E-Mails verschlüsseln mit OpenPGP

E-Mail-Verschlüsselung ist nicht mehr so kompliziert wie früher. Was sich dahinter verbirgt und wie Sie Ihre Mails verschlüsseln, zeigen wir in diesem Artikel.

In diesem Artikel gehen wir darauf ein, warum es wichtig ist, E-Mails Ende-zu-Ende zu verschlüsseln und wie das genau funktioniert. Mit unserer Schritt-für-Schritt-Anleitung können Sie die entsprechenden Apps oder Programme auf einem Endgerät installieren und einrichten. Einen vertrauenswürdigen E-Mail-Anbieter haben Sie hoffentlich schon.

Inhaltsübersicht:

  1. Warum E-Mails verschlüsseln?
  2. Wie funktioniert E-Mail-Verschlüsselung?
  3. Empfohlene Verschlüsselungs-Software
  4. Schritt-für-Schritt-Anleitung für den PC
  5. Schritt-für-Schritt-Anleitung für Android
  6. Die Rolle der Keyserver

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Warum E-Mails verschlüsseln?

E-Mails werden herkömmlich im Klartext versendet, sind also grundsätzlich für alle lesbar. Um das zu ändern und den Schutz der Vertraulichkeit zu gewährleisten, ist es notwendig, die Nachricht Ende-zu-Ende zu verschlüsseln. Das heißt, dass nur Absender.in und Empfänger.in den Inhalt der Nachricht lesen können. Dieser Schutz der Vertraulichkeit ist ein Grundrecht, das allen Bürgerinnen und Bürgern zusteht.

Grundsätzlich gibt es drei Arten der Verschlüsselung: die Ende-zu-Ende-Verschlüsselung, die Postfachverschlüsselung und die Transportverschlüsselung.

Die Transportverschlüsselung ist (fast) überall im Einsatz und stellt lediglich sicher, dass die E-Mail auf dem Weg von Ihrem Endgerät zum Server Ihres E-Mail-Anbieters verschlüsselt wird. Was danach passiert, können Sie leider nicht beeinflussen.

Die Postfachverschlüsselung stellt lediglich sicher, dass die E-Mails auf dem Server Ihres E-Mail-Anbieters verschlüsselt gespeichert werden. Selbst mit den beiden Verschlüsselungen ist der Inhalt der E-Mail immer noch nicht durchgängig geschützt.

Daher ist es notwendig, Ende-zu-Ende zu verschlüsseln, sodass die gesamte Transportkette von Ihrem Endgerät über die Webserver der E-Mail-Anbieter bis zum Endgerät Ihres Kommunikationspartners gesichert ist.

Daneben hat die Verschlüsselung unserer digitalen Kommunikation das Ziel, sicherzustellen, dass wir wirklich mit den Personen kommunizieren, mit denen wir zu kommunizieren glauben (Schutz der Authentizität). Außerdem wird garantiert, dass der Inhalt der Nachricht auf dem Weg von der Absenderin zum Empfänger nicht verändert wird (Schutz der Integrität).

Dieses Video erklärt sehr anschaulich, wie die Verschlüsselung funktioniert und warum es sich lohnt, sie einzusetzen.

Wie funktioniert E-Mail-Verschlüsselung?

Die hier empfohlene Verschlüsselungssoftware besteht aus einem öffentlichen Schlüssel ("public key") und einem privaten Schlüssel ("private key"). Beide zusammen bilden ein Schlüsselpaar.

Hinweis: Zum besseren Verständnis nennen wir den öffentlichen Schlüssel öffentliches Schloss ; denn zum Absichern von Gegenständen verwenden wir ja auch Schloss und Schlüssel. Lediglich in den Schritt-für-Schritt-Anleitungen weichen wir davon ab, um konsistent mit den Menüpunkten der Verschlüsselungssoftware zu sein.

Der private Schlüssel ist wie ein Hausschlüssel, weil ihn niemand außer der Person selbst besitzen darf. Er wird eingesetzt, wenn E-Mails entschlüsselt werden.

Das öffentliche Schloss hingegen ist für die Allgemeinheit bestimmt und kann z.B. auf öffentlichen Schlüsselservern ("key server") hochgeladen werden.

Ein Schlüsselserver ist wie eine Art Telefonbuch, in das jede Person ihren öffentlichen Schlüssel hochladen kann (siehe Absatz 5).

Von dort können andere das öffentliche Schloss herunterladen und nutzen, um Ihnen verschlüsselte E-Mails zu schicken.

Mit dem öffentlichen Schloss sperren sie den Inhalt der Nachricht zu. Damit kann die E-Mail nur noch von der Person geöffnet werden, die den passenden privaten Schlüssel hat, also von Ihnen.

Empfohlene Verschlüsselungssoftware

Sie wollen sichergehen, dass Ihre E-Mail auf dem lokalen Rechner verschlüsselt und erst dann über das Internet verschickt wird? Dann vermeiden Sie es, E-Mail über den Browser zu veschicken, sondern nutzen Sie Ihren lokalen E-Mail-Client. Dazu empfehlen wir auch dieses Video.

Für den PC:

Wir empfehlen den freien E-Mail-Client Thunderbird von Mozilla. Er ist erhältlich für Linux, Mac und Windows. Für ältere Thunderbird-Versionen (<78) benötigen Sie zusätzlich das Add-on Enigmail.

Alternativ können Sie Apple Mail mit GPGMail oder Microsoft Outlook mit GPG4win verwenden (diese werden in diesem Artikel aber nicht beschrieben).

Für das Smartphone (Android):

Benutzen Sie zum Lesen und Schreiben nicht die Apps Ihres E-Mail-Anbieters. Diese können z.B. mittels Tracking Ihre Interaktionen aufnehmen und versendete Links manipulieren. So kann Ihr Anbieter mitbekommen, wenn Sie auf einen Link klicken. Benutzen Sie besser einen E-Mail-Client.

Wir empfehlen den freien E-Mail-Client K-9 Mail in Kombination mit dem Verschlüsselungstool OpenKeychain.

Alternativ können Sie auch FairEmail verwenden, das ebenfalls mit OpenKeychain zusammenarbeitet. Unsere Anleitung bezieht sich auf K-9-Mail.

Eine Liste mit allen verfügbaren Clients und Add-ons finden Sie hier.

Vorsicht: Wenn Sie Ihr mobiles Endgerät verlieren, verlieren Sie damit auch Ihre privaten Schlüssel. Verwenden Sie deshalb unbedingt eine Displaysperre. Verschlüsseln Sie zusätzlich den Datenträger oder verwenden Sie eine sichere Passphrase für den privaten Schlüssel.

Schritt-für-Schritt Anleitung für den PC

Mit Thunderbird Version 78 oder höher

1. Konto im E-Mail-Programm anlegen

Öffnen Sie das E-Mail-Programm Thunderbird und folgen Sie der Anleitung des Konfigurationsassistenten. Stellen Sie sicher, dass Sie bereits über ein E-Mail-Postfach verfügen (z.B. bei Posteo oder Mailbox) und geben Sie die Zugangsdaten für Ihr Postfach ein, sobald sie dazu aufgefordert werden. Sollte der Konfigurationsassistent nicht automatisch starten, können Sie in den Konteneinstellungen ein neues E-Mail-Konto hinzufügen.

2. E-Mail-Verschlüsselung aktivieren

Haben Sie einen Thunderbird in Version 78 oder höher finden Sie hier eine Anleitung, wie Sie die Verschlüsselung aktivieren.

Mit Thunderbird mit niedrigerer Versionsnummer als 78

1. Konto im E-Mail-Programm anlegen

Öffnen Sie das E-Mail-Programm Thunderbird und folgen Sie der Anleitung des Konfigurationsassistenten. Stellen Sie sicher, dass Sie bereits über ein E-Mail-Postfach verfügen (z.B. bei Posteo oder Mailbox) und geben Sie nach Aufforderung die Zugangsdaten für Ihr Postfach ein. Sollte der Konfigurationsassistent nicht automatisch starten, können Sie in den Konteneinstellungen ein neues E-Mail-Konto hinzufügen.

2. Enigmail-Add-on installieren und konfigurieren

Öffnen Sie das Thunderbird-Menü über den ≡-Menübutton oben rechts und klicken Sie Add-ons -> Add-ons. Klicken Sie anschließend links auf Erweiterungen und suchen Sie über das Suchfeld oben rechts nach Enigmail und installieren Sie das Add-on. Eventuell müssen Sie Thunderbird neu starten, damit alle Änderungen angewendet werden.

Standardmäßig startet Enigmail im sogenannten Junior-Modus, in dem Sie das Verhalten des Add-ons kaum anpassen können.

Wir empfehlen, diesen Modus zu deaktivieren. Gehen sie dazu im Thunderbird-Menü auf den Eintrag Einstellungen und dort auf Datenschutz. Dort wählen Sie unter Enigmail Junior-Modus die Option Nutzung von S/MIME und Enigmail erzwingen aus. Schließen Sie danach den Reiter (Tab).

3. Schlüssel erstellen

Entweder können Sie nun direkt zu Schritt 4 springen - der Junior-Modus hat bereits ein Schlüsselpaar mit einer Gültigkeitsdauer von einem Jahr für Sie erstellt.

Oder Sie erstellen ein Schlüsselpaar, das Sie längere Zeit - normalerweise fünf Jahre - nutzen können.

Dazu sollten Sie zuerst das Schlüsselpaar entfernen, das im Junior-Modus erstellt wurde: Klicken Sie im Thunderbird-Menü (≡-Menübutton) Enigmail -> Schlüssel verwalten ... an. Rechtsklicken Sie den gefetteten Schlüsseleintrag, der Ihren Namen bzw. den Namen Ihres Mailkontos trägt und klicken Sie auf Schlüssel löschen. Es kann nicht schaden, das Schlüsselpaar in eine Datei zu exportieren (Enigmail -> Schlüssel verwalten ... -> Schlüssel rechtsklicken -> In Datei exportieren ...), falls Sie einen Fehler machen und den vom Junior-Modus erstellten Schlüssel später doch noch nutzen möchten.

Wählen Sie nun im Thunderbird-Menü Enigmail -> Einrichtungsassistent und folgen Sie den Anweisungen.

Der Einrichtungsassistent wird Sie auch durch die Installation von GnuPG leiten, falls dieses auf Ihrem Rechner noch nicht installiert ist. Dazu finden Sie hier auch weitere Informationen. Anschließend sollten Sie das Schlüsselpaar mit einer starken Passphrase schützen, damit der Schlüssel auch sicher ist, wenn Sie ihn z.B. aus Versehen weitergeben sollten.

Dazu klicken Sie im Thunderbird-Menü auf Enigmail -> Schlüssel verwalten ... an. Rechtsklicken Sie den gefetteten Schlüsseleintrag, der Ihren Namen bzw. den Namen Ihres Mailkontos trägt und klicken Sie auf Passphrase ändern. Die Passphrase bitte gut merken, denn sollten Sie sie einmal vergessen, können Sie keine E-Mails mehr entschlüsseln.

Falls Sie die Passphrase aufschreiben sollten (was wir nicht empfehlen), bewahren Sie sie nicht in der Nähe Ihres Rechner auf.

Sollte der Menüpunkt Einrichtungsassistent bei Ihnen fehlen, können Sie auch auf Enigmail -> Schlüssel verwalten ... -> Erzeugen -> Schlüsselpaar klicken.

Tipp: Wie lange sich Enigmail die Passphrase merkt, können Sie im Menü Enigmail -> Einstellungen -> Allgemein festlegen. Es ist besser, hier mehrere Stunden Merkzeit einzugeben statt eine kurze Passphrase zu verwenden, die leicht geknackt werden kann.

4. Eigenen öffentlichen Schlüssel versenden (optional, empfohlen)

Beim Versenden einer neuen Nachricht im Menü Enigmail -> Meinen öffentlichen Schlüssel anhängen wählen. Die Empfängerin, der Empfänger kann diesen dann importieren und von nun an verschlüsselte E-Mails an die Sender.in schicken.

Wenn das Feld nicht aktivierbar ist, müssen Sie über das Thunderbird-Menü in Einstellungen -> Konten-Einstellungen -> jeweiliges Konto -> OpenPGP-Sicherheit den eigenen Schlüssel bei Bestimmte OpenPGP-Schlüsselkennung verwenden wählen.

Tipp: Wenn Sie den öffentlichen Schlüssel standardmäßig mitschicken wollen (was wir empfehlen), gehen Sie in Konten-Einstellungen -> jeweiliges Konto -> OpenPGP-Sicherheit auf Erweitert und wählen Sie Öffentlichen Schlüssel an Nachrichten anhängen.

5. Eigenen öffentlichen Schlüssel auf öffentlichen Schlüsselserver hochladen (optional)

Sie wählen im Thunderbird-Menü Enigmail -> Schlüssel verwalten aus, machen einen Rechtsklick auf Ihren eigenen Schlüssel und wählen Öffentlichen Schlüssel auf Schlüsselserver hochladen. Wählen Sie dann diesen Server: https://keys.openpgp.org.

Hinweis: Es ist zwar einfach und praktisch, die Schlüssel seiner Kommunikationspartner.innen über die öffentlichen Schlüsselserver auszutauschen, allerdings birgt das auch gewisse Risiken (siehe Die Rolle der Keyserver).

6. Öffentliche Schlüssel anderer herunterladen (optional)

Um Ihren Kommunikationspartner.innen eine verschlüsselte Nachricht zu schicken, benötigen Sie deren öffentliche Schlüssel. Diese bekommen Sie entweder von der Empfängerin per E-Mail (siehe Punkt 4) oder Sie laden ihn von einem öffentlichen Schlüsselserver herunter (siehe Punkt 5).

Dazu wählen Sie im Thunderbird-Menü Enigmail -> Schlüssel verwalten -> Schlüsselserver -> Schlüssel suchen ... und geben die E-Mail-Adresse Ihres Kommunikationspartners ein. Falls Sie den Schlüssel nicht finden, suchen Sie auf einem anderen Schlüsselserver.

Hinweis: Enigmail stellt automatisch fest, wenn Sie bereits einen Schlüssel Ihrer Kommunikationspartner.innen importiert haben. Das erkennen Sie oben an dem geschlossenen Schloss. Wenn Sie auf dieses Schloss klicken, können Sie die Verschlüsselung wieder unterbinden (nicht empfohlen).

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Schritt-für-Schritt-Anleitung für das Smartphone (Android)

1. E-Mail-Verschlüsselung aktivieren

Eine detaillierte Anleitung zur Aktivierung der E-Mail-Verschlüsselung in K-9-Mail mit OpenKeychain finden Sie hier.

2. Öffentliche Schlüssel anderer herunterladen (optional)

Um anderen eine verschlüsselte Nachricht zu schicken, benötigen Sie deren öffentlichen Schlüssel. Den bekommen Sie entweder vom Kommunikationspartner per E-Mail oder Sie laden ihn von einem öffentlichen Schlüsselserver herunter.

Dazu tippen Sie in OpenKeychain auf das Plus-Symbol unten rechts, wählen Schlüsselsuche und geben die E-Mail-Adresse Ihrer Kommunikationspartnerin ein. Falls Sie den Schlüssel nicht finden, suchen Sie auf einem anderen Schlüsselserver. Diese finden Sie unter Einstellungen -> Schlüsselsuche -> OpenPGP-Schlüsselserver verwalten.

Achtung: Anders als in Thunderbird bietet OpenKeyChain momentan noch keine automatische Verschlüsselung, wenn Sie jemandem eine E-Mail schreiben, dessen Schlüssel Sie bereits importiert haben.

Sie müssen also in jeder neuen E-Mail oben rechts auf das Schloss tippen. Die E-Mail ist verschlüsselt, wenn das Symbol grün wird. Automatisch verschlüsselt wird aber Ihre Antwort auf eine verschlüsselte E-Mail.

3. Eigenen öffentlichen Schlüssel versenden (empfohlen)

Tippen Sie in OpenKeychain auf Ihren Schlüssel und wählen die Option Teilen. Jetzt können Sie den öffentlichen Schlüssel über Ihre installierten Messenger oder über die K-9-Mail senden.

Wenn Sie die K-9-Mail-App verwenden, wird automatisch eine neue E-Mail erstellt und Sie können den gewünschten Empfänger eintragen. Die angehängte .asc -Datei enthält Ihren Schlüssel.

Die Rolle der Keyserver

So praktisch es auch ist, Schlüssel über öffentliche Schlüsselserver auszutauschen, so gibt es doch gewisse Risiken: Zum einen können Sie den Schlüssel von dort nicht mehr löschen. Ihre E-Mail-Adresse ist so für jede Person einsehbar.

Auf älteren Schlüsselservern kann jede Person jeden beliebigen Schlüssel ohne Überprüfung hochladen – das birgt hohes Missbrauchspotenzial. Daher empfehlen wir die Nutzung des Servers keys.openpgp.org: Hier wird jede E-Mail-Adresse des Schlüssels geprüft, bevor sie eingetragen wird.

Normalerweise ist dieser Schlüsselserver bereits voreingestellt. Weitere Informationen dazu gibt es auch hier.

Änderungen:

  • 18.11.2021: Redaktionelle Änderungen
  • 10.02.2021: Einfügen der Links zu den Anleitungen und Anpassung der PC-Version an Thunderbird 78 oder älter.
  • 09.06.2020: Einstellungen zum Junior-Modus im Firefox haben sich geändert.
  • 20.12.2019: Artikel wurde grundsätzlich überarbeitet: Einfügen der Schritt-für-Schritt Anleitungen, Entfernen der langen Ausführungen zu p≡p.

Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 18.11.2021. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Weiterführende Links