E-Mails verschlüsseln mit OpenPGP

In diesem Artikel gehen wir darauf ein, warum es wichtig ist, E-Mails Ende-zu-Ende zu verschlüsseln, wie das genau funktioniert und geben im Anschluss eine Schritt-für-Schritt Anleitung, wie die entsprechenden Apps oder Programme auf einem Endgerät zu installieren und einzurichten sind. Einen vertrauenswürdigen E-Mail-Anbieter haben Sie hoffentlich schon.

Inhaltsübersicht:

  1. Warum E-Mails verschlüsseln?

  2. Wie funktioniert E-Mail-Verschlüsselung?

  3. Empfohlene Verschlüsselungs-Software

  4. Schritt-für-Schritt-Anleitung für den PC

  5. Schritt-für-Schritt-Anleitung für Android

  6. Die Rolle der Keyserver

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Warum E-Mails verschlüsseln?

E-Mails werden herkömmlich im Klartext versendet, sind also grundsätzlich für alle lesbar. Um das zu ändern und den Schutz der Vertraulichkeit zu gewährleisten, ist es notwendig, die Nachricht Ende-zu-Ende zu verschlüsseln. Das heißt, dass nur Absender und Empfänger den Inhalt der Nachricht lesen können. Dieser Schutz der Vertraulichkeit ist ein Grundrecht, das jedem Bürger zusteht.

Grundsätzlich gibt es drei Arten der Verschlüsselung: die Ende-zu-Ende Verschlüsselung, die Postfachverschlüsselung und die Transportverschlüsselung. Letztere ist (fast) überall im Einsatz und stellt lediglich sicher, dass die E-Mail auf dem Weg von Ihrem Endgerät zum Server Ihres E-Mail Anbieters verschlüsselt wird. Was danach passiert, können Sie leider nicht beeinflussen. Die Postfachverschlüsselung stellt lediglich sicher, dass die E-Mails auf dem Server Ihres E-Mail Anbieters verschlüsselt gespeichert wird. Selbst mit den beiden Verschlüsselungen ist der Inhalt der E-Mail immer noch nicht durchgängig geschützt und es ist daher notwendig, diesen Ende-zu-Ende zu verschlüsseln, sodass die gesamte Transportkette von Ihrem Endgerät über die Webserver der E-Mail Anbieter bis hin zu dem Endgerät Ihres Kommunikationspartners gesichert ist.

Daneben hat die Verschlüsselung unserer digitalen Kommunikation das Ziel, sicherzustellen, dass wir wirklich mit den Personen kommunizieren, mit denen wir zu kommunizieren glauben (Schutz der Authentizität). Außerdem wird auch garantiert, dass der Inhalt der Nachricht auf dem Weg vom Absender zum Empfänger nicht verändert wird (Schutz der Integrität).

Dieses Video erklärt sehr anschaulich, wie die Verschlüsselung funktioniert und warum es sich lohnt, diese einzusetzen.

Wie funktioniert E-Mail-Verschlüsselung?

Die hier empfohlene Verschlüsselungssoftware besteht aus einem öffentlichen Schlüssel ("public key") und einem privaten Schlüssel ("private key"). Beide zusammen bilden ein Schlüsselpaar. Zum besseren Verständnis wollen wir den öffentlichen Schlüssel besser öffentliches Schloss nennen, denn zum Absichern von Gegenständen verwenden wir ja auch ein Schloss zusammen mit einem Schlüssel. Lediglich in den Schritt-für-Schritt Anleitungen weichen wir davon ab, um konsistent mit den Menüpunkten in der Verschlüsselungssoftware zu sein.

Der private Schlüssel ist wie ein Hausschlüssel, weil ihn niemand ausser der Person selbst besitzen darf. Er wird eingesetzt, wenn E-Mails entschlüsselt werden.

Das öffentliche Schloss hingegen ist für die Allgemeinheit bestimmt und kann z.B. auf öffentlichen Schlüsselservern ("key server") hochgeladen werden. Ein Schlüsselserver ist wie eine Art Telefonbuch, wo jede Person ihren öffentlichen Schlüssel hochladen kann. Später gehen wir noch detailliert auf diese Server ein. Die Leute können nun das öffentliche Schloss von dort herunterladen und es benutzen, um Ihnen verschlüsselte E-Mails zu verschicken. Dazu nehmen sie das öffentliche Schloss und sperren damit den Inhalt der Nachricht zu. Jetzt kann die E-Mail nur noch von der Person geöffnet werden, die den zu diesem öffentlichen Schloss gehörenden privaten Schlüssel besitzt, also von Ihnen.

Empfohlene Verschlüsselungssoftware

Um sicher zu gehen, dass die E-Mail auch wirklich auf dem lokalen Rechner verschlüsselt wird und erst dann über das Internet verschickt wird, sollte das Schreiben von E-Mails in Browsern vermieden werden und ein lokaler E-Mail-Client verwendet werden. Dazu empfehlen wir auch dieses Video.

Für den PC:

Wir empfehlen den freien E-Mail Client Thunderbird von Mozilla. Es ist erhältlich für Linux, Mac und Windows. Für ältere Thunderbird Versionen als 78 benötigt man daneben noch das Add-on Enigmail.

Alternativ kann man auch Apple Mail mit GPGMail oder Microsoft Outlook mit GPG4win verwenden, diese werden aber hier nicht berücksichtigt.

Für das Smartphone (Android):

Benutzen Sie zum Lesen und Schreiben nicht die Apps Ihres E-Mail-Anbieters, denn diese können z.B. mittels Tracking Ihre Interaktionen aufnehmen und manipulieren versendete Links, so dass Ihr Anbieter mitbekommt, wenn Sie auf einen Link klicken. Benutzen Sie stattdessen einen E-Mail-Client.

Wir empfehlen den freien E-Mail Client K-9 Mail in Kombination mit dem Verschlüsselungstool OpenKeychain.

Alternativ kann auch FairEmail verwendet werden, das ebenfalls mit OpenKeychain zusammenarbeitet. Unsere Anleitung bezieht sich auf K-9 Mail.

Eine Liste mit allen verfügbaren Clients und Add-ons finden Sie hier.

Vorsicht: Private Schlüssel auf mobilen Endgeräten können mit diesen verloren gehen! Deshalb verwenden Sie unbedingt eine Displaysperre. Verschlüsseln Sie zusätzlich den Datenträger oder verwenden Sie eine sichere Passphrase für den privaten Schlüssel.

Schritt-für-Schritt Anleitung für den PC

Mit Thunderbird Version 78 oder höher

1. Konto im E-Mail Programm anlegen

Falls Sie es noch nicht gemacht haben: Sie öffnen das E-Mail-Programm (Thunderbird) und folgen für die Konfiguration der Anleitung des Assistenten. Stellen Sie sicher, dass Sie bereits über ein E-Mail-Postfach verfügen (z.B. bei Posteo oder Mailbox) und geben Sie die Zugangsdaten für Ihr Postfach ein, sobald sie dazu aufgefordert werden. Sollte der Konfigurationsassistent nicht automatisch starten, können Sie auch in den Konteneinstellungen ein neues E-Mail-Konto hinzufügen.

2. E-Mail-Verschlüsselung aktivieren

Haben Sie einen Thunderbird in Version 78 oder höher finden Sie hier eine Anleitung wie Sie die Verschlüsselung aktivieren.

Mit Thunderbird mit niedrigerer Versionsnummer als 78

1. Konto im E-Mail Programm anlegen

Falls Sie es noch nicht gemacht haben: Sie öffnen das E-Mail-Programm (Thunderbird) und folgen für die Konfiguration der Anleitung des Assistenten. Stellen Sie sicher, dass Sie bereits über ein E-Mail-Postfach verfügen (z.B. bei Posteo oder Mailbox) und geben Sie die Zugangsdaten für Ihr Postfach ein, sobald sie dazu aufgefordert werden. Sollte der Konfigurationsassistent nicht automatisch starten, können Sie auch in den Konteneinstellungen ein neues E-Mail-Konto hinzufügen.

2. Enigmail-Add-on installieren und konfigurieren

Öffnen Sie das Thunderbird-Menü über den ≡-Menübutton oben rechts und klicken Sie Add-ons -> Add-ons. Klicken Sie anschließend links auf Erweiterungen und suchen Sie über das Suchfeld oben rechts nach Enigmail und installieren Sie das Add-on. Eventuell müssen Sie Thunderbird neustarten, damit alle Änderungen angewendet werden.

Standardmäßig startet Enigmail häufig im sogenannten Junior-Modus, in dem Sie das Verhalten des Add-ons kaum anpassen können. Wir empfehlen ihn zu deaktivieren. Gehen sie dazu im Thunderbird-Menü auf den Eintrag Einstellungen und dort auf Datenschutz. Dort wählen Sie unter Enigmail Junior-Modus die Option Nutzung von S/MIME und Enigmail erzwingen aus. Schließen Sie danach den Reiter (Tab).

3. Schlüssel erstellen

Entweder können Sie nun direkt zu Schritt 4 springen - der Junior-Modus hat bereits ein Schlüsselüpaar mit einer Gültigkeitsdauer von einem Jahr für Sie erstellt. Oder Sie erstellen sich ein Schlüsselpaar, das Sie längere Zeit - normalerweise fünf Jahre - nutzen können. Dazu sollten Sie zuerst das durch den Junior-Modus erstellte Schlüsselpaar entfernen: Klicken Sie im Thunderbird-Menü (≡-Menübutton) Enigmail -> Schlüssel verwalten... an. Rechtsklicken Sie den in fetter Schrift vorhanden Schlüsseleintrag, der Ihren Namen bzw. Ihr Mailkonto trägt und klicken Sie auf Schlüssel löschen. Es kann nicht schaden, das Schlüsselpaar in eine Datei zu exportieren (Enigmail -> Schlüssel verwalten... -> Schlüssel rechtsklicken -> In Datei exportieren...), falls Sie einen Fehler machen.

Wählen Sie nun im Thunderbird-Menü Enigmail -> Einrichtungsassistent und folgen Sie den Anweisungen. Der Einrichtungsassistent wird Sie auch durch die Installation von GnuPG leiten, falls dieses auf Ihrem Rechner noch nicht installiert ist. Dazu finden Sie hier auch weitere Informationen. Anschließend sollten Sie das Schlüsselpaar mit einer starken Passphrase schützen, damit der Schlüssel auch sicher ist, wenn Sie ihn z.B. aus Versehen weitergeben sollten. Dazu klicken Sie im Thunderbird-Menü auf Enigmail -> Schlüssel verwalten... an. Rechtsklicken Sie den in fetter Schrift vorhanden Schlüsseleintrag, der Ihren Namen bzw. Ihr Mailkonto trägt und klicken Sie auf Passphrase ändern. Die Passphrase bitte gut merken, denn sollten Sie sie einmal vergessen, können Sie keine E-Mails mehr entschlüsseln. Falls Sie die Passphrase aufschreiben sollten (was wir nicht empfehlen), bewahren Sie sie nicht in der Nähe von Ihrem Rechner auf.

Sollte der Menüpunkt Einrichtungsassistent bei Ihnen fehlen, können Sie auch auf Enigmail -> Schlüssel verwalten... -> Erzeugen -> Schlüsselpaar klicken.

Tipp: Wie lange sich Enigmail die Passphrase merkt, können Sie im Menü Enigmail -> Einstellungen -> Allgemein festlegen. Es ist besser, hier mehrere Stunden Merkzeit einzugeben, statt eine kurze Passphrase zu verwenden, die leicht geknackt werden kann.

4. Eigenen öffentlichen Schlüssel versenden (optional, empfohlen)

Beim Versenden einer neuen Nachricht im Menü Enigmail -> Meinen öffentlichen Schlüssel anhängen wählen. Der Empfänger kann diesen dann importieren und von nun an verschlüsselte E-Mails an den Sender schicken. Wenn das Feld nicht aktivierbar ist, müssen Sie über das Thunderbird-Menü in Einstellungen -> Konten-Einstellungen -> jeweiliges Konto -> OpenPGP-Sicherheit den eigenen Schlüssel bei Bestimmte OpenPGP-Schlüsselkennung verwenden wählen.

Tipp: Wenn Sie den öffentlichen Schlüssel standardmäßig mitschicken wollen (was wir empfehlen), gehen Sie in Konten-Einstellungen -> jeweiliges Konto -> OpenPGP-Sicherheit auf Erweitert und wählen Sie Öffentlichen Schlüssel an Nachrichten anhängen.

5. Eigenen öffentlichen Schlüssel auf öffentlichen Schlüsselserver hochladen (optional)

Sie wählen im Thunderbird-Menü Enigmail -> Schlüssel verwalten aus, machen einen Rechtsklick auf Ihren eigenen Schlüssel und wählen Öffentlichen Schlüssel auf Schlüsselserver hochladen. Wählen Sie dann diesen Server: https://keys.openpgp.org.

Hinweis: Es ist zwar praktisch, dass es so einfach ist, über die öffentlichen Schlüsselserver Schlüssel seiner Kommunikationspartner auszutauschen, allerdings birgt das auch gewisse Risiken (siehe Die Rolle der Keyserver)

6. Öffentliche Schlüssel anderer herunterladen (optional)

Um anderen eine verschlüsselte Nachricht zu schicken, benötigen Sie deren öffentliche Schlüssel. Den bekommen Sie entweder vom Kommunikationspartner per E-Mail (siehe Punkt 4) oder Sie laden ihn von einem öffentlichen Schlüsselserver herunter, falls der Schlüssel dort existiert (siehe Punkt 5). Dazu wählen Sie im Thunderbird-Menü Enigmail -> Schlüssel verwalten -> Schlüsselserver -> Schlüssel suchen... und geben die E-Mail-Adresse des Kommunikationspartners ein. Sollte der Schlüssel nicht gefunden werden, probieren Sie die Suche auf einem der anderen Schlüsselserver.

Hinweis: Beim Verfassen von neuen E-Mails erkennt Enigmail automatisch, wenn Sie bereits einen Schlüssel Ihrer Kommunikationspartner importiert haben und zeigt dies oben mit einem geschlossenen Schloss an. Durch manuelles klicken auf dieses Schloss können Sie die Verschlüsselungen auch wieder unterbinden (nicht empfohlen).

Digitalcourage-Newsletter abonnieren und ständig auf dem Laufenden bleiben.

Schritt-für-Schritt-Anleitung für das Smartphone (Android)

1. E-Mail Verschlüsselung aktivieren

Eine detaillierte Anleitung zur Aktivierung der E-Mail-Verschlüsselung in K-9 Mail mit OpenKeychain finden Sie hier.

2. Öffentliche Schlüssel anderer herunterladen (optional)

Um anderen eine verschlüsselte Nachricht zu schicken, benötigen Sie deren öffentliche Schlüssel. Den bekommen Sie entweder vom Kommunikationspartner per E-Mail oder Sie laden ihn von einem öffentlichen Schlüsselserver herunter, falls der Schlüssel dort existiert. Dazu tippen Sie in OpenKeychain auf das Plus-Symbol unten rechts und wählen Schlüsselsuche und geben die E-Mail Adresse des Kommunikationspartners ein. Sollte der Schlüssel nicht gefunden werden, probieren Sie die Suche auf einem der anderen Schlüsselserver. Andere Schlüsselserver können Sie unter Einstellungen -> Schlüsselsuche -> OpenPGP-Schlüsselserver verwalten anwählen.

Achtung: Anders als in Thunderbird gibt es momentan noch keine automatische Verschlüsselung, wenn Sie eine E-Mail an jemanden schreiben, dessen Schlüssel Sie bereits importiert haben. Sie müssen jedes Mal in der neu verfassten E-Mail oben rechts auf das Schloss tippen, sodass dieses Grün erscheint. Anders ist es beim Antworten auf eine Verschlüsselte E-Mail.

3. Eigenen öffentlichen Schlüssel versenden (empfohlen)

Tippen Sie in OpenKeychain auf Ihren Schlüssel. Wenn Sie nun auf das Symbol zum Teilen tippen, haben Sie die Möglichkeit den öffentlichen Schlüssel über Ihre installierten Messenger oder aber über die K-9 Mail zu versenden. Wenn Sie die K-9 Mail App verwenden, wird automatisch eine neue E-Mail erstellt und Sie können den gewünschten Empfänger eintragen. Dass Ihr Schlüssel angehangen ist, sehen Sie an einer Datei, die auf .asc endet.

Die Rolle der Keyserver

Es ist zwar praktisch, dass es so einfach ist, über die öffentlichen Schlüsselserver Schlüssel seiner Kommunikationspartner auszutauschen, allerdings birgt das auch gewisse Risiken: Zum einen können Sie den Schlüssel von dort nicht mehr löschen. Ihre E-Mail-Adresse ist somit für jede Person einsehbar. Auf älteren Schlüsselservern kann zudem ohne Überprüfung jede Person jeden beliebigen Schlüssel hochladen - das birgt hohes Missbrauchspotenzial. Daher empfehlen wir die Nutzung des Servers keys.openpgp.org, bei dem die E-Mail-Adresse des Schlüssels vor Eintragung überprüft wird. Normalerweise ist dieser Schlüsselserver bereits voreingestellt. Weitere Informationen dazu gibt es auch hier.

Änderungen:

  • 10.02.2021: Einfügen der Links zu den Anleitungen und Anpassung der PC-Version an Thunderbird 78 oder älter.
  • 09.06.2020: Einstellungen zum Junior-Modus im Firefox haben sich geändert.
  • 20.12.2019: Artikel wurde grundsätzlich überarbeitet: Einfügen der Schritt-für-Schritt Anleitungen, Entfernen der langen Ausführungen zu p≡p.

Digitalcourage setzt sich für Ihre Privatsphäre und Grundrechte ein. Unterstützen Sie unsere Arbeit mit einer Spende oder mit einer Fördermitgliedschaft.


Hinweis: Hundertprozentige Sicherheit gibt es nicht, auch nicht durch unsere Empfehlungen. Programme können unentdeckte Fehler haben, und Datenschnüffeltechniken entwickeln sich weiter. Bleiben Sie wachsam!
Der Artikel ist auf dem Stand vom 10.02.2021. Sollten Sie Fehler finden, Ergänzungen haben oder Empfehlungen bei Ihnen nicht funktionieren, geben Sie uns Bescheid.

Weiterführende Links
Free Software Foundation: Weitere Schritt-für-Schritt Anleitungen in mehreren Sprachen
Mike Kuketz: E-Mail Verschlüsselung mit GnuPGP als Supergrundrecht

Veröffentlicht am 01.01.2016

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld