Monatskalender: 01.01.2017 00:00

In Anbetracht der aktuellen Aufregung über Datensicherheit habe ich untersucht, wie man E-Mails signieren und verschlüsseln kann. Meine Erfahrung, die ich hier beschreibe, bezieht sich auf den privaten Datenverkehr. Am Ende dieser Beschreibung sage ich etwas über sicheren E-Mail-Verkehr mit Firmen/Organisationen und eine Stellungnahme zu ePost der Deutsche Post und DE-Mail der Telekom.

Die Basis sicheren E-Mail-Verkehrs ist die Verwendung einer Digitalen-ID, was nichts anders als ein Zertifikat ist, in dem u.a. ein privater und ein öffentlicher Schlüssel bewahrt werden. Der Sender und der Empfänger einer signierten und verschlüsselten E-Mail müssen beide so ein Zertifikat haben, damit sie ihren verschlüsselten Mailverkehr lesen können. Wenn das einmal eingerichtet ist, bemerkt man gar nichts mehr davon. Man kann zu jeder E-Mail einzeln beschließe,n ob man verschlüsseln will oder nicht.

Aber nun zur Sache.

Als erstes besorgt man sich eine Digital-ID. Es gibt einige, aber nicht sehr viele Anbieter, die alle etwa 20-40 Euro im Jahr verlangen. Ich habe Comodo gewählt, weil dieser Anbieter kostenlos ist. Den zu besorgen geht folgenderweise: In Outlook (2007, 2010, 2013) klickt man auf File (Datei), Options (Optionen) und dann auf Trust Center. Auf dieser Seite wählt man Trust Center Settings (Einstellungen) und geht auf E-Mail Security (Sicherheit).

Auf dieser Seite klickt man auf "Get a Digital-ID", nun sieht man eine Webseite, auf der der Anbieter Comodo erscheint. Comodo anklicken und die gefragten Informationen eintragen. Anschließend bekommt man eine E-Mail von Comodo mit der Aufforderung, das Zertifikat zu installieren. Zur Verifizierung der Zertifikatinstallation startet man der Internet Explorer. Dort klickt man auf Optionen uind auf Internet Optionen. Auf den Reiter oben klickt man auf Content (Inhalt) und dann auf Zertifikate. Man klickt jetzt auf den Reiter Personal (persönlich) und da soll man nun das Zertifikat sehen. Bevor dieses Fenster wieder geschlossen wird, soll man das Zertifikat exportieren. Das ist deswegen wichtig, weil man dann den Schlüssel den Mailempfängern zur Verfügung stellen kann.

Deshalb klicke auf Export und danach auf weiter. In dem nächsten Fenster wird gefragt ob man auch den privaten Schlüssel exportieren will. Nein ist angeklickt. Das ist auch OK, wenn man das Zertifikat anderen zur Verfügung stellt. Zur Installation in Outlook, sowie als Sicherheitskopie des Zertifikats klickt man auf ja. Im letzten Fall wird ein Passwort verlangt.  Anschließend wird nach dem Format gefragt, wo man Standard wählt (DER), und danach gibt man einen Namen und den Speicherort an.

Um mit dem Zertifikat in Outlook E-Mails zu signieren und verschlüsseln, geht man folgenderweise vor: Über File (Datei), Options und Trust Center geht man zu Trust Center Settings (Einstellungen). Dort wählt man E-Mail Security. Jetzt soll man das Zertifikat importieren. Klicke auf Import, trage den Dateinamne des Zertifikats mit private Key ein, das Passwort und einen Name für die Digital-ID. Klick OK. Jetzt soll unter Default Settings (Standard Einstellungen) ein Protokoll eingetragen sein. Sonst weiter nichts anklicken, auf OK gehen.

So, jetzt kann man eine E-Mail signieren und verschlüsseln. Man schreibt die E-Mail wie gehabt, kann aber unter E-Mail Optionen Sign und Encrypt anklicken. Man trägt die Mail-Adresse des Empfängers ein und verschickt die Mail. Outlook meldet sich mit einer Mitteilung, dass du von dem Empfänger kein Zertifikat hast und die Mail deshalb unverschüsselt verschickt wird. Klicke auf OK. Gleich darauf wird abgefragt, ob man erlaubt, dass der Empfänger deinen Schlüssel verwenden darf. Auch diese Abfrage bestätigen. Der Empfänger bekommt deine E-Mail signiert (siehe die kleine rote Fahne in der Message). Er kann jetzt die Mailadresse in seine Kontakte aufnehmen, wo gleichzeitig das Zertifikat bzw. der Public Key aufgenommen und gespeichert wird. Als Alternative kann man das Zertifikat ohne Private Key an den Empfänger verschicken. Der soll die Kontaktkarte des Senders öffnen, auf Zertifikate klicken und über Import den Public Key installieren.

Umgekehrt läuft es genau so. Der Empfänger beantragt eine Digital ID. Speichert den Public Key ab und schickt die Datei an den Sender. Der importiert dieser Key in die Kontaktdaten des originalen Empfängers. Jetzt kann man sich gegenseitig verschlüsselte Mails schicken.

In Organisationen und Firmen läuft es anders. Es ist nicht zumutbar, das jeder Mitarbeiter die Digital IDs seiner Außenkontakte selbst verwaltet bzw. dass jeder Kunde die Digital-IDs sämtlicher MA in der Firma kennen und einzel verwalten muss. Mir sind jedoch keine Firmen oder Organisationen bekannt, die in der Lage sind, sicheren E-Mail-Verkehr zu gestalten. In diese Lücke ist wohl die Deutsche Post mit ePost, sowie die Deutsche Telekom mit DE-Mail gesprungen. Laut jüngstem C'T geschieht das bei diesen beiden Anbietern auf eine stümperhafte Weise, weil nur der Transport der Mail verschlüsselt stattfindet und der Inhalt auf Servern und bei Sendern und Empfängern als Text lesbar ist.

Meine Anleitung wird sicher ein paar Unvollkommenheiten haben. Ich freue mich über jede Rückmeldung.