Wer die Inhalte und Anhänge seiner E-Mails nicht allen potenziellen Lauschern zeigen möchte, muss seine E-Mails verschlüsseln. Dazu muss man sein E-Mail Programm (Outlook, Thunderbird,  usw) entsprechend einrichten. Der Aufwand hält sich in Grenzen: einmalig ca. 5 bis 10 Minuten.
Danach kann man für jede E-Mail die Verschlüsselung mit zwei Klicks einschalten, für Thunderbird gibt es sogar ein Add-on, das einem auch noch diese Arbeit abnimmt.

Wie das geht, wird hier am Beispiel Thunderbird/Firefox beschrieben.
Wie es mit dem Internet Explorer und Outlook geht, erklären Links am Ende dieses Artikels sowie die Anlage. Das Prinzip ist aber das gleiche.

Es gibt zwei Verfahren: PGP und S/MIME, die Unterschiede sind in der Anlage auf Seite 25 erklärt. PGP ist zwar nach heutigem Kenntnisstand sicherer, dennoch wird hier die Einrichtung der S/MIME Verschlüsselung beschrieben, denn

  • es ist einfacher einzurichten
  • es verschlüsselt Anhänge automatisch
  • es wird von den meisten E-Mail Programme von Haus aus, also ohne Add-Ons unterstützt.

Was braucht man?

  • Ein persönliches Zertifikat, mit dem die E-Mails verschlüsselt und unterschrieben werden
  • Ein E-Mail Programm wie Thunderbird, Outlook, Apple Mail, Lotus Notes

Was muss man machen?

  1. Ein Zertifikat besorgen, es wird zunächst automatisch im Browser (Firefox) installiert
  2. Das Zertifikat sichern
  3. Das Zertifikat im E-Mail Programm (Thunderbird) installieren
  4. Das Zertifikat einem E-Mail Konto zuweisen

Noch nicht abgeschreckt? Dann geht es los:

 

1. Ein Zertifikat besorgen und im Browser installieren
  • Für Privatpersonen reicht ein sogenanntes Class 1 Zertifikat, man bekommt es kostenlos z.B. bei der Comodo-Tochter Instant SSL, es ist ein Jahr lang gültig.
    Dazu hier auf diesen Link klicken und dann auf der sich öffnenden Seite den Button anklicken.
  • Das nun erscheinende Formular ausfüllen (es ist zwar in Englisch, aber recht einfach):
    - Bei  Punkt "Revocation Password" ein Password eingeben, mit dem man das Zertifikat widerrufen kann, falls man meint, dass es missbraucht wurde. (das Passwort muss nicht besonders kompliziert sein)
    - den Haken beim Newsletter kann man entfernen
    - ganz unten bei ACCEPT muss man den Haken setzen.
    - mit  "Next" bestätigen. Es wird dadurch eine E-Mail an die eingegebene E-Mail Adresse geschickt.
  • Im Thunderbird die E-Mail öffnen und in der E-Mail auf den Button klicken.
    Es öffnet sich der Standard-Browser (z.B. Firefox) mit der Meldung, dass die Installation des Zertifikats erfolgreich war.
2. Das Zertifikat sichern

Nun ist das Zertifikat im Browser, wir müssen es nun als Datei sichern, d.h. exportieren:

  • Firefox-Menü: Extras - Einstellungen - erweitert - Verschlüsselung - Zertifikate anzeigen - Ihre Zertifikate
    Das Zertifikat von COMODO auswählen und auf "Sichern" klicken
    Falls der Browser mit einem Master-Passwort geschützt ist, wird es nun abgefragt.
  • Danach muss ein eigenes Passwort zum Verschlüsseln der Zertifikat-Sicherung eingeben werden. (Hinweise für Passwörter siehe unten)
    Dieses Passwort unbedingt notieren! Ansonsten kann man das Zertifikat nicht importieren.
  • Speichern: Der Name des zu speichernden Zertifikats kann beliebig sein. Den Speicherort merken!

3. Das Zertifikat im E-Mail Programm (Thunderbird) installieren

Das Zertifikat ist nun als Datei auf unserem Computer gesichert, wir müssen es nun in unser E-Mail Programm importieren:

  • Thunderbird-Menü: Extras - Einstellungen - Erweitert - Zertifikate - Zertifikate - importieren
  • Das oben gesicherte Zertifikat vom Speicherort importieren.
  • Falls der Thunderbird mit einem Master-Passwort geschützt ist, wird dieses nun abgefragt.
  • Danach wird das oben eingegebene Passwort der Zertifikat-Sicherung abgefragt.

4. Das Zertifikat einem E-Mail Konto zuweisen

Der Thunderbird kennt nun das Zertifikat, wir müssen es nun einem Konto zuweisen:

  • Thunderbird-Menü: Extras - Kontoeinstellungen
  • Bei dem Konto mit der zum Zertifikat passenden E-Mail Adresse auf "S/MIME Sicherheit" gehen
  • Auf das oberste "Auswählen" Feld klicken und dann das zur E-Mail Adresse passende Zertifikat auswählen (meist gibt es nur eins, nämlich das soeben importierte)
  • Die nächste Frage mit "JA" beantworten (Wollen Sie das gleiche Zertifikat verwenden, um an Sie gesendete Nachrichten zu ver- und entschlüsseln?)
  • Einen Haken setzen bei "Nachrichten digital unterschreiben (als Standard)" .

Fertig! Von nun an werden alle versendeten E-Mails digital unterschrieben (auch die unverschlüsselten) und das eigene Zertifikat angehängt. Das beigefügte Zertifikat wird vom E-Mail Programm des Empfängers automatisch importiert, er kann nun an dich Nachrichten verschlüsseln.
Durch die digitale Unterschrift kann der Empfänger erkennen, ob der Inhalt der E-Mail auf dem Transportweg verfälscht wurde.
 


Verschlüsselung einer E-Mail

Nun ist alles für das Verschlüsseln vorbereitet, nun können E-Mails verschlüsselt gesendet werden.
ABER: Eine E-Mail kann nur dann verschlüsselt verschickt werden, wenn man von  ALLEN Empfängern ein Zertifikat hat. (Die E-Mail muss ja mit allen Empfänger-Zertifikaten verschlüsselt werden)
Hier gibt es zwei Möglichkeiten: Entweder prüft man vor dem Senden, ob man von allen Empfängern ein Zertifikat hat und setzt die "Verschlüsseln" Option jedes Mal von Hand oder man überlässt diese Prüfung  Thunderbird.

1. Manuell

Eine E-Mail kann man nur an solche Empfänger verschlüsselt senden, von denen man bereits ein Zertifikat hat (Die E-Mail muss ja mit Empfänger-Zertifikat verschlüsselt werden). Welche Zertifikate das eigene E-Mail Programm bereits gesammelt hat, kann man hier sehen:

  • Thunderbird-Menü: Extras - Einstellungen - Erweitert - Zertifikate - Zertifikate - Personen (bzw. Server)

Um nun eine E-Mail zu verschlüsseln, muss beim Erstellen der E-Mail nur unter "Optionen" ein Haken bei "Nachricht verschlüsseln" gesetzt werden.

2. Automatisch mit dem Thunderbird Add-on "Encrypt if possible" (verschlüssele, wenn möglich)

Dieses Add-on aktiviert automatisch die Sicherheitsoption "Nachricht verschlüsseln" (S/MIME) der Nachricht, wenn für alle Empfänger und auch für den Sender der Nachricht ein gültiges Zertifikat gefunden wird. Trifft dies nicht zu, wird die Option nicht angewählt bzw. auch abgewählt.
Die Nachfrage kann in den Optionen des Add-ons deaktiviert werden.
In den Konten-Einstellungen unter S/MIME-Sicherheit sollte man bei Verschlüsselung "Nie (keine Verschlüsselung verwenden)" wählen, um die Aktivierung der Verschlüsselung dem Add-On zu überlassen.


Hinweise

Durch die Verschlüsselung wird nur der Inhalt und alle Anlagen verschlüsselt. Der Betreff, Absender, Empfänger sowie Zeitstempel, und IP-Adresse (=Metadaten) werden unverschlüsselt übertragen. Man sollte also im "Betreff" nicht allzu viel über den Inhalt verraten.

Hinweise zur Sicherheit
Die Verschlüsselung ist so lange sicher, wie niemand den geheimen Schlüssel aus dem Zertifikat-Manager von Thunderbird auf
auf Ihrem Rechner stiehlt! Dies könnte zum Beispiel ein Virus oder Trojaner tun. Deshalb...

Maßnahmen zur Sicherheit:

  • Beim Thunderbird ein Masterpasswort einrichten (Extras - Einstellungen - Sicherheit - Passwörter: Haken bei "Master-Passwort verwenden" setzen
  • Das Zertifikat im Browser (Firefox) nach dem Sichern wieder löschen
  • Das Passwort, mit dem das Zertifikat gespeichert wurde, sollte mindestens aus 12 mehr oder weniger zufälligen Zeichen bestehen
    (oder mit einem Passwortgenerator (twpassgen.exe) erstellen: http://www.wenzlaff.de/twpassgenhilfe.html)
  • Das Passwort entweder aufschreiben oder in einer verschlüsselten(!) Datei ablegen
  • Beim E-Mail Konto sollte SSL/TLS oder zumindest STARTTLS gewählt werden (wenn der Provider das zulässt)

Referenzen:

www.blafusel.de/files/quis_custodiet_custodes.pdf
http://www.rz.uni-osnabrueck.de/Dienste/Mailing/E-Mail/Sicherheit/sicher_thunderbird.htm#anchor2a
: Thunderbird-Installation mit Bildschirmfotos
https://addons.mozilla.org/de/thunderbird/addon/encrypt-if-possible/: Add-on für Thunderbird

http://www.rz.uni-osnabrueck.de/Dienste/UNIOS-CA/browserexport.htm: Zertifikat-Export mit dem Internet-Explorer
http://www.rz.uni-osnabrueck.de/Dienste/Mailing/E-Mail/Sicherheit/sicher_outlook2010.htm#anchor2a: Signieren und Verschlüsseln mit Outlook 2010

http://www.computerwoche.de/a/sichere-mails-fuer-alle,2510521
http://von-wachter.de/smime.htm
http://www.wenzlaff.de/twpassgenhilfe.html
http://www.thunderbird-mail.de/wiki/Mailverschlüsselung_mit_S/MIME
http://de.wikipedia.org/wiki/S/MIME

Anhänge (Download: rechte Maustaste - Ziel speichern unter...)
Access this URL (http://www.blafusel.de/files/quis_custodiet_custodes.pdf)quis_custodiet_custodes.pdf[Eine Anleitung, wie Sie Emails mit PGP oder S/MIME schützen können und warum es sich lohnt, dies zu machen]4727 kB