Warum E-Mails verschlüsseln?
Die "Postkarte des Internets", wie die E-Mail zu ihren Anfangszeiten gerne genannt wurde, ist zum Glück Geschichte. E-Mails werden heutzutage standardmäßig transportverschlüsselt versendet. Für wirklich sichere Kommunikation genügt das aber noch nicht.
Transportverschlüsselung schützt die E-Mail, die Sie versenden, nur unterwegs. Auf dem Server Ihres E-Mail-Anbieters und dem der Empfänger*innen liegen die Nachrichten jeweils entschlüsselt vor. Wer sich dort Zugriff verschafft, kann Ihre Mails lesen. Auch können Behörden oder Geheimdienste Ihre E-Mails vom Dienstanbieter einfordern.
Wer es gezielt auf Ihre Mails abgesehen hat, kann sie unterwegs außerdem abfangen und die Transportverschlüsselung austricksen.
Wenn Sie per E-Mail sensible Informationen sicher verschicken möchten, sollten Sie daher zusätzlich eine Ende-zu-Ende-Verschlüsselung nutzen. Dabei wird die E-Mail beim Verlassen Ihres Gerätes verschlüsselt und erst auf dem Gerät des Empfangenden wieder lesbar gemacht. Weder Ihr Dienstanbieter noch sonst irgendjemand kann mitlesen.
So funktioniert E-Mail-Verschlüsselung
Es gibt verschiedene Programme, die eine Ende-zu-Ende-Verschlüsselung für E-Mails ermöglichen. Sie alle arbeiten nach dem Prinzip der asynchronen Verschlüsselung.
Dabei erzeugt das Programm zunächst zwei Schlüssel: Einen öffentlichen und einen privaten. Ihren öffentlichen Schlüssel geben Sie an andere weiter, damit diese damit E-Mails an Sie verschlüsseln können. Nur mit dem privaten Schlüssel kann man diese Nachrichten entschlüsseln. Den privaten Schlüssel müssen Sie also unbedingt geheim halten.
Unter den Verschlüsselungsmethoden für E-Mails kommen zwei am häufigsten zum Einsatz: PGP (Pretty Good Privacy) und S/MIME (Secure/Multipurpose Internet Mail Extensions). Große Firmen wie Apple und Microsoft verwenden in ihren E-Mail-Programmen S/MIME. Die meisten kleineren, nichtkommerziellen oder quelloffenen Mail-Programme arbeiten hingegen mit PGP.
Ein Grund, warum E-Mail-Verschlüsselung sich nur schwer durchsetzt: PGP und S/MIME sind in etwa gleich verbreitet, allerdings nicht miteinander kompatibel. Wer mit S/MIME verschlüsselt, kann mit PGP verschlüsselte Mails nicht entschlüsseln und umgekehrt. Die Methoden PGP, openPGP und pEp sind untereinander kompatibel.
Es gibt für den Desktop etliche Mail-Programme, die beide Methoden beherrschen, zum Beispiel Mozilla Thunderbird. Für Smartphones galt das lange Zeit nicht. Für iPhones sind unserer Redaktion derzeit nur Apps bekannt, die entweder PGP oder S/MIME verwenden. Inzwischen gibt es für Android zumindest zwei Apps, die sowhl PGP als auch S/MIME unterstützen.
E-Mails verschlüsseln auf dem iPhone
Die Standard-App „Mail“ von Apple kann schon seit 2011 (seit iOS 5) mit S/MIME verschlüsseln. Man muss keine zusätzliche App installieren. Mehr Informationen finden Sie auf dieser Support-Seite von Apple (weiterführende Links am Schluss der Anleitung).
Eine PGP-kompatible Lösung für iPhones ist die quelloffene App pEp (3,49 Euro). Dabei handelt es sich um einen vollwertigen E-Mail-Client, der Ende-zu-Ende-Verschlüsselung mitbringt. Gegenüber mobilsicher.de erklärten die Entwickler*innen, die App zusätzlich mit der S/MIME-Methode ausstatten zu wollen.
Eine weniger bekannte Entwicklung für iPhone und iPad ist die App PGP Everywhere des US-Entwicklers David Stanley. Dabei handelt es sich um eine Tastatur-App, die die PGP-Schlüsselverwaltung übernimmt. PGP lässt sich damit in jede App integrieren, in die Text eingegeben wird.
E-Mails verschlüsseln auf Android
Die App pEp gibt es auch für Android (1,99 Euro). Der E-Mail-Client fürs Handy bringt eine Ende-zu-Ende-Verschlüsselung mit, die mit PGP kompatibel ist. Gegenüber mobilsicher.de erklärten die Entwickler*innen, die App zusätzlich mit der S/MIME-Methode ausstatten zu wollen.
Alternativ können Sie die quelloffenen Mail-Apps FairEmail oder K-9 verwenden. Da diese App selbst keine Schlüsselverwaltung bieten, benötigen Sie dazu eine zusätzliche App. Die Anbieter*innen empfehlen dafür OpenKeychain. Die App finden Sie wie K-9 und FairEmail nicht nur im Google Play-Store, sondern auch im alternativen F-Droid-Store. Wie Sie sie einrichten, erklären wir hier.
FairEmail bietet auch E-Mail-Verschlüsselung mit S/MIME. Die Einrichtung ist jedoch für Durchschnittsnutzer*innen schwierig, da zunächst ein Zertifikat installiert werden muss. Die Verschlüsselung mit PGP ist deutlich einfacher einzurichten.
Herausforderung: Mehrere Geräte
Was Sie bei der Einrichtung von E-Mail-Verschlüsselung auf dem Handy bedenken müssen: Wenn Sie ein Schlüsselpaar mit Hilfe einer App auf Ihrem Handy erzeugen, sind verschlüsselte Mails nur auf diesem Gerät lesbar. Der private Schlüssel zum Öffnen der Mail steht Ihnen nirgendwo anders zur Verfügung.
Wenn Sie auf dem Computer bereits E-Mail-Verschlüsselung nutzen, können Sie einen bereits existierenden privaten Schlüssel in der Regel aufs Handy importieren. Dann sind verschlüsselte Mails, die Sie bisher auf dem Computer entschlüsselt haben, auch in der Handy-App lesbar. Die pEp-App informiert dazu auf dieser Support-Seite.
Wie sicher ist E-Mail-Verschlüsselung auf dem Handy?
Die Verschlüsselungstechniken bei PGP und S/MIME gelten als sicher – sogar Geheimdienste können sie nicht knacken. Angreifer*innen können aber versuchen, Ihren privaten Schlüssel zu stehlen. Dieser befindet sich immer auf dem Gerät, auf dem Sie die verschlüsselten E-Mails lesen und versenden.
Wenn Ihr Gerät mit einer starken Bildschirmsperre geschützt ist (und nicht mit einem Schadprogramm infiziert wurde), ist es ziemlich schwierig, an diesen Schlüssel heranzukommen, selbst wenn ein*e Angreifer*in es in den Händen hält. Bei aktuellen iPhones und Android-Geräten ab Betriebssystemversion 7.0 braucht es dazu Ressourcen, über die normalerweise nur sehr gut ausgestattete Behörden verfügen.
Geräte mit älteren Android- und iOS-Versionen können dagegen häufig sehr einfach geknackt werden. Aus diesem Grund war es unter Sicherheitsexpert*innen in der Vergangenheit umstritten, ob Ende-zu-Ende-Verschlüsselung auf dem Smartphone sicher ist.
Deshalb gilt: Wenn Sie sensible E-Mails auch von Ihrem Handy versenden möchten, brauchen Sie neben einer Ende-zu-Ende-Verschlüsselung auch ein aktuelles Betriebssystem, aktuelle Sicherheits-Updates und eine starke Bildschirmsperre.