© Vlad Kochelaevskiy, Fotolia

Abseits der sozialen, überwiegend privat genutzten Medien bleibt in der geschäftlichen Korrespondenz E-Mail die Nummer eins. Entsprechend groß ist der Schaden, wenn es Dritten gelingt, Nachrichten abzufangen oder beim Provider gespeicherte IMAP-Folder abzuschnorcheln.

Wahrscheinlich gibt es kaum Internetnutzer ohne E-Mail-Account. Kein Wunder, E-Mail-Postfächer gibt es bei vielen Anbietern kostenlos oder als Beigabe zu einem Tarif beim Cloud-Dienstleister. Der Zugriff erfolgt per Browser über ein Webfrontend oder mit einem E-Mail-Client über die etablierten Protokolle POP3, IMAP und SMTP. Mittlerweile bauen alle seriösen Dienste auf die verschlüsselnden Varianten der Protokolle. Immer mehr setzen zudem Perfect Forward Secrecy ein, das ein Abhören der Kommunikation erschwert [1].

Dass die Verbindung zwischen Kunden und Provider vor neugierigen Blicken zu schützen ist, lässt sich als Folge erhöhten Problembewusstseins nach Edward Snowdens Veröffentlichungen deuten. Seither ist vielen Privatanwendern klar, dass einzelne Mails mit heiklem Inhalt, aber auch ihre tägliche Korrespondenz als Ganzes so viel verraten, dass deren Schutz einen erhöhten Aufwand rechtfertigt. Umso mehr gilt das für Mails, die Firmen untereinander und zu ihren Kunden verschicken.

Den Kanal zwischen Clientrechner und Mailserver beziehungsweise Webmail-Frontend zu verschlüsseln, reicht jedoch nicht aus. Denn eine verschickte Mail wandert vom SMTP-Server weiter zum Mailserver des Empfängers und von dort in Richtung Empfänger-Client.

Zwar verständigen sich Mailprovider zunehmend darauf, die Transportwege zwischen ihren Servern zu verschlüsseln, aber für den Absender einer Nachricht ist die Sicherheit der Zwischenabschnitte nicht planbar. Hinzu kommt, dass auf jeder Zwischenstufe die Mail im Klartext auftaucht – also einsehbar wird für von Natur aus neugieriges oder von Konkurrenten geschmiertes Personal sowie für Backdoors von Geheimdiensten.

Darum bietet eine End-to-End-Verschlüsselung oft den größten Sicherheitsgewinn. Garantiert vor neugierigen Augen geschützt ist eine Nachricht folglich nur dann, wenn der Nutzer den privaten Schlüssel besitzt und die Ver- und Entschlüsselung auf seinem Rechner beziehungsweise Smartphone erfolgt. In der Praxis durchgesetzt haben sich die Standards S/MIME und PGP. Erstgenannter setzt gute Zertifikate voraus, während PGP ein vom User selbst angefertigtes Schlüsselpaar verwendet.

E-Mail-Clients

Der beliebte E-Mail-Client Thunderbird kann von Haus aus per S/MIME ver- und entschlüsseln. PGP rüstet ein passendes Add-on wie Enigmail (Abbildung 1, [2]) nach, das wiederum auf das Kommandozeilentool Gnu PG [3] zurückgreift. Mit dessen Hilfe ver- und entschlüsselt auch Kmail Nachrichten. Das unter Gnome favorisierte Geary kann derzeit noch nicht mit verschlüsselten E-Mails umgehen. Für Administratoren ist dieser Weg über Standard-E-Mail-Clients besonders elegant, da die Anwendungen Bestandteil der meisten Linux-Distributionen sind. Das Thunderbird-Add-on-Repository hält Enigmail zudem aktuell.

Beim Einsatz der genannten Programme sinkt jedoch der Komfort. So muss sich der User zunächst in die teilweise recht kryptisch aufgebauten Anwendungen einarbeiten, was unter Umständen Schulungskosten verursacht. Besonders Enigmail gilt als wenig intuitiv.

Hinzu kommt das häufige Eintippen der Passphrase. Außerdem lagern die Schlüssel für das Ver- und Entschlüsseln auf dem aktuellen Rechner. Wer seine Post auch am Smartphone lesen will, muss erst umständlich per Hand den Schlüssel dorthin übertragen und noch eine E-Mail-App finden, die mit dem PGP-Standard umgehen kann.

Abbildung 1: Das Thunderbird-Add-on Enigmail rüstet den Mailclient mit GPG-Support aus, ist aber nicht durchgängig komfortabel zu handhaben.

Vorgeschalteter Webmailer

Findige Linux-Admins kommen vielleicht auf die Idee, auf einem eigenen kleinen Webserver (Abbildung 2) eine Webmail-Anwendung wie Horde Groupware [4] zu installieren. Die Webanwendung dient als Benutzeroberfläche für den eigentlichen IMAP-Server. Die Verschlüsselung erfolgt direkt im Browser beziehungsweise in Horde und Mail passiert den IMAP-Server ausschließlich chiffriert. Eine Alternative zu Horde ist Roundcube [5], das allerdings erst mit der bei Redaktionsschluss kurz vor der Veröffentlichung stehenden Version 1.2 mit verschlüsselten E-Mails umgehen kann.

Der Einsatz eines vorgeschalteten Webmailers hat den Vorteil, dass im Unternehmen alle Mitarbeiter die gleiche E-Mail-Verwaltung nutzen und der Administrator nur eine Software auf einem Zentralserver warten muss. Das ist zugleich der Nachteil: Er benötigt einen extra Webserver, was den erwünschten Vorteil beim Cloud Computing, den Wegfall des Wartungs- und Pflegeaufwands, konterkariert.

Glücklicherweise entdecken immer mehr E-Mail-Dienstleister die Verschlüsselung als Feature, mit dem sie sich von der Konkurrenz abheben. Sie schaffen eine für die Benutzer einfach bedienbare Infrastruktur, die Schlüssel verwaltet, abzusetzende Mails ver- und empfangene Mails entschlüsselt. Die meisten Dienste generieren und speichern die zur Chiffrierung der Nachrichten verwendeten Schlüssel aber auf ihren Servern und führen dort auch die eigentliche Verschlüsselung durch.

Das hat zwar den Vorteil, dass sich der User um die Verschlüsselung keine Gedanken machen muss und von jedem beliebigen PC, Smartphone oder Tablet aus seine E-Mails verwalten kann. Doch besitzt der Dienstanbieter den privaten Schlüssel und könnte somit die E-Mails jederzeit und vor allem unbemerkt von seinen Kunden wieder entschlüsseln.

Abbildung 2: Einen kleinen Webserver mit einer Webanwendung ins Unternehmen zu stellen, löst zwar manches Privacy-Problem, läuft aber dem Weg in die Cloud entgegen.

Oft übersehen: Die gespeicherten Mails

Die Dienste eines Mailproviders in Anspruch zu nehmen, birgt einen systembedingten Schwachpunkt, den viele übersehen – nämlich die Mails, welche die Anwender mehr oder minder lange in ihren Foldern speichern. Die Texte lagern unverschlüsselt auf dem Server des Anbieters. Insbesondere beim standardmäßig genutzten IMAP bleibt das komplette E-Mail-Archiv auf dem Server liegen. Verschafft sich ein Angreifer oder Geheimdienst Zugang zum Server, liegt ihm so die Korrespondenz zu Füßen. Aber auch das Personal des Dienstbetreibers könnte so einen tiefen Einblick in das E-Mail-Archiv erhaschen.

Perfiderweise ist die Entdeckungsgefahr bei dieser Art des Postraubs am geringsten. Während Angreifer, die vorbeilaufende Mails abfangen, nur den Moment des Eintreffens der Nachricht für ihren Angriff haben und ihre Beute irgendwie laufend ableiten müssen, was bei der Trafficanalyse schnell auffällt, haben Mailarchiv-Räuber alle Zeit der Welt und sacken gleich alle wichtigen Daten der letzten Jahre auf einmal ein.

Unternehmen müssen ihre Geschäftskorrespondenz vertraulich halten, möchten auf das komfortable Angebot der Postfach-Anbieter aber nicht verzichten. Um die E-Mails nachträglich zu verschlüsseln, benötigt man jedoch Zugriff auf den Mailserver – was zumindest die Anbieter kostenloser Dienste aber nicht wollen, weil sie dann keine Content-basierte Werbung mehr generieren können.

Der technisch richtige Weg wäre, die Mails in den IMAP-Foldern einzeln mit dem Public Key des Anwenders zu verschlüsseln. Der Mailclient des Users müsste dann einen transparenten Mechanismus vorhalten, der beim Anklicken einer gespeicherten Mail diese on the Fly mit den Privat Key entschlüsselt und darstellt.

GMX und Web.de

Mittlerweile haben allerdings auch einige E-Mail-Anbieter PGP für sich entdeckt, allen voran 1&1 mit seinen beiden E-Mail-Diensten GMX (Abbildung 3) und Web.de. Um dort E-Mails verschlüsseln zu können, installieren User zunächst ein Browser-Plugin. Für Android-Geräte und iPhones stellt 1&1 entsprechende Apps zur Verfügung.

Hinter dem Browser-Plugin verbirgt sich eine mit Hilfe von 1&1 weiterentwickelte Variante von Mailvelope (Abbildung 4). Dieses Plugin steht allerdings nur für Chrome und Firefox bereit. Es übernimmt später die eigentliche Ver- und Entschlüsselung der Nachricht und verwaltet die Schlüssel direkt im Browser. Durch die Installation und Einrichtung führt bei GMX und Web.de ein Assistent, den User mit einem Klick auf das Schlosssymbol aufrufen (direkt neben »E-Mail schreiben« ).

Die Mailvelope-Installation muss der User lediglich mit einem Klick genehmigen. Dann tippt er ein Passwort ein, mit dem er künftig Mailvelope-Aktionen genehmigt. Mailvelope generiert nun im Hintergrund ein Schlüsselpaar mit einer Länge von 4096 Bit, mit dem es später die Ver- oder Entschlüsselung durchführt. Diese Keys haben kein Verfallsdatum. Der öffentliche Schlüssel landet zudem nicht auf öffentlichen PGP-Keyservern, sondern nur auf den internen von 1&1.

Über die so genannte Sicherung gelangen die im Browser verwalteten Schlüssel auf andere Geräte. Mailvelope verpackt dabei die Schlüssel in ein Archiv, das es wiederum mit einem zufällig generierten Passwort verschlüsselt. Diesen Wiederherstellungscode muss sich der User notieren oder ausdrucken. Das Archiv bleibt zwar nicht auf den Mailservern, aber auf den 1&1-Servern. Herunterladen darf der Benutzer es nicht.

Auf einem anderen Gerät mit Mailvelope-Plugin oder der passenden 1&1-App tippt er dann den Wiederherstellungscode ein, woraufhin sich das Gerät automatisch die Schlüssel holt. Für Smartphones erzeugt Mailvelope einen QR-Code, den der Anwender alternativ einfach abfotografiert. Der Wiederherstellungscode hilft nicht nur beim Übertragen, sondern auch dann, wenn der User sein ausgedachtes Passwort vergessen hat.

Über das Mailvelope-Plugin lassen sich alle Schlüssel exportieren sowie fremde importieren. Schickt ein Kommunikationspartner in seiner E-Mail einen öffentlichen Schlüssel mit, bieten GMX und Web.de zudem automatisch den Import an. Um eine verschlüsselte E-Mail zu erstellen, klicken User einfach auf das Schlosssymbol. Von Mailvelope im Browser vorgenommene Aktionen hinterlegt das Add-on mit einer entsprechenden Grafik aus grauen Schlössern, die entsprechenden Texte sieht folglich der Provider nicht (Abbildung 5).

Abbildung 3: GMX stellt für mehrere Mobilbetriebssysteme – hier für Android – Apps mit Verschlüsselungsfunktion bereit.

Abbildung 4: Bei GMX stößt der User in den Einstellungen diesen Assistenten an, der dann die Einrichtung von Mailvelope übernimmt.

Abbildung 5: Hier entsteht eine verschlüsselte E-Mail. Den Text im von Schlössern umrahmten Eingabefeld verschlüsselt Mailvelope vor der Übertragung.

Mailbox.org

Einen etwas anderen Weg als 1&1 geht der von Heinlein Support angebotene Dienst Mailbox.org [6]. Er verschlüsselt automatisch jede eingehende E-Mail mit einem vom User hinterlegten öffentlichen Schlüssel. Dies stellt sicher, dass selbst im Klartext empfangene E-Mails ausschließlich chiffriert auf den Mailbox.org-Servern liegen (Abbildung 6). Prinzipbedingt erfolgt die Verschlüsselung erst dort, ein Angreifer könnte aber die E-Mail auf dem Weg zum Mailbox.org-Server mitlesen.

Zudem chiffriert Mailbox.org nur die eingehenden E-Mails, die ausgehenden landen weiterhin unverschlüsselt im »Sent« -Ordner. Um beides zu verhindern, müssen die User selbst aktiv werden und ihre E-Mails vor dem Versand selbst verschlüsseln (Ende-zu-Ende-Verschlüsselung). Dabei hilft etwa das Thunderbird-Plugin Enigmail, eine leicht verständliche Anleitung veröffentlicht Mailbox.org immerhin in seiner Onlinehilfe.

Auf Wunsch stellt Mailbox.org zudem sicher, dass die E-Mail garantiert nur über TLS-Verbindungen zum Empfänger gelangt und umgekehrt eine Mail nur über gesicherte Wege ins Mailbox.org-Postfach flattert. Mitbewerber 1&1 verwendet gesicherte Verbindungen ausschließlich zwischen ausgewählten Partnern.

Abbildung 6: Da das Prinzip des verschlüsselten Mailarchivs verbal nicht ganz einfach zu erklären ist, hilft der Anbieter Heinlein Support mit Comics nach.

Posteo

Noch ein Stück weiter geht der Anbieter Posteo [7]. Zunächst kann dort der Kunde einzelne E-Mails via S/MIME oder PGP verschlüsseln beziehungsweise derart verschlüsselte E-Mails empfangen. Bei der Verschlüsselung einzelner E-Mails setzt Posteo ebenso wie 1&1 auf das Plugin Mailvelope (Abbildung 7). Bei Posteo muss der User jedoch die Schlüssel selbst erzeugen, den Ablauf erklärt eine Onlinehilfe [8]. Wie Mailbox.org chiffriert Posteo zudem alle eintrudelnden Mails automatisch mit dem öffentlichen Schlüssel des Users.

Abbildung 7: Das Thunderbird-Plugin Mailvelope, das offenbar mehrere Mailprovider empfehlen und supporten, errechnet auf Wunsch neue Schlüssel und kann vorhandene exportieren.

Bei Bedarf verschlüsselt Posteo automatisch sogar alle E-Mails. Auf diesem Weg lassen sich auch schon empfangene Nachrichten nachträglich chiffrieren. Der dafür eingesetzte Schlüssel ist mit einem vom User gewählten Passwort geschützt. Der Vorgang erfolgt zwar auf dem Posteo-Server, die Firma versichert aber, dass das Unternehmen die Nachrichten nicht entschlüsseln kann.

Wer allerdings ein Passwort vergisst, verliert Zugriff auf seine E-Mails für immer. Sollte sich zudem ein Angreifer das Passwort erschleichen, erhielte er wieder vollen Einblick in die Korrespondenz. Diese Funktion sollten User daher nur als zusätzlichen Schutz auffassen. Keiner der vorgestellten Dienste hilft Anwendern, IMAP-Ordner per Mailclient mit dem öffentlichen Schlüssel selbst zu chiffrieren.

Wo liegen die Daten?

Kaum ein Anbieter verrät allerdings, wie das eigene Rechenzentrum die E-Mails speichert. Im Extremfall liegen die Nachrichten im Klartext auf der Festplatte. Einige wenige Dienste wie Posteo versprechen immerhin, ihre Server-Festplatten zu verschlüsseln. Nach eigenen Angaben verwendet Posteo dazu Crypt und Luks. Die Festplattenverschlüsselung verhindert, dass bei einem Diebstahl die Daten lesbar entschwinden.

Spätestens beim Zugriff auf die E-Mails muss das System die auf den Platten gelagerten Daten jedoch entschlüsseln. Um Angreifern das Mitlesen über das Netzwerk zu erschweren, setzt Posteo in seinem Rechenzentrum auf verschlüsselte Verbindungen (via SSH und TLS).

Nachteile der Verschlüsselung

So wichtig wie der Schutz von Mails bei Transport und Lagerung ist, muss der Anwender auch die damit einhergehenden Nachteile würdigen: Verschlüsselt durchlaufende Nachrichten entziehen sich auf Filterproxys jeder Spambewertung und den Scans auf Virenmerkmale.

Viele Anwender wiegen sich zudem in falscher Sicherheit, wenn sie verschlüsselte Mails verschicken. Wer dabei ein Betreff wie “Dokumente VW-Abgaswerte” verschickt, muss sich nicht wundern, wenn der Werkschutz seines Arbeitgebers ein paar Minuten später in seinem Büro steht, denn: GPG kryptet nur die Inhalte einer E-Mail, die Metadaten wie Empfängeradresse und Betreff gehen im Klartext über die Leitungen.

Eine weitere Komforteinbuße: Sofern der Client die E-Mails verschlüsselt, liegen auf dem Mailserver nur chiffrierte Nachrichten. Da die E-Mails den Clientrechner aber bereits verschlüsselt verlassen, kann der Client sie auf dem Server nicht mehr nach Strings durchsuchen.

Ein letztes Problem: Auf dem Gerät, das Nachrichten dechiffriert, muss der private Schlüssel greifbar sein. Entwendet jemand das Gerät, dürfte er auf diese Weise Nachrichten im Namen des Users versenden. Insbesondere in Unternehmen müssen Administratoren auf diesen Fall vorbereitet sein. Wer selbst die Kontrolle über die Schlüssel besitzt, sollte Unterschlüssel verwenden und zudem Widerrufszertifikate bereithalten.

Alles in allem betrachtet: Mailverschlüsselung in der Cloud ist praktisch, aber mit einer Menge Fallstricken verbunden. End-to-End-verschlüsselnde Clients oder ein in Eigenregie vorgeschalteter Server geben noch die beste Figur ab.