

Eine E-Mail, das ist eine beliebte Bescheidwisser-Formulierung, ist nur so privat wie eine Postkarte. Weil der Text nicht durchgehend verschlüsselt über das Internet übertragen wird, lassen sich E-Mails abfangen und lesen, sei es von einem neugierigen Mitarbeiter des Mail-Anbieters oder von einem Geheimdienstanalysten. Zu abstrakt?
Na gut: Jeder, der sich das Passwort zu Ihrem Webmail-Konto verschafft, sei es ein Hacker oder der beleidigte Ex-Freund, kann alle E-Mails lesen, die darin zu finden sind. Wer also Wert darauf legt, dass seine Mails nicht gelesen werden können, sollte sie verschlüsseln - nur macht das kaum jemand.
In unserer Fotostrecke wird Schritt für Schritt erklärt, wie Sie sich - auf einem Windows-Rechner - mit dem kostenlosten E-Mail-Client Thunderbird, dem ebenfalls kostenlosen Programm GnuPG und dem kostenlosen Thunderbird-Plugin Enigmail eine eigene Verschlüsselung einrichten.
Wer verschlüsselt, macht der NSA Arbeit
Wenn Sie dieser Anleitung folgen möchten, müssen Sie zu zwei Dingen bereit sein: Erstens müssen Sie sich davon verabschieden, Web-Mail in ihrem Browser zu benutzen, also etwa Googlemail oder GMX aufzurufen und von da aus ihre Korrespondenzen zu erledigen. Zweitens sollten Sie sich etwas Zeit für die Einrichtung nehmen und nicht sofort vor neuen Begriffen zurückschrecken. Die Einrichtung nimmt etwa eine halbe Stunde bis Stunde in Anspruch. Ist sie aber erst einmal geschafft, ist es nicht mehr schwierig, verschlüsselte Mails zu verschicken und erhaltene zu entschlüsseln.
Bislang sind verschlüsselte E-Mails noch so selten, dass der US-Geheimdienst NSA sie mit Priorität behandelt - was verschlüsselt ist, interessiert die Netzüberwacher aus Fort Meade besonders. Wie schnell die NSA Mails heute entschlüsseln kann, ist unbekannt, aber wenn Sie unserer Anleitung folgen, sollten Ihre Mails auf viele Jahre hinaus ohne Schlüssel nicht lesbar sein. Garantieren kann das aber niemand.
Wenn Privatmenschen auch alltägliche Inhalte verschlüsselt senden würden, wäre das eine durchaus effektive Art des Protests: Wer mitmacht, macht der NSA also mehr Arbeit. Außerdem stellt man sicher, dass sonst niemand, der unterwegs Zugriff auf die eigene Mail haben könnte, mitliest.
Den Schlüssel hüten wie seinen Augapfel
Bei der Verschlüsselung wird lesbarer Text in unlesbaren verwandelt, in eine sinnlose Folge von Zeichen, eine Geheimsprache sozusagen. Nur derjenige, für den die Nachricht bestimmt ist, kann die Geheimsprache entschlüsseln. Dazu brauchen natürlich beide Nutzer einen Schlüssel - entweder denselben (symmetrische Verschlüsselung) oder unterschiedliche (asymmetrische Verschlüsselung).
Die gängigste und am einfachsten zu installierende Form der E-Mail-Verschlüsselung ist die asymmetrische Kryptografie. Sie basiert auf komplexen mathematischen Aufgaben, für deren Lösung selbst Großcomputer Jahre oder gar Jahrhunderte brauchen würden.
Unsere Anleitung nutzt einen Verschlüsselungsstandard namens PGP ("pretty good privacy"). Eine E-Mail oder ein beliebiger anderer Inhalt wird dabei mit Hilfe von zwei Schlüsseln chiffriert: einem öffentlichen (public key) und einem privaten (private key). Der öffentliche Schlüssel funktioniert in Wahrheit eher wie eine Art Vorhängeschloss, das man all seinen Korrespondenzpartnern zur Verfügung stellt: Wenn Nutzer A an Nutzer B eine verschlüsselte Mail schicken will, dann lässt er das Vorhängeschloss, den public key von Nutzer B, vor dem Abschicken zuschnappen. Der private key von Nutzer B ist der einzige Schlüssel, der das Vorhängeschloss wieder öffnen kann und die E-Mail entschlüsselt.
Den privaten Schlüssel sollte man deshalb hüten wie seinen Augapfel. Er darf niemandem zugänglich gemacht werden, sonst ist die eigene E-Mail genauso unsicher wie das eigene Haus, wenn der Schlüssel auf der Türschwelle herumliegt.
Erst Schlüssel tauschen, dann mailen
Verschlüsselt kommunizieren kann man mit jedem, mit dem man zuvor seinen öffentlichen Schlüssel - sein eigenes Vorhängeschloss - ausgetauscht hat. Das kann man entweder auf direktem Wege tun, indem man beispielsweise eine unverschlüsselte E-Mail verschickt, die den Schlüssel enthält - das E-Mail-Programm Thunderbird etwa bietet dafür sogar einen eigenen Menüpunkt an. Oder, indem man seinen öffentlichen Schlüssel auf einen sogenannten Schlüsselserver (keyserver) hochlädt. Das hat allerdings zur Folge, dass auch die eigene E-Mail-Adresse dort einsehbar ist, auch beispielsweise für Spammer.
Wer auf Nummer sicher gehen will, kann mit Hilfe eines sogenannten Fingerabdrucks (fingerprint) vergleichen, ob der Schlüssel auch wirklich von der Person stammt, mit der man Nachrichten austauschen möchte. Der Fingerprint ist eine einzigartige Zeichenkette aus 40 Zahlen und Buchstaben. Diesen Fingerabdruck kann man beispielsweise auf Visitenkarten oder über die eigene Homepage verteilen. So können Empfänger sicher sein, dass eine E-Mail auch wirklich vom angegebenen Absender stammt.
Nachtrag: Mac-Nutzer können zum Verschlüsseln ihrer E-Mails beispielsweise die Software GPGTools benutzen. Auf deren Website findet man auch ein - allerdings englischsprachiges - Tutorial zur Einrichtung. Auf Apple-Rechnern lässt sich aber auch, ebenso wie auf Linux-Rechnern, analog zu dem hier beschriebenen Verfahren Thunderbird in Kombination mit Enigmail einsetzen.
Anmerkung der Redaktion: Bitte beachten Sie, dass es sich bei unserer Anleitung um einen redaktionellen Service handelt. Das Netzwelt-Ressort hat sie nach bestem Wissen erstellt, übernimmt aber keinerlei Gewähr für die Anleitung und das Endprodukt. Die Einrichtung erfolgt auf eigenes Risiko, SPIEGEL ONLINE übernimmt insofern keine Haftung.
SPIEGEL+-Zugang wird gerade auf einem anderen Gerät genutzt
SPIEGEL+ kann nur auf einem Gerät zur selben Zeit genutzt werden.
Klicken Sie auf den Button, spielen wir den Hinweis auf dem anderen Gerät aus und Sie können SPIEGEL+ weiter nutzen.
E-Mail-Verschlüsselung: Mit vielen Mail-Programmen - auch auf Apple- und selbstverständlich auf Linux-Rechnern - lässt sich die eigene Korrespondenz verschlüsseln. Wir zeigen, wie das geht, hier am Beispiel eines Windows-Rechners mit dem kostenlosen E-Mail-Client Thunderbird von den Firefox-Machern, der Mozilla Foundation.
Schritt 1: Installieren Sie das E-Mail-Programm Thunderbird und führen Sie die notwendigen Einstellungen zum Empfang von Nachrichten durch. Die meisten Webmail-Anbieter bieten dazu einen IMAP- und SMTP-Service an, über die Sie E-Mails empfangen und senden können. Verschlüsselte Nachrichten können nur Text und keine HTML-Auszeichnungen enthalten. Um den Versand von HTML zu deaktivieren, wählen Sie im Menü "Einstellungen > Konten-Einstellungen" ihren E-Mail-Account aus. Dort können Sie unter dem Menüpunkt "Verfassen & Adressieren" die Option "Nachrichten im HTML-Format verfassen" deaktivieren.
Schritt 2: Bevor Sie die Nachrichten-Verschlüsselung aktivieren können, müssen Sie das Hilfsprogramm Gnu Privacy Guard (GnuPG) installieren. GnuPG übernimmt im Hintergrund die eigentliche Verschlüsselung für Thunderbird. Eine Installationsdatei für Windows finden Sie auf der Webseite GPGWin, eine Mac-Version ist unter GPGTools verfügbar. Installieren Sie GPGWin auf ihrem Computer, die Anweisungen zum Einrichten von Wurzelzertifikaten können Sie überspringen.
Schritt 3: Im nächsten Schritt wählen Sie im Hauptmenü die Option "Add-ons" aus, um das Enigmail-Add-on zu installieren.
Schritt 4: Enigmail erweitert Thunderbird um die notwendigen Funktionen zur sicheren Kommunikation. Im Add-on-Manager können Sie nach Enigmail suchen. Nach der Installation müssen Sie Thunderbird neu starten.
Schritt 5: Wenn das Add-on erfolgreich installiert wurde, taucht nach dem Neustart im Thunderbird-Menü eine "OpenPGP"-Option auf. Als nächstes müssen Sie die Schlüssel zum Chiffrieren und Dechiffrieren von Nachrichten anlegen. Enigmail verwendet dabei zwei unterschiedliche Schlüssel: Der öffentliche Schlüssel dient zum Verschlüsseln von Botschaften, diese Datei können Sie später an Kollegen und Freunde weitergeben, die Ihnen sicher Nachrichten senden sollen. Der private Schlüssel hat die umgekehrte Funktion, er dient zur Entschlüsselung von E-Mails. Diesen Schlüssel müssen Sie vor fremdem Zugriff schützen: Bewahren Sie ihn sicher auf und geben Sie ihn niemals an andere weiter.
Schritt 6: Wählen Sie dazu zunächst die E-Mail-Adresse aus, für die der Schlüssel gelten soll. Anschließend sollten Sie eine Passphrase festlegen, also ein Kennwort, das ihren Schlüssel vor fremden Zugriff schützt. Im Untermenü "Erweitert" können Sie zudem die Stärke des Schlüssels festlegen. Wählen Sie "4096 Bit", um den Großcomputern der NSA ein wenig zusätzliche Arbeit zu machen. Nach derzeitigem Kenntnisstand sollte sich dieser Schlüssel auch mit den mächtigsten momentan verfügbaren Rechnern in Ihrer Lebenszeit nicht knacken lassen.
Schritt 7:
Nachdem der Schlüssel generiert wurde, werden Sie aufgefordert, ein Wiederrufszertifikat anzulegen. Dieses Zertifikat sollten Sie an einem sicheren Ort (z.B. auf einem USB-Stick in Ihrer Wohnung) aufbewahren. Falls Sie ihrem Schlüssel zu einem späteren Zeitpunkt nicht mehr vertrauen können - zum Beispiel weil Ihr privater Schlüssel anderen bekannt geworden ist - können Sie das Schlüsselpaar jederzeit mit dem Zertifikat für ungültig erklären.
Über den Menüpunkt "OpenPGP-> Schlüssel verwalten -> Datei -> exportieren" können Sie eine Textdatei mit Ihrem öffentlichen und Ihrem privaten Schlüssel anlegen. Speichern Sie sie an einem sicheren Ort, am besten auf einem USB-Stick, den sie wiederum an einem sicheren Ort aufbewahren.
Schritt 8: Ihr Thunderbird ist nun so eingerichtet, dass Sie Nachrichten verschlüsselt empfangen und versenden können. Dazu brauchen Sie den öffentlichen Schlüssel des Nachrichtenempfängers. Falls Sie vorerst keinen passenden Partner zum Austausch verschlüsselter Mails haben, gibt es einen freundlichen E-Mail-Roboter, an dem Sie Ihre neugewonnenen Kryptografie-Fähigkeiten ausprobieren können.
Schritt 9: Um die Software zu testen, können Sie den Krypto-Mail-Roboter "Adele" nutzen. Der Dienst antwortet auf verschlüsselte E-Mails und prüft, ob die Nachricht korrekt gesichert wurde. Um mit "Adele" zu kommunizieren, können Sie in der Schlüsselverwaltung unter dem Menüpunkt "Schlüssel-Server > Schlüssel suchen..." die öffentliche Kennung des Testdienstes herunterladen. Dazu suchen Sie nach dem Begirff "adele-de@gnupp.de" und importieren den erscheinenden Eintrag. Schlüssel-Server sind Verzeichnisse öffentlicher Schlüssel, eine Art Krypto-Adressbuch. Im gleichen Menü können Sie auch Ihre eigene Kennung für andere bereitstellen. Das ist nicht gefährlich: Wer Ihren öffentlichen Schlüssel hat, kann Ihnen nur E-Mails schicken, zum Entschlüsseln bräuchte er Ihren privaten Schlüssel. Allerdings wird Ihre E-Mail auf einem Schlüsselserver für jedermann einsehbar - auch für Spam-Roboter.
Schritt 10:
Nun haben Sie "Adeles" Schlüssel Ihrem privaten Schlüsselbund hinzugefügt. Der wird später die öffentlichen Schlüssel all Ihrer Kontakte enthalten.
Nun sollten Sie dem Dienst eine E-Mail schicken, an die Ihr öffentlicher Schlüssel angehängt ist. So kann "Adele" Ihnen mit einer verschlüsselten Nachricht antworten. Dazu wählen Sie in der Schlüsselverwaltung Ihren eigenen Schlüssel aus und wählen im Kontextmenü (rechte Maustaste) die Option
"Öffentliche Schlüssel per E-Mail senden".
Schritt 11: Anschließend können Sie "Adele" eine Nachricht an adele-de@gnupp.de schicken. Nachdem Sie einen kurzen Text eingegeben haben, wählen Sie in der Menüleiste die Option "OpenPGP > Nachricht verschlüsseln" aus. Ihre Nachricht hat einen Anhang, der Ihren öffentlichen Schlüssel enthält.
Schritt 12: Nach einigen Minuten sollten Sie eine Antwort von "Adele" erhalten. Wenn alles geklappt hat, dann enthält die Antwort den Text Ihrer ursprünglichen Botschaft. Ein kleines Schloss deutet an, dass Sie einen sicheren Kommunikationsweg hergestellt haben. Falls Sie bei der Installation Probleme hatten, lohnt der Blick in die Hilfeseiten der deutschen Thundebird-Nutzergruppe.
Rundruf: Wenn Sie mit Ihren Freunden, Verwandten, Bekannten und Kollegen nun bevorzugt verschlüsselt E-Mails austauschen wollen, sollten Sie einen Aufruf zum Schlüsseltausch starten. Am besten fügen Sie einen Weblink zu dieser Anleitung bei, falls Ihre Kommunikationspartner Ihre E-Mails bislang nicht verschlüsseln.
Melden Sie sich an und diskutieren Sie mit
Anmelden