertraulichkeit ist ein Grundrecht, das jedem Bürger zusteht.

Daneben hat die Verschlüsselung unserer digitalen Kommunikation das Ziel, sicherzustellen, dass wir wirklich mit den Personen kommunizieren, mit denen wir zu kommunizieren glauben (Schutz der Authentizität). Außerdem wird auch garantiert, dass der Inhalt der Nachricht auf dem Weg vom Absender zum Empfänger nicht verändert wird (Schutz der Integrität).

Dieses Video erklärt sehr anschaulich, wie die Verschlüsselung funktioniert und warum es sich lohnt, diese einzusetzen.

Wie funktioniert E-Mail-Verschlüsselung?

Die hier empfohlene Verschlüsselungssoftware besteht aus einem öffentlichen Schlüssel ("public key") und einem privaten Schlüssel ("private key"). Beide zusammen bilden ein Schlüsselpaar. Zum besseren Verständnis wollen wir den öffentlichen Schlüssel besser öffentliches Schloss nennen, denn zum Absichern von Gegenständen verwenden wir ja auch ein Schloss zusammen mit einem Schlüssel. Lediglich in den Schritt-für-Schritt Anleitungen weichen wir davon ab, um konsistent mit den Menüpunkten in der Verschlüsselungssoftware zu sein.

Der private Schlüssel ist wie ein Hausschlüssel, weil ihn niemand ausser der Person selbst besitzen darf. Er wird eingesetzt, wenn E-Mails entschlüsselt werden.

Das öffentliche Schloss hingegen ist für die Allgemeinheit bestimmt und kann z.B. auf öffentlichen Schlüsselservern ("key server") hochgeladen werden. Ein Schlüsselserver ist wie eine Art Telefonbuch, wo jede Person ihren öffentlichen Schlüssel hochladen kann. Später gehen wir noch detailliert auf diese Server ein. Die Leute können nun das öffentliche Schloss von dort herunterladen und es benutzen, um Ihnen verschlüsselte E-Mails zu verschicken. Dazu nehmen sie das öffentliche Schloss und sperren damit den Inhalt der Nachricht zu. Jetzt kann die E-Mail nur noch von der Person geöffnet werden, die den zu diesem öffentlichen Schloss gehörenden privaten Schlüssel besitzt, also von Ihnen.

Um sicher zu gehen, dass die E-Mail auch wirklich auf dem lokalen Rechner verschlüsselt wird und erst dann über das Internet verschickt wird, sollte das Schreiben von E-Mails in Browsern vermieden werden und ein lokaler E-Mail Client verwendet werden. Dazu empfehlen wir auch dieses Video.

Empfohlene Verschlüsselungssoftware

Für den PC:

Wir empfehlen den freien E-Mail Client Thunderbird von Mozilla. Es ist erhältlich für Linux, Mac und Windows. Daneben benötigt man noch das Add-on Enigmail.

Alternativ kann man für AppleMail auch GPGMail oder für Microsoft Outlook GPG4win verwenden, diese werden aber hier nicht berücksichtigt.

Für das Smartphone (Android):

Wir empfehlen den freien E-Mail Client K-9 Mail in Kombination mit dem Verschlüsselungstool OpenKeychain.

Alternativ kann auch FairEmail verwendet werden, das ebenfalls mit OpenKeychain zusammenarbeitet. Unsere Anleitung bezieht sich auf K-9 Mail.

Eine Liste mit allen verfügbaren Clients und Add-ons finden Sie hier.

Vorsicht: Private Schlüssel auf mobilen Endgeräten können mit diesen verloren gehen! Deshalb verwenden Sie unbedingt eine Displaysperre. Verschlüsseln Sie zusätzlich den Datenträger oder verwenden Sie eine sichere Passphrase für den privaten Schlüssel.

Schritt-für-Schritt-Anleitung für den PC

1. Konto im E-Mail Programm anlegen

Falls Sie es noch nicht gemacht haben: Sie öffnen das E-Mail-Programm (z.B. Thunderbird) und folgen für die Konfiguration der Anleitung des Assistenten. Stellen Sie sicher, dass Sie bereits über ein E-Mail-Postfach verfügen (z.B. bei Posteo oder Mailbox) und geben Sie die Zugangsdaten für Ihr Postfach ein, sobald sie dazu aufgefordert werden. Sollte der Konfigurationsassistent nicht automatisch starten, können Sie auch in den Konteneinstellungen ein neues E-Mail-Konto hinzufügen.

2. Enigmail-Add-on installieren und konfigurieren

Öffnen Sie das Thunderbird-Menü über den ≡-Menübutton oben rechts und klicken Sie Add-ons -> Add-ons. Klicken Sie anschließend links auf Erweiterungen und suchen Sie über das Suchfeld oben rechts nach Enigmail und installieren Sie das Add-on. Eventuell müssen Sie Thunderbird neustarten, damit alle Änderungen angewendet werden.

Standardmäßig startet Enigmail häufig im sogenannten Junior-Modus, in dem Sie das Verhalten des Add-ons kaum anpassen können. Wir empfehlen ihn zu deaktivieren. Falls Sie in Ihrem Thunderbird-Menü den Punkt Enigmail/p≡p finden sollten, ist er aktiviert. In diesem Fall klicken Sie Enigmail/p≡p und anschließend Einstellungen an. Im neuen Fenster klicken Sie den zweiten Reiter Kompatibilität an. Dort wählen Sie unter Enigmail Junior-Modus die Option Nutzung von S/MIME und Enigmail erwzingen aus. Schließen Sie danach das Fenster.

3. Schlüssel erstellen

Entweder können Sie nun direkt zu Schritt 4 springen - der Junior-Modus hat bereits ein Schlüsselüpaar mit einer Gültigkeitsdauer von einem Jahr für Sie erstellt. Oder Sie erstellen sich ein Schlüsselpaar, das Sie längere Zeit - normalerweise fünf Jahre - nutzen können. Dazu sollten Sie zuerst das durch den Junior-Modus erstellte Schlüsselpaar entfernen: Klicken Sie im Thunderbird-Menü (≡-Menübutton) Enigmail -> Schlüssel verwalten... an. Rechtsklicken Sie den in fetter Schrift vorhanden Schlüsseleintrag, der Ihren Namen bzw. Ihr Mailkonto trägt und klicken Sie auf Schlüssel löschen. Es kann nicht schaden, das Schlüsselpaar in eine Datei zu exportieren (Enigmail -> Schlüssel verwalten... -> Schlüssel rechtsklicken -> In Datei exportieren...), falls Sie einen Fehler machen.

Wählen Sie nun im Thunderbird-Menü Enigmail -> Einrichtungsassistent und folgen Sie den Anweisungen. Der Einrichtungsassistent wird Sie auch durch die Installation von GnuPG leiten, falls dieses auf Ihrem Rechner noch nicht installiert ist. Dazu finden Sie hier auch weitere Informationen. Anschließend sollten Sie das Schlüsselpaar mit einer starken Passphrase schützen, damit der Schlüssel auch sicher ist, wenn Sie ihn z.B. aus Versehen weitergeben sollten. Dazu klicken Sie im Thunderbird-Menü auf Enigmail -> Schlüssel verwalten... an. Rechtsklicken Sie den in fetter Schrift vorhanden Schlüsseleintrag, der Ihren Namen bzw. Ihr Mailkonto trägt und klicken Sie auf Passphrase ändern. Die Passphrase bitte gut merken, denn sollten Sie sie einmal vergessen, können Sie keine E-Mails mehr entschlüsseln. Falls Sie die Passphrase aufschreiben sollten (was wir nicht empfehlen), bewahren Sie sie nicht in der Nähe von Ihrem Rechner auf.

Sollte der Menüpunkt Einrichtungsassistent bei Ihnen fehlen, können Sie auch auf Enigmail -> Schlüssel verwalten... -> Erzeugen -> Schlüsselpaar klicken.

Tipp: Wie lange sich Enigmail die Passphrase merkt, können Sie im Menü Enigmail -> Einstellungen -> Allgemein festlegen. Es ist besser, hier mehrere Stunden Merkzeit einzugeben, statt eine kurze Passphrase zu verwenden, die leicht geknackt werden kann.

4. Eigenen öffentlichen Schlüssel versenden (optional, empfohlen)

Beim Versenden einer neuen Nachricht im Menü Enigmail -> Meinen öffentlichen Schlüssel anhängen wählen. Der Empfänger kann diesen dann importieren und von nun an verschlüsselte E-Mails an den Sender schicken. Wenn das Feld nicht aktivierbar ist, müssen Sie über das Thunderbird-Menü in Einstellungen -> Konten-Einstellungen -> jeweiliges Konto -> OpenPGP-Sicherheit den eigenen Schlüssel bei Bestimmte OpenPGP-Schlüsselkennung verwenden wählen.

Tipp: Wenn Sie den öffentlichen Schlüssel standardmäßig mitschicken wollen (was wir empfehlen), gehen Sie in Konten-Einstellungen -> jeweiliges Konto -> OpenPGP-Sicherheit auf Erweitert und wählen Sie Öffentlichen Schlüssel an Nachrichten anhängen.

5. Eigenen öffentlichen Schlüssel auf öffentlichen Schlüsselserver hochladen (optional)

Sie wählen im Thunderbird-Menü Enigmail -> Schlüssel verwalten aus, machen einen Rechtsklick auf Ihren eigenen Schlüssel und wählen Öffentlichen Schlüssel auf Schlüsselserver hochladen. Wählen Sie dann den voreingestellten Server.

Hinweis: Es ist zwar praktisch, dass es so einfach ist, über die öffentlichen Schlüsselserver Schlüssel seiner Kommunikationspartner auszutauschen, allerdings birgt das auch gewisse Risiken: Zum einen können Sie den Schlüssel von dort nicht mehr löschen. Ihre E-Mail Adresse ist somit für jede Person einsehbar. Auf älteren Schlüsselservern kann zudem ohne Überprüfung jede Person jeden beliebigen Schlüssel hochladen - das birgt hohes Missbrauchspotenzial. Daher empfehlen wir die Nutzung des Servers keys.openpgp.org, bei dem die E-Mail-Adresse des Schlüssels vor Eintragung überprüft wird. Normalerweise ist dieser Schlüsselserver bereits voreingestellt.

6. Öffentliche Schlüssel anderer herunterladen (optional)

Um anderen eine verschlüsselte Nachricht zu schicken, benötigen Sie deren öffentliche Schlüssel. Den bekommen Sie entweder vom Kommunikationspartner per E-Mail (siehe Punkt 4) oder Sie laden ihn von einem öffentlichen Schlüsselserver herunter, falls der Schlüssel dort existiert (siehe Punkt 5). Dazu wählen Sie im Thunderbird-Menü Enigmail -> Schlüssel verwalten -> Schlüsselserver -> Schlüssel suchen... und geben die E-Mail-Adresse des Kommunikationspartners ein. Sollte der Schlüssel nicht gefunden werden, probieren Sie die Suche auf einem der anderen Schlüsselserver.

Hinweis: Beim Verfassen von neuen E-Mails erkennt Enigmail automatisch, wenn Sie bereits einen Schlüssel Ihrer Kommunikationspartner importiert haben und zeigt dies oben mit einem geschlossenen Schloss an. Durch manuelles klicken auf dieses Schloss können Sie die Verschlüsselungen auch wieder unterbinden (nicht empfohlen).

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Schritt-für-Schritt-Anleitung für das Smartphone (Android)

1. Konto in K-9 Mail anlegen

Nachdem Sie die App K-9 Mail aus F-Droid (oder alternativ Google Play Store) installiert haben, öffnen Sie diese und geben die Zugangsdaten zu Ihrem bereits bestehen E-Mail Account (z.B. bei Posteo, Mailbox) ein.

2. OpenKeychain installieren und Schlüssel erstellen

Nach der Installation der app OpenKeychain aus F-Droid (oder alternativ Google Play Store), öffnen Sie diese und Drücken Sie oben rechts auf den Drei-Punkte-Button und dort auf Meine Schlüssel verwalten. Tippen Sie anschließend auf Meinen Schlüssel erzeugen. Geben Sie nun Ihren Namen und Ihre E-Mail Adresse ein. Bevor Sie den Schlüssel final erzeugen, werden Sie noch gefragt, ob Sie den Schlüssel auf einem Schlüsselserver hochladen möchten.

3. Öffentlichen Schlüssel auf Schlüsselserver hochladen (optional)

Nachdem der Schlüssel erstellt wurde, haben Sie die Möglichkeit die Option Auf Schlüsselserver veröffentlichen zu wählen. Was sich dahinter verbirgt entnehmen Sie bitte der Anleitung für den PC, Punkt 5.

4. Passwort für privaten Schlüssel wählen (empfohlen)

Leider sieht der aktuelle Stand vor, dass der neu erzeugte Schlüssel noch nicht mit einem Passwort geschützt ist. Gerade auf mobilen Endgeräten ist es aber wichtig, diesen zusätzlich zu schützen. Tippen Sie dazu in der OpenKeychain App auf Ihren Schlüssel. Rechts oben tippen Sie auf den Drei-Punkte-Button. Dort finden Sie den Punkt Passwort ändern.

Tipp: Auch wenn das Tippen von starken Passwörtern auf dem Mobilgerät etwas aufwändiger ist als mit einer richtigen Tastatur, sollten Sie ein starkes Passwort wählen. Wenn Sie von K-9 Mail dazu aufgefordert werden ihr Passwort einzugeben, können Sie wählen wie lange sich das Gerät das Passwort merkt. Wählen Sie hier lieber einen längeren Zeitraum als an der Stärke des Passworts zu sparen.

5. K-9 Mail mit OpenKeychain bekannt machen

Bisher sind die beiden Apps noch separiert. Um einen reibungslosen Ablauf zu gewährleisten, gehen Sie in K-9 Mail auf Einstellungen -> Globale Einstellungen -> Kryptographie -> OpenPGP App und wählen dort OpenKeychain aus.

6. Eigenen Schlüssel in K-9 Mail importieren

Anschließend wählen Sie Ihr Konto aus und gehen Sie auf Einstellungen -> Kontoeinstellungen -> Kryptographie -> Meine Schlüssel und wählen den in Punkt 2 erstellten Schlüssel aus.

7. Öffentliche Schlüssel anderer herunterladen (optional)

Um anderen eine verschlüsselte Nachricht zu schicken, benötigen Sie deren öffentliche Schlüssel. Den bekommen Sie entweder vom Kommunikationspartner per E-Mail oder Sie laden ihn von einem öffentlichen Schlüsselserver herunter, falls der Schlüssel dort existiert. Dazu tippen Sie in OpenKeychain auf das Plus-Symbol unten rechts und wählen Schlüsselsuche und geben die E-Mail Adresse des Kommunikationspartners ein. Sollte der Schlüssel nicht gefunden werden, probieren Sie die Suche auf einem der anderen Schlüsselserver. Andere Schlüsselserver können Sie unter Einstellungen -> Schlüsselsuche -> OpenPGP-Schlüsselserver verwalten anwählen.

Achtung: Anders als in Thunderbird gibt es momentan noch keine automatische Verschlüsselung, wenn Sie eine E-Mail an jemanden schreiben, dessen Schlüssel Sie bereits importiert haben. Sie müssen jedes Mal in der neu verfassten E-Mail oben rechts auf das Schloss tippen, sodass dieses Grün erscheint. Anders ist es beim Antworten auf eine Verschlüsselte E-Mail.

8. Eigenen öffentlichen Schlüssel versenden (empfohlen)

Tippen Sie in OpenKeychain auf Ihren Schlüssel. Wenn Sie nun auf das Symbol zum Teilen tippen, haben Sie die Möglichkeit den öffentlichen Schlüssel über Ihre installierten Messenger oder aber über die K-9 Mail zu versenden. Wenn Sie die K-9 Mail App verwenden, wird automatisch eine neue E-Mail erstellt und Sie können den gewünschten Empfänger eintragen. Dass Ihr Schlüssel angehangen ist, sehen Sie an einer Datei, die auf .asc endet.

Änderungen:

  • 20.12.2019: Artikel wurde grundsätzlich überarbeitet: Einfügen der Schritt-für-Schritt Anleitungen, Entfernen der langen Ausführungen zu p≡p.

Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 20.12.2019. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Weiterführende Links
Free Software Foundation: Weitere Schritt-für-Schritt Anleitungen in mehreren Sprachen
Mike Kuketz: E-Mail Verschlüsselung mit GnuPGP als Supergrundrecht

Veröffentlicht am 01.01.2016

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld