Hintergrund

E-Mails auf dem Handy verschlüsseln

Bild: Pixabay CC0

Wer sensible Informationen per E-Mail versendet, sollte diese zusätzlich verschlüsseln. Sonst könnten Sie auf dem Weg zum Empfänger in falsche Hände geraten. Das gilt natürlich auch für Mails, die vom Smartphone gesendet werden. Wir zeigen, welche Methoden für Smartphones zur Verfügung stehen.

Aktualisiert am
Autor
Schlagworte
E-Mail · Ende-zu-Ende-Verschlüsselung · PGP · S/MIME
Drucken

Veröffentlicht am

Auf einen Blick

Warum E-Mails verschlüsseln?

E-Mails werden heutzutage standardmäßig verschlüsselt versendet – sie sind also längst nicht mehr für Jedermann auf dem Weg lesbar. Dabei kommt eine Methode zum Einsatz, die TLS heißt. TLS steht für Transport Layer Security, zu Deutsch: Transport-Verschlüsselung.

TLS verschlüsselt E-Mails aber nicht zwischen Ihnen und dem Empfänger, sondern nur jeweils auf den Strecken zwischen den beteiligten Nutzern und deren E-Mail-Providern. Das bedeutet: Auf dem Server Ihres E-Mail-Providers und bei dem E-Mail-Provider des Empfängers liegen die Mails jeweils entschlüsselt vor. Wer sich dort Zugriff verschaffen kann, könnte Ihre Mails lesen.

Das können Behörden oder Geheimdienste sein, Mitarbeiter des E-Mail-Providers selber oder Kriminelle, die sich Zugang zu den Servern des Providers verschaffen. Wer es gezielt auf Ihre Mails abgesehen hat, kann den TLS-Schutz mit etwas Aufwand sogar auch bei unterwegs abgefangenen Mails austricksen.

Wer per E-Mail sensible Informationen verschickt, zum Beispiel über Gesundheitszustand, Finanzen, Geschäfte oder intime Sachverhalte, sollte daher zusätzlich eine Ende-zu-Ende-Verschlüsselung nutzen. Dabei wird die Mail beim Verlassen Ihres Gerätes verschlüsselt und kann erst wieder auf dem Gerät des Empfängers lesbar gemacht werden.

So funktioniert asynchrone Verschlüsselung

Es gibt verschiedene Programme, die so eine Ende-zu-Ende-Verschlüsselung für E-Mails bewerkstelligen. Sie alle arbeiten nach dem selben Grundprinzip, der „asynchronen“ Verschlüsselung.

Dabei erzeugt das Verschlüsselungsprogramm zunächst ein Schlüsselpaar. Die mathematischen Operationen, die dazu benutzt werden, sind so gewählt, dass man Nachrichten mit dem einen Schlüssel verschlüsseln kann, aber nur mit dem anderen Schlüssel wieder entschlüsseln kann. Deswegen heißt die Methode „asynchron“.

Der Schlüssel, mit dem man Nachrichten verschlüsselt, heißt „öffentlicher Schlüssel“. Denn dieser Schlüssel muss nicht geheim gehalten werden. Jeder kann ihn haben, um damit eine Nachricht zu verschlüsseln und an Sie zu schicken.

Der Schlüssel, mit dem man diese Nachrichten entschlüsseln kann, heißt „privater Schlüssel“. Diesen Schlüssel müssen Sie unbedingt geheim halten, damit nur Sie Nachrichten lesen können, die für Sie bestimmt sind. In vielen – aber nicht allen – Programmen müssen Sie den privaten Schlüssel mit einem Passwort sichern. Dann muss man jedes Mal ein Passwort eingeben, bevor man eine Mail entschlüsseln kann.

Vielfältig: Von S/MIME bis PGP

Unter den vielen Verschlüsselungsmethoden für E-Mails gibt es zwei, die derzeit am häufigsten genutzt werden: S/MIME (Secure/Multipurpose Internet Mail Extensions) und PGP (Pretty Good Privacy). Zu der PGP-Fraktion zählen wir der Einfachheit halber alle Methoden, die mit PGP kompatibel sind, also auch openPGP und p≡p.

Der Unterschied: Beim S/MIME-System benötigt man ein sogenanntes Zertifikat, um ein Schlüsselpaar zu erstellen. Diese Zertifikate werden nur von zentralen Organen, sogenannten Certificate Authorities oder kurz CAs ausgestellt. Bei PGP und den verwandten Methoden gibt es hingegen keine zentrale Zertifikatsstelle, sondern jeder Nutzer kann individuell seine Schlüssel erzeugen. Die Empfänger können dann einstufen, wie sehr sie dem Absender vertrauen.

Standardmäßig sind beide Methoden nicht in den mobilen Betriebssystemen integriert. Sie lassen sich aber sowohl bei iOS als auch bei Android per App nachrüsten. Bei iOS scheint dabei die S/MIME-Integration einfacher zu klappen, bei Android die PGP-ähnlichen Systeme.

Wer eine der beiden Methoden nutzen möchte, braucht auf dem Smartphone eine E-Mail-App, die das jeweilige Verschlüsselungssystem unterstützt.

Ärgerlich: Nicht alle Methoden sind kompatibel

Es ist ein wichtiger Grund, warum sich E-Mail-Verschlüsselung bislang kaum durchgesetzt hat: PGP und S/MIME sind nicht miteinander kompatibel. Das bedeutet: Wer mit S/MIME verschlüsselt, kann nicht verschlüsselte Mails mit einem Empfänger austauschen, der nur PGP nutzt und umgekehrt. Obwohl die selbe Mathematik dahinter steckt, erkennen PGP und S/MIME jeweils die Schlüssel der anderen Methode nicht. Da S/MIME lange die einzige praktikable Lösung für iOS war, findet somit faktisch eine Trennung von Android- und iOS-Nutzern statt.

PGP, openPGP und p≡p sind zwar im Detail auch unterschiedliche Methoden, sie sind aber alle untereinander kompatibel.

Eine Lösung für das Problem könnte von den Machern der p≡p-Verschlüsselung (Eigenschreibweise, gesprochen pep) kommen. p≡p ist eine recht neue, PGP-ähnliche Entwicklung mit erweiterten Funktionen und einfacher Handhabung. Momentan ist sie in Form einer Android-App erhältlich. Es ist aber auch eine Funktion geplant, mit der die unterschiedlichen Schlüsselformate von PGP und S/MIME ineinander übersetzt werden können. Damit wäre echte Kompatibilität mit beiden Methoden möglich.

Kniffelig: E-Mails verschlüsseln mit iOS

iOS unterstützt vor allem das S/MIME-Verfahren. Der Vorteil: Die Standard-Mail-App „Mail“ ist bereits auf die Nutzung von S/MIME vorbereitet – und zwar schon seit iOS 5. Man muss keine zusätzlichen Apps oder Erweiterungen installieren.

Im Gegensatz dazu ist die PGP-Nutzung auf iPhone und iPad noch immer aufwändig. Mit „Canary Mail“ gibt es zwar inzwischen eine E-Mail-App, die PGP integriert hat. Sie schlägt aber mit stolzen 10,99 Euro (Stand Juni 2018) zu Buche.

Eine noch relativ wenig bekannte Entwicklung für iOS ist die App „PGP Überall“ (PGP everywhere) von dem US-Entwickler David Stanley. Es handelt sich im Grunde um eine Tastatur-App, welche auf die PGP-Verschlüsselung und Entschlüsselung vornimmt und auch die Schlüsselverwaltung übernimmt. Damit lässt sich PGP in jede App integrieren, in der Text per Tastatur eingegeben wird.

Wie bei fast allen PGP-Programmen muss man sich auch bei „PGP Überall“ erst einmal einarbeiten und mit 5,49 Euro (Stand Juni 2018) ist der Spaß auch nicht ganz umsonst. Verglichen mit anderen kostenpflichtige Apps wie „oPenGP“, bei denen man Text erst verschlüsseln und dann in das E-Mail-Programm kopieren muss, ist sie aber verhältnismäßig komfortabel.

Mit p≡p könnte demnächst ein weiterer Kandidat dazu kommen: Die Veröffentlichung einer p≡p-App für iOS ist für Ende Juli 2018 geplant.

Erprobt: E-Mails verschlüsseln mit Android

Für Android-Nutzer ist es relativ einfach, E-Mails mit dem PGP- openPGP oder mit dem p≡p-System zu verschlüsseln. Allerdings funktioniert das weder mit der Standard E-Mail-App noch mit der Gmail-App. Es gibt aber einige gute E-Mail-Apps, die die Verschlüsselung unterstützen oder gleich fertig mitbringen.

Die jüngste Entwicklung ist die p≡p-App (Eigenschreibweise, gesprochen pep). Die App ist eine leicht zu bedienende, vollwertige E-Mail-Anwendung, die auf der bekannten Mail-App K9 basiert. Der Unterschied: Die App übernimmt auch die gesamte Schlüsselverwaltung, so dass man keine zusätzliche App braucht.

Alternativ können Sie auch die ursprüngliche K-9 Mail-App verwenden. Sie brauchen dann zusätzlich noch ein Programm, mit dem Ihr Gerät Schlüssel erstellen und speichern kann. Oft wird dafür die App „OpenKeychain“ empfohlen. Die Apps K-9 Mail, OpenKeychain und p≡p sind im Play-Store von Google und im alternativen F-Droid Appstore verfügbar.

Risiken und Nebenwirkungen

Ende-zu-Ende-Verschlüsselung ist sinnvoll und wichtig, damit der Inhalt der E-Mail zwischen Sender und Empfänger nicht ausgelesen werden kann. Allerdings sind die Meta-Daten – also wer wann eine Nachricht an wen geschickt hat – trotzdem lesbar. Darunter der Betreff, das Sendedatum und Informationen zum Server des Absenders.

Eine weitere Schwachstelle ist das Gerät selbst: Wenn das Smartphone oder Tablet in falsche Hände gerät, dann ist auch der darauf gespeicherte private Schlüssel möglicherweise kompromittiert. Gerade bei der p≡p-App ist das ein Problem, weil der Schlüssel hier nicht extra durch ein Passwort geschützt ist. Fällt der geheime Schlüssel in falsche Hände, sind nicht nur zukünftige Mails lesbar, sondern auch alle bereits versendeten Mails.

Es gibt einige Fachleute, die deshalb generell davon abraten, E-Mails auf dem Smartphone zu verschlüsseln. Allerdings stammen diese Einschätzungen aus einer Zeit, als vor allem Android-Geräte noch sehr leicht auszulesen waren, selbst mit Bildschirmsperre. Das hat sich inzwischen Grundlegend geändert.

Wir halten es daher schon für sinnvoll, E-Mails auch auf dem Smartphone zu verschlüsseln – vorausgesetzt, das Gerät hat ein aktuelles Betriebssystem und eine starke Bildschirmsperre. Wie jede Technik ist aber auch diese nicht Hundertprozentig sicher. Wenn Leben und Gesundheit davon abhängen, dass eine Mail geheim bleibt, müssen Sie auf jeden Fall zusätzliche Sicherheitsmaßnahmen ergreifen.

Mehr zum Thema bei mobilsicher.de

 

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!