E-Mail-Verschlüsselung: Schutz für Ihre digitale Kommunikation

Ob privat oder beruflich – viele E-Mails, die wir versenden, sind höchst vertraulich und enthalten sensible Daten oder Informationen. Damit sie nicht in die falschen Hände geraten, können E-Mails zusätzlich zur automatischen Standardverschlüsselung mit der noch sichereren Ende-zu-Ende-Verschlüsselung versendet werden. In diesem Artikel erfahren Sie, wie die E-Mail-Verschlüsselung funktioniert und wie Sie Ihre E-Mails verschlüsseln können. Lesen Sie zudem, welche weiteren Maßnahmen Sie zum Schutz Ihres E-Mail-Verkehrs ergreifen und wie Sie mit der kostenlosen All-in-One-Lösung Avira Free Security Ihre gesamte Online-Kommunikation besser absichern können. 

Was ist E-Mail-Verschlüsselung?

Die E-Mail-Verschlüsselung wird verwendet, um E-Mails vor unbefugtem Zugriff und Manipulation zu schützen und vertrauliche Informationen zu sichern. Sie verwandelt den Klartext einer E-Mail während der Übertragung (und je nach Methode gegebenenfalls auch Speicherung) in einen Chiffretext aus Buchstaben, Zahlen und Symbolen. So wird sichergestellt, dass die E-Mail selbst dann nicht von Dritten gelesen werden kann, wenn sie auf dem Transportweg abgefangen wird. Die E-Mail-Verschlüsselung erfolgt in der Regel durch den E-Mail-Anbieter, auch E-Mail-Provider genannt.

Die gängigste Form der E-Mail-Verschlüsselung ist die hybride Verschlüsselung, bei der es sich um eine Kombination aus symmetrischen und asymmetrischen Verschlüsselungsverfahren handelt. Während bei der symmetrischen Verschlüsselung nur ein Schlüssel zum Verschlüsseln und Entschlüsseln verwendet wird, kommt bei der asymmetrischen Verschlüsselung ein Schlüsselpaar zum Einsatz, das aus einem öffentlichen Schlüssel (Public Key) und einem privaten Schlüssel (Private Key) besteht. Die Daten werden mit dem öffentlichen Schlüssel verschlüsselt, der von jedem genutzt werden kann, und mit dem entsprechenden privaten Schlüssel entschlüsselt, den nur der Empfänger besitzt.

Bei der E-Mail-Verschlüsselung wird die asymmetrische Verschlüsselung zum Schlüsselaustausch sowie zur Authentifizierung und die symmetrische Verschlüsselung zur eigentlichen Datenübertragung verwendet. Ein weit verbreitetes und wegen seiner Sicherheit und Effizienz geschätztes symmetrisches Verschlüsselungsverfahren ist beispielsweise der Advanced Encryption Standard (AES), der von vielen Verschlüsselungsprotokollen (wie TLS/SSL) unterstützt wird.

Grundsätzlich können bei der E-Mail-Verschlüsselung zwei Methoden zum Einsatz kommen, die wir im Folgenden noch etwas näher betrachten werden. Da sie auf unterschiedlichen Ebenen und unabhängig voneinander arbeiten, können sie sowohl einzeln als auch zusammen eingesetzt werden.

• Transportverschlüsselung: Bei dieser Methode werden die E-Mails nur während der Übertragung zwischen dem Client und dem Server oder zwischen den E-Mail-Servern verschlüsselt, z.B. mittels TLS.
• Ende-zu-Ende-Verschlüsselung: Hierbei wird der Inhalt der E-Mail auf dem Gerät des Absenders verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt, z.B. mittels PGP oder S/MIME. 

Public-Key-Infrastruktur und digitale Zertifikate

Die Verschlüsselungsprotokolle TLS und S/MIME verwenden für den sicheren Schlüsselaustausch ein asymmetrisches Verschlüsselungsverfahren, das auf der Public-Key-Infrastruktur (PKI) basiert. Hierbei handelt es sich um ein hierarchisches System zur Verwaltung und Verifizierung digitaler Zertifikate und öffentlicher Schlüssel. Die digitalen Zertifikate werden von vertrauenswürdigen Zertifizierungsstellen ausgestellt und bestätigen die Gültigkeit eines öffentlichen Schlüssels sowie die Identität des Inhabers. Das digitale Zertifikat ist selbst durch eine digitale Signatur geschützt, deren Echtheit mit dem öffentlichen Schlüssel der Zertifizierungsstelle geprüft werden kann. Das Zertifikat gewährleistet also, dass die E-Mail von der angegebenen E-Mail-Adresse stammt und dass die Kommunikationspartner tatsächlich diejenigen sind, für die sie sich ausgeben. Durch die Verschlüsselung wird zudem sichergestellt, dass die ausgetauschten Daten weder gefälscht noch manipuliert werden können. 

Automatische Sicherheit: die Transportverschlüsselung

Transport Layer Security (TLS) ist die derzeitige Standardtechnologie für die Verschlüsselung von Daten, die zwischen einem Client und Server oder zwischen Servern übertragen werden. Da es sich beim TLS-Protokoll um eine Weiterentwicklung des SSL-Protokolls handelt, wird diese Verschlüsselung auch als SSL-Verschlüsselung oder TLS/SSL-Verschlüsselung bezeichnet.

Das SSL/TLS-Protokoll kommt nicht nur bei der Datenübertragung von Webbrowsern zu sicheren Webseiten über HTTPS, sondern auch bei der sicheren Übertragung von E-Mails über SMTPS zum Einsatz. Das SMTPS (Simple Mail Transfer Protocol Secure) ist ein E-Mail-Zustellungsprotokoll, das für den sicheren Austausch von Daten zwischen einem E-Mail-Programm und einem Server oder verschiedenen E-Mail-Servern zuständig ist. Darüber hinaus wird SSL/TLS auch beim Abrufen von E-Mails von einem Server per IMAPS (Internet Message Access Protocol Secure) und POP3S (Post Office Protocol 3 Secure) verwendet.

Obwohl die meisten E-Mail-Anbieter standardmäßig die TLS-Verschlüsselung verwenden, um die Verbindung zwischen dem E-Mail-Client und dem E-Mail-Server zu sichern, ist die Verbindung zwischen den E-Mail-Servern (beim E-Mail-Versand von einem Anbieter zum anderen) nicht immer garantiert verschlüsselt. Wenn der empfangende Server kein TLS unterstützt oder die Verbindung aus einem anderen Grund nicht verschlüsselt werden kann, wird die E-Mail unverschlüsselt im Klartext übertragen. Zudem werden die Daten zwar während der Übertragung verschlüsselt, aber oft im Klartext auf den Servern gespeichert, so dass der E-Mail-Anbieter sie theoretisch lesen kann.

Eine weitere Schwachstelle der Transportverschlüsselung besteht darin, dass eine E-Mail-Nachricht meist mehrere Zwischenstationen durchläuft, bevor sie ihr Ziel erreicht. Mit TLS verschlüsselte E-Mail-Nachrichten werden von den Server-Relays von einem Server zum anderen weitergegeben und dabei entschlüsselt und anschließend wieder verschlüsselt. Das erschwert die vollständige Abschirmung von Daten vor Man-in-the-Middle-Angriffen, da Cyberkriminelle sie prinzipiell an diesen Knotenpunkten abfangen können.

Extra-Sicherheit: die Ende-zu-Ende-Verschlüsselung 

Bei der Ende-zu-Ende-Verschlüsselung hingegen wird nicht nur der Transportweg verschlüsselt, sondern auch die E-Mail selbst. Der Inhalt der E-Mail sowie alle E-Mail-Anhänge werden auf dem Gerät des Absenders verschlüsselt und erst auf dem Gerät des Empfängers wieder entschlüsselt. Diese Verschlüsselungsmethode bietet mehr Vertraulichkeit und Sicherheit als die Transportverschlüsselung, da die Daten während der gesamten Übertragung, also über alle Zwischenstationen hinweg, verschlüsselt bleiben. Selbst der E-Mail-Anbieter kann die Daten nicht lesen. Und sollten Cyberkriminelle den Server kompromittieren, auf dem die Daten gespeichert sind, können sie diese nicht entschlüsseln.

Die Ende-zu-Ende-Verschlüsselung wird in E-Mail-Verschlüsselungsprotokollen wie den beiden Standards S/MIME und PGP in Kombination mit digitalen Signaturverfahren eingesetzt. Eine digitale Signatur stellt sicher, dass eine E-Mail nicht verändert wurde, und verifiziert die Identität des Verfassers. Während die Verschlüsselung also die Vertraulichkeit und Integrität der Nachricht garantiert, bestätigt die digitale Signatur die Authentizität des Absenders und gewährleistet ebenfalls die Integrität der Nachricht.

Die S/MIME-Verschlüsselung

Das E-Mail-Verschlüsselungsprotokoll S/MIME (Secure/Multipurpose Internet Mail Extensions) verwendet eine asymmetrische Verschlüsselung, die auf der Public-Key-Infrastruktur (also auf Schlüsselpaaren und digitalen Zertifikaten) basiert. Da S/MIME von gängigen E-Mail-Clients wie Outlook, Googles Gmail und Apple Mail unterstützt wird und vergleichsweise einfach in bestehende IT-Infrastrukturen zu integrieren ist, kommt es häufig im beruflichen Umfeld zum Einsatz.

Um diese Ende-zu-Ende-Verschlüsselung zu verwenden, müssen die Kommunikationspartner ein gültiges Zertifikat von einer privaten oder öffentlichen Zertifizierungsstelle herunterladen. Die benötigten Zertifikate bzw. Schlüsselpaare werden dabei üblicherweise nicht von den Nutzern selbst erzeugt und konfiguriert, sondern von den Systemadministratoren der Unternehmen.

Die PGP-Verschlüsselung

Auch das E-Mail-Verschlüsselungsprotokoll PGP (Pretty good privacy) verwendet eine asymmetrische Verschlüsselung mit einem privaten und öffentlichen Schlüssel. Anders als S/MIME setzt PGP jedoch auf ein dezentrales Vertrauensmodell, das als „Web of Trust“ (Netz des Vertrauens) bezeichnet wird. Das Vertrauen in die Echtheit eines öffentlichen Schlüssels basiert hierbei nicht auf Zertifikaten, sondern auf einem Netzwerk von Benutzer-Signaturen. Anstatt sich auf zentrale Zertifizierungsstellen zu verlassen, können Benutzer die öffentlichen Schlüssel direkt austauschen und gegenseitig signieren, um ihre Authentizität zu bestätigen.

Da es sich bei PGP um einen offenen Standard handelt, der von vielen verschiedenen Programmen und Diensten unterstützt wird, kommt es vor allem im privaten Bereich zum Einsatz. Aufgrund der Flexibilität von PGP-basierten Systemen können sie verschiedene Methoden zur Verschlüsselung von E-Mails unterstützen, darunter auch die passwortbasierte E-Mail-Verschlüsselung. Wenn der Empfänger keinen PGP-Schlüssel besitzt, kann der Sender diesem auf separatem Weg ein Passwort zukommen lassen, mit dem die E-Mail entschlüsselt werden kann.

Nicht nur für E-Mails: die VPN-Verschlüsselung

Eine VPN-Verschlüsselung funktioniert im Grunde genommen wie eine Transportverschlüsselung. Der Hauptunterschied besteht jedoch darin, dass ein VPN den gesamten Online-Datenverkehr eines Geräts durch einen verschlüsselten Tunnel leitet und nicht nur die E-Mail-Kommunikation. Auf diese Weise wird alles, was über das Internet versendet wird (wie E-Mails, Webanfragen, Dateien, Streaming-Daten), verschlüsselt übertragen und auf dem Transportweg geschützt.

Avira Phantom VPN nutzt zur Absicherung ein Protokoll mit AES-256-Verschlüsselung, die es für Cyber-Kriminellen nahezu unmöglich macht, Daten abzufangen oder zu manipulieren. Gemeinsam mit der für die E-Mail-Kommunikation standardmäßig verwendeten TSL-Verschlüsselung kann ein VPN also einen guten Schutz vor unbefugtem Zugriff bieten, vor allem in ungesicherten öffentlichen WLANs. 

Wie verschlüsselt man E-Mails?

Bei den meisten E-Mail-Diensten muss man nichts weiter tun, um E-Mails standardmäßig zu verschlüsseln und zu entschlüsseln, da die TSL-Verschlüsselung automatisch aktiviert ist. Überprüfen Sie am besten, ob das auch bei Ihrem E-Mail-Anbieter der Fall ist. Bei einigen E-Mail-Providern wie Yahoo Mail, Outlook und Gmail erscheint ein Warnhinweis (wie beispielsweise ein geöffnetes rotes Schloss), wenn eine E-Mail nicht mittels TSL-Verschlüsselung empfangen wurde.

Wenn Sie die sicherere Ende-zu-Ende-Verschlüsselung nutzen möchten, gehen Sie vor, wie im Folgenden für die jeweiligen E-Mail-Dienste beschrieben. Beachten Sie dabei, dass auch der Webmail-Dienst/E-Mail-Client des Empfängers die entsprechende Verschlüsselungstechnologie unterstützt bzw. über eine kompatible Software oder Erweiterung zur Entschlüsselung verfügt, damit Ihr Kommunikationspartner die verschlüsselte Nachricht lesen kann.

Yahoo Mail, Gmail & Co.: Verschlüsselungslösungen für private Konten

Die meisten gängigen Webmail-Dienste bieten für private Konten keine standardmäßig integrierte Ende-zu-Ende-Verschlüsselung an. Sie können jedoch Verschlüsselungstools wie beispielsweise die Browsererweiterung Mailvelope verwenden, mit der sich E-Mails mittels PGP verschlüsseln und entschlüsseln lassen. Allerdings bieten diese Tools meist keine Client-Unterstützung, sondern können nur im Webbrowser genutzt werden.  

Gmail und Outlook bieten die Ende-zu-Ende-Verschlüsselung zwar an, jedoch nur für Unternehmenskonten. Für private Zwecke können Sie einen E-Mail-Dienst wie Proton Mail nutzen, der die PGP-Verschlüsselung standardmäßig verwendet und als Webanwendung, Desktop-Programm und Smartphone-App verfügbar ist.

Outlook: Ende-zu-Ende Verschlüsselung für Unternehmen

Microsoft 365-Abonnenten und Nutzer moderner Outlook-Versionen können auf ihren Windows-Geräten die S/MIME-Verschlüsselung verwenden, sofern sie über ein geschäftliches E-Mail-Konto verfügen.

1. Lassen Sie von Ihrem Systemadministrator S/MIME aktivieren und konfigurieren.
2. Verschlüsseln einer Nachricht: Klicken Sie im Nachrichtenfenster auf die Registerkarte „Optionen“ und anschließend im Abschnitt „Berechtigung“ auf das Schloss-Symbol bzw. „Verschlüsseln“.
   oder 
3. Verschlüsseln aller Nachrichten: Klicken Sie auf der Registerkarte „Datei“ in der oberen linken Ecke „Optionen“ und wählen Sie „Sicherheitscenter“ und anschließend „Einstellungen“ aus. Aktivieren Sie auf der Registerkarte „E-Mail-Sicherheit“ unter „Verschlüsselte E-Mail“ das Kontrollkästchen „Inhalt und Anlagen für ausgehende Nachrichten verschlüsseln“. Das S/MIME-Zertifikat können Sie unter „Einstellungen“ auswählen.

Gmail: Gehostetes S/MIME für Unternehmen

Als Inhaber eines Gmail-Unternehmenskontos oder eines berechtigten Gmail-Kontos einer Bildungseinrichtung können Sie Nachrichten mit von Google bereitgestellten Schlüsseln verschlüsseln und entschlüsseln.

1. Lassen Sie von Ihrem Systemadministrator S/MIME aktivieren und konfigurieren.
2. Erstellen Sie eine Nachricht, geben Sie den Empfänger ein und bewegen Sie den Mauszeiger rechts neben dem Empfänger auf das Schloss-Symbol (Nachrichtensicherheit). Hier können Sie nun zwischen zwei Verschlüsselungsstärken auswählen: Standardverschlüsselung (TLS) und verbesserte Verschlüsselung (S/MIME).

Gmail: CSE für Workspace-Konten

Als Nutzer der Google Workspace-Versionen Enterprise Plus, Education Plus und Education Standard können Sie eine clientseitige Verschlüsselung (CSE) mittels S/MIME mit Schlüsseln Ihrer Organisation verwenden. Die Daten werden dann in Ihrem Browser verschlüsselt, bevor sie in den cloudbasierten Speicher von Google übertragen oder darin gespeichert werden.

1. Lassen Sie von Ihrem Systemadministrator S/MIME aktivieren und konfigurieren.
2. Erstellen Sie eine Nachricht, geben Sie den Empfänger ein, klicken Sie in der rechten Ecke auf das Schloss-Symbol (Nachrichtensicherheit) und wählen Sie „Zusätzliche Verschlüsselung“ aus.

Weitere Maßnahmen zum Schutz Ihrer E-Mails und Konten

Eine Ende-zu-Ende-Verschlüsselung ist eine gute Möglichkeit, Ihre E-Mails samt personenbezogener Daten vor fremdem Zugriff und Manipulation zu schützen. Jedoch bewahrt die Verschlüsselung Sie nicht vor menschlichen Fehlern, wie unbedachten Klicks auf Phishing-Links in E-Mails, zumal diese immer besser und professioneller gestaltet werden.

Die kostenlose Cyber-Schutzlösung Avira Free Security verfügt dank der enthaltenen Browsererweiterung Avira Browserschutz über einen Phishing-Schutz, mit dem Sie schädliche Webseiten blockieren können. Darüber hinaus enthält Avira Free Security neben einem Virenschutz auch ein VPN, mit dem Sie anonym surfen und den gesamten Online-Datenverkehr auf Ihrem Gerät verschlüsseln können. Und der integrierte Passwort-Manager hilft Ihnen dabei, Ihr E-Mail-Konto (und natürlich auch Ihre anderen Online-Accounts) mit starken Passwörtern zu versehen und so besser vor Hacker-Angriffen und ​​Identitätsdiebstahl zu schützen.